форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[ Отслеживать ]

"allow и deny "		+/–
Сообщение от Add (ok) on 30-Июл-09, 07:58
блокирую одноклассников вот этими правилами: add 350 deny all from any to 81.177.141.0/16 add 360 deny all from any to 195.222.187.0/16 add 370 deny all from any to 212.119.208.0/16 add 380 deny all from any to 195.239.51.0/16 add 390 deny all from any to 62.105.140.0/16 все нормально, никого в однокласников не пускает. хочу открыть однокласников для одного айпи: add 313 allow all from 192.168.20.12 to 81.177.141.0/16 add 314 allow all from 192.168.20.12 to 195.222.187.0/16 add 315 allow all from 192.168.20.12 to 212.119.208.0/16 add 316 allow all from 192.168.20.12 to 195.239.51.0/16 add 317 allow all from 192.168.20.12 to 62.105.140.0/16 не пускает. в чем проблема? правила allow расположил выше правил deny. firewall - ipfw.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "allow и deny "		+/–
Сообщение от DenSha (ok) on 30-Июл-09, 08:57
>блокирую одноклассников вот этими правилами: >все нормально, никого в однокласников не пускает. >хочу открыть однокласников для одного айпи: >не пускает. в чем проблема? правила allow расположил выше правил deny. >firewall - ipfw. Под какие правила подпадает обратный траффик ("to all" и "to 192.168.20.12")? Под последнее умолчальное - "65535 deny all from any to any"?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "allow и deny "		+/–
	Сообщение от Add (ok) on 30-Июл-09, 13:37
	>Под какие правила подпадает обратный траффик ("to all" и "to 192.168.20.12")? Под >последнее умолчальное - "65535 deny all from any to any"? такого (65535 deny all from any to any) правила не вписывал.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "allow и deny "		+/–
	Сообщение от DenSha (ok) on 30-Июл-09, 15:10
	>>Под какие правила подпадает обратный траффик ("to all" и "to 192.168.20.12")? Под >>последнее умолчальное - "65535 deny all from any to any"? > >такого (65535 deny all from any to any) правила не вписывал. Правило 65535 что содержит? Оно всегда что-нибудь содержит...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "allow и deny "		+/–
	Сообщение от Add (ok) on 30-Июл-09, 16:35
	>Правило 65535 что содержит? Оно всегда что-нибудь содержит... такого правила нет. если его прописать с allow from any to any то будут работать те allow? или наоборот deny from any to any надо?...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "allow и deny "		+/–
	Сообщение от Add (ok) on 31-Июл-09, 08:03
	> >>Правило 65535 что содержит? Оно всегда что-нибудь содержит... > запустил ipfw list правило 65535 allow ip from any to any
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "allow и deny "		+/–
	Сообщение от DenSha (??) on 31-Июл-09, 09:10
	>> >>>Правило 65535 что содержит? Оно всегда что-нибудь содержит... >> > >запустил ipfw list >правило 65535 allow ip from any to any Кстати, 192.168.20.12 до одноклассников не достучится в любом случае. Т.к. из серого диапазона. В интернет, небось, все ходят через нат или прокси? В любом случае на выходе шлюза получаем пакет с исходящим адресом внешнего интерфейса шлюза и успешно режем его правилами 350-390...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "allow и deny "		+/–
	Сообщение от Add (ok) on 31-Июл-09, 09:47
	>Кстати, 192.168.20.12 до одноклассников не достучится в любом случае. Т.к. из серого >диапазона. В интернет, небось, все ходят через нат или прокси? В >любом случае на выходе шлюза получаем пакет с исходящим адресом внешнего >интерфейса шлюза и успешно режем его правилами 350-390... да, через нат. если открывать так всем. спасибо
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "allow и deny "		+/–
	Сообщение от DenSha (??) on 31-Июл-09, 11:08
	>>Кстати, 192.168.20.12 до одноклассников не достучится в любом случае. Т.к. из серого >>диапазона. В интернет, небось, все ходят через нат или прокси? В >>любом случае на выходе шлюза получаем пакет с исходящим адресом внешнего >>интерфейса шлюза и успешно режем его правилами 350-390... > >да, через нат. >если открывать так всем. >спасибо Да нет, просто 350-390 правила переделать c "deny from any" на "deny from 192.168.20.0/24"...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "allow и deny "		+/–
	Сообщение от Add (ok) on 31-Июл-09, 13:48
	>Да нет, просто 350-390 правила переделать c "deny from any" на "deny >from 192.168.20.0/24"... еще раз спасибо. все работает
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "allow и deny "		+/–
	Сообщение от raider (ok) on 05-Сен-09, 20:45
	Думаю проблема в том, что есть НАТ. Если бы не было НАТа, то можно правило работало бы. А так в случае ната после трансляции под deny from any ваше правило не попадает для необходимого хоста, но попадает под запрет правило после трансляции - IP внешнего интерфейса блокируется. Выходом является или уточнение в правилах ч-з какой интерфейс течет трафик, с использованием via $interface или выше этих правил разрешить исходящий трафик на внешнем интерфейсе с реального IP. PS: а что делать с анонимными прокси-серверами? Ведь одноклассников можно смотреть и таким образом... Думаю я, что эти все блокирования это или мания величия админа, или тупость руководства, если думают, что в случае запрета сайтов типа Вконтакте или Одноклассники повысят работу офисного планктона... Платить людям надо и выгонять тунеядцев. А фильтровать только необходимый и ненужный/опасный трафик. --- Удачи.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема