https://www.opennet.ru/openforum/vsluhforumID1/79709.html Всем привет!<br>Прошу не кидать помидорами ибо я тока начинаю ковыряться с фаерволами! :)<br>Вообщем достался серв с FreeBSD6.2 на котором выход в инет пользователей осуществлялся пробросом через NAT,поставил Squid,через него работает всё норм,оно и понятно,терь надо всех товарищей завернутых через NAT фильтравать ipfw,есть rc.firewall со старой работки, который я перелопатил чуток под эту сетку,там тож был серв на фрюшке 6.2!<br>Содержиние следующее:<br><br>#!/bin/sh<br><br>fwcmd="/sbin/ipfw"<br>office="xxx.xxx.xxx.xxx/24"<br>#наружусмотрящий<br>oif="rl1"<br>&#8470;внутрьсмотрящий<br>iif="rl0"<br><br><br>${fwcmd} -f flush<br>${fwcmd} add allow tcp from any to me 22<br>${fwcmd} add allow tcp from me 22 to any<br>${fwcmd} add allow ip from any to any via ${iif}<br>${fwcmd} add allow ip from any to any via lo0<br>${fwcmd} add deny log ip from any to any not antispoof in<br>${fwcmd} add fwd 127.0.0.1,3128 tcp from ${office} to any http,https,ftp<br>${fwcmd} add deny icmp from any to any in icmptype 5,9,13,14,15,16,17<br>${fwcmd} add divert natd ip from any https://www.opennet.ru/openforum/vsluhforumID1/79709.html#13 Thu, 10 Apr 2008 19:35:31 GMT на всякий случай (для дальнейшей работы со скриптами);<br>советую во всех скриптах будь то *.sh *.php *.pl<br>в консоле выяснить где лежат операторы выполнения скриптов<br>/bin/sh<br>/usr/local/bin/php<br>/usr/bin/perl<br>(команда whereis * очень полезна)<br>и в шапку добавлять всегда <br>#!/*<br>где * выполняющий оператор.<br>ТАК ЖЕ !!!<br>при записях ifconfig , route , ipfw в исполняемых скриптах обязательно указывать ПОЛНЫЙ путь к оператору :<br>/sbin/ipfw add 1 allow ip from any to any<br>/sbin/route add default 127.0.0.1<br><br> https://www.opennet.ru/openforum/vsluhforumID1/79709.html#12 Thu, 10 Apr 2008 13:30:00 GMT ну и зря ) а я с неё управляю своими серваками ) зачем дома компобандуру иметь? <br> https://www.opennet.ru/openforum/vsluhforumID1/79709.html#11 Thu, 10 Apr 2008 01:20:49 GMT &gt;[оверквотинг удален]<br>&gt;&gt;поставленный вопрос вы с гордостью смогли ответить "Читайте мануалы!"? Нет,как раз <br>&gt;&gt;для того чтобы решать поставленные задачи и отвечать на вопросы! <br>&gt;&gt;Согласен что их читать надо! Но когда на это времени нет, можно <br>&gt;&gt;и подсказать а потом что нить ляпнуть типа,прочитайте,будет полезным! :) И <br>&gt;&gt;всё! <br>&gt;<br>&gt; Могу сразу "нарисовать картину". Вы не читаете, мы не отвечаем. Через <br>&gt;некоторое время Вам нужно будет или читать, или сменить сферу деятельности <br>&gt;и выкинуть компьютер, и купить PlayStation. <br>&gt;<br><br>Ух как гневно! :)<br>Переписал файлик вручную,всё заработало!<br>ПЫС:Консоли терпеть не могу! :)))))<br><br> https://www.opennet.ru/openforum/vsluhforumID1/79709.html#10 Thu, 10 Apr 2008 00:57:23 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;<br>&gt;Мдааа...дельный совет... <br>&gt;Попросил же не посылать на манулы... <br>&gt;И зачем интересно вообще такие форумы создают по вашему? Чтобы на каждый <br>&gt;поставленный вопрос вы с гордостью смогли ответить "Читайте мануалы!"? Нет,как раз <br>&gt;для того чтобы решать поставленные задачи и отвечать на вопросы! <br>&gt;Согласен что их читать надо! Но когда на это времени нет, можно <br>&gt;и подсказать а потом что нить ляпнуть типа,прочитайте,будет полезным! :) И <br>&gt;всё! <br><br> Могу сразу "нарисовать картину". Вы не читаете, мы не отвечаем. Через некоторое время Вам нужно будет или читать, или сменить сферу деятельности и выкинуть компьютер, и купить PlayStation.<br><br> <br> <br><br> <br> <br><br> https://www.opennet.ru/openforum/vsluhforumID1/79709.html#9 Thu, 10 Apr 2008 00:19:43 GMT &gt;&gt;Кстати! Только что проверил если вручную забивать правила то они встают как <br>&gt;&gt;надо! <br>&gt;&gt;А через исполняемый файлик такую бороду пишут! В чем мож быть дело? <br>&gt;&gt;<br>&gt;<br>&gt; В не знании Вами предмета. Изучайте что такое IPFW, читайте <br>&gt;документацию, смотрите <br>&gt;примеры конфигов которые есть в системе. Гуглите и смотрите примеры настроек. Читайте <br>&gt;статьи по этой теме. После таких действий 99% вопросов отпадают сами. <br>&gt;<br><br>Мдааа...дельный совет...<br>Попросил же не посылать на манулы...<br>И зачем интересно вообще такие форумы создают по вашему? Чтобы на каждый поставленный вопрос вы с гордостью смогли ответить "Читайте мануалы!"? Нет,как раз для того чтобы решать поставленные задачи и отвечать на вопросы!<br>Согласен что их читать надо! Но когда на это времени нет, можно и подсказать а потом что нить ляпнуть типа,прочитайте,будет полезным! :) И всё!<br> https://www.opennet.ru/openforum/vsluhforumID1/79709.html#8 Wed, 09 Apr 2008 09:59:30 GMT &gt;Кстати! Только что проверил если вручную забивать правила то они встают как <br>&gt;надо! <br>&gt;А через исполняемый файлик такую бороду пишут! В чем мож быть дело? <br>&gt;<br><br> В не знании Вами предмета. Изучайте что такое IPFW, читайте документацию, смотрите<br>примеры конфигов которые есть в системе. Гуглите и смотрите примеры настроек. Читайте статьи по этой теме. После таких действий 99% вопросов отпадают сами.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/79709.html#7 Wed, 09 Apr 2008 09:43:24 GMT Кстати! Только что проверил если вручную забивать правила то они встают как надо!<br>А через исполняемый файлик такую бороду пишут! В чем мож быть дело?<br> https://www.opennet.ru/openforum/vsluhforumID1/79709.html#6 Wed, 09 Apr 2008 09:26:21 GMT Попробовал вообщем!!!<br>Правило с FWD сработало а keep-state всё равно не прокатывает! Может всё же кто знает?<br>Если я склепаю те же правила но без keep-state чем это чЭревато? :)<br>И подскажите плиз,какое правило нужно дабавить чтобы юзеры никак не могли ходить в инет обходя прокси? Тока через него чтобы ходили! <br> https://www.opennet.ru/openforum/vsluhforumID1/79709.html#5 Wed, 09 Apr 2008 00:10:05 GMT Всем пасиба буду сёдня пробовать!!!<br>