Здравстуйте!Помогите, пожалуйста!
Как сделать так, чтобы некоторые компутеры сети имели доступ в инет только по портам почты 23,25,110,540. У меня настроен IPFW и как и в каком порядке нужно прописывать правила.
Я прописал правила:
/sbin/ipfw add 00023 pass tcp from 192.168.0.16 23,25,110,540 to any
/sbin/ipfw add 00024 pass tcp from any to 192.168.0.16 23,25,110,540
/sbin/ipfw add 00110 divert natd ip from 192.168.0.16 to any out via dc0
/sbin/ipfw add 00131 allow ip from 192.168.0.16 to any
/sbin/ipfw add 00132 allow ip from any to 192.168.0.16
/sbin/ipfw add 00210 deny ip from 192.168.0.0/24 to any
/sbin/ipfw add 00211 deny ip from any to 192.168.0.0/24
/sbin/ipfw add 00300 allow ip from any to anyОднаком у мя работает для этой машины весь инет. А нужно, чтобы никакие порты не отвечали на запросы юзверя кроме тех, которые я перечислил.
Спасибо вам огроменное!!!!
С Уважением,
Константин
.....
>Здравстуйте!
>
>Помогите, пожалуйста!
>Как сделать так, чтобы некоторые компутеры сети имели доступ в инет только
>по портам почты 23,25,110,540. У меня настроен IPFW и как и
>в каком порядке нужно прописывать правила.
>Я прописал правила:
>/sbin/ipfw add 00023 pass tcp from 192.168.0.16 23,25,110,540 to any
>/sbin/ipfw add 00024 pass tcp from any to 192.168.0.16 23,25,110,540
>/sbin/ipfw add 00110 divert natd ip from 192.168.0.16 to any out via
>dc0
>/sbin/ipfw add 00131 allow ip from 192.168.0.16 to any
>/sbin/ipfw add 00132 allow ip from any to 192.168.0.16
>/sbin/ipfw add 00210 deny ip from 192.168.0.0/24 to any
>/sbin/ipfw add 00211 deny ip from any to 192.168.0.0/24
>/sbin/ipfw add 00300 allow ip from any to any
>
>Однаком у мя работает для этой машины весь инет. А нужно, чтобы
>никакие порты не отвечали на запросы юзверя кроме тех, которые я
>перечислил.
>
>Спасибо вам огроменное!!!!
>
>С Уважением,
>Константин
Сам прочитай что написал, пронеси любой пакет вручную через твои правила, тогда поймеш однако.
Большое пожалуйста.
>>Здравстуйте!
>>
>>Помогите, пожалуйста!
>>Как сделать так, чтобы некоторые компутеры сети имели доступ в инет только
>>по портам почты 23,25,110,540. У меня настроен IPFW и как и
>>в каком порядке нужно прописывать правила.
>>Я прописал правила:
>>/sbin/ipfw add 00023 pass tcp from 192.168.0.16 23,25,110,540 to any
>>/sbin/ipfw add 00024 pass tcp from any to 192.168.0.16 23,25,110,540
>>/sbin/ipfw add 00110 divert natd ip from 192.168.0.16 to any out via
>>dc0
>>/sbin/ipfw add 00131 allow ip from 192.168.0.16 to any
>>/sbin/ipfw add 00132 allow ip from any to 192.168.0.16
>>/sbin/ipfw add 00210 deny ip from 192.168.0.0/24 to any
>>/sbin/ipfw add 00211 deny ip from any to 192.168.0.0/24
>>/sbin/ipfw add 00300 allow ip from any to any
>>
>>Однаком у мя работает для этой машины весь инет. А нужно, чтобы
>>никакие порты не отвечали на запросы юзверя кроме тех, которые я
>>перечислил.
>>
>>Спасибо вам огроменное!!!!
>>
>>С Уважением,
>>Константин
>
>
>Сам прочитай что написал, пронеси любой пакет вручную через твои правила, тогда
>поймеш однако.
>Большое пожалуйста.
/sbin/ipfw add 00023 pass tcp from 192.168.0.16 23,25,110,540 to any
/sbin/ipfw add 00024 pass tcp from any to 192.168.0.16 23,25,110,540
/sbin/ipfw add 00110 divert natd ip from 192.168.0.16 to any via
dc0
<Правила для внешнего интерфейса>
/sbin/ipfw add 00300 deny ip from any to anyИ незабудь про ДНС
>Здравстуйте!
>
>Помогите, пожалуйста!
>Как сделать так, чтобы некоторые компутеры сети имели доступ в инет только
>по портам почты 23,25,110,540. У меня настроен IPFW и как и
>в каком порядке нужно прописывать правила.
>Я прописал правила:
>/sbin/ipfw add 00023 pass tcp from 192.168.0.16 23,25,110,540 to any
>/sbin/ipfw add 00024 pass tcp from any to 192.168.0.16 23,25,110,540
>/sbin/ipfw add 00110 divert natd ip from 192.168.0.16 to any out via
>dc0
>/sbin/ipfw add 00131 allow ip from 192.168.0.16 to any
>/sbin/ipfw add 00132 allow ip from any to 192.168.0.16
>/sbin/ipfw add 00210 deny ip from 192.168.0.0/24 to any
>/sbin/ipfw add 00211 deny ip from any to 192.168.0.0/24
>/sbin/ipfw add 00300 allow ip from any to any
>
>Однаком у мя работает для этой машины весь инет. А нужно, чтобы
>никакие порты не отвечали на запросы юзверя кроме тех, которые я
>перечислил.
>
>Спасибо вам огроменное!!!!
>
>С Уважением,
>Константин
Последнее правило должно быть deny ip from any to any