Люди помогите разобратся
уперся в проблему которую решить не могу уже неделю! проблема в доступе юзерам на определенные сайты среди которых и https
перечитал кучу доков но чтото никак все.... freebsd 6.1
делаю следующееЯдро
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=10
options IPFIREWALL_FORWARD
options IPDIVERT
options DUMMYNET
options TCP_DROP_SYNFIN
rc.conf
ifconfig_sk0="inet 192.168.10.1 netmask 255.255.255.0" #локалка
ifconfig_fxp0="inet 212.212.212.212 netmask 255.255.255.224"#инет
defaultrouter="212.248.71.33"
gateway_enable="YES"
hostname="myhost.ru"firewall_enable="YES"
firewall_type="/etc/rc.firewall"
#firewall_script="/etc/rc.firewall"natd_enable="YES"
natd_interface="fxp0"
natd_flags=""proftpd_enable="YES"
webmin_enable="YES"
cupsd_enable="YES"trafd_enable="YES"
trafd_ifaces="sk0"
trafd_flags=" -r -p not port 22"
trafd_log="/var/log/traffic.log"в штатный /etc/rc.firewall
все прописываю в этой секции:############
# Only in rare cases do you want to change these rules
#
vip_ip="192.168.10.0/24{3,33,34,41,42,93,254}"server_ip="192.168.10.0/24{201}" это внутренний сервак, на нем и экскрементирую :)
здесь разрешенные хосты
ЗЫ возможно это вынести в какой нить файлик и чтоб список
разрешенных считывался оттуда? как это сделать если возможно?
http_work="213.229.166.7,
136.8.154.169,
193.183.236.181,
80.93.56.80,
82.204.218.11,
83.222.11.199,
217.212.42.39,
194.186.162.17,
80.68.242.118
${fwcmd} add 30 pass all from any to any via lo0Это для https если правильно понял.....
${fwcmd} add 50 allow all from any to any 443
${fwcmd} add 50 allow all from any 443 to anyэто мне и мнеподобные
${fwcmd} add 90 allow all from ${vip_ip} to any
${fwcmd} add 90 allow all from any to ${vip_ip}Тут начинаются проблемы
не работает и так
${fwcmd} add 100 allow all from 192.168.10.201 to 83.222.11.199 via sk0
${fwcmd} add 100 allow all from 83.222.11.199 to 192.168.10.201 via sk0И вот эдак
${fwcmd} add 100 allow all from 192.168.10.201 to 83.222.11.199
${fwcmd} add 100 allow all from 83.222.11.199 to 192.168.10.201в идеале хотел сделать так но оно тоже не айс!
${fwcmd} add 110 allow all from ${server_ip} to ${http_work}
${fwcmd} add 110 allow all from ${http_work} to ${server_ip}с этим ваще путаница почемута без этого правила неработают
и в инет шастают вапще все кому не лень
${fwcmd} add 300 deny all from any to any via sk0}
if [ -n "${1}" ]; then
firewall_type="${1}"
fi
00030 0 0 allow ip from any to any via lo0
00050 26155 15459019 divert 8668 ip4 from any to any via fxp0
00050 121 103671 allow ip from any to any dst-port 443
00050 100 22492 allow ip from any 443 to any
00090 8682 828586 allow ip from 192.168.10.0/24{3,33,34,41,42,93,254} to any
00090 22057 23836213 allow ip from any to 192.168.10.0/24{3,33,34,41,42,93,254}
00100 0 0 allow ip from 192.168.10.201 to 83.222.11.199 via sk0
00100 0 0 allow ip from 83.222.11.199 to 192.168.10.201 via sk0
00300 1073 143294 deny ip from any to any via sk0
65000 11818 1531901 allow ip from any to any
65535 140 18152 deny ip from any to anyвот
люди ну помогите жеж разобратся с этим шайтаном!
ЗЫ
squid не предлагать, хочу с ipfw разобратся
Спасибо
сначала разреши что и кому должно, потом запрети остальнымиспользуй автонумерацию или вручную задавай порядок правил. У тя намешано правил...
>http_work="213.229.166.7,
> 136.8.154.169,
> 193.183.236.181,
> 80.93.56.80,
> 82.204.218.11,
> 83.222.11.199,
> 217.212.42.39,
> 194.186.162.17,
> 80.68.242.118А где закрывающие кавычки?? Почитай в тематическом разделе - там много. А natd? http://www.opennet.me/docs/RUS/ipfw_rus/ar01s05.html хотя бы это
>
>А где закрывающие кавычки??на самом деле они есть просто писал с чуйством глубокого возмущения
поэтому пропустил....
Слушай а у тебя прокся стоит?
Если да, то скорее всего в нем проблема
>Слушай а у тебя прокся стоит?
>Если да, то скорее всего в нем проблемаНет не стоит
система чистая (пока)