The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"ipfw"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"ipfw"
Сообщение от smartkz emailИскать по авторуВ закладки(ok) on 13-Июл-04, 14:33  (MSK)
Здравствуйте.
Подскажите как настроить правило чтоб IP 192.168.1.1 имел выход в инет только на сайт mail.ru ????
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

  • ipfw, jr, 14:53 , 13-Июл-04, (1)
    • ipfw, toor99, 14:58 , 13-Июл-04, (2)
      • ipfw, smartkz, 15:01 , 13-Июл-04, (3)
        • ipfw, toor99, 15:12 , 13-Июл-04, (4)
        • ipfw, toor99, 15:14 , 13-Июл-04, (5)
      • ipfw, jr, 09:02 , 14-Июл-04, (6)

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "ipfw"
Сообщение от jr emailИскать по авторуВ закладки(ok) on 13-Июл-04, 14:53  (MSK)
>Здравствуйте.
>Подскажите как настроить правило чтоб IP 192.168.1.1 имел выход в инет только
>на сайт mail.ru ????

# ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http
# ipfw add 501 allow tcp from mail.ru http to 192.168.1.1
# ipfw add 502 deny ip from 192.168.1.1 to any

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ipfw"
Сообщение от toor99 emailИскать по авторуВ закладки(??) on 13-Июл-04, 14:58  (MSK)
>>Здравствуйте.
>>Подскажите как настроить правило чтоб IP 192.168.1.1 имел выход в инет только
>>на сайт mail.ru ????
>
># ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http
># ipfw add 501 allow tcp from mail.ru http to 192.168.1.1
># ipfw add 502 deny ip from 192.168.1.1 to any

Угу, и у него немедленно отвалится резолвинг имен, а может быть, и не только.
К тому же, если там NAT, то важен порядок правил. А если http-прокси, то это надо делать вообще не через ipfw.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "ipfw"
Сообщение от smartkz emailИскать по авторуВ закладки(ok) on 13-Июл-04, 15:01  (MSK)
>>>Здравствуйте.
>>>Подскажите как настроить правило чтоб IP 192.168.1.1 имел выход в инет только
>>>на сайт mail.ru ????
>>
>># ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http
>># ipfw add 501 allow tcp from mail.ru http to 192.168.1.1
>># ipfw add 502 deny ip from 192.168.1.1 to any
>
>Угу, и у него немедленно отвалится резолвинг имен, а может быть, и
>не только.
>К тому же, если там NAT, то важен порядок правил. А если
>http-прокси, то это надо делать вообще не через ipfw.


у меня нат
прокси нет

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "ipfw"
Сообщение от toor99 emailИскать по авторуВ закладки(??) on 13-Июл-04, 15:12  (MSK)
>>>>Здравствуйте.
>>>>Подскажите как настроить правило чтоб IP 192.168.1.1 имел выход в инет только
>>>>на сайт mail.ru ????
>>>
>>># ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http
>>># ipfw add 501 allow tcp from mail.ru http to 192.168.1.1
>>># ipfw add 502 deny ip from 192.168.1.1 to any
>>
>>Угу, и у него немедленно отвалится резолвинг имен, а может быть, и
>>не только.
>>К тому же, если там NAT, то важен порядок правил. А если
>>http-прокси, то это надо делать вообще не через ipfw.
>
>
>у меня нат
>прокси нет

Тогда эти правила надо ставить до диверта в natd и с уточнением, что они in (внутренний интерфейс). Плюс добавить, как минимум, разрешение для пакетов UDP на 53 порт твоего DNS (и для ответных тоже, конечно).

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "ipfw"
Сообщение от toor99 emailИскать по авторуВ закладки(??) on 13-Июл-04, 15:14  (MSK)
пардон - вот это in via {inner_iface}
>>># ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http
а это, соответственно, out via {inner_iface}
>>># ipfw add 501 allow tcp from mail.ru http to 192.168.1.1
а это просто via {inner_iface}
>>># ipfw add 502 deny ip from 192.168.1.1 to any
  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "ipfw"
Сообщение от jr emailИскать по авторуВ закладки(ok) on 14-Июл-04, 09:02  (MSK)
>Угу, и у него немедленно отвалится резолвинг имен, а может быть, и
>не только.
>К тому же, если там NAT, то важен порядок правил. А если
>http-прокси, то это надо делать вообще не через ipfw.

а я не говорил, что это конечное решение... это только ход мыслей :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру