forum.opennet.ru - "Закрыть порты 80, 3128 для работы 8080(dansguardian)" (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Закрыть порты 80, 3128 для работы 8080(dansguardian)"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Закрыть порты 80, 3128 для работы 8080(dansguardian)"	+/–
Сообщение от httpal (ok) on 10-Июн-11, 08:17
Есть 3proxy и dansguardian, все работает! Осталось запретить клиентам все кроме 8080 порта, на котором работает dansguardian. Сейчас клиенты могут выходить в сеть без фильтрации через роутер freebsd (надо запретить 80 порт) и через порт 3proxy 3128 также в обход фильтра. В консоли ввел: ipfw add deny tcp from any to any 80 in via 192.168.100.1 Вот таблица ipfw: localhost# ipfw list 00100 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 00400 deny ip from any to ::1 00500 deny ip from ::1 to any 00600 allow ipv6-icmp from :: to ff02::/16 00700 allow ipv6-icmp from fe80::/10 to fe80::/10 00800 allow ipv6-icmp from fe80::/10 to ff02::/16 00900 allow ipv6-icmp from any to any ip6 icmp6types 1 01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136 65000 allow ip from any to any 65100 deny tcp from any to any dst-port 80 in via 192.168.100.1 65200 deny tcp from any to any dst-port 80 in via 192.168.100.1 65300 deny tcp from any to any dst-port 80 in via 192.168.100.1 65400 deny tcp from any to any dst-port 80 in via 192.168.100.1 65500 deny tcp from any to any dst-port 80 in via 192.168.100.1 65500 deny tcp from any to any dst-port 80 in via 192.168.1.2 65535 deny ip from any to any Помогите настроить, пожалуйста. Заранее благодарен.
Ответить \| Правка \| Cообщить модератору

Оглавление

Закрыть порты 80, 3128 для работы 8080(dansguardian), Нубос, 11:01 , 10-Июн-11, (1)

Закрыть порты 80, 3128 для работы 8080(dansguardian), httpal, 02:42 , 24-Июн-11, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "Закрыть порты 80, 3128 для работы 8080(dansguardian)" +/–

Сообщение от Нубос on 10-Июн-11, 11:01

>[оверквотинг удален]
> 65000 allow ip from any to any
> 65100 deny tcp from any to any dst-port 80 in via 192.168.100.1
> 65200 deny tcp from any to any dst-port 80 in via 192.168.100.1
> 65300 deny tcp from any to any dst-port 80 in via 192.168.100.1
> 65400 deny tcp from any to any dst-port 80 in via 192.168.100.1
> 65500 deny tcp from any to any dst-port 80 in via 192.168.100.1
> 65500 deny tcp from any to any dst-port 80 in via 192.168.1.2
> 65535 deny ip from any to any
> Помогите настроить, пожалуйста.
> Заранее благодарен.
Привет! Я не не знаком с ipfw, но по аналогии с цисковскими acl могу предположить, что тебе нужно сначала удалить 65000 условие - там ты разрешаешь ВЕСЬ IP трафик. ACL выполняется сверху вниз, поэтому до 65100 ты не дойдешь. Далее ты хочешь разрешить что именно? Трафик с dst port должен идти на 192.168.100.1 и 192.168.1.2? Весь остальной должен дропаться? так? тогда тебе нужно удалить ipfw delete 65000. и создать такое же но 65600 например. может проще разрешить все на 8080 и запретить все остальное?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Закрыть порты 80, 3128 для работы 8080(dansguardian)" +/–

Сообщение от httpal (ok) on 24-Июн-11, 02:42

Нужно оставить доступ для:
ssh (20)
webmin(10000)
dansguardian (8080)
почта для клиентов сети 192.168.100.0

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Закрыть порты 80, 3128 для работы 8080(dansguardian)"	+/–
Сообщение от Нубос on 10-Июн-11, 11:01
>[оверквотинг удален] > 65000 allow ip from any to any > 65100 deny tcp from any to any dst-port 80 in via 192.168.100.1 > 65200 deny tcp from any to any dst-port 80 in via 192.168.100.1 > 65300 deny tcp from any to any dst-port 80 in via 192.168.100.1 > 65400 deny tcp from any to any dst-port 80 in via 192.168.100.1 > 65500 deny tcp from any to any dst-port 80 in via 192.168.100.1 > 65500 deny tcp from any to any dst-port 80 in via 192.168.1.2 > 65535 deny ip from any to any > Помогите настроить, пожалуйста. > Заранее благодарен. Привет! Я не не знаком с ipfw, но по аналогии с цисковскими acl могу предположить, что тебе нужно сначала удалить 65000 условие - там ты разрешаешь ВЕСЬ IP трафик. ACL выполняется сверху вниз, поэтому до 65100 ты не дойдешь. Далее ты хочешь разрешить что именно? Трафик с dst port должен идти на 192.168.100.1 и 192.168.1.2? Весь остальной должен дропаться? так? тогда тебе нужно удалить ipfw delete 65000. и создать такое же но 65600 например. может проще разрешить все на 8080 и запретить все остальное?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Закрыть порты 80, 3128 для работы 8080(dansguardian)"	+/–
	Сообщение от httpal (ok) on 24-Июн-11, 02:42
	Нужно оставить доступ для: ssh (20) webmin(10000) dansguardian (8080) почта для клиентов сети 192.168.100.0
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору