форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Открытие 80-го порта для отдельных компьютеров в локалке"
Сообщение от WilkZ on 12-Ноя-02, 10:46  (MSK)
Салют всем, Вопрос от вполне себе "чайника" касательно настроек брандмаэура. Требуется - закрыть 80-й порт для пользователей локальной сети (нехай через прокси в Инет ходят), после чего наново открыть для нескольких машин прямой доступ в Инет. Поколдовал в /etc/rc.firewall, перезапустил брандмауэр, проверил на наличие новых правил: # ipfw -a list 00010     4     192 allow tcp from a.b.0.100 to any 80 out 00020   102    5663 deny tcp from a.b.0.0/24 to any 80 out ... ... a.b.0.0 здесь - наша локалка, a.b.0.100 - сотая машина в ней. На выходе имеем: 80-й порт намертво закрыт, но при этом правило 10 работать не хочет. Почему? Тип firewall'а, выставленный в rc.conf - simple. Я, конечно, понимаю, что написанное выше выглядит пародией на анекдот про подземный шум, но все-таки... TIA всем отозвавшимся, WilkZ
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Открытие 80-го порта для отдельных компьютеров в локалке"
Сообщение от LinaS on 12-Ноя-02, 11:01  (MSK)
>Салют всем, >Вопрос от вполне себе "чайника" касательно настроек брандмаэура. Требуется - закрыть 80-й >порт для пользователей локальной сети (нехай через прокси в Инет ходят), >после чего наново открыть для нескольких машин прямой доступ в Инет. >Поколдовал в /etc/rc.firewall, перезапустил брандмауэр, проверил на наличие новых правил: > ># ipfw -a list >00010     4     192 allow >tcp from a.b.0.100 to any 80 out раз счетчики увеличиваются, значит, правило работает... a.b.0.0 - что, реальный адрес? если нет, нужно поднимать NAT, инече не будет работать... >00020   102    5663 deny tcp from a.b.0.0/24 >to any 80 out >... ... > >a.b.0.0 здесь - наша локалка, a.b.0.100 - сотая машина в ней. На >выходе имеем: 80-й порт намертво закрыт, но при этом правило 10 >работать не хочет. Почему? Тип firewall'а, выставленный в rc.conf - simple. >Я, конечно, понимаю, что написанное выше выглядит пародией на анекдот про >подземный шум, но все-таки... > >TIA всем отозвавшимся, >WilkZ
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Открытие 80-го порта для отдельных компьютеров в локалке"
	Сообщение от WilkZ on 12-Ноя-02, 11:36  (MSK)
	>раз счетчики увеличиваются, значит, правило работает... Скорее, должно работать :) На самом деле загружаю браузер на том самом "сотом" компьютере, отключаю в настройках соединение через прокси-сервер, а в итоге система жизнерадостно сообщает мне свое "хренушки!" >a.b.0.0 - что, реальный адрес? Нет, разумеется. Адрес сети класса А для локального использования. Что же до NAT, то он  давно уж поднят и исправно работает:   ps -x | grep nat 171  ??  Ss     1:59.42 /sbin/natd -s -m -u -n cx0 Дополнительне комментарии?..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Открытие 80-го порта для отдельных компьютеров в локалке"
	Сообщение от LinaS on 12-Ноя-02, 15:42  (MSK)
	>>раз счетчики увеличиваются, значит, правило работает... > >Скорее, должно работать :) На самом деле загружаю браузер на том самом >"сотом" компьютере, отключаю в настройках соединение через прокси-сервер, а в итоге >система жизнерадостно сообщает мне свое "хренушки!" > >>a.b.0.0 - что, реальный адрес? > >Нет, разумеется. Адрес сети класса А для локального использования. Что же до >NAT, то он  давно уж поднят и исправно работает: > >ps -x | grep nat >171  ??  Ss     1:59.42 /sbin/natd -s >-m -u -n cx0 > >Дополнительне комментарии?.. правильно, нат может и поднят, только пакеты на 80 порт у тебя до него не доходят... 10 правилом разрешаешь, оно и уходит с не подмененным Ип адресом источника. вместо allow поставь skipto на номер правила с divert
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Открытие 80-го порта для отдельных компьютеров в локалке"
	Сообщение от WilkZ on 12-Ноя-02, 17:33  (MSK)
	>правильно, нат может и поднят, только пакеты на 80 порт у тебя >до него не доходят... >10 правилом разрешаешь, оно и уходит с не подмененным Ип адресом источника. >вместо allow поставь skipto на номер правила с divert Шайтан, однако... теперь все работает :) Знаешь, вот когда сработает твоя наводка на статью про vinum и в этой местности заработает RAID-массив, смело записывай себе в актив с десяток бутылок лягера и выезжай за ними в Киев. Тип-па гонорар за доходчивую и эффективную консультацию :)) Респекты!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: Открытие 80-го порта для отдельных компьютеров в локалке"
	Сообщение от LinaS on 12-Ноя-02, 17:40  (MSK)
	>>правильно, нат может и поднят, только пакеты на 80 порт у тебя >>до него не доходят... >>10 правилом разрешаешь, оно и уходит с не подмененным Ип адресом источника. >>вместо allow поставь skipto на номер правила с divert > >Шайтан, однако... теперь все работает :) Знаешь, вот когда сработает твоя наводка >на статью про vinum и в этой местности заработает RAID-массив, смело >записывай себе в актив с десяток бутылок лягера и выезжай за >ними в Киев. Тип-па гонорар за доходчивую и эффективную консультацию :)) > > >Респекты! про Киев я учту :)))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Открытие 80-го порта для отдельных компьютеров в локалке"
	Сообщение от noname on 12-Ноя-02, 13:46  (MSK)
	попробуй поменять местами 10 и 20 строки.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.