Как запретить локальным пользователам получать почту с mail.ru и тому подобных, через бат, т е не дать им коннектиться на 25 и 110 порт из локальной сети наружу.Я новичок в IPFW, подкиньте правило плиз.
Спасибо всем.
Ну можно например так
ipfw add deny tcp from any to any 25 via ETHETH - внешний интерфейс
>Ну можно например так
>ipfw add deny tcp from any to any 25 via ETH
>
>ETH - внешний интерфейсСпасибо!
Еще вопросик...
r.conf:
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_type="/etc/ipfw.conf"ipfw.conf:
....
# ICQ
add 2000 pipe 2000 tcp from any to any 5190 via rl0
add 2001 skipto 65535 tcp from any to any 5190 via rl0
pipe 2000 config bw 128Kbit/s
....как ручками подгружать ipfw.conf после изменения?
>>Ну можно например так
>>ipfw add deny tcp from any to any 25 via ETH
>>
>>ETH - внешний интерфейс
>
>Спасибо!
>
>Еще вопросик...
>
>r.conf:
>firewall_enable="YES"
>firewall_script="/etc/rc.firewall"
>firewall_type="/etc/ipfw.conf"
^^^^^^^^^^^^^^^ - на скока я знаю тут пишется тип файрволла из доступных в rc.firewall, наприме open, client и т.д.А то, что у тебя в ipfw.conf написано нужно в нужном месте rc.firewall писать, в зависимости от firewall_type.
А как перезапустить rc.firewall без перезагрузки фрюхи я не знаю... Можно конечно сделать его исполняемым и не использовать firewall_type и просто запускать его после внесения изменений... но как-то это не правильно... Может кто знает как это сделать скажите.
перезапуск просто из командной строки, НО ТОЛЬКО НЕ УДАЛЕННО )
если удаленно то по крону с правами суперпользователя
my_host#sh /etc/rc.firewall
Удачи.
>перезапуск просто из командной строки, НО ТОЛЬКО НЕ УДАЛЕННО )
>если удаленно то по крону с правами суперпользователя
>my_host#sh /etc/rc.firewall
>Удачи.А он правильно firewall_type из rc.conf определит? А почему не удалённо?
>>>Ну можно например так
>>>ipfw add deny tcp from any to any 25 via ETH
>>>
>>>ETH - внешний интерфейс
>>
>>Спасибо!
>>
>>Еще вопросик...
>>
>>r.conf:
>>firewall_enable="YES"
>>firewall_script="/etc/rc.firewall"
>>firewall_type="/etc/ipfw.conf"
>
> ^^^^^^^^^^^^^^^ - на скока я знаю тут
>пишется тип файрволла из доступных в rc.firewall, наприме open, client и
>т.д.тут может быть написан и путь к файлу с правилами:
man rc.conf:
...
firewall_type
(str) Names the firewall type from the selection in /etc/rc.firewall, or the file which contains the local firewall ruleset.
...>
>А то, что у тебя в ipfw.conf написано нужно в нужном месте
>rc.firewall писать, в зависимости от firewall_type.
>не обязательно (а ИМХО и вообще не нужно) писать в rc.firewall. Пишешь свой набор правил , обзываешь как хочешь - тут это ipfw.conf, и в /etc/rc.conf прописываешь firewall_script="/etc/ipfw.conf". firewall_type убираешь вообще.
>А как перезапустить rc.firewall без перезагрузки фрюхи я не знаю... Можно конечно
>сделать его исполняемым и не использовать firewall_type и просто запускать его
>после внесения изменений... но как-то это не правильно... Может кто знает
>как это сделать скажите.так и делать
sh /etc/ipfw.conf с консоли. Удаленно (как тут уже ниже написали) так лучше не делать ;) Почему - man ipfw:...
-q
While adding, zeroing, resetlogging or flushing, be quiet about actions (implies -f). This is useful for adjusting rules by executing multiple ipfw commands in a script (e.g.,`sh /etc/rc.firewall'), or by processing a file of many ipfw rules across a remote login session. If a flush is performed in normal (verbose) mode (with the default kernel configuration), it prints a message. Because all rules are flushed, the message might not be delivered to the login session, causing the remote login session to be closed and the remainder of the ruleset to not be processed. Access to the console would then be required to recover.
...
>>>>Ну можно например так
>>>>ipfw add deny tcp from any to any 25 via ETH
>>>>
>>>>ETH - внешний интерфейс
>>>
>>>Спасибо!
>>>
>>>Еще вопросик...
>>>
>>>r.conf:
>>>firewall_enable="YES"
>>>firewall_script="/etc/rc.firewall"
>>>firewall_type="/etc/ipfw.conf"
>>
>> ^^^^^^^^^^^^^^^ - на скока я знаю тут
>>пишется тип файрволла из доступных в rc.firewall, наприме open, client и
>>т.д.
