https://www.opennet.dev/openforum/vsluhforumID10/4610.html Здравствуйте! Поясните непонятный мне момент плиз.<br><br>1) Дано: локальная сеть (192.168.1.0), подключенная через шлюз (FreeBSD 7.2) к инету. Используется ipfw. Есть три категории пользователей: а) только хттп трафик через транспарент сквид; б) пользователи, имеющие дополнительно весь открытый https (порт 443); в) пользователи которым открыто всё. <br>Задача: дописать исключение, которое позволит пользователям "а" заходить на один единственный хттпс сайт (онлайн банк, для проверки своих зарплат).<br>Реализация:<br><br>#Zavorot http zaprosov na squid<br>${fwcmd} add fwd ${iip},3128 tcp from ${MyLan} to any 80 via bce0<br>#Enable protocol "https"<br>${fwcmd} add divert natd tcp from 192.168.1.7 to any 443 out via bce0<br>${fwcmd} add divert natd tcp from 192.168.1.33 to any 443 out via bce0<br>${fwcmd} add divert natd tcp from 192.168.1.15 to any 443 out via bce0<br>#Enable "https" na bank dlya vsex<br>${fwcmd} add divert natd tcp from any to BANK_IP 443 out via bce0<br># full access<br>${fwcmd} add divert natd tcp from 192.168.1.8 to any https://www.opennet.dev/openforum/vsluhforumID10/4610.html#10 Tue, 22 Jun 2010 07:29:03 GMT &gt;&gt;<br>&gt;&gt;&gt;natd_flags="-f /etc/natd.conf" <br>&gt;&gt;<br>&gt;&gt;А содержимое natd.conf можно привести (замазав реальный ip)? <br>&gt;<br>&gt;Конечно можно! <br>&gt;same_ports yes <br>&gt;use_sockets yes <br>&gt;unregistered_only yes <br>&gt;interface bce0 <br><br>Не, не проЯснивается :) Собака, надо понимать, порылась в возврате пакета после диверта на следующее правило для дальнейшего прохода по ipfw (хорошо бы уточнить значение net.inet.ip.fw.one_pass) и, возможно, некорректной отработке банковского, в которое попадают все на 443 порт. Как-то, чтоли, прикрутить логи на диверты, включить отладку ната, tcpdump-ить и смотреть... И еще: есть правило "диверт", которое встречает входящие извне пакеты?<br><br>ЗЫ. Я то тоже сильно "не волшебник". Просто интересно :)<br> https://www.opennet.dev/openforum/vsluhforumID10/4610.html#9 Thu, 17 Jun 2010 08:34:34 GMT &gt;<br>&gt;&gt;natd_flags="-f /etc/natd.conf" <br>&gt;<br>&gt;А содержимое natd.conf можно привести (замазав реальный ip)? <br><br>Конечно можно!<br>same_ports yes<br>use_sockets yes<br>unregistered_only yes<br>interface bce0<br><br><br> https://www.opennet.dev/openforum/vsluhforumID10/4610.html#8 Thu, 17 Jun 2010 06:13:34 GMT <br>&gt;natd_flags="-f /etc/natd.conf" <br><br>А содержимое natd.conf можно привести (замазав реальный ip)?<br> https://www.opennet.dev/openforum/vsluhforumID10/4610.html#7 Wed, 16 Jun 2010 19:42:25 GMT <br>&gt;<br>&gt;2) Никакое -)))) Там все правила состоят из целевых пробросов дивертов. Т.е. <br>&gt;пакеты проходят туда, куда диверт предусматривает, а если правила нет, то <br>&gt;они не натятся вообще. Помоему, логика человека, настраивающего этот фаервол до <br>&gt;меня, такая. <br>&gt;<br><br>ipfw list выдает <br>65535 allow ip from any to any<br> https://www.opennet.dev/openforum/vsluhforumID10/4610.html#6 Wed, 16 Jun 2010 19:13:55 GMT &gt;Для справки: <br>&gt;1. bce0 - внешний интерфейс? <br>&gt;2. Последнее правило - enable all/disable all? <br>&gt;3. Приведены все правила, касающиеся https? <br>&gt;4. Нат с какими ключами запущен? <br><br>1) Так точно.<br><br>2) Никакое -)))) Там все правила состоят из целевых пробросов дивертов. Т.е. пакеты проходят туда, куда диверт предусматривает, а если правила нет, то они не натятся вообще. Помоему, логика человека, настраивающего этот фаервол до меня, такая.<br><br>3) Относительно целевого разрешения хттпс - да, больше правил нет. Но, есть еще одно правило, через которое хттпс тоже работает - разрешающее вообще все порты на один из наших внешних айпи - почтовый сервер.<br><br>4) Через рц.конф<br>natd_enable="YES"<br>natd_interface="bce0"<br>natd_flags="-f /etc/natd.conf"<br><br><br><br> https://www.opennet.dev/openforum/vsluhforumID10/4610.html#5 Wed, 16 Jun 2010 06:42:32 GMT Для справки:<br>1. bce0 - внешний интерфейс?<br>2. Последнее правило - enable all/disable all?<br>3. Приведены все правила, касающиеся https?<br>4. Нат с какими ключами запущен?<br> https://www.opennet.dev/openforum/vsluhforumID10/4610.html#4 Thu, 10 Jun 2010 11:34:45 GMT <br>&gt;а кто сказал про прозрачный прокси, создаются acl-списки кому куда можно, а <br>&gt;кому нет, и с портами тоже самое. <br><br>Acl списки в чем? В сквиде? Сквид это и есть прокси, работающий, в моем случае, в прозрачном режиме. <br>В общем суть не в сквиде, и не в решении проблемы предоставления доступа. В этом я разобрался.<br><br>Вопрос в поведении ipfw, почему от перестановки мест двух разрешающих правил, происходит запрещающая ситуация?<br> https://www.opennet.dev/openforum/vsluhforumID10/4610.html#3 Thu, 10 Jun 2010 07:48:35 GMT &gt;<br>&gt;&gt;<br>&gt;&gt;Все ваши пожелания реализуются с помощью сквида ipfw тут не панацея <br>&gt;&gt;<br>&gt;<br>&gt;Транспарент сквид не проксирует ХТТПС. <br><br>а кто сказал про прозрачный прокси, создаются acl-списки кому куда можно, а кому нет, и с портами тоже самое.<br> https://www.opennet.dev/openforum/vsluhforumID10/4610.html#2 Thu, 10 Jun 2010 07:00:29 GMT <br>&gt;<br>&gt;Все ваши пожелания реализуются с помощью сквида ipfw тут не панацея <br>&gt;<br><br>Транспарент сквид не проксирует ХТТПС.<br>