форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (BSD ipfw, ipf, ip-filter / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"IPWF нужно работать с VPN сервером в интернете"	+/–
Сообщение от iwizzy (ok) on 10-Июл-11, 04:33
Здравствуйте подскажите пож-то срочно нужно но нет времени читать мануал. Обязуюсь выучить наизусть после проделанной работе! Есть сервер на FreeBSD дальше наша корпоративная сеть Краткая схема: Интернет <---> FreeBSD <---> Lan Corporativ 10.0.1.* Клиенты в сети получают интернет через Squid все хорошо, но некоторым пришлось соединится к VPN серверам в интернете. Естественно через Squid не получается. Даю им полную "халяву" в /etc/ipfw.conf ipfw add 41550 allow ip from 10.0.1.17 to any via xl0   #User VPN ipfw add 41560 allow ip from any to 10.0.1.17 via xl0   #User VPN Все работают отлично. Работают там на удаленном сервере через FreeBSD. Но мне вот не спится, что я им заодно и доступ в интернет дал из-за этого VPN. Как запретить все, но оставить им соединятся с удаленным сервером в интернете? Спасибо за помощь! кто откликнулся.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "IPWF нужно работать с VPN сервером в интернете"	+/–
Сообщение от Aquarius (ok) on 10-Июл-11, 10:34
> Здравствуйте подскажите пож-то срочно нужно но нет времени читать мануал. Обязуюсь выучить > наизусть после проделанной работе! сначала прочитай руководство по задаванию вопросов на форумах и в списках рассылки >[оверквотинг удален] > в /etc/ipfw.conf > ipfw add 41550 allow ip from 10.0.1.17 to any via xl0   >  #User VPN > ipfw add 41560 allow ip from any to 10.0.1.17 via xl0   >  #User VPN > Все работают отлично. Работают там на удаленном сервере через FreeBSD. Но мне > вот не спится, что я им заодно и доступ в интернет > дал из-за этого VPN. > Как запретить все, но оставить им соединятся с удаленным сервером в интернете? > Спасибо за помощь! кто откликнулся. а что за VPN?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPWF нужно работать с VPN сервером в интернете"	+/–
Сообщение от михалыч (ok) on 10-Июл-11, 11:37
> Клиенты в сети получают интернет через Squid все хорошо, но некоторым пришлось > соединится к VPN серверам в интернете. Естественно через Squid не получается. С какого перепугу это "естественно"? Как раз таки нет. В огороде бузина, а в Киеве - дядька. Причем здесь сквид и VPN? Одно другому не должно мешать. Или вы что, завернули на сквид вообще _ВЕСЬ_ трафик, не только предназначенный 80 порту? > Даю им полную "халяву" > в /etc/ipfw.conf > ipfw add 41550 allow ip from 10.0.1.17 to any via xl0 > ipfw add 41560 allow ip from any to 10.0.1.17 via xl0 > Все работают отлично. Работают там на удаленном сервере через FreeBSD. Но мне > вот не спится, что я им заодно и доступ в интернет > дал из-за этого VPN. Ну таким образом, конечно, разрешили все. Хоть во двор, хоть в коридор.. :)) > Как запретить все, но оставить им соединятся с удаленным сервером в интернете? У VPN серверов IP адрес есть? Есть. Ну так и разрешите вначале тем кому нужно коннект к этим IP, а после этого зарубайте все остальное, чего проще-то!?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "IPWF нужно работать с VPN сервером в интернете"	+/–
	Сообщение от Aquarius (ok) on 10-Июл-11, 14:44
	>> Клиенты в сети получают интернет через Squid все хорошо, но некоторым пришлось >> соединится к VPN серверам в интернете. Естественно через Squid не получается. > С какого перепугу это "естественно"? > Как раз таки нет. > В огороде бузина, а в Киеве - дядька. > Причем здесь сквид и VPN? > Одно другому не должно мешать. > Или вы что, завернули на сквид вообще _ВЕСЬ_ трафик, > не только предназначенный 80 порту? нука-нука! расскажите-ка нам, как вы через squid что-то кроме tcp пропускать будете >[оверквотинг удален] >> Все работают отлично. Работают там на удаленном сервере через FreeBSD. Но мне >> вот не спится, что я им заодно и доступ в интернет >> дал из-за этого VPN. > Ну таким образом, конечно, разрешили все. Хоть во двор, хоть в коридор.. > :)) >> Как запретить все, но оставить им соединятся с удаленным сервером в интернете? > У VPN серверов IP адрес есть? > Есть. Ну так и разрешите вначале тем кому нужно коннект к этим > IP, > а после этого зарубайте все остальное, чего проще-то!?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "IPWF нужно работать с VPN сервером в интернете"	+/–
