BSDPORTAL.RU
http://bsdportal.ru/

[ KB ] Настройка ipfw для шлюза под управлением FreeBSD.
http://bsdportal.ru/viewtopic.php?f=21&t=2944
Страница 1 из 1

Автор:  lcf [ Чт 30 сен, 2004 5:30 pm ]
Заголовок сообщения:  [ KB ] Настройка ipfw для шлюза под управлением FreeBSD.

Category: 7 Сети и FreeBSD
Article Type: Документация

Article Title: Настройка ipfw для шлюза под управлением FreeBSD.
Author: Fencer
Article Description: Данный документ описывает принцип построения цепочек правил для фильтрации ip трафика.

>>Читать текст статьи

Автор:  Kn1ght [ Чт 30 сен, 2004 6:28 pm ]
Заголовок сообщения: 

от блин.. лучшеб насчт pf расказали =)

Автор:  sys [ Чт 30 сен, 2004 7:04 pm ]
Заголовок сообщения: 

если кто pf знает опишите пример использования с комментариями

Автор:  Kn1ght [ Чт 30 сен, 2004 8:02 pm ]
Заголовок сообщения: 

эхх.. еслиб знал написал..

Автор:  sorrow [ Чт 30 сен, 2004 10:59 pm ]
Заголовок сообщения: 

Fencer
отличная статья - спасибо!

Автор:  Fencer [ Пт 01 окт, 2004 9:23 am ]
Заголовок сообщения: 

на здоровье :)

Автор:  emin [ Вс 24 окт, 2004 1:37 pm ]
Заголовок сообщения: 

Здрасьте. Хочу поделиться опытом реального применения материала данной статьи. Прежде всего: всё что тут написано правда и я не имею к автору никаких претензий.

Немного о себе: я значительное время работал исключительно в среде UNIX-like systems и тут мне понадобилось организовать шлюз под FreeBSD в конторе, где стоят сплошь винды да маки. Я применил всё это знание, а байты не бегут. Угрохал на диагностику массу времени. Причина оказалась крайне банальной: неправильно сконфигурированные Windows-клиенты. Собственно это лишь иллюстрация моей неопытности, однако может быть эта наука кому-то пригодится. Итак, если до FreeBSD на шлюзе уже работал какой-нибудь WinGate, это ничего не значит: необходимо переконфигурировать ВСЕХ клиентов полностью. Не только прописать им шлюз и DNS, но и проверить клиентский софт. Например выключить в настройках InternetExplorer proxy-server. Проверить не переписан ли у людей номер порта SMTP протокола в Outlook (мои умники зачем-то вписали в некоторых аккаунтах 24 вместо 25). Носом прорыть их аську. Чёрт их знает, что у них там в виндах настроено. НЕОБХОДИМО действовать с позиции ПРЕЗУМПЦИИ ВИНОВНОСТИ.

Автор:  formatc [ Пн 20 дек, 2004 1:59 pm ]
Заголовок сообщения: 

Спасибо, все очень понятно. А не могли бы Вы написать правило для работы за шлюзом почтового сервера с реальным ИП.
.... Да и еще надо открыть 7007 порт для определенного компа в сети (для работы с банком), я чего-о не могу никак это сделать :oops:

Автор:  binleon [ Чт 17 фев, 2005 4:47 pm ]
Заголовок сообщения: 

А как к этому делу привязать прозрачный прокси?
Форвардинг вида: ipfw add fwd 127.0.0.1,3128 tcp from <адрес внутренней сети> to any via ext_int забивает NAT и прокси все равно не работает. В качастве прокси стоит squid

Автор:  ch [ Пт 18 фев, 2005 8:35 am ]
Заголовок сообщения: 

По поводу pf. Я свой конфиг настраивал вот по этому
http://www.openbsd.ru/files/etc/pf.conf

