DZkik 0 Posted 2005-07-28 14:19:53 Share Posted 2005-07-28 14:19:53 народ! подскажите кто знает или сталкивался у меня FreeBSD5.4 вместо ipfw стоит pf сработается ли старгейзер с ним если кто то спаял их все таки было бы неплохо показать пример скрипта или куска файра..... и еще вопрос.в доках пишется о настройке файра для того чтобы он пропускал запросы для авторизатора и конфигуратора....а если файр сделать символическим? типа pass all надо ли дальнейшайя настройка скриптов как написано в доках...? Link to post Share on other sites
centre-lan 1 Posted 2005-07-28 17:23:57 Share Posted 2005-07-28 17:23:57 народ! подскажите кто знает или сталкивалсяу меня FreeBSD5.4 вместо ipfw стоит pf сработается ли старгейзер с ним если кто то спаял их все таки было бы неплохо показать пример скрипта или куска файра..... и еще вопрос.в доках пишется о настройке файра для того чтобы он пропускал запросы для авторизатора и конфигуратора....а если файр сделать символическим? типа pass all надо ли дальнейшайя настройка скриптов как написано в доках...? какой еще pf? Link to post Share on other sites
XoRe 0 Posted 2005-07-29 01:39:48 Share Posted 2005-07-29 01:39:48 (edited) Не работал с ним, но считаю, что можно и к нему прикрутить. Могу подсказать только в общих чертах: поставить что-то типа (синтаксис ipfw) deny ip from сетка to any а OnConnect и OnDisconnect пусть добавляют правила allow ip from айпишник to any перед этим правилом. Или что-то типа этого. В ipfw можно очень удобно задавать разрешения с помощью skipto. Не знаю, есть ли в pf аналог этого. Если есть, то рекомендую использовать его. Т.е. чтоб при подключении включалось правило, которое не разрешает все айпишнику клиента, а только перепрыгивает запрещение (deny ip from сетка to any). Это позволит более гибко настраивать, что клиенту можно, а что нет. Кстати до deny ip from сетка to any можно понадобавлять правил типа allow tcp from сетка to me 53,80 Или использовать ту-же skipto (если есть). Чтоб какие-то ресурсы сервера были доступны до авторизации. Тут все дело только в том, что написать в OnConnect и OnDisconnect. Могу посоветовать хорошо почитать man pf, лучше если на русском языке. И почитать побольше другой документации по нему. P.S> символический фаер можно. Только про nat не забудь. Тогда и система авторизации станет символической. Поэтому лучше поставить всем AlwaysOnline, чтоб хоть трафик считался. И советую не забыть, что когда человек при AlwaysOnline выкушает весь свой кредит и на счету у него будет 0, то в инете сидеть он сможет. А вот stg его трафик считать уже не будет. Edited 2005-07-29 01:50:32 by XoRe Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now