The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Прозрачный сквид и http://cbl.abuseat.org"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [Проследить за развитием треда]

"Прозрачный сквид и http://cbl.abuseat.org"  
Сообщение от Noob email(??) on 30-Ноя-07, 15:56 
Сюжет фильма ужасов:
Начинающий админ ставит на машину FreeBSD6.2 (ввиду экономии средств) Настраивается раздача интернета (nat,ipfw), почта (sendmail), Apache, Samba (для хранения бд 1С).
На определенном этапе пришло в голову что хорошо бы иметь Сквид, дабы смотреть по access.log  кто куда и сколько раз, плюс неплохо фильтровать то куды собственно юзеров пускать а куды нет. Ибо начальство подняло крик о том что "тормозит интернет".
Далее следует трах с документацией...

После довольно долгих и трудных родов получил "около"рабочие конфиги. Но вот беда где то что-то пропустил и теперь попадаю в http://cbl.abuseat.org лист раз в сутки.

Пользователи уличенные в скачивании вирей приговорены к шрафам и лишены всего кроме локалки, шефу на машине несмотря на сопротивление прикручен отдельный фаервол который не позволяет ему соваться по порно сайтам и др. С вирями порядок наведен, юзеры не могут ничего установить или деинсталировать, все настройки закрыты для изменений, фаервол и антивирус обновляются раз в сутки.

Очень прошу уважаемых гуру! укажите ошибки в конфигах (уверен таковые там в достатке)


ipfw.sh
=======
ipfw flush

#Форвард всего что идет от юзеров на сквид (Стоит ли добавлять 8000,8001,8100,8180?)
ipfw add 9 fwd 192.168.0.2,3128 tcp from 192.168.0.0/24 to any dst-port 80
#Разрешил юзерам работать в пределах внутреннего интерфейса
ipfw add 10 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via rl1

#Не пускаю к себе по внешнему интерфейсу эти порты (порекомендовали для того чтобы #прекратить спам от меня закрыть их, Подскажите может неправильно что?)
ipfw add 11 deny ip from any to me dst-port 3128 via rl0
ipfw add 12 deny ip from any to me dst-port 8080 via rl0
ipfw add 13 deny ip from any to me dst-port 1080 via rl0

#Разрешил юзерам конектиться комне по 25 порту чтоб TheBat работал
ipfw add 14 allow ip from 192.168.0.0/24 to me dst-port 25 via rl1
#ipfw add 15 deny ip from any to any dst-port 25 via rl0

#Deny Rules (Отдельные порты и хосты которые я запретил)
ipfw add 30 deny ip from any to any dst-port 135-139, 445 via rl0
ipfw add 33 deny all from yahoo.com to any via rl0
ipfw add 34 deny all from web.de to any via rl0

########## deny list####### (все что особо активно ломилось путем перебора на сервер)
ipfw add 200 deny all from 74.0.86.138 to any via rl0
ipfw add 201 deny all from 59.151.45.249 to any via rl0
ipfw add 202 deny all from 210.143.128.92 to any via rl0
ipfw add 203 deny all from 85.89.73.219 to any via rl0
ipfw add 204 deny all from 212.14.5.154 to any via rl0
ipfw add 205 deny all from 141.99.32.113 to any via rl0
ipfw add 206 deny all from 208.53.138.160 to any via rl0
ipfw add 207 deny all from 83.3.72.66 to any via rl0
ipfw add 208 deny all from 195.210.70.13 to any via rl0
ipfw add 209 deny all from 194.67.211.149 to any via rl0
ipfw add 210 deny all from 216.87.66.37 to any via rl0
ipfw add 211 deny all from 200.71.53.47 to any via rl0
ipfw add 212 deny all from 86.125.89.46 to any via rl0
ipfw add 213 deny all from 24.27.14.229 to any via rl0
ipfw add 214 deny all from 210.83.203.92 to any via rl0
ipfw add 210 deny all from 216.87.66.37 to any via rl0
ipfw add 211 deny all from 200.71.53.47 to any via rl0
ipfw add 212 deny all from 86.125.89.46 to any via rl0
ipfw add 213 deny all from 24.27.14.229 to any via rl0
ipfw add 214 deny all from 210.83.203.92 to any via rl0
ipfw add 215 deny all from 219.235.231.103 to any via rl0
ipfw add 216 deny all from 69.118.224.121 to any via rl0
ipfw add 217 deny all from 200.79.192.16 to any via rl0
ipfw add 218 deny all from 83.15.231.75 to any via rl0
ipfw add 219 deny all from 88.84.155.132 to any via rl0
ipfw add 220 deny all from 212.176.217.4 to any via rl0
ipfw add 221 deny all from 85.114.133.136 to any via rl0
ipfw add 222 deny all from 195.94.224.178 to any via rl0
ipfw add 223 deny all from 74.0.86.138 to any via rl0
ipfw add 224 deny all from 124.135.192.4 to any via rl0
ipfw add 225 deny all from 210.51.190.93 to any via rl0
ipfw add 226 deny all from 196.40.57.70 to any via rl0
ipfw add 227 deny all from 210.51.172.156 to any via rl0
ipfw add 228 deny all from 195.154.137.17 to any via rl0
ipfw add 229 deny all from 222.48.110.210 to any via rl0
ipfw add 230 deny all from 193.231.226.55 to any via rl0
ipfw add 231 deny all from 61.250.149.16 to any via rl0
ipfw add 232 deny all from 209.135.159.10 to any via rl0
ipfw add 233 deny all from 213.19.163.35 to any via rl0
ipfw add 234 deny all from 221.113.9.123 to any via rl0
ipfw add 235 deny all from 80.97.12.167 to any via rl0
ipfw add 236 deny all from 72.55.133.231 to any via rl0
ipfw add 237 deny all from 61.166.190.138 to any via rl0
ipfw add 238 deny all from 203.89.181.92 to any via rl0
ipfw add 239 deny all from 86.59.21.66 to any via rl0
ipfw add 240 deny all from 195.154.137.17 to any via rl0
ipfw add 241 deny all from 125.91.3.56 to any via rl0
ipfw add 242 deny all from 200.30.94.10 to any via rl0
ipfw add 243 deny all from 89.39.38.210 to any via rl0
ipfw add 244 deny all from 88.222.1.129 to any via rl0
ipfw add 245 deny all from 66.2.108.100 to any via rl0
ipfw add 246 deny all from 64.41.74.39 to any via rl0
ipfw add 247 deny all from 200.180.18.66 to any via rl0
ipfw add 248 deny all from 84.232.127.4 to any via rl0


##########User Rules##########

#ICQ deny default ports (Аську пока зарезать не могу, начальство юзает)
#ipfw add 901 deny tcp from 192.168.0.0/24 to any 5190 via rl1
#ipfw add 902 deny all from any to 192.168.0.0 via rl0

#Mail ru deny default ip (Мейл ру тоже юзается закоментировал до поры)
#ipfw add 902 deny tcp from 192.168.0.0/24 to 194.67.57.26 via rl1


#User pipes (Юзерам дал пайпы чтобы канал завалить не могли в полку)
ipfw add 1001 pipe 11 ip from any to 192.168.0.11 via rl1
ipfw add 1002 pipe 111 ip from 192.168.0.11 to any via rl1
ipfw pipe 11 config bw 128KBit/s
ipfw pipe 111 config bw 64KBit/s

ipfw add 1011 pipe 12 ip from any to 192.168.0.12 via rl1
ipfw add 1012 pipe 112 ip from 192.168.0.12 to any via rl1
ipfw pipe 12 config bw 256KBit/s
ipfw pipe 112 config bw 128Kit/s

ipfw add 1021 pipe 13 ip from any to 192.168.0.13 via rl1
ipfw add 1022 pipe 113 ip from 192.168.0.13 to any via rl1
ipfw pipe 13 config bw 128KBit/s
ipfw pipe 113 config bw 64KBit/s

ipfw add 1031 pipe 14 ip from any to 192.168.0.14 via rl1
ipfw add 1032 pipe 114 ip from 192.168.0.14 to any via rl1
ipfw pipe 14 config bw 512KBit/s
ipfw pipe 114 config bw 256KBit/s
итд.

squid.conf
========
#Default 3128, can do more adres\ports like  "ip adresses:port"
#Сделал так чтобы чужие не ломились через прокси - однако ломятся демоны...Что не так?
http_port 192.168.0.2:3128 transparent

# Default feature what not to cache
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

#Broken mods for apache on nonlocal server bypass (default)
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

#cash size  %
# Defaults
cache_swap_low 200
cache_swap_high 1024
# Maximum cache object size default
maximum_object_size 5120 KB
minimum_object_size 0 KB

#LOG PATCH and CACHE DIR
#Default cache_dir ufs (squid file format)/usr/local/squid/cache 100 16(1 level dir folders) 256(2level dir folders)
cache_dir ufs /usr/local/squid/cache 1024 10 128

#default path and squid format for log
access_log /usr/local/squid/logs/access.log squid

#refresh-pattern ^ftp:         &n... 10080
#refresh_pattern ^gopher:       1440    0%      1440
#refresh_pattern .              0       20%     4320

#srok godnosti media filov raz v 30 dney
#refresh_pattern -i \.swf$  43200 100% 43200 override-lastmod override-expire
#refresh_pattern -i \.mid$  43200 100% 43200 override-lastmod override-expire
#refresh_pattern -i \.wav$  43200 100% 43200 override-lastmod override-expire
#refresh_pattern -i \.mp3$  43200 100% 43200 override-lastmod override-expire


##### Global SERVER ACL RULES #####
acl all src 0.0.0.0/0.0.0.0
acl manager proto cachhe_object
acl localhost src 127.0.0.1
acl server src 192.168.0.2
acl anton src 192.168.0.14
acl ourhosts src 192.168.0.0/255.255.255.0
#Здесь пытаюсь реализовать три группы с разными "полномочиями" в виде аcl списков в файлах
acl 1group src 192.168.0.1 192.168.0.6
acl 2group src 192.168.0.7 192.168.0.10
acl 3group src 192.168.0.11 192.168.0.16
#финдиректор(тут нельзя зарезать вообще ничего не даст зарплаты :))
acl 4group src 192.168.0.26

#Spisok RAZRESHENNUH PORTOV
acl Safe_ports port 443         #SSH
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !Safe_ports

acl SMTP_port port 25
http_access deny !ourhosts SMTP_port

##################################################################################################################
# ACL list
##################################################################################################################

#Dostup po vremeni ACL
acl work time MTWHF 07:00-20:00
acl lunch time MTWHF 13:00-14:00

#Zapret vvoda IP vmesto http://www.blabla.bla
acl numericIp urlpath_regex [0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
acl connect method CONNECT
http_access deny connect 3group

#Zapret icq startovoy stranichki (podstanovka svoey s napominaniem o rabote)
acl icq_start url_regex /usr/local/etc/squid/acl/icqstart.txt
http_access allow 1group icq_start
http_access deny 2group icq_start
http_access deny 3group icq_start
http_access deny 4group icq_start
deny_info http://myhost/icq-begin.html icq_start

#Zerezaniye Bannera ICQ v kliente i oknah chata
acl icq_banner url_regex "/usr/local/etc/squid/acl/icqbanner.txt"
http_access deny ourhosts icq_banner
deny_info http://myhost/icqbanner.html icq_banner

#Dopustimye URLy
acl goodurl url_regex "/usr/local/etc/squid/acl/goodurl.txt"
http_access allow goodurl ourhosts

#Zapret MEdia Filov
acl media url_regex "/usr/local/etc/squid/acl/media.txt"
http_access allow media 1group
http_access deny media 3group
http_access deny media 4group
deny_info http://myhost/Doc2.htm media

#Zapret poreva
acl porn url_regex "/usr/local/etc/squid/acl/porn.txt"
http_access allow porn 1group
http_access deny porn 2group
http_access deny porn 3group
http_access deny porn 4group
deny_info http://skill.ru/images/2005/02/02/22650.jpg porn

#Zapret skachivaniya archivov i filov
acl warez url_regex "/usr/local/etc/squid/acl/warez.txt"
http_access allow warez 1group
http_access deny warez 2group
http_access deny warez 3group
http_access deny warez 4group
deny_info http://myhost/Doc2.htm warez

#Zarezka Bannerov
acl adds url_regex "/usr/local/etc/squid/acl/adds.txt"
http_access allow adds 1group
http_access deny adds 2group
http_access deny adds 3group
http_access deny adds 4group
#deny_info http://myhost/Doc2.htm adds