Автор:  Morbid [ Пт 18 фев, 2005 10:23 am ]
Заголовок сообщения: 

binleon писал(а):
А как к этому делу привязать прозрачный прокси?
Форвардинг вида: ipfw add fwd 127.0.0.1,3128 tcp from <адрес внутренней сети> to any via ext_int забивает NAT и прокси все равно не работает. В качастве прокси стоит squid


Исходя из статьи и то что я ее мельком просмотрел складывается впечатление что ты не разрешил работу сквида.
Зри в сторону этой строки :)
for_lan="smtp,pop3,domain,http,https,ftp,ssh"
Тебе нужно сделать следущее
/etc/services
добавить название порта то биш
squid 3128(исходя из того что он у тебя слушает на нем или какой то другой порт)
и добавить в правило для локальной сети еще и squid. У тебя должно быть что то вроде
for_lan="smtp,pop3,domain,http,https,ftp,ssh,squid"
Вобщем ситуация такова. Почитай мануалы по поводу ipfw. И если правило не срабатывает то ты еге или не разрешил или что то упустил.

Автор:  Дмитрий [ Чт 16 фев, 2006 5:18 pm ]
Заголовок сообщения: 

подскажите пожалуста как настроить работу squida вместе с этими правилами (у меня PPPoE + ipfw+squid) заранее спасибо :roll:

Автор:  Дмитрий [ Вс 19 фев, 2006 2:45 pm ]
Заголовок сообщения: 

нашел ответ сам ......собака была зарыта здесь
${ipfw} add fwd 192.168.0.57,3128 tcp from any http to $ext_ip established все заработало в начале все пытался сделать как писал Morbid т.е. прописать squid 3128 в сервисах но непомогло. Щщас все работает одно плохо что из локалки получают инет как машины на которых настроено прокси в эксплоере так и на которых ненастроено а хотелось бы что бы последние ничего не получали если кто знает поделитесь спасибо

Автор:  dsa [ Пн 20 фев, 2006 2:17 am ]
Заголовок сообщения: 

Дмитрий именно строка ${ipfw} add fwd 192.168.0.57,3128 tcp from any http to $ext_ip established - делает прозрачный прокси. Т.е. в клиентах нет необходимости прописывать проки сервер. Если ее убрать то будут ходить только те, у кого явно прописано.

Автор:  Дмитрий [ Пн 20 фев, 2006 2:39 pm ]
Заголовок сообщения: 

Цитата:
Дмитрий именно строка ${ipfw} add fwd 192.168.0.57,3128 tcp from any http to $ext_ip established - делает прозрачный прокси. Т.е. в клиентах нет необходимости прописывать проки сервер. Если ее убрать то будут ходить только те, у кого явно прописано.

Спасибо это я понял но вот какими правилами сделать непрозрачный проксик именно в контексте правил которые предложил fencer? :P

Автор:  Дмитрий [ Вт 21 фев, 2006 9:29 am ]
Заголовок сообщения: 

:lol: это в смысле том что в правилах которые написал fencer для работы squida правил нет. А как сделать так что бы чтобы squid работал и проксик был непрозрачный ? ( т.е. на всех машинах нужно было проксик прописывать)
......безопасность прежде всего 8)

Автор:  afanasiy [ Пн 11 окт, 2010 4:18 pm ]
Заголовок сообщения: 

Ссылка умерла? Где можно найти эту статью?

Автор:  adanbaev [ Пт 03 июн, 2011 12:21 pm ]
Заголовок сообщения: 

afanasiy писал(а):
Ссылка умерла? Где можно найти эту статью?

Действительно. Тема актуальна, где можно найти статью?

Автор:  bugemot [ Пн 13 июн, 2011 3:46 pm ]
Заголовок сообщения: 

adanbaev писал(а):
afanasiy писал(а):
Ссылка умерла? Где можно найти эту статью?

Действительно. Тема актуальна, где можно найти статью?

посмотрите на дату создания темы, она давно уже умерла, документации
по ipfw полно, например тут http://www.lissyara.su

Страница 1 из 1 Часовой пояс: UTC + 4 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/