- ipfw,
jr, 14:53 , 13-Июл-04 (1)>Здравствуйте. >Подскажите как настроить правило чтоб IP 192.168.1.1 имел выход в инет только >на сайт mail.ru ???? # ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http # ipfw add 501 allow tcp from mail.ru http to 192.168.1.1 # ipfw add 502 deny ip from 192.168.1.1 to any
- ipfw,
toor99, 14:58 , 13-Июл-04 (2)>>Здравствуйте. >>Подскажите как настроить правило чтоб IP 192.168.1.1 имел выход в инет только >>на сайт mail.ru ???? > ># ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http ># ipfw add 501 allow tcp from mail.ru http to 192.168.1.1 ># ipfw add 502 deny ip from 192.168.1.1 to any Угу, и у него немедленно отвалится резолвинг имен, а может быть, и не только. К тому же, если там NAT, то важен порядок правил. А если http-прокси, то это надо делать вообще не через ipfw.
- ipfw,
smartkz, 15:01 , 13-Июл-04 (3)>>>Здравствуйте. >>>Подскажите как настроить правило чтоб IP 192.168.1.1 имел выход в инет только >>>на сайт mail.ru ???? >> >># ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http >># ipfw add 501 allow tcp from mail.ru http to 192.168.1.1 >># ipfw add 502 deny ip from 192.168.1.1 to any > >Угу, и у него немедленно отвалится резолвинг имен, а может быть, и >не только. >К тому же, если там NAT, то важен порядок правил. А если >http-прокси, то это надо делать вообще не через ipfw. у меня нат прокси нет
- ipfw,
toor99, 15:12 , 13-Июл-04 (4)>>>>Здравствуйте. >>>>Подскажите как настроить правило чтоб IP 192.168.1.1 имел выход в инет только >>>>на сайт mail.ru ???? >>> >>># ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http >>># ipfw add 501 allow tcp from mail.ru http to 192.168.1.1 >>># ipfw add 502 deny ip from 192.168.1.1 to any >> >>Угу, и у него немедленно отвалится резолвинг имен, а может быть, и >>не только. >>К тому же, если там NAT, то важен порядок правил. А если >>http-прокси, то это надо делать вообще не через ipfw. > > >у меня нат >прокси нет Тогда эти правила надо ставить до диверта в natd и с уточнением, что они in (внутренний интерфейс). Плюс добавить, как минимум, разрешение для пакетов UDP на 53 порт твоего DNS (и для ответных тоже, конечно). - ipfw,
toor99, 15:14 , 13-Июл-04 (5)пардон - вот это in via {inner_iface} >>># ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http а это, соответственно, out via {inner_iface} >>># ipfw add 501 allow tcp from mail.ru http to 192.168.1.1 а это просто via {inner_iface} >>># ipfw add 502 deny ip from 192.168.1.1 to any
- ipfw,
jr, 09:02 , 14-Июл-04 (6)>Угу, и у него немедленно отвалится резолвинг имен, а может быть, и >не только. >К тому же, если там NAT, то важен порядок правил. А если >http-прокси, то это надо делать вообще не через ipfw. а я не говорил, что это конечное решение... это только ход мыслей :)
|