URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91740
[ Назад ]

Исходное сообщение
"Закрыть порты 80, 3128 для работы 8080(dansguardian)"
Отправлено httpal , 10-Июн-11 08:17

Есть 3proxy и dansguardian, все работает! Осталось запретить клиентам все кроме 8080 порта, на котором работает dansguardian.
Сейчас клиенты могут выходить в сеть без фильтрации через роутер freebsd (надо запретить 80 порт)
и через порт 3proxy 3128 также в обход фильтра.
В консоли ввел:
ipfw add deny tcp from any to any 80 in via 192.168.100.1
Вот таблица ipfw:
localhost# ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000 allow ip from any to any
65100 deny tcp from any to any dst-port 80 in via 192.168.100.1
65200 deny tcp from any to any dst-port 80 in via 192.168.100.1
65300 deny tcp from any to any dst-port 80 in via 192.168.100.1
65400 deny tcp from any to any dst-port 80 in via 192.168.100.1
65500 deny tcp from any to any dst-port 80 in via 192.168.100.1
65500 deny tcp from any to any dst-port 80 in via 192.168.1.2
65535 deny ip from any to any
Помогите настроить, пожалуйста.
Заранее благодарен.

Содержание

Закрыть порты 80, 3128 для работы 8080(dansguardian),Нубос, 11:01 , 10-Июн-11
- Закрыть порты 80, 3128 для работы 8080(dansguardian),httpal, 02:42 , 24-Июн-11

Сообщения в этом обсуждении

"Закрыть порты 80, 3128 для работы 8080(dansguardian)"
Отправлено Нубос , 10-Июн-11 11:01

>[оверквотинг удален]
> 65000 allow ip from any to any
> 65100 deny tcp from any to any dst-port 80 in via 192.168.100.1
> 65200 deny tcp from any to any dst-port 80 in via 192.168.100.1
> 65300 deny tcp from any to any dst-port 80 in via 192.168.100.1
> 65400 deny tcp from any to any dst-port 80 in via 192.168.100.1
> 65500 deny tcp from any to any dst-port 80 in via 192.168.100.1
> 65500 deny tcp from any to any dst-port 80 in via 192.168.1.2
> 65535 deny ip from any to any
> Помогите настроить, пожалуйста.
> Заранее благодарен.
Привет! Я не не знаком с ipfw, но по аналогии с цисковскими acl могу предположить, что тебе нужно сначала удалить 65000 условие - там ты разрешаешь ВЕСЬ IP трафик. ACL выполняется сверху вниз, поэтому до 65100 ты не дойдешь. Далее ты хочешь разрешить что именно? Трафик с dst port должен идти на 192.168.100.1 и 192.168.1.2? Весь остальной должен дропаться? так? тогда тебе нужно удалить ipfw delete 65000. и создать такое же но 65600 например. может проще разрешить все на 8080 и запретить все остальное?

"Закрыть порты 80, 3128 для работы 8080(dansguardian)"
Отправлено httpal , 24-Июн-11 02:42

Нужно оставить доступ для:
ssh (20)
webmin(10000)
dansguardian (8080)
почта для клиентов сети 192.168.100.0