URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 23866
[ Назад ]

Исходное сообщение
"IPFW и доступ по портам"
Отправлено Anachoret , 06-Дек-02 17:22

Здравстуйте!
Помогите, пожалуйста!
Как сделать так, чтобы некоторые компутеры сети имели доступ в инет только по портам почты 23,25,110,540. У меня настроен IPFW и как и в каком порядке нужно прописывать правила.
Я прописал правила:
/sbin/ipfw add 00023 pass tcp from 192.168.0.16 23,25,110,540 to any
/sbin/ipfw add 00024 pass tcp from any to 192.168.0.16 23,25,110,540
/sbin/ipfw add 00110 divert natd ip from 192.168.0.16 to any out via dc0
/sbin/ipfw add 00131 allow ip from 192.168.0.16 to any
/sbin/ipfw add 00132 allow ip from any to 192.168.0.16
/sbin/ipfw add 00210 deny ip from 192.168.0.0/24 to any
/sbin/ipfw add 00211 deny ip from any to 192.168.0.0/24
/sbin/ipfw add 00300 allow ip from any to any
Однаком у мя работает для этой машины весь инет. А нужно, чтобы никакие порты не отвечали на запросы юзверя кроме тех, которые я перечислил.
Спасибо вам огроменное!!!!
С Уважением,
Константин

Содержание

RE: IPFW и доступ по портам,Anachoret, 00:06 , 09-Дек-02
RE: IPFW и доступ по портам,Bart Simpson, 07:39 , 09-Дек-02
- RE: IPFW и доступ по портам,A Clockwork Orange, 09:50 , 09-Дек-02
RE: IPFW и доступ по портам,Simps, 09:44 , 09-Дек-02

Сообщения в этом обсуждении

"RE: IPFW и доступ по портам"
Отправлено Anachoret , 09-Дек-02 00:06

.....

"RE: IPFW и доступ по портам"
Отправлено Bart Simpson , 09-Дек-02 07:39

>Здравстуйте!
>
>Помогите, пожалуйста!
>Как сделать так, чтобы некоторые компутеры сети имели доступ в инет только
>по портам почты 23,25,110,540. У меня настроен IPFW и как и
>в каком порядке нужно прописывать правила.
>Я прописал правила:
>/sbin/ipfw add 00023 pass tcp from 192.168.0.16 23,25,110,540 to any
>/sbin/ipfw add 00024 pass tcp from any to 192.168.0.16 23,25,110,540
>/sbin/ipfw add 00110 divert natd ip from 192.168.0.16 to any out via
>dc0
>/sbin/ipfw add 00131 allow ip from 192.168.0.16 to any
>/sbin/ipfw add 00132 allow ip from any to 192.168.0.16
>/sbin/ipfw add 00210 deny ip from 192.168.0.0/24 to any
>/sbin/ipfw add 00211 deny ip from any to 192.168.0.0/24
>/sbin/ipfw add 00300 allow ip from any to any
>
>Однаком у мя работает для этой машины весь инет. А нужно, чтобы
>никакие порты не отвечали на запросы юзверя кроме тех, которые я
>перечислил.
>
>Спасибо вам огроменное!!!!
>
>С Уважением,
>Константин

Сам прочитай что написал, пронеси любой пакет вручную через твои правила, тогда поймеш однако.
Большое пожалуйста.

"RE: IPFW и доступ по портам"
Отправлено A Clockwork Orange , 09-Дек-02 09:50

>>Здравстуйте!
>>
>>Помогите, пожалуйста!
>>Как сделать так, чтобы некоторые компутеры сети имели доступ в инет только
>>по портам почты 23,25,110,540. У меня настроен IPFW и как и
>>в каком порядке нужно прописывать правила.
>>Я прописал правила:
>>/sbin/ipfw add 00023 pass tcp from 192.168.0.16 23,25,110,540 to any
>>/sbin/ipfw add 00024 pass tcp from any to 192.168.0.16 23,25,110,540
>>/sbin/ipfw add 00110 divert natd ip from 192.168.0.16 to any out via
>>dc0
>>/sbin/ipfw add 00131 allow ip from 192.168.0.16 to any
>>/sbin/ipfw add 00132 allow ip from any to 192.168.0.16
>>/sbin/ipfw add 00210 deny ip from 192.168.0.0/24 to any
>>/sbin/ipfw add 00211 deny ip from any to 192.168.0.0/24
>>/sbin/ipfw add 00300 allow ip from any to any
>>
>>Однаком у мя работает для этой машины весь инет. А нужно, чтобы
>>никакие порты не отвечали на запросы юзверя кроме тех, которые я
>>перечислил.
>>
>>Спасибо вам огроменное!!!!
>>
>>С Уважением,
>>Константин
>
>
>Сам прочитай что написал, пронеси любой пакет вручную через твои правила, тогда
>поймеш однако.
>Большое пожалуйста.

/sbin/ipfw add 00023 pass tcp from 192.168.0.16 23,25,110,540 to any
/sbin/ipfw add 00024 pass tcp from any to 192.168.0.16 23,25,110,540
/sbin/ipfw add 00110 divert natd ip from 192.168.0.16 to any via
dc0
<Правила для внешнего интерфейса>
/sbin/ipfw add 00300 deny ip from any to any
И незабудь про ДНС

"RE: IPFW и доступ по портам"
Отправлено Simps , 09-Дек-02 09:44

>Здравстуйте!
>
>Помогите, пожалуйста!
>Как сделать так, чтобы некоторые компутеры сети имели доступ в инет только
>по портам почты 23,25,110,540. У меня настроен IPFW и как и
>в каком порядке нужно прописывать правила.
>Я прописал правила:
>/sbin/ipfw add 00023 pass tcp from 192.168.0.16 23,25,110,540 to any
>/sbin/ipfw add 00024 pass tcp from any to 192.168.0.16 23,25,110,540
>/sbin/ipfw add 00110 divert natd ip from 192.168.0.16 to any out via
>dc0
>/sbin/ipfw add 00131 allow ip from 192.168.0.16 to any
>/sbin/ipfw add 00132 allow ip from any to 192.168.0.16
>/sbin/ipfw add 00210 deny ip from 192.168.0.0/24 to any
>/sbin/ipfw add 00211 deny ip from any to 192.168.0.0/24
>/sbin/ipfw add 00300 allow ip from any to any
>
>Однаком у мя работает для этой машины весь инет. А нужно, чтобы
>никакие порты не отвечали на запросы юзверя кроме тех, которые я
>перечислил.
>
>Спасибо вам огроменное!!!!
>
>С Уважением,
>Константин
Последнее правило должно быть deny ip from any to any