	Сообщение от iwizzy (ok) on 10-Июл-11, 14:53
	Я не хочу трогать squid он работает на 3128 порту и пускай себе работает. Хочу просто определенным машинам дать просто возможно подключатся к серверу удаленному в интернете через впн, не затрагивая squid и не раздавая им интернета. Интернет им не нужен. Я знаю что рыться надо где-то ipfw. Может кто правила подскажет хотя бы. Сервер ВПН - Интернет - фрибсд - юзер 1 (настроен ВПН к подключению к сервверу) а то этими правила им разрешается все в /etc/ipfw.conf ipfw add 41550 allow ip from 10.0.1.17 to any via xl0   #User VPN ipfw add 41560 allow ip from any to 10.0.1.17 via xl0   #User VPN
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "IPWF нужно работать с VPN сервером в интернете"	+/–
	Сообщение от Aquarius (ok) on 10-Июл-11, 16:20
	>[оверквотинг удален] > Я знаю что рыться надо где-то ipfw. Может кто правила подскажет хотя > бы. > Сервер ВПН - Интернет - фрибсд - юзер 1 (настроен ВПН к > подключению к сервверу) > а то этими правила им разрешается все > в /etc/ipfw.conf > ipfw add 41550 allow ip from 10.0.1.17 to any via xl0   >  #User VPN > ipfw add 41560 allow ip from any to 10.0.1.17 via xl0   >  #User VPN а на вопрос можете ответить? P.S. за то время, что вы время тянете, могли бы все уже выучить, разобраться и настроить
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "IPWF нужно работать с VPN сервером в интернете"	+/–
	Сообщение от iwizzy (ok) on 10-Июл-11, 16:22
	>[оверквотинг удален] >> бы. >> Сервер ВПН - Интернет - фрибсд - юзер 1 (настроен ВПН к >> подключению к сервверу) >> а то этими правила им разрешается все >> в /etc/ipfw.conf > а на вопрос можете ответить? >> ipfw add 41550 allow ip from 10.0.1.17 to any via xl0 >>  #User VPN >> ipfw add 41560 allow ip from any to 10.0.1.17 via xl0 >>  #User VPN Так клиенты работают со своим удаленным сервером их все устраивает, но хотелось бы закрыть им интернет, отставить только возможность подключаться к их впн серверу
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "IPWF нужно работать с VPN сервером в интернете"	+/–
	Сообщение от Aquarius (ok) on 10-Июл-11, 16:33
	>[оверквотинг удален] >>> а то этими правила им разрешается все >>> в /etc/ipfw.conf >> а на вопрос можете ответить? >>> ipfw add 41550 allow ip from 10.0.1.17 to any via xl0 >>>  #User VPN >>> ipfw add 41560 allow ip from any to 10.0.1.17 via xl0 >>>  #User VPN > Так клиенты работают со своим удаленным сервером их все устраивает, но хотелось > бы закрыть им интернет, отставить только возможность подключаться к их впн > серверу а ответ на вопрос где?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "IPWF нужно работать с VPN сервером в интернете"	+/–
	Сообщение от iwizzy (ok) on 10-Июл-11, 16:35
	>[оверквотинг удален] >>>> в /etc/ipfw.conf >>> а на вопрос можете ответить? >>>> ipfw add 41550 allow ip from 10.0.1.17 to any via xl0 >>>>  #User VPN >>>> ipfw add 41560 allow ip from any to 10.0.1.17 via xl0 >>>>  #User VPN >> Так клиенты работают со своим удаленным сервером их все устраивает, но хотелось >> бы закрыть им интернет, отставить только возможность подключаться к их впн >> серверу > а ответ на вопрос где? На какой вопрос? Я вообще-то ответ хочу получить
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "IPWF нужно работать с VPN сервером в интернете"	+1 +/–
	Сообщение от михалыч (ok) on 10-Июл-11, 16:50
