URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4890
[ Назад ]

Исходное сообщение
"IPWF нужно работать с VPN сервером в интернете"
Отправлено iwizzy , 10-Июл-11 04:33

Здравствуйте подскажите пож-то срочно нужно но нет времени читать мануал. Обязуюсь выучить наизусть после проделанной работе!
Есть сервер на FreeBSD дальше наша корпоративная сеть
Краткая схема:
Интернет <---> FreeBSD <---> Lan Corporativ 10.0.1.*
Клиенты в сети получают интернет через Squid все хорошо, но некоторым пришлось соединится к VPN серверам в интернете. Естественно через Squid не получается. Даю им полную "халяву"
в /etc/ipfw.conf
ipfw add 41550 allow ip from 10.0.1.17 to any via xl0 #User VPN
ipfw add 41560 allow ip from any to 10.0.1.17 via xl0 #User VPN
Все работают отлично. Работают там на удаленном сервере через FreeBSD. Но мне вот не спится, что я им заодно и доступ в интернет дал из-за этого VPN.
Как запретить все, но оставить им соединятся с удаленным сервером в интернете?
Спасибо за помощь! кто откликнулся.

Содержание

IPWF нужно работать с VPN сервером в интернете,Aquarius, 10:34 , 10-Июл-11
IPWF нужно работать с VPN сервером в интернете,михалыч, 11:37 , 10-Июл-11
- IPWF нужно работать с VPN сервером в интернете,Aquarius, 14:44 , 10-Июл-11
  - IPWF нужно работать с VPN сервером в интернете,iwizzy, 14:53 , 10-Июл-11
    - IPWF нужно работать с VPN сервером в интернете,Aquarius, 16:20 , 10-Июл-11
      - IPWF нужно работать с VPN сервером в интернете,iwizzy, 16:22 , 10-Июл-11
        
        IPWF нужно работать с VPN сервером в интернете,Aquarius, 16:33 , 10-Июл-11
        
        IPWF нужно работать с VPN сервером в интернете,iwizzy, 16:35 , 10-Июл-11
        
        IPWF нужно работать с VPN сервером в интернете,михалыч, 16:50 , 10-Июл-11
        
        IPWF нужно работать с VPN сервером в интернете,iwizzy, 16:53 , 10-Июл-11
        
        IPWF нужно работать с VPN сервером в интернете,Aquarius, 17:02 , 10-Июл-11
        
        IPWF нужно работать с VPN сервером в интернете,iwizzy, 17:03 , 10-Июл-11
        
        IPWF нужно работать с VPN сервером в интернете,Aquarius, 22:01 , 10-Июл-11
        
        IPWF нужно работать с VPN сервером в интернете,Dmitry, 14:07 , 11-Июл-11
        
        IPWF нужно работать с VPN сервером в интернете,михалыч, 13:04 , 12-Июл-11
        
        IPWF нужно работать с VPN сервером в интернете,Dmitry, 14:55 , 12-Июл-11

Сообщения в этом обсуждении

"IPWF нужно работать с VPN сервером в интернете"
Отправлено Aquarius , 10-Июл-11 10:34

> Здравствуйте подскажите пож-то срочно нужно но нет времени читать мануал. Обязуюсь выучить
> наизусть после проделанной работе!
сначала прочитай руководство по задаванию вопросов на форумах и в списках рассылки
>[оверквотинг удален]
> в /etc/ipfw.conf
> ipfw add 41550 allow ip from 10.0.1.17 to any via xl0
>  #User VPN
> ipfw add 41560 allow ip from any to 10.0.1.17 via xl0
>  #User VPN
> Все работают отлично. Работают там на удаленном сервере через FreeBSD. Но мне
> вот не спится, что я им заодно и доступ в интернет
> дал из-за этого VPN.
> Как запретить все, но оставить им соединятся с удаленным сервером в интернете?
> Спасибо за помощь! кто откликнулся.
а что за VPN?

"IPWF нужно работать с VPN сервером в интернете"
Отправлено михалыч , 10-Июл-11 11:37

> Клиенты в сети получают интернет через Squid все хорошо, но некоторым пришлось
> соединится к VPN серверам в интернете. Естественно через Squid не получается.
С какого перепугу это "естественно"?
Как раз таки нет.
В огороде бузина, а в Киеве - дядька.
Причем здесь сквид и VPN?
Одно другому не должно мешать.
Или вы что, завернули на сквид вообще _ВЕСЬ_ трафик,
не только предназначенный 80 порту?
> Даю им полную "халяву"
> в /etc/ipfw.conf
> ipfw add 41550 allow ip from 10.0.1.17 to any via xl0
> ipfw add 41560 allow ip from any to 10.0.1.17 via xl0
> Все работают отлично. Работают там на удаленном сервере через FreeBSD. Но мне
> вот не спится, что я им заодно и доступ в интернет
> дал из-за этого VPN.
Ну таким образом, конечно, разрешили все. Хоть во двор, хоть в коридор.. :))
> Как запретить все, но оставить им соединятся с удаленным сервером в интернете?
У VPN серверов IP адрес есть?
Есть. Ну так и разрешите вначале тем кому нужно коннект к этим IP,
а после этого зарубайте все остальное, чего проще-то!?

"IPWF нужно работать с VPN сервером в интернете"
Отправлено Aquarius , 10-Июл-11 14:44

>> Клиенты в сети получают интернет через Squid все хорошо, но некоторым пришлось
>> соединится к VPN серверам в интернете. Естественно через Squid не получается.
> С какого перепугу это "естественно"?
> Как раз таки нет.
> В огороде бузина, а в Киеве - дядька.
> Причем здесь сквид и VPN?
> Одно другому не должно мешать.
> Или вы что, завернули на сквид вообще _ВЕСЬ_ трафик,
> не только предназначенный 80 порту?
нука-нука! расскажите-ка нам, как вы через squid что-то кроме tcp пропускать будете
>[оверквотинг удален]
>> Все работают отлично. Работают там на удаленном сервере через FreeBSD. Но мне
>> вот не спится, что я им заодно и доступ в интернет
>> дал из-за этого VPN.
> Ну таким образом, конечно, разрешили все. Хоть во двор, хоть в коридор..
> :))
>> Как запретить все, но оставить им соединятся с удаленным сервером в интернете?
> У VPN серверов IP адрес есть?
> Есть. Ну так и разрешите вначале тем кому нужно коннект к этим
> IP,
> а после этого зарубайте все остальное, чего проще-то!?

"IPWF нужно работать с VPN сервером в интернете"
Отправлено iwizzy , 10-Июл-11 14:53

Я не хочу трогать squid он работает на 3128 порту и пускай себе работает.
Хочу просто определенным машинам дать просто возможно подключатся к серверу удаленному в интернете через впн, не затрагивая squid и не раздавая им интернета. Интернет им не нужен.
Я знаю что рыться надо где-то ipfw. Может кто правила подскажет хотя бы.
Сервер ВПН - Интернет - фрибсд - юзер 1 (настроен ВПН к подключению к сервверу)
а то этими правила им разрешается все
в /etc/ipfw.conf
ipfw add 41550 allow ip from 10.0.1.17 to any via xl0 #User VPN
ipfw add 41560 allow ip from any to 10.0.1.17 via xl0 #User VPN

"IPWF нужно работать с VPN сервером в интернете"
Отправлено Aquarius , 10-Июл-11 16:20

>[оверквотинг удален]
> Я знаю что рыться надо где-то ipfw. Может кто правила подскажет хотя
> бы.
> Сервер ВПН - Интернет - фрибсд - юзер 1 (настроен ВПН к
> подключению к сервверу)
> а то этими правила им разрешается все
> в /etc/ipfw.conf
> ipfw add 41550 allow ip from 10.0.1.17 to any via xl0
>  #User VPN
> ipfw add 41560 allow ip from any to 10.0.1.17 via xl0
>  #User VPN
а на вопрос можете ответить?
P.S. за то время, что вы время тянете, могли бы все уже выучить, разобраться и настроить

"IPWF нужно работать с VPN сервером в интернете"
Отправлено iwizzy , 10-Июл-11 16:22

>[оверквотинг удален]
>> бы.
>> Сервер ВПН - Интернет - фрибсд - юзер 1 (настроен ВПН к
>> подключению к сервверу)
>> а то этими правила им разрешается все
>> в /etc/ipfw.conf
> а на вопрос можете ответить?
>> ipfw add 41550 allow ip from 10.0.1.17 to any via xl0
>> #User VPN
>> ipfw add 41560 allow ip from any to 10.0.1.17 via xl0
>> #User VPN
Так клиенты работают со своим удаленным сервером их все устраивает, но хотелось бы закрыть им интернет, отставить только возможность подключаться к их впн серверу

"IPWF нужно работать с VPN сервером в интернете"
Отправлено Aquarius , 10-Июл-11 16:33

>[оверквотинг удален]
>>> а то этими правила им разрешается все
>>> в /etc/ipfw.conf
>> а на вопрос можете ответить?
>>> ipfw add 41550 allow ip from 10.0.1.17 to any via xl0
>>> #User VPN
>>> ipfw add 41560 allow ip from any to 10.0.1.17 via xl0
>>> #User VPN
> Так клиенты работают со своим удаленным сервером их все устраивает, но хотелось
> бы закрыть им интернет, отставить только возможность подключаться к их впн
> серверу
а ответ на вопрос где?

