https://slinkov.ru/openforum/vsluhforumID10/4314.html блокирую одноклассников вот этими правилами:<br>add 350 deny all from any to 81.177.141.0/16<br>add 360 deny all from any to 195.222.187.0/16<br>add 370 deny all from any to 212.119.208.0/16<br>add 380 deny all from any to 195.239.51.0/16<br>add 390 deny all from any to 62.105.140.0/16<br>все нормально, никого в однокласников не пускает.<br>хочу открыть однокласников для одного айпи:<br>add 313 allow all from 192.168.20.12 to 81.177.141.0/16<br>add 314 allow all from 192.168.20.12 to 195.222.187.0/16<br>add 315 allow all from 192.168.20.12 to 212.119.208.0/16<br>add 316 allow all from 192.168.20.12 to 195.239.51.0/16<br>add 317 allow all from 192.168.20.12 to 62.105.140.0/16<br>не пускает. в чем проблема? правила allow расположил выше правил deny.<br>firewall - ipfw.<br><br><br> https://slinkov.ru/openforum/vsluhforumID10/4314.html#10 Sat, 05 Sep 2009 16:45:24 GMT Думаю проблема в том, что есть НАТ. Если бы не было НАТа, то можно правило работало бы. А так в случае ната после трансляции под deny from any ваше правило не попадает для необходимого хоста, но попадает под запрет правило после трансляции - IP внешнего интерфейса блокируется.<br>Выходом является или уточнение в правилах ч-з какой интерфейс течет трафик, с использованием via $interface или выше этих правил разрешить исходящий трафик на внешнем интерфейсе с реального IP.<br><br>PS: а что делать с анонимными прокси-серверами? Ведь одноклассников можно смотреть и таким образом... Думаю я, что эти все блокирования это или мания величия админа, или тупость руководства, если думают, что в случае запрета сайтов типа Вконтакте или Одноклассники повысят работу офисного планктона... Платить людям надо и выгонять тунеядцев. А фильтровать только необходимый и ненужный/опасный трафик.<br><br>---<br>Удачи.<br> https://slinkov.ru/openforum/vsluhforumID10/4314.html#9 Fri, 31 Jul 2009 09:48:30 GMT &gt;Да нет, просто 350-390 правила переделать c "deny from any" на "deny <br>&gt;from 192.168.20.0/24"... <br><br>еще раз спасибо. все работает<br> https://slinkov.ru/openforum/vsluhforumID10/4314.html#8 Fri, 31 Jul 2009 07:08:36 GMT &gt;&gt;Кстати, 192.168.20.12 до одноклассников не достучится в любом случае. Т.к. из серого <br>&gt;&gt;диапазона. В интернет, небось, все ходят через нат или прокси? В <br>&gt;&gt;любом случае на выходе шлюза получаем пакет с исходящим адресом внешнего <br>&gt;&gt;интерфейса шлюза и успешно режем его правилами 350-390... <br>&gt;<br>&gt;да, через нат. <br>&gt;если открывать так всем. <br>&gt;спасибо <br><br>Да нет, просто 350-390 правила переделать c "deny from any" на "deny from 192.168.20.0/24"...<br> https://slinkov.ru/openforum/vsluhforumID10/4314.html#7 Fri, 31 Jul 2009 05:47:06 GMT &gt;Кстати, 192.168.20.12 до одноклассников не достучится в любом случае. Т.к. из серого <br>&gt;диапазона. В интернет, небось, все ходят через нат или прокси? В <br>&gt;любом случае на выходе шлюза получаем пакет с исходящим адресом внешнего <br>&gt;интерфейса шлюза и успешно режем его правилами 350-390... <br><br>да, через нат. <br>если открывать так всем.<br>спасибо<br><br> https://slinkov.ru/openforum/vsluhforumID10/4314.html#6 Fri, 31 Jul 2009 05:10:02 GMT &gt;&gt;<br>&gt;&gt;&gt;Правило 65535 что содержит? Оно всегда что-нибудь содержит... <br>&gt;&gt;<br>&gt;<br>&gt;запустил ipfw list <br>&gt;правило 65535 allow ip from any to any <br><br>Кстати, 192.168.20.12 до одноклассников не достучится в любом случае. Т.к. из серого диапазона. В интернет, небось, все ходят через нат или прокси? В любом случае на выходе шлюза получаем пакет с исходящим адресом внешнего интерфейса шлюза и успешно режем его правилами 350-390...<br> https://slinkov.ru/openforum/vsluhforumID10/4314.html#5 Fri, 31 Jul 2009 04:03:12 GMT &gt;<br>&gt;&gt;Правило 65535 что содержит? Оно всегда что-нибудь содержит... <br>&gt;<br><br>запустил ipfw list<br>правило 65535 allow ip from any to any<br><br> https://slinkov.ru/openforum/vsluhforumID10/4314.html#4 Thu, 30 Jul 2009 12:35:26 GMT <br>&gt;Правило 65535 что содержит? Оно всегда что-нибудь содержит... <br><br>такого правила нет. <br>если его прописать с allow from any to any то будут работать те allow?<br>или наоборот deny from any to any надо?...<br><br> https://slinkov.ru/openforum/vsluhforumID10/4314.html#3 Thu, 30 Jul 2009 11:10:31 GMT &gt;&gt;Под какие правила подпадает обратный траффик ("to all" и "to 192.168.20.12")? Под <br>&gt;&gt;последнее умолчальное - "65535 deny all from any to any"? <br>&gt;<br>&gt;такого (65535 deny all from any to any) правила не вписывал. <br><br>Правило 65535 что содержит? Оно всегда что-нибудь содержит...<br> https://slinkov.ru/openforum/vsluhforumID10/4314.html#2 Thu, 30 Jul 2009 09:37:03 GMT &gt;Под какие правила подпадает обратный траффик ("to all" и "to 192.168.20.12")? Под <br>&gt;последнее умолчальное - "65535 deny all from any to any"? <br><br>такого (65535 deny all from any to any) правила не вписывал.<br><br><br>