#Zarezka popup i java
acl ban_popup url_regex "/usr/local/etc/squid/acl/openwin.txt"
acl banners_js url_regex "/usr/local/etc/squid/acl/js.txt"

http_access deny ban_popup !1group
http_access deny banners_js !1group

deny_info http://myhost/close_win.html ban_popup
deny_info http://myhost/empty.js banners_js

#Zapret na plohie URLy
acl badurl url_regex "/usr/local/etc/squid/acl/badurl.txt"
http_access allow badurl 1group
http_access allow !3group badurl lunch
http_access deny badurl 2group
http_access deny badurl 3group

http_access deny badurl 4group
deny_info http://myhost/Doc2.htm badurl

icp_access allow ourhosts
icp_access deny all
miss_access allow ourhosts
miss_access deny all

http_access allow ourhosts
http_access deny manager !localhost
http_access deny manager !server
http_access deny all

visible_hostname zlobkontora.ru
always_direct allow all
cache_mgr EvilRoot@zlobkontora.ru
#cache_effective_user squid

Буду крайне признателен за выравнивание конфигов, спасибо за внимание

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Прозрачный сквид и http://cbl.abuseat.org"  
Сообщение от rakis on 30-Ноя-07, 17:16 
я не гуру, имхо.
пара советов:

проверить что фаервол собиран в режиме "default block". гораздо проще разрешить нужное, чем запретить не нужное;

>acl SMTP_port port 25
>http_access deny !ourhosts SMTP_port

имхо лишнее. для доступа к SMTP через прокси используется метод CONNECT, а он уже описан выше.

это то, что сразу бросилось в глаза.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Прозрачный сквид и http://cbl.abuseat.org"  
Сообщение от Noob email(??) on 03-Дек-07, 20:08 

>проверить что фаервол собиран в режиме "default block". гораздо проще разрешить нужное,
>чем запретить не нужное;

Наверное проще, но не прийдется ли тогда описывать для локалки все что "ломится в инет"?
(клиент-банки со странными портами, 1С чтобы пускало на самбу (с которой с оплоками и так гемор) идр.)
у меня не указано allow при сборке, по дефолту должен быть денай?
Вообщем подскажите как проверить где посмотреть?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Прозрачный сквид и http://cbl.abuseat.org"  
Сообщение от rakis on 07-Дек-07, 15:29 
>Наверное проще, но не прийдется ли тогда описывать для локалки все что
>"ломится в инет"?

прийдется и это правильно. админ должен(! имхо) знать что через его оборудование наружу льется.

>(клиент-банки со странными портами,

их не так много. 1-3 как правило.

>1С чтобы пускало на самбу

либо разделить функционал фаервола и роутера, либо разрешить весь трафик на внутреннем интерфейсе, либо разрешить только "свои сети" на внутреннем интерфейсе.

Рекомендую все же разнести по функционалу "сервер для интернет сервисов" и "сервер для локальных сервисов"

>у меня не указано allow при сборке, по дефолту должен быть денай?

угу


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Прозрачный сквид и http://cbl.abuseat.org"  
Сообщение от Noob email(??) on 11-Дек-07, 13:11 
>прийдется и это правильно. админ должен(! имхо) знать что через его оборудование
>наружу льется.

Совершенно согласен, есть одно но пока мануалы по портам, тиси-пи ай-пи и ipfw не помогают :)

Запретил на внешнем интерфейсе любые все кроме своих 192.168.0.0/24
На сквиде оставил только 80 порт из всех перечисленных.
С помощью IPFW запретил порты от 5000...

>>(клиент-банки со странными портами,
>их не так много. 1-3 как правило.

два десятка таких ломящихся бухгалтерско-налоговых утилитов...
(нет ли нигде толково расписанного гайда по trafshow ?(именно гайда, не мануала)Пока для отлова портов использую "колхозный метод" Zone Alarm (ставлю на машину "жертвы" и включая программы смотрю куда и по какому порту оно ломится).

> только "свои сети" на внутреннем интерфейсе.

Я думал так оно в конфиге и есть уж :(

>Рекомендую все же разнести по функционалу "сервер для интернет сервисов" и "сервер
>для локальных сервисов"

Я бы с радостью развел, однако развести руководство на покупку сервера для локального пользования не выходит - признают лишними тратами. Обоснования не помогают.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Прозрачный сквид и http://cbl.abuseat.org"  
Сообщение от amadyarov (ok) on 11-Дек-07, 13:28 
Двусторонний нат обозначает почтовый релей - если непонятно отпишу подробнее.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Прозрачный сквид и http://cbl.abuseat.org"  
Сообщение от amadyarov (ok) on 11-Дек-07, 13:29 
>Двусторонний нат обозначает почтовый релей - если непонятно отпишу подробнее.

Самое интересное у тебя в конфиге ipfw после слова и.т.д >_<

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Прозрачный сквид и http://cbl.abuseat.org"  
Сообщение от Noob email(??) on 11-Дек-07, 14:49 
>>Двусторонний нат обозначает почтовый релей - если непонятно отпишу подробнее.
>
>Самое интересное у тебя в конфиге ipfw после слова и.т.д >_<

ipfw add 65535 deny ip from any to any нескопировалось пере итд :)

Насчет ната буду признателен если объясните

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Прозрачный сквид и http://cbl.abuseat.org"  
Сообщение от Noob email(??) on 11-Дек-07, 17:24 
Перекроил файлик с правилами фаервола (проверьте на ошибки пожалуйста)

ipfw flush

ipfw add 100 check-state

#Закрыл обращения с внешнего интерфейса на ло0
ipfw add 101 deny ip from any to 127.0.0.0/8 via rl0

#Переслал на сквид все что пришло от моих юзеров
ipfw add 150 fwd 192.168.0.2,3128 ip from 192.168.0.0/24 to any dst-port 80
#ipfw add 510 divert natd ip from 192.168.0.0/24 to any out via rl0


# Запрет X-сканирования:
add 151 reject log tcp from any to any tcpflags fin, syn, rst, psh, ack, urg via rl0

# Запрет N-сканирования:
add 152 reject log tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg via rl0

# Запрет FIN-сканирования:
add 153 reject log tcp from any to any not established tcpflags fin via rl0

# Защита от спуфинга
add 154 deny log ip from any to any not verrevpath in

# Ограничение числа одновременных соединений:
add 155 allow ip  from any to any  setup limit src-addr 10 via rl0


#Запрет на все исмп кроме пинга
#echo reply (0), destination unreachable (3), source quench (4), redirect (5), echo request (8), router adver-tisement (9),
#router solicitation(10), time-to-live exceeded (11), IP header bad (12), timestamp request (13), timestamp reply (14),
#information request (15), information reply (16), address mask request (17) and address mask reply (18).
ipfw add 200 deny icmp from any to me icmptype 5,9,13,14,15,16,17 via rl0

#Сброс пакетов содержащих все флаги или не содержащие флагов
ipfw add number reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg via rl0
ipfw add number reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg via rl0

#Сброс подменных айпишников что пришли не оттуда
ipfw add 208 deny ip from any to any not verrevpath in
ipfw add 209 deny log logamount 10 ip from any to any not verrevpath in


#Запрет стучаться в сеть под видом "своих" адресов через внешний интерфейс
ipfw add 210 deny ip from 192.168.0.0/24 to any in via rl0

#Разрешил своей сети ходить через внутренний интерфейс
ipfw add 211 allow ip from 192.168.0.0/24 to me keep-state via rl1

#ipfw add 212 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via rl1
ipfw add 213 deny ip from 192.168.0.0/24 to 192.168.0.0/24 via rl0

#Запрет стучаться от внешнего интерфейса по нетбиосу
ipfw add 250 drop ip from any to me dst-port 135-139,445 via rl0
ipfw add 251 drop ip from any to me dst-port 4000-6534 via rl0

#Разрешение хождения пакетов от своей подсети
ipfw add 300 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via lo

#Разрешение хождения пакетов от моих адресов через внешний интерфейс
ipfw add 310 allow tcp from me to any keep-state
ipfw add 320 allow icmp from any to any

#Разрешить идти от меня куда угодно
ipfw add 340 allow ip from me to any

#Разрешить ходить комне HTTP, HTTPS, Telnet, SSH
ipfw add 400 allow tcp from any to me dst-port 80,21,22

#Разрешить от моей сети по 25 порту к серверу, писать в лог
ipfw add 410 allow tcp from 192.168.0.0/24 to me dst-port 25 keep-state

ipfw add 413 deny tcp from any to any 113 in via rl0
ipfw add 414 deny tcp from any to any 137 in via rl0
ipfw add 415 deny tcp from any to any 138 in via rl0
ipfw add 416 deny tcp from any to any 139 in via rl0
ipfw add 417 deny tcp from any to any 81 in via rl0

# Запрещаем пакеты прибывшие позже
ipfw add 418 deny ip from any to me frag in via rl0

# Запрещаем ACK пакеты которые не совпадают с динамической таблицей правил
ipfw add 419 deny tcp from any to any established in via rl0

####СПИСОК ПИ**** (внешних)#######
ipfw add 200 deny ip from 74.0.86.138 to any via rl0
ipfw add 201 deny ip from 59.151.45.249 to any via rl0
ipfw add 202 deny ip from 210.143.128.92 to any via rl0
ipfw add 203 deny ip from 85.89.73.219 to any via rl0
ipfw add 204 deny ip from 212.14.5.154 to any via rl0
ipfw add 205 deny ip from 141.99.32.113 to any via rl0
ipfw add 206 deny ip from 208.53.138.160 to any via rl0
ipfw add 207 deny ip from 83.3.72.66 to any via rl0
ipfw add 208 deny ip from 195.210.70.13 to any via rl0
ipfw add 209 deny ip from 194.67.211.149 to any via rl0
ipfw add 210 deny ip from 216.87.66.37 to any via rl0
ipfw add 211 deny ip from 200.71.53.47 to any via rl0
ipfw add 212 deny ip from 86.125.89.46 to any via rl0
ipfw add 213 deny ip from 24.27.14.229 to any via rl0
ipfw add 214 deny ip from 210.83.203.92 to any via rl0
ipfw add 215 deny ip from 219.235.231.103 to any via rl0
ipfw add 216 deny ip from 69.118.224.121 to any via rl0
ipfw add 217 deny ip from 200.79.192.16 to any via rl0
ipfw add 218 deny ip from 83.15.231.75 to any via rl0
ipfw add 219 deny ip from 88.84.155.132 to any via rl0
ipfw add 220 deny ip from 212.176.217.4 to any via rl0
ipfw add 221 deny ip from 85.114.133.136 to any via rl0
ipfw add 222 deny ip from 195.94.224.178 to any via rl0
ipfw add 223 deny ip from 74.0.86.138 to any via rl0
ipfw add 224 deny ip from 124.135.192.4 to any via rl0
ipfw add 225 deny ip from 210.51.190.93 to any via rl0
ipfw add 226 deny ip from 196.40.57.70 to any via rl0
ipfw add 227 deny ip from 210.51.172.156 to any via rl0
ipfw add 228 deny ip from 195.154.137.17 to any via rl0
ipfw add 229 deny ip from 222.48.110.210 to any via rl0
ipfw add 230 deny ip from 193.231.226.55 to any via rl0
ipfw add 231 deny ip from 61.250.149.16 to any via rl0
ipfw add 232 deny ip from 209.135.159.10 to any via rl0
ipfw add 233 deny ip from 213.19.163.35 to any via rl0
ipfw add 234 deny ip from 221.113.9.123 to any via rl0
ipfw add 235 deny ip from 80.97.12.167 to any via rl0
ipfw add 236 deny ip from 72.55.133.231 to any via rl0
ipfw add 237 deny ip from 61.166.190.138 to any via rl0
ipfw add 238 deny ip from 203.89.181.92 to any via rl0
ipfw add 239 deny ip from 86.59.21.66 to any via rl0
ipfw add 240 deny ip from 195.154.137.17 to any via rl0
ipfw add 241 deny ip from 125.91.3.56 to any via rl0
ipfw add 242 deny ip from 200.30.94.10 to any via rl0
ipfw add 243 deny ip from 89.39.38.210 to any via rl0
ipfw add 244 deny ip from 88.222.1.129 to any via rl0
ipfw add 245 deny ip from 66.2.108.100 to any via rl0
ipfw add 246 deny ip from 64.41.74.39 to any via rl0
ipfw add 247 deny ip from 200.180.18.66 to any via rl0
ipfw add 248 deny ip from 84.232.127.4 to any via rl0
ipfw add 249 deny ip from 217.73.255.255 to any via rl0
ipfw add 250 deny ip from 81.95.255.255 to any via rl0
ipfw add 251 deny ip from 82.255.255.255 to any via rl0
ipfw add 252 deny ip from 82.144.193.241 to any via rl0
ipfw add 253 deny ip from 212.40.34.156 to any via rl0
ipfw add 254 deny ip from 59.182.72.166 to any via rl0
ipfw add 255 deny ip from 195.126.0.0/24 to any via rl0
ipfw add 257 deny ip from 212.40.34.0/24 to any via rl0
ipfw add 258 deny ip from 64.12.24.45 to any via rl0
ipfw add 259 deny ip from 88.212.221.0/24 to any via rl0
ipfw add 260 deny ip from 194.126.224.0/24 to any via rl0
ipfw add 261 deny ip from 164.89.0.0/16 to any via rl0
ipfw add 262 deny ip from 216.157.224.0/19 to any via rl0
ipfw add 263 deny ip from 80.239.177.0/24 to any via rl0
ipfw add 264 deny ip from 200.222.187.0/24 to any via rl0
ipfw add 265 deny ip from 121.184.0.0/24 to any via rl0
ipfw add 266 deny ip from 216.65.0.0/17 to any via rl0
ipfw add 267 deny ip from 200.202.0.0/18 to any via rl0
ipfw add 268 deny ip from 64.18.0.0/20 to any via rl0

ipfw add 1004 pipe 4 tcp from any to 192.168.0.4 via rl1
ipfw add 1104 pipe 104 ip from 192.168.0.4 to  any via rl1
ipfw pipe 4 config bw 3MBit/s
ipfw pipe 104 config bw 3MBit/s

ipfw add 1008 pipe 8 ip from any to 192.168.0.8 via rl1
ipfw add 1108 pipe 108 ip from 192.168.0.8 to any via rl1
ipfw pipe 8 config bw 128KBit/s
ipfw pipe 108 config bw 64KBit/s

ipfw add 1010 pipe 10 ip from any to 192.168.0.10 via rl1
ipfw add 1110 pipe 110 ip from 192.168.0.10 to any via rl1
ipfw pipe 10 config bw 128KBit/s
ipfw pipe 110 config bw 64KBit/s

ipfw add 1011 pipe 11 ip from any to 192.168.0.11 via rl1
ipfw add 1111 pipe 111 ip from 192.168.0.11 to any via rl1
ipfw pipe 11 config bw 128KBit/s
ipfw pipe 111 config bw 64KBit/s

ipfw add 1012 pipe 12 ip from any to 192.168.0.12 via rl1
ipfw add 1112 pipe 112 ip from 192.168.0.12 to any via rl1
ipfw pipe 12 config bw 128KBit/s
ipfw pipe 112 config bw 64Kit/s

ipfw add 1013 pipe 13 ip from any to 192.168.0.13 via rl1
ipfw pipe 113 config bw 64KBit/s

ipfw add 1014 pipe 14 ip from any to 192.168.0.14 via rl1
ipfw add 1114 pipe 114 ip from 192.168.0.14 to any via rl1
ipfw pipe 14 config bw 128KBit/s
ipfw pipe 114 config bw 64KBit/s

ipfw add 1015 pipe 15 ip from any to 192.168.0.15 via rl1
ipfw add 1115 pipe 115 ip from 192.168.0.15 to any via rl1
ipfw pipe 15 config bw 128KBit/s
ipfw pipe 115 config bw 64KBit/s

ipfw add 1016 pipe 16 ip from any to 192.168.0.16 via rl1
ipfw add 1116 pipe 116 ip from 192.168.0.16 to any via rl1
ipfw pipe 16 config bw 128KBit/s
ipfw pipe 116 config bw 64Kit/s

ipfw add 1017 pipe 17 ip from any to 192.168.0.17 via rl1
ipfw add 1117 pipe 117 ip from any to 192.168.0.17 any via rl1
ipfw pipe 17 config bw 128KBit/s
ipfw pipe 117 config bw 64KBit/s

