форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"и снова в 548 раз вопрос по IPFW "
Сообщение от snirr on 05-Дек-03, 10:30  (MSK)
Плз не пинайте меня сильно. Я знаю что вопросы по IPFW поднимаются тут достаточно часто. И прежде чем постить я долго искал во сайту и форуму нужную инфу. Часть нашел, но вопросы остались... --------------------------------- есть 2 машины на freebsd 4.7 1 машина proxy Squid через нее все ходят в Инет по http 2 машина с Firewall на Firewall я открыл ДЛЯ ВСЕХ! - Http - POP3 - SMTP - DNS в общем все работает НО на проксе куча ограничений на скачивание видео и проч. + SquidGuard  с банами порнушных сацтов, рекламы и проч. теперь на Firewall мне надо запретить ВСЕМ ходить через http и разрешить ходить только проксе. Потому как находятся хитропопые которые так и норовят отрубить проксю в браузере и лезть в Инет напрямую и качать чего попало. СОБССНО ВОПРОС: Как сделать доступ только одному компьютеру с ip 10.0.0.4 Инет а всех остальных форвардить на проксю если они лезуть напрямую???? Вот мой скрипт Firewall с правилами: #!/bin/sh    ipfw="/sbin/ipfw -q"    ournet="10.0.0.1/24"    uprefix="10.0.0"    ifout="rl0"    ifuser="rl1" ${ipfw} flush ${ipfw} add 100 divert natd all from any to any via ${ifout} #- -# включаю дайверт натд ${ipfw} add 110 allow all from any to any via ${ifuser}#- -# Всех пускать на внутренний интрефейс ${ipfw} add 111 allow all from any to any via ${ifout} #- -# Все ходить куда угодно по внешнему интерфейсу !!!От Этой строчки я пытаюсь избавиться в принципе ${ipfw} add 120 allow udp from any to any 53 #- -# всем ходить в ДНС туда ${ipfw} add 130 allow udp from any 53 to any #- -# и обратно #----------------------------------------------------------------------- # Вот этими четырмя правилами я пытаюсь дать доступ КОНКРЕТНО прокси серверу # ${ipfw} add 140 allow ip from ${uprefix}.4 to any via ${ifuser} ${ipfw} add 140 allow ip from any to ${uprefix}.4 via ${ifuser} ${ipfw} add 145 allow ip from ${uprefix}.4 to any via ${ifout} ${ipfw} add 145 allow ip from any to ${uprefix}.4 via ${ifout} # #----------------------------------------------------------------------- ${ipfw} add 160 allow tcp from any to any 25 #- -# Всем ходить по smtp туда ${ipfw} add 170 allow tcp from any 25 to any #- -# И обратно ${ipfw} add 180 allow all from any to any 110 #- -# Всем ходить по pop3 туда ${ipfw} add 180 allow all from any 110 to any #- -# И обратно ${ipfw} add 120 fwd 10.0.0.4,3128 tcp from ${ournet} to any http,ftp out via ${ifout} #- -# Типа форвардинг на проксю если лезет напрямую ${ipfw} add 65535 allow ip from any to any - - - - - - - - - - - - - - - - - - - - - - - - - - Подскажите , если не трудно, где я напортачил?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "и снова в 548 раз вопрос по IPFW "
Сообщение от Cheeto_McMourrell on 05-Дек-03, 10:48  (MSK)
Форвардинг на проксю у вас неправильно сделан. Поищите как настраивается transparent proxy. Кроме того, ftp именно так на прокси вы не завернете. У вас все правила allow - поэтому и ходят все как хотят. Вы вместо форвардинга запретите прямые соединения - так вам будет проще.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "и снова в 548 раз вопрос по IPFW "
	Сообщение от snirr on 05-Дек-03, 10:54  (MSK)
	>Форвардинг на проксю у вас неправильно сделан. Поищите как настраивается transparent proxy. transparent proxy - на какой машине? с firewall'ом? или там где он уже стоит? Зачем? прокся настроена и работает норамльно >Кроме того, ftp именно так на прокси вы не завернете. бог с ним с ftp, нужда в нем небольшая, на проксе открою доступ и пропишу проксю юзеру >У вас все правила allow - поэтому и ходят все как хотят. >Вы вместо форвардинга запретите прямые соединения - так вам будет проще. Так я и хочу запретить прямое соединение по http! :-)) ГЛАВНОЕ: открыть доступ по http/https ЕДИНСТВЕННОМУ компу - проксе с ip 10.0.0.4
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "и снова в 548 раз вопрос по IPFW "
	Сообщение от Cheeto_McMourrell on 05-Дек-03, 11:05  (MSK)
	>>Форвардинг на проксю у вас неправильно сделан. Поищите как настраивается transparent proxy. >transparent proxy - на какой машине? с firewall'ом? или там где он >уже стоит? Зачем? прокся настроена и работает норамльно Proxy может быть и там и там. Но требуется специфическая настройка >Так я и хочу запретить прямое соединение по http! :-)) >ГЛАВНОЕ: открыть доступ по http/https ЕДИНСТВЕННОМУ компу - проксе с ip 10.0.0.4 Ну так и запретите. Если rl1 у вас смотрит в сторону юзеров, то add allow ip from 10.0.0.4 to any in via rl1 add deny tcp from any to any 80 in via rl1 add deny tcp from any to any 21 in via rl1 или запретите вообще все, кроме нужного
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "и снова в 548 раз вопрос по IPFW "
	Сообщение от snirr on 05-Дек-03, 11:26  (MSK)
	>>>Форвардинг на проксю у вас неправильно сделан. Поищите как настраивается transparent proxy. >>transparent proxy - на какой машине? с firewall'ом? или там где он >>уже стоит? Зачем? прокся настроена и работает норамльно > Proxy может быть и там и там. Но требуется специфическая настройка > > >>Так я и хочу запретить прямое соединение по http! :-)) >>ГЛАВНОЕ: открыть доступ по http/https ЕДИНСТВЕННОМУ компу - проксе с ip 10.0.0.4 > Ну так и запретите. Если rl1 у вас смотрит в сторону >юзеров, то >add allow ip from 10.0.0.4 to any in via rl1 >add deny tcp from any to any 80 in via rl1 >add deny tcp from any to any 21 in via rl1 хм... я так понял что этими правилами я запрещаю обращение юзеров к внутреннему интерфейсу по 80 и 21 порту убираю правило ${ipfw} add 110 allow all from any to any via ${ifuser}#- -# Всех пускать на внутренний интрефейс а правило {ipfw} add 111 allow all from any to any via ${ifout} #- -# Все ходить куда угодно по внешнему интерфейсу не трогаю??? а почему ...in via rl1? ... не работает не пускает никого никуда :-(((( PS при тестировании эти правила поставил сразу после divert natd add allow ip from 10.0.0.4 to any in via rl1 add deny tcp from any to any 80 in via rl1 add deny tcp from any to any 21 in via rl1 да..если нетрудно:-) подскажите где ipfw логи пишет (такая опция включена)в rc.conf и еще, ядро я собрал шоб по умолчанию последним правилом подcтавлял deny ip from any to any там я неправильно написал в первом месседже
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "и снова в 548 раз вопрос по IPFW "
	Сообщение от red on 05-Дек-03, 11:51  (MSK)
	Правильно советуют. Сделайте прозрачную проксю, остальное запретить, доки есть на squid.opennet.ru. via означает не К интерфейсу а ЧЕРЕЗ интерфейс. А кудо идет не важено. Т.О. надо типа этого allow all from 10.0.0.4 to any fwd tcp 127.0.0.1,3128 from any to any 80 via $_internal_if deny tcp from any to any 80 via $internal_if проходящий траффик без прокси будет кидаться на проксю. Прокся должны быть прозрачной, только хттп будет так работать, и могут быть проблемы с контролем траффика средствами прокси. либо просто все запретить и оставитьтолько проксю, если другие протоколы не нужны. Кому надо - включат использование прокси. так наверное даже лучше
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "и снова в 548 раз вопрос по IPFW "
