Версия для распечатки

Пред. тема | След. тема

Новые ответы

[ Отслеживать ]

ipfw,

smartkz, 13-Июл-04, 14:33 [смотреть все]

Здравствуйте.
Подскажите как настроить правило чтоб IP 192.168.1.1 имел выход в инет только на сайт mail.ru ????

Ответить | Сообщить модератору

ipfw, jr, 14:53 , 13-Июл-04 (1)
>Здравствуйте.
>Подскажите как настроить правило чтоб IP 192.168.1.1 имел выход в инет только
>на сайт mail.ru ????
# ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http
# ipfw add 501 allow tcp from mail.ru http to 192.168.1.1
# ipfw add 502 deny ip from 192.168.1.1 to any
Ответить | Сообщить модератору

ipfw, toor99, 14:58 , 13-Июл-04 (2)
>>Здравствуйте.
>>Подскажите как настроить правило чтоб IP 192.168.1.1 имел выход в инет только
>>на сайт mail.ru ????
>
># ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http
># ipfw add 501 allow tcp from mail.ru http to 192.168.1.1
># ipfw add 502 deny ip from 192.168.1.1 to any
Угу, и у него немедленно отвалится резолвинг имен, а может быть, и не только.
К тому же, если там NAT, то важен порядок правил. А если http-прокси, то это надо делать вообще не через ipfw.
Ответить | Сообщить модератору

ipfw, smartkz, 15:01 , 13-Июл-04 (3)
>>>Здравствуйте.
>>>Подскажите как настроить правило чтоб IP 192.168.1.1 имел выход в инет только
>>>на сайт mail.ru ????
>>
>># ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http
>># ipfw add 501 allow tcp from mail.ru http to 192.168.1.1
>># ipfw add 502 deny ip from 192.168.1.1 to any
>
>Угу, и у него немедленно отвалится резолвинг имен, а может быть, и
>не только.
>К тому же, если там NAT, то важен порядок правил. А если
>http-прокси, то это надо делать вообще не через ipfw.

у меня нат
прокси нет
Ответить | Сообщить модератору

ipfw, toor99, 15:12 , 13-Июл-04 (4)
>>>>Здравствуйте.
>>>>Подскажите как настроить правило чтоб IP 192.168.1.1 имел выход в инет только
>>>>на сайт mail.ru ????
>>>
>>># ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http
>>># ipfw add 501 allow tcp from mail.ru http to 192.168.1.1
>>># ipfw add 502 deny ip from 192.168.1.1 to any
>>
>>Угу, и у него немедленно отвалится резолвинг имен, а может быть, и
>>не только.
>>К тому же, если там NAT, то важен порядок правил. А если
>>http-прокси, то это надо делать вообще не через ipfw.
>
>
>у меня нат
>прокси нет
Тогда эти правила надо ставить до диверта в natd и с уточнением, что они in (внутренний интерфейс). Плюс добавить, как минимум, разрешение для пакетов UDP на 53 порт твоего DNS (и для ответных тоже, конечно).
Ответить | Сообщить модератору
ipfw, toor99, 15:14 , 13-Июл-04 (5)
пардон - вот это in via {inner_iface}
>>># ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http
а это, соответственно, out via {inner_iface}
>>># ipfw add 501 allow tcp from mail.ru http to 192.168.1.1
а это просто via {inner_iface}
>>># ipfw add 502 deny ip from 192.168.1.1 to any
Ответить | Сообщить модератору

ipfw, jr, 09:02 , 14-Июл-04 (6)
>Угу, и у него немедленно отвалится резолвинг имен, а может быть, и
>не только.
>К тому же, если там NAT, то важен порядок правил. А если
>http-прокси, то это надо делать вообще не через ipfw.
а я не говорил, что это конечное решение... это только ход мыслей :)
Ответить | Сообщить модератору