ipfw add 1018 pipe 18 ip from any to 192.168.0.18 via rl1
ipfw add 1118 pipe 118 ip from any to 192.168.0.18 via rl1
ipfw pipe 18 config bw 128KBit/s
ipfw pipe 118 config bw 64KBit/s

ipfw add 1025 pipe 25 ip from any to 192.168.0.25 via rl1
ipfw add 1125 pipe 125 ip from any to 192.168.0.25 via rl1
ipfw pipe 25 config bw 128KBit/s
ipfw pipe 125 config bw 64KBit/s

ipfw add 1026 pipe 26 ip from any to 192.168.0.26 via rl1
ipfw add 1126 pipe 126 ip from any to 192.168.0.26 via rl1
ipfw pipe 26 config bw 256KBit/s
ipfw pipe 126 config bw 256KBit/s

ipfw add 1027 pipe 27 ip from any to 192.168.0.6 via rl1
ipfw add 1127 pipe 127 ip from any to 192.168.0.6 via rl1
ipfw pipe 27 config bw 128KBit/s
ipfw pipe 127 config bw 64KBit/s

ipfw add 65535 deny ip from any to any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Прозрачный сквид и http://cbl.abuseat.org"  
Сообщение от amadyarov (??) on 12-Дек-07, 11:11 
Просмотрел твой фаервол - можешь выбросить из него все кроме:
ipfw flush
ipfw add 100 check-state
#Если прозрачный прокси оставь - но имхо втопку
ipfw add 150 fwd 192.168.0.2,3128 ip from 192.168.0.0/24 to any dst-port 80
#Единственная строка с натом и та закоментаренная хз.
#ipfw add 510 divert natd ip from 192.168.0.0/24 to any out via rl0
#Запрет стучаться в сеть под видом "своих" адресов через внешний интерфейс
#смысла в этом мало но можешь оставить
ipfw add 210 deny ip from 192.168.0.0/24 to any in via rl0
#Разрешил своей сети ходить через внутренний интерфейс
ipfw add 211 allow ip from 192.168.0.0/24 to me keep-state via rl1
#Разрешение хождения пакетов от своей подсети >_< ваще бред
ipfw add 300 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via lo
#Разрешение хождения пакетов от моих адресов через внешний интерфейс
ipfw add 310 allow tcp from me to any keep-state
ipfw add 320 allow icmp from any to any
#Разрешить идти от меня куда угодно
ipfw add 340 allow ip from me to any
#Разрешить ходить комне HTTP, HTTPS, Telnet, SSH
ipfw add 400 allow tcp from any to me dst-port 80,21,22
#Разрешить от моей сети по 25 порту к серверу, писать в лог
ipfw add 410 allow tcp from 192.168.0.0/24 to me dst-port 25 keep-state
# Не понял эту строку - наверное рубилка скорости - остальные удалю для экономии
ipfw add 1004 pipe 4 tcp from any to 192.168.0.4 via rl1
ipfw add 1104 pipe 104 ip from 192.168.0.4 to  any via rl1
ipfw pipe 4 config bw 3MBit/s
ipfw pipe 104 config bw 3MBit/s
ipfw add 65535 deny ip from any to any
##### смысл всего в том, что в данном конфиге нет описания механизма нат,
вроде во вряхе всё делается отдельным демоном natd.
Быть может эту функуию у тебя выполняет ADSL модем работающий в режиме
SUA - онли ,либо в режиме FullNAT что более вероятно, поэтуму все почтовые серваки
подключаясь к твоему серверу имеют айпи модема(проверь логи), а на самом почтовике
стоит правило релеить всю почту только с локальных айпи, аот они и релеются - а ты в БД
антиспамеров.
P.S
Ставь Дебиан, ковыряй Iptables+Exim+Mysql+Squid+Samba+Winbind+Dovecot+.... и будет щастье

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Прозрачный сквид и http://cbl.abuseat.org"  
Сообщение от Noob email(??) on 18-Дек-07, 17:26 
все почтовые серваки
подключаясь к твоему серверу имеют айпи модема(проверь логи), а на самом почтовике
стоит правило релеить всю почту только с локальных айпи, аот они и релеются - а ты в БД
антиспамеров.

Как проверить и что по этому поводу можно сделать не подскажите?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру