Перейти до

Ipfw?

aliens

Автор: aliens,
в Питання по Stargazer

 Share Подписчики 1

Рекомендованные сообщения

aliens

aliens 0

Опубликовано:
Опубликовано:

Здравствуйте,а не подскажите ли как мне открыть бесплатную аську?чтобы с включеным или выклчюеным авторизатором она была бесплатная. Интеерсует правило фаервола для ipfw

Ссылка на сообщение
Поделиться на других сайтах
denz

denz 0

Опубліковано:
Опубліковано:

Как-то я экспериментировал, вот те пища для размышлений:

В профиле пользователя (в конфигураторе) есть дополнительные поля, в них впитываешь какие порты ты желаешь открыть. аска работает по 5190

затем в ОнКоннект добавить выборку из профиля юзверя и добавить в правило.

 

Подобное я добавлял в F.A.Q. по СТГ на примере ограничения скорости...

Читай, не такой сложный вопрос чтоб его здесь расписывать, тем более если заготовки ужо есть ранее выложенные.

Ссылка на сообщение
Поделиться на других сайтах
denz

denz 0

Опубліковано:
Опубліковано:
  Shurick сказав:
А не проще ли в rc.firewall задать правило по умолчанию, к примеру так:

 

{ipfw} add 62000 allow tcp from x.x.x.x/x to any 5190

Если речь идет о поголовном разрешении только аськи то твой выход проще, если в индивидуальном доступе, допустим одним только почта, другим только аська, третим все тобто any... То твой вариант тут не подходит...

Ссылка на сообщение
Поделиться на других сайтах
XoRe

XoRe 0

Опубліковано:
Опубліковано:

Человек хочет только аську )

 

Тут или allow to any 5190, или skipto.

В общем надо написать тоже, что пишется в OnConnect но номер правила сделать поменьше и указать чтоб всех пускало на порт 5190 любого хоста.

Ссылка на сообщение
Поделиться на других сайтах
MaйeR

MaйeR 0

Опубліковано:
Опубліковано:
  Xeddin сказав:
встречный вопрос :)

 

файлы в аське ведь тоже по 5190 идут? или нет?

Если да, то как вариант - ограничение скорости.

нет не идут, файлы в аське идут Peer to Peer т.е. от клиента к клиенту напрямую не через ICQ сервер, так что открытый ICQ порт кроме траффика где-то в 5-15мб на юзера проблем не принесет

Ссылка на сообщение
Поделиться на других сайтах
MaйeR

MaйeR 0

Опубліковано:
Опубліковано:
  aliens сказав:
мне надо аську всем, открыть просто 5190 порт? может лучше открыть его только на 2 ипа аськи серверов?

как сделаешь так и будет работать

Ссылка на сообщение
Поделиться на других сайтах
aliens

aliens 0

Опубліковано:
  • Автор
Опубліковано:

эм,ну подскажите строчку как открыть только порты аси на ее сервера

пишу вот так:

${ipfw} add 322 allow tcp from 192.168.4.0/24 to 205.188.0.0/16 5190 out via ${ext_if}

${ipfw} add 323 allow tcp from 192.168.4.0/24 to 64.12.0.0/16 5190 out via ${ext_if}

 

Будет ли работать??

и еще,не подскажите как открыть исходящие фтп соединения на этом компьютере?

Ссылка на сообщение
Поделиться на других сайтах
Cell

Cell 7

Опубліковано:
Опубліковано:

Веселая штука получается. С халявной аськой-то ))) Смиялся когда меня обувать начали. Сам виноват.

Однако:

1.Если открыть всем аськин порт - аська будет иссно работать без авторизатора и это есть гуд

2.Если при этом юзер включает авторизатор - ему начинает считать трафик и это уже не есть гуд (очень многие за копейку удушаться)

3.Естественный выход из этого сделать трафик на порт аськи еще и бесплатным прямо в СГ.

4. А теперь фокус: эти наглые юзеры включают авторизатор и начинают бесплатно гонять файло метров так по 150-200, тк последние клиенты АСИ юзают порт 5190 толи для передачи файла... толи для голоса... Я чуть дар речи не потерял.

Вывод: чтобы уберечься от такой беды надо делать передачу файлов экономически не выгодным делом. Например организовать отдельное направление ICQ и выдавать на юзера по 10-15 метров в месяц, все что за пророгом по двойной или тройной цене интернета в данной местности при этом порт на файрволе оставлять открытым на парочку серверов icq с жесткой привязкой к их ипам (опятьже не так все просто как хотелось бы).

Ссылка на сообщение
Поделиться на других сайтах
XoRe

XoRe 0

Опубліковано:
Опубліковано:

2aliens:

Это будет работать при 2 условиях.

1. Если настройки твоего фаерволла (которых кроме тебя никто тут не знает) пропустят такое соединение.

2. Если AOL не поменяет ip адреса у серверов icq.

Ссылка на сообщение
Поделиться на других сайтах
aliens

aliens 0

Опубліковано:
  • Автор
Опубліковано:

XoRe

Просто вот это первая проба в написании правил,вот и хотел спросить про работоспособность. Вроде другие правила не запрещают...проверю.

А не подскажите как открыть исходящие фтп соединения?

Ссылка на сообщение
Поделиться на других сайтах
aliens

aliens 0

Опубліковано:
  • Автор
Опубліковано:

Cell

 

нуу, т.к. биллинг другой (ТИ) стоит уже полгода, в месяц уходит около 200 метров на аську,что я считаю нормой.

А кстати.а разве нельзя прикрыть передачу файлов? просто тут кто то описывал как закрыть передачу на iptables...

Ссылка на сообщение
Поделиться на других сайтах
aliens

aliens 0

Опубліковано:
  • Автор
Опубліковано:

подскажите,что тут не так? почему не ходят пакеты :) ни аська,ни с вклчюеным авторизатором. Спасибо

internet# internet# cat def_ipfw
#!/bin/sh
#peremenie

fwcmd="/sbin/ipfw"
natdcmd="/sbin/natd"
int_if="rl0"
ext_if="fxp0"

my_ip="192.168.4.251"

#sbros pravil
${fwcmd} -f flush

#  maskarading
${natdcmd} -s -m -u -a 192.168.1.5

# ICMP xogdenie
${fwcmd} add 10 allow ICMP from any to any

# zapret levogo trafika
${fwcmd} add 304 deny ip from any to 192.168.0.0/16 out via ${ext_if}
${fwcmd} add 305 deny ip from any to 10.10.0.0/16 out via ${ext_if}
${fwcmd} add 306 deny ip from any to 172.16.0.0/12 out via ${ext_if}

# avtorizator
${fwcmd} add 307 allow udp from any to ${my_ip} 5555 via ${int_if}
${fwcmd} add 308 allow udp from ${my_ip} to any via ${int_if}

#configurator
${fwcmd} add 309 allow tcp from 192.168.4.24 to ${my_ip} 5550 via ${int_if}
${fwcmd} add 310 allow tcp from ${my_ip} to any via ${int_if}

# SSH i http/https
${fwcmd} add 311 allow tcp from 192.168.4.24 to ${my_ip} 22 via ${int_if}
${fwcmd} add 312 allow tcp from 192.168.4.19 to ${my_ip} 22 via ${int_if}
${fwcmd} add 313 allow tcp from 192.168.4.89 to ${my_ip} 22 via ${int_if}
${fwcmd} add 314 allow tcp from ${my_ip} to any via ${int_if}

${fwcmd} add 315 allow tcp from any to me http,https

# razreshenie vnutri
${fwcmd} add 317 allow ip from any to any via lo

#ftp
#${fwcmd} add 318 allow tcp from 192.168.4.0/24 to ${my_ip} 21
#${fwcmd} add 319 allow ip from me to 192.168.4.0/24 via ${int_if}

# blok vsego ostalnogo
${fwcmd} add 320 deny log ip from 192.168.4.0/24 to ${my_ip} via ${int_if}
${fwcmd} add 321 deny log ip from 192.168.4.0/24 to 192.168.1.5 via ${int_if}

#ICQ
${ipfw} add 322 allow tcp from 192.168.4.0/24 to 205.188.0.0/16 5190 out via ${ext_if}
${ipfw} add 323 allow tcp from 192.168.4.0/24 to 64.12.0.0/16 5190 out via ${ext_if}

#maskarad ineta v lokalku
${fwcmd} add 50024 divert natd all from any to any via ${ext_if}

#razreshenie na soedinenie s inetom
${fwcmd} add 50029 allow tcp from any to any out via ${ext_if} setup
${fwcmd} add 50030 allow tcp from any to any via ${ext_if} established

#razreshenie UDP i DNS
${fwcmd} add 50031 allow udp from any to any out via ${ext_if}
${fwcmd} add 50032 allow udp from any 53 to any in via ${ext_if}

#razreshenie SSH s ineta
${fwcmd} add 50033 allow tcp from any to 192.168.1.5 22 via ${ext_if}

#zapret na vse ostalnoe
${fwcmd} add 65534 deny log ip from any to any

Ссылка на сообщение
Поделиться на других сайтах
  • 3 months later...

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 1
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...