	Сообщение от snirr on 05-Дек-03, 12:20  (MSK)
	>Правильно советуют. Сделайте прозрачную проксю, остальное запретить, доки есть на squid.opennet.ru. про транспарент я читал - будет время прикручу на данном этапе решил отказаться пока от форвардинга >via означает не К интерфейсу а ЧЕРЕЗ интерфейс. А кудо идет не >важено. Т.О. >надо типа этого > >allow all from 10.0.0.4 to any >fwd tcp 127.0.0.1,3128 from any to any 80 via $_internal_if >deny tcp from any to any 80 via $internal_if > >проходящий траффик без прокси будет кидаться на проксю. Прокся должны быть прозрачной, >только хттп будет так работать, и могут быть проблемы с контролем >траффика средствами прокси. > >либо просто все запретить и оставитьтолько проксю, если другие протоколы не нужны. >Кому надо - включат использование прокси. так наверное даже лучше вот вот и я так решил но не пашет, не хочет никого пускать в Инет вот правила и их порядок. комментарю 115 оставляю 111 непускает комментарю 111 оставляю 115 все ок ....млин, ну почему он не хочет пускать ТОЛЬКО 1 машину??????????? #!/bin/sh    ipfw="/sbin/ipfw -q"    ournet="10.0.0.1/24"    uprefix="10.0.0"    ifout="rl0"    ifuser="rl1" ${ipfw} flush ${ipfw} add 100 divert natd all from any to any via ${ifout} ${ipfw} add 110 allow all from any to any via ${ifuser} ${ipfw} add 111 allow all from 10.0.0.4 to any # ${ipfw} add 115 allow all from any to any via ${ifout} ${ipfw} add 120 allow udp from any to any 53 ${ipfw} add 130 allow udp from any 53 to any ${ipfw} add 160 allow tcp from any to any 25 ${ipfw} add 170 allow tcp from any 25 to any ${ipfw} add 180 allow all from any to any 110 ${ipfw} add 180 allow all from any 110 to any ${ipfw} add 65535 deny all from any to any - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -   ipfw show показывает что идут пакеты по 2м первым правилам, по почтовым pop smtp и ВСЕ! ну + еще растет колво deny в последнем правиле.....:-(((((((( ЛЮДИ!!! Плиз посоветуйте че-нить дельное... а?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "и снова в 548 раз вопрос по IPFW "
	Сообщение от snirr on 05-Дек-03, 14:01  (MSK)
	>Правильно советуют. Сделайте прозрачную проксю, остальное запретить, доки есть на squid.opennet.ru. про транспарент я читал - будет время прикручу на данном этапе решил отказаться пока от форвардинга >via означает не К интерфейсу а ЧЕРЕЗ интерфейс. А кудо идет не >важено. Т.О. >надо типа этого > >allow all from 10.0.0.4 to any >fwd tcp 127.0.0.1,3128 from any to any 80 via $_internal_if >deny tcp from any to any 80 via $internal_if > >проходящий траффик без прокси будет кидаться на проксю. Прокся должны быть прозрачной, >только хттп будет так работать, и могут быть проблемы с контролем >траффика средствами прокси. > >либо просто все запретить и оставитьтолько проксю, если другие протоколы не нужны. >Кому надо - включат использование прокси. так наверное даже лучше вот вот и я так решил но не пашет, не хочет никого пускать в Инет вот правила и их порядок. комментарю 115 оставляю 111 непускает комментарю 111 оставляю 115 все ок ....млин, ну почему он не хочет пускать ТОЛЬКО 1 машину??????????? #!/bin/sh    ipfw="/sbin/ipfw -q"    ournet="10.0.0.1/24"    uprefix="10.0.0"    ifout="rl0"    ifuser="rl1" ${ipfw} flush ${ipfw} add 100 divert natd all from any to any via ${ifout} ${ipfw} add 110 allow all from any to any via ${ifuser} ${ipfw} add 111 allow all from 10.0.0.4 to any # ${ipfw} add 115 allow all from any to any via ${ifout} ${ipfw} add 120 allow udp from any to any 53 ${ipfw} add 130 allow udp from any 53 to any ${ipfw} add 160 allow tcp from any to any 25 ${ipfw} add 170 allow tcp from any 25 to any ${ipfw} add 180 allow all from any to any 110 ${ipfw} add 180 allow all from any 110 to any ${ipfw} add 65535 deny all from any to any - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -   ipfw show показывает что идут пакеты по 2м первым правилам, по почтовым pop smtp и ВСЕ! ну + еще растет колво deny в последнем правиле.....:-(((((((( ЛЮДИ!!! Плиз посоветуйте че-нить дельное... а?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "и снова в 548 раз вопрос по IPFW "
