forum.opennet.ru - "Pf " (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Pf "

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Pf "
Сообщение от Scar on 17-Окт-06, 20:10
Всем доброго времени суток, подскажите пожалуйста, какие правила в PF нужно прописать чтобы разграничить права пользователей на инет. Например группе goodgays разрешить всё, а остальным только почту и аську. На серваке нет squida. Кто делал такое выложите свой конфиг. Заранее благодарю.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Pf , _Ale_, 23:01 , 17-Окт-06, (1)

Pf , Geek, 01:30 , 19-Окт-06, (2)

Pf , _Ale_, 13:34 , 19-Окт-06, (3)

Pf , scar, 22:59 , 03-Дек-06, (4)

Pf , idle, 20:13 , 06-Дек-06, (5)

Pf , scar, 15:41 , 07-Дек-06, (6)

Pf , ZippeR, 17:46 , 18-Июл-07, (7)

Сообщения по теме [Сортировка по времени, UBB]

1. "Pf "

Сообщение от _Ale_ (??) on 17-Окт-06, 23:01

стандартными средствами разграничить можно только по ИП
то есть берешь стандартные правила НАТ из примеров и пишешь - каким-то ИП натишь все, каким-то - только почту и аську. Надеюсь врубился...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Pf "

Сообщение от Geek on 19-Окт-06, 01:30

>стандартными средствами разграничить можно только по ИП
>то есть берешь стандартные правила НАТ из примеров и пишешь - каким-то
>ИП натишь все, каким-то - только почту и аську. Надеюсь врубился...
>
Можно :) стандартными средствами
authpf
На этой базе для каждого пользователя индивидуально можно составлять правила :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Pf "

Сообщение от _Ale_ (??) on 19-Окт-06, 13:34

>Можно :) стандартными средствами
>authpf
>На этой базе для каждого пользователя индивидуально можно составлять правила :)
согласен, только ведь придется запускать отдельно каждому на компе батник
не всем это нравится

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Pf "

Сообщение от scar on 03-Дек-06, 22:59

Пробовал НАТом играть сто разных изменений делал, ничего не получаестся, может кто сталкивался с такой проблемой или может у кого есть рабочий конфиг, помогите кто чем может. Буду очень признателен и благодарен!!!
у меня конфиг такого вида:
...
table <adm> { 192.168.1.1, 192.168.1.2 }
table <users> { 192.168.1.0/24, !192.168.1.1, !192.168.1.2 }
...
nat on $ext_if inet from <adm> to any -> ($ext_if)
nat on $ext_if inet from <users> to any port { 110, 443, 25 } ->($ext_if)
...
где что не так?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Pf "

Сообщение от idle (ok) on 06-Дек-06, 20:13

>Всем доброго времени суток, подскажите пожалуйста, какие правила в PF нужно прописать
>чтобы разграничить права пользователей на инет. Например группе goodgays разрешить всё,
>а остальным только почту и аську. На серваке нет squida. Кто
>делал такое выложите свой конфиг. Заранее благодарю.
man pf.conf
block all
pass out all group $goodguys keep state
pass out proto tcp to any port 25 group $badguys keep state

Ээ, сорри неврубился где у автора топика группы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Pf "

Сообщение от scar on 07-Дек-06, 15:41

>man pf.conf
>
>block all
>pass out all group $goodguys keep state
>pass out proto tcp to any port 25 group $badguys keep state
>
>
>
>Ээ, сорри неврубился где у автора топика группы.
Вот с группами не разу не работал, как их применить? Если буду использовать группы, то правила nat как будут выглядеть?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Pf "

Сообщение от ZippeR (??) on 18-Июл-07, 17:46

>>man pf.conf
>>
>>block all
>>pass out all group $goodguys keep state
>>pass out proto tcp to any port 25 group $badguys keep state
>>
>>
>>
>>Ээ, сорри неврубился где у автора топика группы.
>
>Вот с группами не разу не работал, как их применить? Если буду
>использовать группы, то правила nat как будут выглядеть?

block return in log from <ICQ_mail_only>
pass in proto tcp from <ICQ_mail_only> to any port {25 110 5190} flags S/SA modulate state
Вот

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Pf "
Сообщение от _Ale_ (??) on 17-Окт-06, 23:01
стандартными средствами разграничить можно только по ИП то есть берешь стандартные правила НАТ из примеров и пишешь - каким-то ИП натишь все, каким-то - только почту и аську. Надеюсь врубился...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Pf "
	Сообщение от Geek on 19-Окт-06, 01:30
	>стандартными средствами разграничить можно только по ИП >то есть берешь стандартные правила НАТ из примеров и пишешь - каким-то >ИП натишь все, каким-то - только почту и аську. Надеюсь врубился... > Можно :) стандартными средствами authpf На этой базе для каждого пользователя индивидуально можно составлять правила :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Pf "
	Сообщение от _Ale_ (??) on 19-Окт-06, 13:34
	>Можно :) стандартными средствами >authpf >На этой базе для каждого пользователя индивидуально можно составлять правила :) согласен, только ведь придется запускать отдельно каждому на компе батник не всем это нравится
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Pf "
	Сообщение от scar on 03-Дек-06, 22:59
	Пробовал НАТом играть сто разных изменений делал, ничего не получаестся, может кто сталкивался с такой проблемой или может у кого есть рабочий конфиг, помогите кто чем может. Буду очень признателен и благодарен!!! у меня конфиг такого вида: ... table <adm> { 192.168.1.1, 192.168.1.2 } table <users> { 192.168.1.0/24, !192.168.1.1, !192.168.1.2 } ... nat on $ext_if inet from <adm> to any -> ($ext_if) nat on $ext_if inet from <users> to any port { 110, 443, 25 } ->($ext_if) ... где что не так?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Pf "
Сообщение от idle (ok) on 06-Дек-06, 20:13
>Всем доброго времени суток, подскажите пожалуйста, какие правила в PF нужно прописать >чтобы разграничить права пользователей на инет. Например группе goodgays разрешить всё, >а остальным только почту и аську. На серваке нет squida. Кто >делал такое выложите свой конфиг. Заранее благодарю. man pf.conf block all pass out all group $goodguys keep state pass out proto tcp to any port 25 group $badguys keep state Ээ, сорри неврубился где у автора топика группы.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Pf "
	Сообщение от scar on 07-Дек-06, 15:41
	>man pf.conf > >block all >pass out all group $goodguys keep state >pass out proto tcp to any port 25 group $badguys keep state > > > >Ээ, сорри неврубился где у автора топика группы. Вот с группами не разу не работал, как их применить? Если буду использовать группы, то правила nat как будут выглядеть?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Pf "
	Сообщение от ZippeR (??) on 18-Июл-07, 17:46
	>>man pf.conf >> >>block all >>pass out all group $goodguys keep state >>pass out proto tcp to any port 25 group $badguys keep state >> >> >> >>Ээ, сорри неврубился где у автора топика группы. > >Вот с группами не разу не работал, как их применить? Если буду >использовать группы, то правила nat как будут выглядеть? block return in log from <ICQ_mail_only> pass in proto tcp from <ICQ_mail_only> to any port {25 110 5190} flags S/SA modulate state Вот
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]