	>[оверквотинг удален] >>>>> ipfw add 41550 allow ip from 10.0.1.17 to any via xl0 >>>>>  #User VPN >>>>> ipfw add 41560 allow ip from any to 10.0.1.17 via xl0 >>>>>  #User VPN >>> Так клиенты работают со своим удаленным сервером их все устраивает, но хотелось >>> бы закрыть им интернет, отставить только возможность подключаться к их впн >>> серверу >> а ответ на вопрос где? > На какой вопрос? > Я вообще-то ответ хочу получить Гы-ы-ы.. И так ВПН-серверу принадлежит IP 1.2.3.4 Тогда пишем такую х-и-и-и-трую и архисложную конструкцию ipfw add 41550 allow all from 1.2.3.4 to 10.0.1.17 via xl0 ipfw add 41560 allow all from 10.0.1.17 to 1.2.3.4 via xl0 ipfw add 41570 deny all from any to 10.0.1.17 via xl0 ipfw add 41580 deny all from 10.0.1.17 to any via xl0 Что там у вас выше правил 41550 и ниже 41560 (41580) история стыдливо умалчивает ))
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "IPWF нужно работать с VPN сервером в интернете"	+/–
	Сообщение от iwizzy (ok) on 10-Июл-11, 16:53
	>[оверквотинг удален] >> Я вообще-то ответ хочу получить > Гы-ы-ы.. > И так ВПН-серверу принадлежит IP 1.2.3.4 > Тогда пишем такую х-и-и-и-трую и архисложную конструкцию > ipfw add 41550 allow all from 1.2.3.4 to 10.0.1.17 via xl0 > ipfw add 41560 allow all from 10.0.1.17 to 1.2.3.4 via xl0 > ipfw add 41570 deny all from any to 10.0.1.17 via xl0 > ipfw add 41580 deny all from 10.0.1.17 to any via xl0 > Что там у вас выше правил 41550 и ниже 41560 (41580) история > стыдливо умалчивает )) Во! Михалыч свой человек попробую отпишусь пустило ли они приконектится к 1.2.3.4 Спасибо! Буду пробывать.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "IPWF нужно работать с VPN сервером в интернете"	+/–
	Сообщение от Aquarius (ok) on 10-Июл-11, 17:02
	>[оверквотинг удален] >>>>> ipfw add 41550 allow ip from 10.0.1.17 to any via xl0 >>>>>  #User VPN >>>>> ipfw add 41560 allow ip from any to 10.0.1.17 via xl0 >>>>>  #User VPN >>> Так клиенты работают со своим удаленным сервером их все устраивает, но хотелось >>> бы закрыть им интернет, отставить только возможность подключаться к их впн >>> серверу >> а ответ на вопрос где? > На какой вопрос? > Я вообще-то ответ хочу получить прочитайте все с самого начала
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	12. "IPWF нужно работать с VPN сервером в интернете"	+/–
	Сообщение от iwizzy (ok) on 10-Июл-11, 17:03
	Да я уже 5 раз прочитал. Короче хорош флудить михалыч меня понял > прочитайте все с самого начала
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "IPWF нужно работать с VPN сервером в интернете"	+/–
	Сообщение от Aquarius (ok) on 10-Июл-11, 22:01
	> Да я уже 5 раз прочитал. Короче хорош флудить михалыч меня понял >> прочитайте все с самого начала ну тогда до свидания, а точнее, прощай!
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "IPWF нужно работать с VPN сервером в интернете"	+/–
	Сообщение от Dmitry (??) on 11-Июл-11, 14:07
	>> Да я уже 5 раз прочитал. Короче хорош флудить михалыч меня понял >>> прочитайте все с самого начала > ну тогда до свидания, а точнее, прощай! Михалыч спасибо все получилось! Пошел учить IPFW
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	15. "IPWF нужно работать с VPN сервером в интернете"	+/–
	Сообщение от михалыч (ok) on 12-Июл-11, 13:04
	>>> Да я уже 5 раз прочитал. Короче хорош флудить михалыч меня понял >>>> прочитайте все с самого начала >> ну тогда до свидания, а точнее, прощай! > Михалыч спасибо все получилось! Пошел учить IPFW Вот -> http://house.hcn-strela.ru/BSDCert/BSDA-course/ Конкретнее по IPFW -> http://house.hcn-strela.ru/BSDCert/BSDA-course/apes01.html
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	16. "IPWF нужно работать с VPN сервером в интернете"	+/–
	Сообщение от Dmitry (??) on 12-Июл-11, 14:55
	> Вот -> http://house.hcn-strela.ru/BSDCert/BSDA-course/ > Конкретнее по IPFW -> http://house.hcn-strela.ru/BSDCert/BSDA-course/apes01.html О распечатаю буду на ночь читать Спасибо еще раз!
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема