>То есть оставить доступ только себе?
>Тогда сначала разрешаешь себе все что тебе надо, а потом запрещаешь все
>остальное.
>
>Но лучше напиши более конкретно что тебя интересует. Может разделить пользователей на
>тех кому доступна только почта, а кому то еще и ICQ
>и прочее?
>Может покажешь для начала свой конфиг файрвола?
###########################################################
# vars #
###########################################################
fwc="/sbin/ipfw"
if1="fxp0"
if2="fxp1"
ip1="172.18.2.2"
ip2="192.168.1.2"
# users
gw="192.168.1.1"
mailgate="192.168.1.3"
lotus="172.18.2.4"
testgw="192.168.1.4"
our_subnet="172.18.2.0/24"
our_external_subnet="192.168.1.1/31"
ibm="172.18.2.5"
admin_denis="172.18.2.252"
admin_kostya="172.18.2.1"
admin_andrey="172.18.2.176"
admin_grisha="172.18.2.148"
admin_sasha="172.18.2.219"
admin_denis_k="172.18.2.222"
admin_ruslan="172.18.2.122"
client_bank="172.18.2.118"
for_rus="10.0.0.0"
###########################################################
# exec. commands #
###########################################################
### flush all rules
$fwc -f flush
### diveret for NAT ###
#$fwc add 200 divert 8888 all from any to ${ip2} in via ${if2}
### divert all packets for ipacctd
$fwc add 400 pass all from ${for_rus} to any via ${if1}
$fwc add 450 pass all from any to ${for_rus} via ${if1}
$fwc add 455 pass tcp from any to any established
$fwc add 460 pass all from any to any frag
# $fwc add 500 divert 10000 all from any to any in via ${if2}
####################### for LOCALHOST ########################
$fwc add 1000 allow ip from any to any via lo0
######################## OUR MAILGATE ##########################
$fwc add 1010 allow ip from ${admin_denis} to ${mailgate}
$fwc add 1020 allow ip from ${mailgate} to ${admin_denis}
$fwc add 1030 allow ip from ${admin_ruslan} to ${mailgate}
$fwc add 1040 allow ip from ${mailgate} to ${admin_ruslan}
$fwc add 1050 allow ip from ${lotus} to ${mailgate}
$fwc add 1055 allow ip from ${mailgate} to ${lotus}
$fwc add 1061 allow ip from ${mailgate} to me
$fwc add 1062 allow ip from me to ${mailgate}
$fwc add 1070 deny log ip from any to ${mailgate}
$fwc add 1075 deny log ip from ${mailgate} to any
######################## OUR SERVICES ##########################
# BLOCK ALL ICMP !!!
$fwc add 1150 allow icmp from ${gw} to me
$fwc add 1165 allow icmp from ${lotus} to me
$fwc add 1170 allow icmp from ${admin_kostya} to me
#$fwc add 1185 allow icmp from any to me
$fwc add 1190 deny log icmp from any to me
# ftp
$fwc add 1515 allow tcp from ${admin_kostya} to me 21
$fwc add 1520 allow tcp from ${ibm} to me 21
$fwc add 1590 allow tcp from ${gw} to me 21
$fwc add 1590 deny log tcp from any to me 21
# ssh
$fwc add 1720 allow tcp from ${admin_kostya} to me 22
$fwc add 1730 allow tcp from ${gw} to me 22
$fwc add 1735 allow tcp from ${admin_ruslan} to me 22
$fwc add 1790 deny log tcp from any to me 22
# bind
$fwc add 2000 allow log ip from any to me 53
$fwc add 2005 allow log ip from me to any 53
$fwc add 2010 allow ip from any to me 123
$fwc add 2020 allow ip from me to any 123
# apache
$fwc add 2105 allow tcp from $admin_denis to me 80
$fwc add 2110 allow tcp from $admin_kostya to me 80
$fwc add 2115 allow tcp from $admin_grisha to me 80
$fwc add 2125 allow tcp from $admin_andrey to me 80
$fwc add 2130 allow tcp from $admin_sasha to me 80
$fwc add 2135 allow tcp from $admin_ruslan to me 80
$fwc add 2140 allow tcp from $gw to me 80
$fwc add 2150 deny log ip from any to me 80
# samba
#$fwc add 2200 allow tcp from $admin_kostya to me 139
#$fwc add 2220 allow tcp from $admin_denis to me 139
$fwc add 2260 allow tcp from ${testgw} to me 139
$fwc add 2270 allow tcp from ${our_external_subnet} to me 139
$fwc add 2280 allow tcp from ${our_subnet} to me 139
$fwc add 2290 deny log tcp from any to me 139
# squid
$fwc add 2300 allow tcp from ${our_subnet} to me 3128
$fwc add 2310 allow tcp from ${testgw} to me 3128
$fwc add 2390 deny log tcp from any to me 3128
# mysql
$fwc add 2510 allow tcp from ${ip1} to me 5432
$fwc add 2520 allow tcp from ${ip2} to me 5432
$fwc add 2530 allow tcp from ${gw} to me 5432
$fwc add 2590 deny log tcp from any to me 5432
#$fwc add 2600 divert 8888 all from any to any out via ${if2}
##################### BLOCK WINDOWS NETWORK ####################
$fwc add 3000 deny log ip from any to any 135-139,445 via ${if2}
########################### INTERNAL ###########################
# ALLOW from any to INTERNAL
#$fwc add 10000 allow ip from any to any via ${if1}
########################### EXTERNAL ###########################
# ALLOW from any to any for EXTERNAL
#$fwc add 20000 allow ip from any to any via ${if2}
$fwc add 55000 allow ip from any to any
########################## END OF IPFW #########################
#clear
echo "Operation complit"
;;
*)
if [ -r "${firewall_type}" ]; then
${fwcmd} ${firewall_flags} ${firewall_type}
fi
;;
esac
вот конфиг
причем когда я добавляю какое нибуть правило то вырубается все инет аська кароче все вырубается.
Дело в том что Провайдер позвонил и сказал что у вас большой исходящий трафик соответвенно мне нада закрыть все порты а открыть только самые известные аську почту шттп и прочее
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
(??) on
13-Янв-06, 10:08 (MSK)
