URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4314
[ Назад ]

Исходное сообщение
"allow и deny "
Отправлено Add , 30-Июл-09 07:58

блокирую одноклассников вот этими правилами:
add 350 deny all from any to 81.177.141.0/16
add 360 deny all from any to 195.222.187.0/16
add 370 deny all from any to 212.119.208.0/16
add 380 deny all from any to 195.239.51.0/16
add 390 deny all from any to 62.105.140.0/16
все нормально, никого в однокласников не пускает.
хочу открыть однокласников для одного айпи:
add 313 allow all from 192.168.20.12 to 81.177.141.0/16
add 314 allow all from 192.168.20.12 to 195.222.187.0/16
add 315 allow all from 192.168.20.12 to 212.119.208.0/16
add 316 allow all from 192.168.20.12 to 195.239.51.0/16
add 317 allow all from 192.168.20.12 to 62.105.140.0/16
не пускает. в чем проблема? правила allow расположил выше правил deny.
firewall - ipfw.

Содержание

allow и deny ,DenSha, 08:57 , 30-Июл-09
- allow и deny ,Add, 13:37 , 30-Июл-09
  - allow и deny ,DenSha, 15:10 , 30-Июл-09
    - allow и deny ,Add, 16:35 , 30-Июл-09
      - allow и deny ,Add, 08:03 , 31-Июл-09
        
        allow и deny ,DenSha, 09:10 , 31-Июл-09
        
        allow и deny ,Add, 09:47 , 31-Июл-09
        
        allow и deny ,DenSha, 11:08 , 31-Июл-09
        
        allow и deny ,Add, 13:48 , 31-Июл-09
        
        allow и deny ,raider, 20:45 , 05-Сен-09

Сообщения в этом обсуждении

"allow и deny "
Отправлено DenSha , 30-Июл-09 08:57

>блокирую одноклассников вот этими правилами:
>все нормально, никого в однокласников не пускает.
>хочу открыть однокласников для одного айпи:
>не пускает. в чем проблема? правила allow расположил выше правил deny.
>firewall - ipfw.
Под какие правила подпадает обратный траффик ("to all" и "to 192.168.20.12")? Под последнее умолчальное - "65535 deny all from any to any"?

"allow и deny "
Отправлено Add , 30-Июл-09 13:37

>Под какие правила подпадает обратный траффик ("to all" и "to 192.168.20.12")? Под
>последнее умолчальное - "65535 deny all from any to any"?
такого (65535 deny all from any to any) правила не вписывал.

"allow и deny "
Отправлено DenSha , 30-Июл-09 15:10

>>Под какие правила подпадает обратный траффик ("to all" и "to 192.168.20.12")? Под
>>последнее умолчальное - "65535 deny all from any to any"?
>
>такого (65535 deny all from any to any) правила не вписывал.
Правило 65535 что содержит? Оно всегда что-нибудь содержит...

"allow и deny "
Отправлено Add , 30-Июл-09 16:35

>Правило 65535 что содержит? Оно всегда что-нибудь содержит...
такого правила нет.
если его прописать с allow from any to any то будут работать те allow?
или наоборот deny from any to any надо?...

"allow и deny "
Отправлено Add , 31-Июл-09 08:03

>
>>Правило 65535 что содержит? Оно всегда что-нибудь содержит...
>
запустил ipfw list
правило 65535 allow ip from any to any

"allow и deny "
Отправлено DenSha , 31-Июл-09 09:10

>>
>>>Правило 65535 что содержит? Оно всегда что-нибудь содержит...
>>
>
>запустил ipfw list
>правило 65535 allow ip from any to any
Кстати, 192.168.20.12 до одноклассников не достучится в любом случае. Т.к. из серого диапазона. В интернет, небось, все ходят через нат или прокси? В любом случае на выходе шлюза получаем пакет с исходящим адресом внешнего интерфейса шлюза и успешно режем его правилами 350-390...

"allow и deny "
Отправлено Add , 31-Июл-09 09:47

>Кстати, 192.168.20.12 до одноклассников не достучится в любом случае. Т.к. из серого
>диапазона. В интернет, небось, все ходят через нат или прокси? В
>любом случае на выходе шлюза получаем пакет с исходящим адресом внешнего
>интерфейса шлюза и успешно режем его правилами 350-390...
да, через нат.
если открывать так всем.
спасибо

"allow и deny "
Отправлено DenSha , 31-Июл-09 11:08

>>Кстати, 192.168.20.12 до одноклассников не достучится в любом случае. Т.к. из серого
>>диапазона. В интернет, небось, все ходят через нат или прокси? В
>>любом случае на выходе шлюза получаем пакет с исходящим адресом внешнего
>>интерфейса шлюза и успешно режем его правилами 350-390...
>
>да, через нат.
>если открывать так всем.
>спасибо
Да нет, просто 350-390 правила переделать c "deny from any" на "deny from 192.168.20.0/24"...

"allow и deny "
Отправлено Add , 31-Июл-09 13:48

>Да нет, просто 350-390 правила переделать c "deny from any" на "deny
>from 192.168.20.0/24"...
еще раз спасибо. все работает

"allow и deny "
Отправлено raider , 05-Сен-09 20:45

Думаю проблема в том, что есть НАТ. Если бы не было НАТа, то можно правило работало бы. А так в случае ната после трансляции под deny from any ваше правило не попадает для необходимого хоста, но попадает под запрет правило после трансляции - IP внешнего интерфейса блокируется.
Выходом является или уточнение в правилах ч-з какой интерфейс течет трафик, с использованием via $interface или выше этих правил разрешить исходящий трафик на внешнем интерфейсе с реального IP.
PS: а что делать с анонимными прокси-серверами? Ведь одноклассников можно смотреть и таким образом... Думаю я, что эти все блокирования это или мания величия админа, или тупость руководства, если думают, что в случае запрета сайтов типа Вконтакте или Одноклассники повысят работу офисного планктона... Платить людям надо и выгонять тунеядцев. А фильтровать только необходимый и ненужный/опасный трафик.
---
Удачи.