Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
LuCiFer
|
Добавлено: 05-06-06 20:23 Заголовок сообщения: Пакетный фильтр |
|
|
I. Трафик отброшенный вашим пакетным фильтром тарифицируется или нет?????
II. Помогите ПРАВИЛЬНО настроить пакетный фильтр. Требования таковы:
1) Входящий трафик с 80.82.32.0 — 80.82.63.255; 88.83.192.0 — 88.83.223.255 доступен всегда
2) Должна работать ICQ (login.icq.com:5190 [205.188.179.233])
3) Должно работать мыло mail.ru [194.67.23.102] (Кто знает какие там порты расшаривать???)
4) 80.82.32.10, 80.82.32.11, 80.82.32.19, 80.82.32.27 прикрыты наглухо
5) весь остальной интерент тоже наглухо
пояснюю кратко: что бы весь платный трафик был недоступен, пока я незахочу (а то уж очень много програмулек которые сами лезут куда их не просят, одна вИНДА чего стоит со своим обновлением метров на 300. Я конечено понимаю, что все это можно повырубать, но все таки для пущей надежности лучше так), кроме аськи и мыла. И в то же время чтобы я мог спокойно лазить по местной сетке, небоясь за траффик.
Я пробывал настроить так:
permit ip 80.82.32.14 none any none
deny ip 80.82.32.10 none any none
deny ip 80.82.32.11 none any none
deny ip 80.82.32.19 none any none
deny ip 80.82.32.27 none any none
permit ip 80.82.32.0/0.0.1.255 none any none
permit ip 88.83.192.0/0.0.1.255 none any none
permit ip 205.188.179.233 equal 5190 any none
deny ip 0.0.0.0/0.0.0.0 none any none
Теперь по логике, если я буду убирать/добавлять последнюю строчку, я могу перстраховыватся насчет платного трафика.
После настройки у меня получилось что инета нет, сеть есть.
НО:80.82.32.10 и др. почему-то пингуются
аська не работает
III. Защитят ли меня подобные настройки от траты трафика, если я начну качать у человека, у которого висит тарелка? |
|
Сообщения: 100
|
|
|
LuCiFer
|
Добавлено: 06-06-06 16:46 Заголовок сообщения: |
|
|
80.82.32.10 и др. пинговать перестал, надо было модем перезагрузить
Помоему, я что-то с маской подсети напутал:
80.82.32.0/0.0.1.255
88.83.192.0/0.0.1.255
Это правильно или нет?
И как сделать по такому принципу как у меня аську??? |
|
Сообщения: 100
|
|
|
Nikolay
|
Добавлено: 06-06-06 21:51 Заголовок сообщения: |
|
|
Меня тоже интересуют похожие проблемы , но здесь я вопросов не задаю , потому что походив по форуму обнаружил , что на ту массу технических вопросов , которые тут люди задавали , никто полезных ответов не получил То ли нет желания вникать , то ли просто нет в суппорте человека , который в этом разбирается - но факт имеет место быть |
|
Сообщения: 36
|
|
|
Oleg
|
Добавлено: 06-06-06 23:04 Заголовок сообщения: |
|
|
LuCiFer писал(а): |
80.82.32.10 и др. пинговать перестал, надо было модем перезагрузить
Помоему, я что-то с маской подсети напутал:
80.82.32.0/0.0.1.255
88.83.192.0/0.0.1.255
Это правильно или нет?
И как сделать по такому принципу как у меня аську???
|
Ну тогда что-нибудь вроде этого:
deny ip 80.82.32.10 none any none
deny ip 80.82.32.11 none any none
deny ip 80.82.32.19 none any none
deny ip 80.82.32.27 none any none
permit ip 80.82.32.0/0.0.31.255 none any none
permit ip 88.83.192.0/0.0.31.255 none any none
permit tcp any eq 5190 any none established
permit tcp any eq 25 any none established
permit tcp any eq 110 any none established
deny ip any none any none
login.icq.com'ов много, а не только один 205.188.179.233, например, сейчас у меня login.icq.com резолвится вот во что:
$ host login.icq.com
login.icq.com is a nickname for login.glogin.messaging.aol.com
login.glogin.messaging.aol.com has address 64.12.161.185
login.glogin.messaging.aol.com has address 64.12.161.185
mail.ru - аналогично. Поэтому IP я там указал как any, но с определенных портов, и с established на всякий случай. Для почты открыты только SMTP (25/TCP) и POP3 (110/TCP), если у вас используется что-то еще - добавите.
Nikolay писал(а): |
Меня тоже интересуют похожие проблемы , но здесь я вопросов не задаю , потому что походив по форуму обнаружил , что на ту массу технических вопросов , которые тут люди задавали , никто полезных ответов не получил То ли нет желания вникать , то ли просто нет в суппорте человека , который в этом разбирается - но факт имеет место быть.
|
Дык это... www.google.com. Мы все-таки не занимаемся просветительской деятельностью в области сетевых технологий вроде "как правильно посчитать маску сети", "какие порты используются для получения и отправки почты", и так далее. Не наш это профиль. |
|
Сообщения: 1329
|
|
|
LuCiFer
|
Добавлено: 07-06-06 02:51 Заголовок сообщения: |
|
|
Спасибо, все настроил, все работает.
Кому интересно, вот как(после ";" написаны коментарии):
permit ip 80.82.32.14 none any none ; что-бы случайно доступ к stat.vsi.ru не прикрыть
deny ip 80.82.32.10 none any none ; платные локальные ресурсы
deny ip 80.82.32.11 none any none ; еще
deny ip 80.82.32.19 none any none ; еще
deny ip 80.82.32.27 none any none ; и еще
permit ip 80.82.32.0/0.0.31.255 none any none ; локальная сеть
permit ip 88.83.192.0/0.0.31.255 none any none ; локальная сеть
permit tcp 64.12.0.0/0.0.255.255 eq 5190 any none established ;аська
permit tcp 205.188.0.0/0.0.255.255 eq 5190 any none established ;аська
permit tcp 194.67.23.102 eq 110 any none established ; pop.mail.ru
permit tcp 194.67.23.111 eq 25 any none established ; smtp.mail.ru
permit tcp any eq 110 any none established
deny ip any none any none
Теперь убирая/добавляя полседнюю строку, можно отрубать интернет и не за что недергаться! (кроме спамеров которые большие письма шлют ))) |
|
Сообщения: 100
|
|
|
icefisher
|
Добавлено: 07-06-06 10:36 Заголовок сообщения: |
|
|
а фильтры начинают действавать сразу же? |
|
Сообщения: 49
|
|
|
avf
Support
|
Добавлено: 07-06-06 10:46 Заголовок сообщения: |
|
|
пока нет, требуется чтоб PPPoE переподключилось, тогда оно получит свежие правила с сервера авторизации.
но надеюсь, что индусы скоро починят необходимый софт и можно будет применять новые правила on the fly. |
|
Сообщения: 325
|
|
|
Jey
|
Добавлено: 23-06-06 12:22 Заголовок сообщения: |
|
|
Все настроил, теперь посмотрю, будет ли теперь идти инет трафик, при работе торрента.
А то блин накачал этот торрент, абидна, да
2LuCiFer у тебя эта система работает? Трафик с торрента не идет как инет трафик? И с тарелочниками эта система действует? Кстати не могу найти тот тред про тарелочников, не подскажите? |
|
Сообщения: 34
|
|
|
LuCiFer
|
Добавлено: 23-06-06 19:30 Заголовок сообщения: |
|
|
Jey, все прекрасно работает
с торрентов все прекрасно качает
тарелочников, можно ограничить и в настройках BitTorrent клиента, ды и по идее(точно не знаю) тарлочники вообще, не отрубив свою тарель, не смогут на торренты залесть |
|
Сообщения: 100
|
|
|
Jey
|
Добавлено: 23-06-06 22:17 Заголовок сообщения: |
|
|
Фиг его знает, у меня просто гигантский инет трафик, при том что я ничего не качал вообще оттуда и не лазил даже. На компе был запущен тока азурес и все. Причем по IP он был ограничен как и писалось в настройках. |
|
Сообщения: 34
|
|
|
Jey
|
Добавлено: 23-06-06 22:21 Заголовок сообщения: |
|
|
Вот эта строчка поидее не нужна совсем.
permit ip 80.82.32.14 none any none ; что-бы случайно доступ к stat.vsi.ru не прикрыть
Это правило вшито поумолчанию. Но пусть на всяк случай
Поставил все как ты написал, но несовсем понял значение вот этих строчек
permit tcp 64.12.0.0/0.0.255.255 eq 5190 any none established ;аська
permit tcp 205.188.0.0/0.0.255.255 eq 5190 any none established ;аська
Да, и аська чтото не работет.
В любом случае спасибо что поделился настроикам |
|
Сообщения: 34
|
|
|
Oleg
|
Добавлено: 23-06-06 22:47 Заголовок сообщения: |
|
|
Jey писал(а): |
Фиг его знает, у меня просто гигантский инет трафик, при том что я ничего не качал вообще оттуда и не лазил даже. На компе был запущен тока азурес и все. Причем по IP он был ограничен как и писалось в настройках.
|
Вы бы трояна все же вылечили, который с вас пытается спам рассылать, гигантский трафик бы и исчез. У вас троян сейчас сидит. |
|
Сообщения: 1329
|
|
|
Jey
|
Добавлено: 23-06-06 23:16 Заголовок сообщения: |
|
|
Во блин
Пойду лечить... |
|
Сообщения: 34
|
|
|
7Sky
|
Добавлено: 23-06-06 23:38 Заголовок сообщения: |
|
|
Интересно почему я так и думал? |
|
Сообщения: 176
|
|
|
Jey
|
Добавлено: 24-06-06 18:40 Заголовок сообщения: |
|
|
Да оно так и есть!
Аж 5 штук. Закомпом следить надо было...
Еще вопрос, от очередности правил чтонибудь меняется?
Надо чтобы они вот в таком вот порядке отображались? |
|
Сообщения: 34
|
|
|
7Sky
|
Добавлено: 24-06-06 20:50 Заголовок сообщения: |
|
|
Jey писал(а): | Да оно так и есть!
Аж 5 штук. Закомпом следить надо было...
Еще вопрос, от очередности правил чтонибудь меняется?
Надо чтобы они вот в таком вот порядке отображались? |
А ктож в этом виноват, что не следил?
Правила применяются в той последовательности в которой стоят. |
|
Сообщения: 176
|
|
|
Konstantin V. Kuznetsov
|
Добавлено: 25-06-06 14:57 Заголовок сообщения: |
|
|
Jey писал(а): | Да оно так и есть!
Аж 5 штук. Закомпом следить надо было...
Еще вопрос, от очередности правил чтонибудь меняется?
Надо чтобы они вот в таком вот порядке отображались? | Очередность правил имеет значение. |
|
Сообщения: 470
|
|
|
Jey
|
Добавлено: 27-06-06 12:19 Заголовок сообщения: |
|
|
Опытным путем установил что так оно и есть
Главное чтоб эта строчка
Цитата: | deny ip any none any none |
была в самом конце списка. |
|
Сообщения: 34
|
|
|
LuCiFer
|
Добавлено: 27-06-06 13:35 Заголовок сообщения: |
|
|
Jey писал(а): |
Поставил все как ты написал, но несовсем понял значение вот этих строчек
permit tcp 64.12.0.0/0.0.255.255 eq 5190 any none established ;аська
permit tcp 205.188.0.0/0.0.255.255 eq 5190 any none established ;аська
Да, и аська чтото не работет.
В любом случае спасибо что поделился настроикам |
по идее должна и тем более, что у меня работает, может не правильно ввел established - это галочка в конце
Всегда, пожалуйства! |
|
Сообщения: 100
|
|
|
Jey
|
Добавлено: 27-06-06 21:03 Заголовок сообщения: |
|
|
Все заработало. Настройки правильные. Всем
Пасибо |
|
Сообщения: 34
|
|
|
LuCiFer
|
|
Сообщения: 100
|
|
|
vik
|
Добавлено: 01-07-06 00:38 Заголовок сообщения: |
|
|
LuCiFer писал(а): | Спасибо, все настроил, все работает.
Кому интересно, вот как(после ";" написаны коментарии):
Теперь убирая/добавляя полседнюю строку, можно отрубать интернет и не за что недергаться! (кроме спамеров которые большие письма шлют ))) |
Я не понял, если убрать последнюю строку то фильтры отключаются? |
|
Сообщения: 10
|
|
|
LuCiFer
|
Добавлено: 01-07-06 01:48 Заголовок сообщения: |
|
|
то инет будет работать целиком, кроме четырех платных ВСИ (нафиг они вообще нужны ? ) |
|
Сообщения: 100
|
|
|
vik
|
Добавлено: 02-07-06 20:40 Заголовок сообщения: |
|
|
Может кто знает, как зазрешить SKYPE в пакетном фильтре? |
|
Сообщения: 10
|
|
|
7Sky
|
Добавлено: 02-07-06 21:51 Заголовок сообщения: |
|
|
vik писал(а): | Может кто знает, как зазрешить SKYPE в пакетном фильтре? |
Может кто и знает...
для скайпа тебе необходим открытый порт 80 (HTTP) и 443 (HTTPS) но учти, если просто открыть эти порты, то посути это будет интернет у тебя т.е. трафик платный, если хочешь перестраховаться, то сеть скайпа 24.64.0.0-24.71.255.255 , но здесь уверенности у меня нет потому, что возможно они меняются в широких пределах. На данный момент у меня показались именно они. |
|
Сообщения: 176
|
|
|
|