URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 58988
[ Назад ]

Исходное сообщение
"настройка фаирвола на роутере"
Отправлено Romires , 08-Авг-05 19:01

настройка фаирвола на роутере
Имеем роутер разделяющий интернет и локалку, в локалке есть пользователи как с серыми адресами так и пользователи с реальными адресами.
1 Нужно пустит юзеров с реальными адресами в интернет и не фильтровать трафик от них и к ним
2 Остальным юзерам дать доступ к роутеру, он же файлсервер, ... etc, по определенным портам
3 закрыть роутер как из в не так и изнутри
С 2 все просто, вот насчет 1 и 3 я не уверен как сделать, что бы они друг другу не противоречили
#!/bin/sh
/sbin/ipfw -f flush
fwcmd="/sbin/ipfw"
inet="217.29.xx.yy" # внешний адрес
local="217.29.yy.xx" # внутренний адрес
inet_if="em1" # сморит в интернет
local_if="em0" сморит в локалку
local_net="217.29.y.x-217.29.yyy.xxx"
...
${fwcmd} add allow all from ${local_net} to any via ${inet_if} out
${fwcmd} add allow all from any to ${local_net} via ${inet_if} in
...
${fwcmd} add deny all from any to any
Правильно?

Содержание

настройка фаирвола на роутере,StarshiY, 22:29 , 08-Авг-05
настройка фаирвола на роутере,Romires, 00:32 , 09-Авг-05
настройка фаирвола на роутере,blackpepper, 08:55 , 09-Авг-05
настройка фаирвола на роутере,open, 09:01 , 09-Авг-05
- настройка фаирвола на роутере,Romires, 17:02 , 09-Авг-05
  - настройка фаирвола на роутере,scream, 17:44 , 09-Авг-05
    - настройка фаирвола на роутере,blackpepper, 08:13 , 10-Авг-05

Сообщения в этом обсуждении

"настройка фаирвола на роутере"
Отправлено StarshiY , 08-Авг-05 22:29

>настройка фаирвола на роутере
>Имеем роутер разделяющий интернет и локалку, в локалке есть пользователи как с
>серыми адресами так и пользователи с реальными адресами.
>1 Нужно пустит юзеров с реальными адресами в интернет и не фильтровать
>трафик от них и к ним
>2 Остальным юзерам дать доступ к роутеру, он же файлсервер, ... etc,
>по определенным портам
>3 закрыть роутер как из в не так и изнутри
>
>С 2 все просто, вот насчет 1 и 3 я не уверен
>как сделать, что бы они друг другу не противоречили
>
>#!/bin/sh
>/sbin/ipfw -f flush
>fwcmd="/sbin/ipfw"
>inet="217.29.xx.yy" # внешний адрес
>local="217.29.yy.xx" # внутренний адрес
>inet_if="em1" # сморит в интернет
>local_if="em0" сморит в локалку
>local_net="217.29.y.x-217.29.yyy.xxx"
>...
>${fwcmd} add allow all from ${local_net} to any via ${inet_if} out
>${fwcmd} add allow all from any to ${local_net} via ${inet_if} in
>...
>${fwcmd} add deny all from any to any
>
>Правильно?
а принципе - да, но можно и без "via ${inet_if} " или тогда уже во всех правилах пиши интерфесы...

"настройка фаирвола на роутере"
Отправлено Romires , 09-Авг-05 00:32

Поправка
1 Нужно пустит юзеров с реальными адресами в интернет и не фильтровать трафик от них и к ним относительно интернета, роутер от этих пользователей так же должен быть закрыть за исключением определенных портов

"настройка фаирвола на роутере"
Отправлено blackpepper , 09-Авг-05 08:55

> Остальным юзерам дать доступ к роутеру, он же файлсервер, ... etc,
???????????????????????????????????????????????????????????????????
Смею предположить,что вопросы безопасности вас мало волнуют?

"настройка фаирвола на роутере"
Отправлено open , 09-Авг-05 09:01

а что будет если в локалке пользователь с серым адресом повесит реальный ip ну и мас соответствующий ? или у вас управляемые свичи с фильтрацией по мас ?

>настройка фаирвола на роутере
>Имеем роутер разделяющий интернет и локалку, в локалке есть пользователи как с
>серыми адресами так и пользователи с реальными адресами.
>1 Нужно пустит юзеров с реальными адресами в интернет и не фильтровать
>трафик от них и к ним
>2 Остальным юзерам дать доступ к роутеру, он же файлсервер, ... etc,
>по определенным портам
>3 закрыть роутер как из в не так и изнутри
>
>С 2 все просто, вот насчет 1 и 3 я не уверен
>как сделать, что бы они друг другу не противоречили
>
>#!/bin/sh
>/sbin/ipfw -f flush
>fwcmd="/sbin/ipfw"
>inet="217.29.xx.yy" # внешний адрес
>local="217.29.yy.xx" # внутренний адрес
>inet_if="em1" # сморит в интернет
>local_if="em0" сморит в локалку
>local_net="217.29.y.x-217.29.yyy.xxx"
>...
>${fwcmd} add allow all from ${local_net} to any via ${inet_if} out
>${fwcmd} add allow all from any to ${local_net} via ${inet_if} in
>...
>${fwcmd} add deny all from any to any
>
>Правильно?

"настройка фаирвола на роутере"
Отправлено Romires , 09-Авг-05 17:02

по существу вопроса пожалуйста

"настройка фаирвола на роутере"
Отправлено scream , 09-Авг-05 17:44

>по существу вопроса пожалуйста
Отвечаем по существу.
Видимо, все это домашняя сеть или молодая и неопытная провайдерская контора, которая не хочет раскошелиться на раздельные устройства под роутер и под файл-сервер. Тогда надо не лениться, надо садиться за клавиатуру и писать нормальный файерволл (4-8 страниц комманд для ipchains, ipfw или что там еще). Трудно - читайте книжки. Могу посоветовать "Брандмауэры в Linux" Роберта Л. Зиглера. Передрать под чистую представленные там примеры в вашу Free не выйдет, но на их основе сможете накатать себе крутой файерволл.

"настройка фаирвола на роутере"
Отправлено blackpepper , 10-Авг-05 08:13

>>по существу вопроса пожалуйста
>
>Отвечаем по существу.
>Видимо, все это домашняя сеть или молодая и неопытная провайдерская контора, которая
>не хочет раскошелиться на раздельные устройства под роутер и под файл-сервер.
>Тогда надо не лениться, надо садиться за клавиатуру и писать нормальный
>файерволл (4-8 страниц комманд для ipchains, ipfw или что там еще).
>Трудно - читайте книжки. Могу посоветовать "Брандмауэры в Linux" Роберта Л.
>Зиглера. Передрать под чистую представленные там примеры в вашу Free не
>выйдет, но на их основе сможете накатать себе крутой файерволл.
Очень хороший букварь.