"IPWF нужно работать с VPN сервером в интернете"
Отправлено iwizzy , 10-Июл-11 16:35

>[оверквотинг удален]
>>>> в /etc/ipfw.conf
>>> а на вопрос можете ответить?
>>>> ipfw add 41550 allow ip from 10.0.1.17 to any via xl0
>>>> #User VPN
>>>> ipfw add 41560 allow ip from any to 10.0.1.17 via xl0
>>>> #User VPN
>> Так клиенты работают со своим удаленным сервером их все устраивает, но хотелось
>> бы закрыть им интернет, отставить только возможность подключаться к их впн
>> серверу
> а ответ на вопрос где?
На какой вопрос?
Я вообще-то ответ хочу получить

"IPWF нужно работать с VPN сервером в интернете"
Отправлено михалыч , 10-Июл-11 16:50

>[оверквотинг удален]
>>>>> ipfw add 41550 allow ip from 10.0.1.17 to any via xl0
>>>>> #User VPN
>>>>> ipfw add 41560 allow ip from any to 10.0.1.17 via xl0
>>>>> #User VPN
>>> Так клиенты работают со своим удаленным сервером их все устраивает, но хотелось
>>> бы закрыть им интернет, отставить только возможность подключаться к их впн
>>> серверу
>> а ответ на вопрос где?
> На какой вопрос?
> Я вообще-то ответ хочу получить
Гы-ы-ы..
И так ВПН-серверу принадлежит IP 1.2.3.4
Тогда пишем такую х-и-и-и-трую и архисложную конструкцию
ipfw add 41550 allow all from 1.2.3.4 to 10.0.1.17 via xl0
ipfw add 41560 allow all from 10.0.1.17 to 1.2.3.4 via xl0
ipfw add 41570 deny all from any to 10.0.1.17 via xl0
ipfw add 41580 deny all from 10.0.1.17 to any via xl0
Что там у вас выше правил 41550 и ниже 41560 (41580) история стыдливо умалчивает ))

"IPWF нужно работать с VPN сервером в интернете"
Отправлено iwizzy , 10-Июл-11 16:53

>[оверквотинг удален]
>> Я вообще-то ответ хочу получить
> Гы-ы-ы..
> И так ВПН-серверу принадлежит IP 1.2.3.4
> Тогда пишем такую х-и-и-и-трую и архисложную конструкцию
> ipfw add 41550 allow all from 1.2.3.4 to 10.0.1.17 via xl0
> ipfw add 41560 allow all from 10.0.1.17 to 1.2.3.4 via xl0
> ipfw add 41570 deny all from any to 10.0.1.17 via xl0
> ipfw add 41580 deny all from 10.0.1.17 to any via xl0
> Что там у вас выше правил 41550 и ниже 41560 (41580) история
> стыдливо умалчивает ))
Во! Михалыч свой человек попробую отпишусь пустило ли они приконектится к 1.2.3.4
Спасибо! Буду пробывать.

"IPWF нужно работать с VPN сервером в интернете"
Отправлено Aquarius , 10-Июл-11 17:02

>[оверквотинг удален]
>>>>> ipfw add 41550 allow ip from 10.0.1.17 to any via xl0
>>>>> #User VPN
>>>>> ipfw add 41560 allow ip from any to 10.0.1.17 via xl0
>>>>> #User VPN
>>> Так клиенты работают со своим удаленным сервером их все устраивает, но хотелось
>>> бы закрыть им интернет, отставить только возможность подключаться к их впн
>>> серверу
>> а ответ на вопрос где?
> На какой вопрос?
> Я вообще-то ответ хочу получить
прочитайте все с самого начала

"IPWF нужно работать с VPN сервером в интернете"
Отправлено iwizzy , 10-Июл-11 17:03

Да я уже 5 раз прочитал. Короче хорош флудить михалыч меня понял
> прочитайте все с самого начала

"IPWF нужно работать с VPN сервером в интернете"
Отправлено Aquarius , 10-Июл-11 22:01

> Да я уже 5 раз прочитал. Короче хорош флудить михалыч меня понял
>> прочитайте все с самого начала
ну тогда до свидания, а точнее, прощай!

"IPWF нужно работать с VPN сервером в интернете"
Отправлено Dmitry , 11-Июл-11 14:07

>> Да я уже 5 раз прочитал. Короче хорош флудить михалыч меня понял
>>> прочитайте все с самого начала
> ну тогда до свидания, а точнее, прощай!
Михалыч спасибо все получилось! Пошел учить IPFW

"IPWF нужно работать с VPN сервером в интернете"
Отправлено михалыч , 12-Июл-11 13:04

>>> Да я уже 5 раз прочитал. Короче хорош флудить михалыч меня понял
>>>> прочитайте все с самого начала
>> ну тогда до свидания, а точнее, прощай!
> Михалыч спасибо все получилось! Пошел учить IPFW
Вот -> http://house.hcn-strela.ru/BSDCert/BSDA-course/
Конкретнее по IPFW -> http://house.hcn-strela.ru/BSDCert/BSDA-course/apes01.html

"IPWF нужно работать с VPN сервером в интернете"
Отправлено Dmitry , 12-Июл-11 14:55

> Вот -> http://house.hcn-strela.ru/BSDCert/BSDA-course/
> Конкретнее по IPFW -> http://house.hcn-strela.ru/BSDCert/BSDA-course/apes01.html
О распечатаю буду на ночь читать
Спасибо еще раз!