>
>тут может быть написан и путь к файлу с правилами:
>man rc.conf:
>...
>firewall_type
>(str) Names the firewall type from the selection in /etc/rc.firewall, or the
>file which contains the local firewall ruleset.
>...
>
>>
>>А то, что у тебя в ipfw.conf написано нужно в нужном месте
>>rc.firewall писать, в зависимости от firewall_type.
>>
>
>не обязательно (а ИМХО и вообще не нужно) писать в rc.firewall. Пишешь
>свой набор правил , обзываешь как хочешь - тут это ipfw.conf,
>и в /etc/rc.conf прописываешь firewall_script="/etc/ipfw.conf". firewall_type убираешь вообще.
>
>>А как перезапустить rc.firewall без перезагрузки фрюхи я не знаю... Можно конечно
>>сделать его исполняемым и не использовать firewall_type и просто запускать его
>>после внесения изменений... но как-то это не правильно... Может кто знает
>>как это сделать скажите.
>
>так и делать
>sh /etc/ipfw.conf с консоли. Удаленно (как тут уже ниже написали) так лучше
>не делать ;) Почему - man ipfw:
>
>...
>-q
>While adding, zeroing, resetlogging or flushing, be quiet about actions (implies -f).
> This is useful for adjusting rules by executing multiple ipfw
>commands in a script (e.g.,`sh /etc/rc.firewall'), or by processing a file
>of many ipfw rules across a remote login session. If
>a flush is performed in normal (verbose) mode (with the default
>kernel configuration), it prints a message. Because all rules are
>flushed, the message might not be delivered to the login session,
>causing the remote login session to be closed and the remainder
>of the ruleset to not be processed. Access to the
>console would then be required to recover.
>...ipfw.conf не исполняемый! и с него все грузиться ок...
>ipfw.conf не исполняемый! и с него все грузиться ок...ну я и не писАла что он должен быть исполняемым ;)
грузится - ок
а чтобы из консоли - sh ipfw.conf
суть была в этом ;)
>>ipfw.conf не исполняемый! и с него все грузиться ок...
>
>ну я и не писАла что он должен быть исполняемым ;)
>грузится - ок
>а чтобы из консоли - sh ipfw.conf
>суть была в этом ;)Вот пример, не исполняемый ipfw.conf
add 100 deny tcp from any to any 25 via rl0
add 110 deny tcp from any to any 110 via rl0попробуй из консоли sh ipfw.conf .... ;)
>>>ipfw.conf не исполняемый! и с него все грузиться ок...
>>
>>ну я и не писАла что он должен быть исполняемым ;)
>>грузится - ок
>>а чтобы из консоли - sh ipfw.conf
>>суть была в этом ;)
>
>Вот пример, не исполняемый ipfw.conf
>
>add 100 deny tcp from any to any 25 via rl0
>add 110 deny tcp from any to any 110 via rl0
>
>попробуй из консоли sh ipfw.conf .... ;)не смешно...
ipfw add ...и при чем тут исполняемый или нет - оно и так и так не будет работать
>>>>ipfw.conf не исполняемый! и с него все грузиться ок...
>>>
>>>ну я и не писАла что он должен быть исполняемым ;)
>>>грузится - ок
>>>а чтобы из консоли - sh ipfw.conf
>>>суть была в этом ;)
>>
>>Вот пример, не исполняемый ipfw.conf
>>
>>add 100 deny tcp from any to any 25 via rl0
>>add 110 deny tcp from any to any 110 via rl0
>>
>>попробуй из консоли sh ipfw.conf .... ;)
>
>не смешно...
>ipfw add ...
>
>и при чем тут исполняемый или нет - оно и так и
>так не будет работатьЭто мне понятно, тока вот в чем радость, в /etc на рабочем серваке лежит этот файл и именно в таком виде без ipfw и как то успешно грузится при ребуте.
Вот и вопрос мой был как?
Есть соображения, покажу что надо :)
>Ну можно например так
>ipfw add deny tcp from any to any 25 via ETH
>
>ETH - внешний интерфейстаким образом мы прикрываем абсолютно всю почту. если идти по пути "открыто все, закрываем что-то", лучше написать
ipfw add deny tcp from 192.168.0.0/24 to any 25
192.168.0.0/24 - это наша внутреняя сеть.
>>Ну можно например так
>>ipfw add deny tcp from any to any 25 via ETH
>>
>>ETH - внешний интерфейс
>
>таким образом мы прикрываем абсолютно всю почту. если идти по пути "открыто
>все, закрываем что-то", лучше написать
>
>ipfw add deny tcp from 192.168.0.0/24 to any 25
>
>192.168.0.0/24 - это наша внутреняя сеть.Да да, спасибо, уже подходил к этому... :)