nixp.ru v3.0

17 октября 2017,
вторник,
09:14:30 MSK

DevOps с компанией «Флант»
atw написал 29 марта 2010 года в 11:54 (3824 просмотра) Ведет себя неопределенно; открыл 1 тему в форуме.

Всем привет. К сожалению не знаю как правильно все назвать, так как FreeBSD для меня полные потемки. В общем в наследство достался сервер с установленной FreeBSD на наклейке написано SSH-2.0-OpenSSH_5.1p1 FreeBSD-20080901

Через него организация ходит в инет. Для удобства управления есть виндовый интерфейс доступный с любой машины в сети. Набирая IP сервера попадаешь в 

Вход в TRAFFIC COUNTER

Заходишь под Админом, попадаешь TRAFFIC COUNTER. Там меню:

Добавление пользователя

Прием платежа

Список пользователей

Правила firewall

Тарифы

Настройки

Пользователи и группы

Словарь

Удалить пользователя

История платежей

Отчет по сессиям

Отчет по трафику

Отчеты

Контроль MAC-адресов

Системные сообщения

В принципе со всем разобрался кроме Правил firewall.В данный момент прописано только два правила

ID  Логин            Правило для включения                                     Правило для выключения              Комментарии               Файрволл

1    usersgroup1 /sbin/ipfw table 1 add UIP                                     /sbin/ipfw table 1 delete UIP                 Дефолт                      Локальный

2    usersgroup1 /sbin/iptables -A FORWARD -s UIP -j ACCEPT      /sbin/iptables -D FORWARD -s UIP -j ACCEPT                       Локальный

В helpe написано, что Можно добавлять правила, запрещающие доступ на определенные порты либо на определенные IP-адреса

И дана форма для ввода правил.

Add firewall rule

Логин — usersgroup1

Правило для включения — /sbin/iptables -A FORWARD -s UIP -j ACCEPT

Правило для выключения — /sbin/iptables -D FORWARD -s UIP -j ACCEPT

Номер (id) правила — NULL

А как это правильно сделать, не могу сообразить.А задача стоит в принципе конкретная. Руководство требует запретить доступ к одноклассникам, в контакте, drom.ru

bumaga

Не совсем понятно… Во FreeBSD разве iptables присутствует? Если память мне не изменяет, то только в Linux’e!

paranormal

Так просто не запретишь. Здесь действия нужны посложнее — так как эти сайты иногда меняют ip и или добавляют меняют новые.

Рабочий рецепт:

Делаешь в pf

table <socseti> persist

и вешаешь что то типа

block quick on $int_if from $int_if:network to <socseti>

а затем вот таким скриптом наполняешь ее по крону

 

 

#!/bin/sh

for row in moikrug.ru audiovkontakte.ru vkontakte.ru odnoklasniki.ru

do

for ip in `dig $row +short | sort`

do

pfctl -t socseti -T add $ip 2>&1 > /dev/null

done

done

paranormal
#!/bin/sh
for row in moikrug.ru audiovkontakte.ru vkontakte.ru odnoklasniki.ru do for ip in `dig $row +short | sort` do pfctl -t socseti -T add $ip 2>&1 > /dev/null done done


 

cyanide

если юзеры в качестве DNS’а используют сервер — почему бы эти домены не прописать в /etc/hosts на 127.0.0.1? ну или там подсети их забанить

ipfw add deny ip from 8.8.8.8/16 to any