Салют всем,

Вопрос от вполне себе "чайника" касательно настроек брандмаэура. Требуется - закрыть 80-й порт для пользователей локальной сети (нехай через прокси в Инет ходят), после чего наново открыть для нескольких машин прямой доступ в Инет. Поколдовал в /etc/rc.firewall, перезапустил брандмауэр, проверил на наличие новых правил:

# ipfw -a list
00010     4     192 allow tcp from a.b.0.100 to any 80 out
00020   102    5663 deny tcp from a.b.0.0/24 to any 80 out
... ...

a.b.0.0 здесь - наша локалка, a.b.0.100 - сотая машина в ней. На выходе имеем: 80-й порт намертво закрыт, но при этом правило 10 работать не хочет. Почему? Тип firewall'а, выставленный в rc.conf - simple. Я, конечно, понимаю, что написанное выше выглядит пародией на анекдот про подземный шум, но все-таки...

TIA всем отозвавшимся,
WilkZ

• RE: Открытие 80-го порта для отдельных компьютеров в локалке,Sampan, 20:06 , 16-Ноя-02
• RE: Открытие 80-го порта для отдельных компьютеров в локалке,windomser, 15:39 , 18-Ноя-02

Я не специалист по ipfw (все более по iptables/ipchains). Но, думаю, что и в ipfw отдельно определяются правила in и out. Выпустить пакеты мало, нужно разрешить ответные.

Предположение: не хватает
allow tcp from any 80 to a.b.0.100 1024-65535 in
(сорри за возможные ошибки синтаксиса, его я не знаю - экспромт)

Дефолтные настройки с использованием /etc/rc.firewall нафиг убрать.
В файле /etc/default/rc.conf вписываешь свой файл типа так:
firewall_script="/usr/local/etc/rc.firewall"    # Which script to run to set up the firewall

И в файле пишешь:
#!/bin/sh
ipfw="/usr/sbin/ipfw"
............
$ipfw add 1000 allow tcp from from a.b.0.100 to any 80 out
$ipfw add 2000 allow tcp from any to  a.b.0.100  established
............
$ipfw add 65000 deny ip from any to any # это не обязательно если у тебя есть
65535       0          0 deny ip from any to any