Всем привет. К сожалению не знаю как правильно все назвать, так как FreeBSD для меня полные потемки. В общем в наследство достался сервер с установленной FreeBSD на наклейке написано SSH-2.0-OpenSSH_5.1p1 FreeBSD-20080901
Через него организация ходит в инет. Для удобства управления есть виндовый интерфейс доступный с любой машины в сети. Набирая IP сервера попадаешь в
Вход в TRAFFIC COUNTER
Заходишь под Админом, попадаешь TRAFFIC COUNTER. Там меню:
Добавление пользователя
Прием платежа
Список пользователей
Правила firewall
Тарифы
Настройки
Пользователи и группы
Словарь
Удалить пользователя
История платежей
Отчет по сессиям
Отчет по трафику
Отчеты
Контроль MAC-адресов
Системные сообщения
В принципе со всем разобрался кроме Правил firewall.В данный момент прописано только два правила
ID Логин Правило для включения Правило для выключения Комментарии Файрволл
1 usersgroup1 /sbin/ipfw table 1 add UIP /sbin/ipfw table 1 delete UIP Дефолт Локальный
2 usersgroup1 /sbin/iptables -A FORWARD -s UIP -j ACCEPT /sbin/iptables -D FORWARD -s UIP -j ACCEPT Локальный
В helpe написано, что Можно добавлять правила, запрещающие доступ на определенные порты либо на определенные IP-адреса
И дана форма для ввода правил.
Add firewall rule
Логин — usersgroup1
Правило для включения — /sbin/iptables -A FORWARD -s UIP -j ACCEPT
Правило для выключения — /sbin/iptables -D FORWARD -s UIP -j ACCEPT
Номер (id) правила — NULL
А как это правильно сделать, не могу сообразить.А задача стоит в принципе конкретная. Руководство требует запретить доступ к одноклассникам, в контакте, drom.ru
Последние комментарии
- OlegL, 17 декабря в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
Не совсем понятно… Во FreeBSD разве iptables присутствует? Если память мне не изменяет, то только в Linux’e!
Так просто не запретишь. Здесь действия нужны посложнее — так как эти сайты иногда меняют ip и или добавляют меняют новые.
Рабочий рецепт:
Делаешь в pf
table <socseti> persist
и вешаешь что то типа
block quick on $int_if from $int_if:network to <socseti>
а затем вот таким скриптом наполняешь ее по крону
#!/bin/sh
for row in moikrug.ru audiovkontakte.ru vkontakte.ru odnoklasniki.ru
do
for ip in `dig $row +short | sort`
do
pfctl -t socseti -T add $ip 2>&1 > /dev/null
done
done
если юзеры в качестве DNS’а используют сервер — почему бы эти домены не прописать в /etc/hosts на 127.0.0.1? ну или там подсети их забанить
ipfw add deny ip from 8.8.8.8/16 to any