Перейти до

Ipfw?


Рекомендованные сообщения

Здравствуйте,а не подскажите ли как мне открыть бесплатную аську?чтобы с включеным или выклчюеным авторизатором она была бесплатная. Интеерсует правило фаервола для ipfw

Ссылка на сообщение
Поделиться на других сайтах

Как-то я экспериментировал, вот те пища для размышлений:

В профиле пользователя (в конфигураторе) есть дополнительные поля, в них впитываешь какие порты ты желаешь открыть. аска работает по 5190

затем в ОнКоннект добавить выборку из профиля юзверя и добавить в правило.

 

Подобное я добавлял в F.A.Q. по СТГ на примере ограничения скорости...

Читай, не такой сложный вопрос чтоб его здесь расписывать, тем более если заготовки ужо есть ранее выложенные.

Ссылка на сообщение
Поделиться на других сайтах
А не проще ли в rc.firewall задать правило по умолчанию, к примеру так:

 

{ipfw} add 62000 allow tcp from x.x.x.x/x to any 5190

Если речь идет о поголовном разрешении только аськи то твой выход проще, если в индивидуальном доступе, допустим одним только почта, другим только аська, третим все тобто any... То твой вариант тут не подходит...

Ссылка на сообщение
Поделиться на других сайтах

Человек хочет только аську )

 

Тут или allow to any 5190, или skipto.

В общем надо написать тоже, что пишется в OnConnect но номер правила сделать поменьше и указать чтоб всех пускало на порт 5190 любого хоста.

Ссылка на сообщение
Поделиться на других сайтах
встречный вопрос :)

 

файлы в аське ведь тоже по 5190 идут? или нет?

Если да, то как вариант - ограничение скорости.

нет не идут, файлы в аське идут Peer to Peer т.е. от клиента к клиенту напрямую не через ICQ сервер, так что открытый ICQ порт кроме траффика где-то в 5-15мб на юзера проблем не принесет

Ссылка на сообщение
Поделиться на других сайтах
мне надо аську всем, открыть просто 5190 порт? может лучше открыть его только на 2 ипа аськи серверов?

как сделаешь так и будет работать

Ссылка на сообщение
Поделиться на других сайтах

эм,ну подскажите строчку как открыть только порты аси на ее сервера

пишу вот так:

${ipfw} add 322 allow tcp from 192.168.4.0/24 to 205.188.0.0/16 5190 out via ${ext_if}

${ipfw} add 323 allow tcp from 192.168.4.0/24 to 64.12.0.0/16 5190 out via ${ext_if}

 

Будет ли работать??

и еще,не подскажите как открыть исходящие фтп соединения на этом компьютере?

Ссылка на сообщение
Поделиться на других сайтах

Веселая штука получается. С халявной аськой-то ))) Смиялся когда меня обувать начали. Сам виноват.

Однако:

1.Если открыть всем аськин порт - аська будет иссно работать без авторизатора и это есть гуд

2.Если при этом юзер включает авторизатор - ему начинает считать трафик и это уже не есть гуд (очень многие за копейку удушаться)

3.Естественный выход из этого сделать трафик на порт аськи еще и бесплатным прямо в СГ.

4. А теперь фокус: эти наглые юзеры включают авторизатор и начинают бесплатно гонять файло метров так по 150-200, тк последние клиенты АСИ юзают порт 5190 толи для передачи файла... толи для голоса... Я чуть дар речи не потерял.

Вывод: чтобы уберечься от такой беды надо делать передачу файлов экономически не выгодным делом. Например организовать отдельное направление ICQ и выдавать на юзера по 10-15 метров в месяц, все что за пророгом по двойной или тройной цене интернета в данной местности при этом порт на файрволе оставлять открытым на парочку серверов icq с жесткой привязкой к их ипам (опятьже не так все просто как хотелось бы).

Ссылка на сообщение
Поделиться на других сайтах

2aliens:

Это будет работать при 2 условиях.

1. Если настройки твоего фаерволла (которых кроме тебя никто тут не знает) пропустят такое соединение.

2. Если AOL не поменяет ip адреса у серверов icq.