	Сообщение от A Clockwork Orange on 05-Дек-03, 14:18  (MSK)
	>но не пашет, не хочет никого пускать в Инет >вот правила и их порядок. комментарю 115 оставляю 111 непускает >комментарю 111 оставляю 115 все ок Ну да а ты что хотел? ${ipfw} add 111 allow all from 10.0.0.4 to any А где для пакетов в обратную сторону? ${ipfw} add 111 allow all from any to 10.0.0.4 # ${ipfw} add 115 allow all from any to any via ${ifout} Ну тут все открыто зашибись Если 115 правило оставить то все правила что ниже не будут работать. 1. Для доступа в инет напрямую делай натд только для одной машины ${ipfw} add 100 divert natd all from 10.0.0.01 to any  out via $oif ${ipfw} add 100 divert natd all from any to $oip in via $oif 2. ipfw add allow ip from 10.0.0.1 to any in via iif ipfw add allow tcp from 10.0.0.0/24 to any $ip_proxy 3128 in via iif ... ipfw add deny ip from any to any Разрешить всем tcp только на прокси 3128 (или подобное). Хотят клиенты попастьв инет пусть ходят через прокси иначе никак, примерно так
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "и снова в 548 раз вопрос по IPFW "
	Сообщение от snirr on 05-Дек-03, 14:31  (MSK)
	>${ipfw} add 100 divert natd all from any to $oip in via >$oif Ща попробую, тока что такое $oip ? $oif - это я понял: типа внешний интерфейс
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "и снова в 548 раз вопрос по IPFW "
	Сообщение от A Clockwork Orange on 05-Дек-03, 14:50  (MSK)
	oip внешний адрес, адрес внешнего интерфейса
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "и снова в 548 раз вопрос по IPFW "
	Сообщение от snirr on 05-Дек-03, 20:51  (MSK)
	>oip внешний адрес, адрес внешнего интерфейса бл*ть ни х*я не хочет работать ... о, где вы монстры файрвола... как мне вас не хватает.... ПОМОГИИИИИИИИИИИИИИИИИИИИИИИИИИИте!!!!!!!!!!!!!!!!!!!!!!!!!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "и снова в 548 раз вопрос по IPFW "
	Сообщение от Cheeto_McMourrell on 05-Дек-03, 21:50  (MSK)
	>>oip внешний адрес, адрес внешнего интерфейса > >бл*ть ни х*я не хочет работать ... > >о, где вы монстры файрвола... как мне вас не хватает.... > >ПОМОГИИИИИИИИИИИИИИИИИИИИИИИИИИИте!!!!!!!!!!!!!!!!!!!!!!!!! Послушайте товарищ! Не надо здесь так громко вопить, вы уже и так всех распугали. Ваша задача гроша не стоит. Вместо того, чтобы кричать сдесь и вопрошать к публике почитали бы маны. Там даже картинка есть. Потратье один драгоценный вечер и разберитесь во всем самостоятельно. Если маны не привели к озарению - поищите что-нибудь в интернете, примеров полно. А потом снова почитайте маны. Причем внимательно читайте, а не как тут один товарищ при помощи grep. Вам надо понять принцип, а не искать готового решения от доброго дядечки. Вот такая вот вам моя помощь. >и еще, ядро я собрал шоб по умолчанию последним правилом подcтавлял deny >ip from any to any >там я неправильно написал в первом месседже Если вы пока не можете разобраться с default to deny, сделайте последним правилом allow ip from any to any. До него запретите только то, что вам не нужно. Примерно как я раньше писал.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.