Ссылка на сообщение
Поделиться на других сайтах

XoRe

Просто вот это первая проба в написании правил,вот и хотел спросить про работоспособность. Вроде другие правила не запрещают...проверю.

А не подскажите как открыть исходящие фтп соединения?

Ссылка на сообщение
Поделиться на других сайтах

Cell

 

нуу, т.к. биллинг другой (ТИ) стоит уже полгода, в месяц уходит около 200 метров на аську,что я считаю нормой.

А кстати.а разве нельзя прикрыть передачу файлов? просто тут кто то описывал как закрыть передачу на iptables...

Ссылка на сообщение
Поделиться на других сайтах

подскажите,что тут не так? почему не ходят пакеты :) ни аська,ни с вклчюеным авторизатором. Спасибо

internet# internet# cat def_ipfw
#!/bin/sh
#peremenie

fwcmd="/sbin/ipfw"
natdcmd="/sbin/natd"
int_if="rl0"
ext_if="fxp0"

my_ip="192.168.4.251"

#sbros pravil
${fwcmd} -f flush

#  maskarading
${natdcmd} -s -m -u -a 192.168.1.5

# ICMP xogdenie
${fwcmd} add 10 allow ICMP from any to any

# zapret levogo trafika
${fwcmd} add 304 deny ip from any to 192.168.0.0/16 out via ${ext_if}
${fwcmd} add 305 deny ip from any to 10.10.0.0/16 out via ${ext_if}
${fwcmd} add 306 deny ip from any to 172.16.0.0/12 out via ${ext_if}

# avtorizator
${fwcmd} add 307 allow udp from any to ${my_ip} 5555 via ${int_if}
${fwcmd} add 308 allow udp from ${my_ip} to any via ${int_if}

#configurator
${fwcmd} add 309 allow tcp from 192.168.4.24 to ${my_ip} 5550 via ${int_if}
${fwcmd} add 310 allow tcp from ${my_ip} to any via ${int_if}

# SSH i http/https
${fwcmd} add 311 allow tcp from 192.168.4.24 to ${my_ip} 22 via ${int_if}
${fwcmd} add 312 allow tcp from 192.168.4.19 to ${my_ip} 22 via ${int_if}
${fwcmd} add 313 allow tcp from 192.168.4.89 to ${my_ip} 22 via ${int_if}
${fwcmd} add 314 allow tcp from ${my_ip} to any via ${int_if}

${fwcmd} add 315 allow tcp from any to me http,https

# razreshenie vnutri
${fwcmd} add 317 allow ip from any to any via lo

#ftp
#${fwcmd} add 318 allow tcp from 192.168.4.0/24 to ${my_ip} 21
#${fwcmd} add 319 allow ip from me to 192.168.4.0/24 via ${int_if}

# blok vsego ostalnogo
${fwcmd} add 320 deny log ip from 192.168.4.0/24 to ${my_ip} via ${int_if}
${fwcmd} add 321 deny log ip from 192.168.4.0/24 to 192.168.1.5 via ${int_if}

#ICQ
${ipfw} add 322 allow tcp from 192.168.4.0/24 to 205.188.0.0/16 5190 out via ${ext_if}
${ipfw} add 323 allow tcp from 192.168.4.0/24 to 64.12.0.0/16 5190 out via ${ext_if}

#maskarad ineta v lokalku
${fwcmd} add 50024 divert natd all from any to any via ${ext_if}

#razreshenie na soedinenie s inetom
${fwcmd} add 50029 allow tcp from any to any out via ${ext_if} setup
${fwcmd} add 50030 allow tcp from any to any via ${ext_if} established

#razreshenie UDP i DNS
${fwcmd} add 50031 allow udp from any to any out via ${ext_if}
${fwcmd} add 50032 allow udp from any 53 to any in via ${ext_if}

#razreshenie SSH s ineta
${fwcmd} add 50033 allow tcp from any to 192.168.1.5 22 via ${ext_if}

#zapret na vse ostalnoe
${fwcmd} add 65534 deny log ip from any to any

Ссылка на сообщение
Поделиться на других сайтах
  • 3 months later...

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...