ipfw portforward (Для всех кроме определенных ip)

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модераторы: SLEDopit, Модераторы разделов

W1R0X
Сообщения: 46
ОС: Gentoo

ipfw portforward

Сообщение W1R0X »

Есть сервер на линуксе, маршрутизатор который предоставляет интернет, как HotSpot, но во время первого подключения заставляет клиента принять лицензионное соглашение, переадресовывая все его запросы по 80 порту на наш сервер.

Код: Выделить всё

  #web redirect
  iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.6.1:80



Скрипт, выполняется после принятия лицензионного соглашения, заменяет переадресацию на прокси и открывает доступ в интернет

Код: Выделить всё

  iptables -I FORWARD 1 ! -d 192.168.0.0/16 -m mac --mac-source $argument -j ACCEPT
  iptables -A INPUT -p tcp --dport 3128 -m mac --mac-source $argument -j ACCEPT
  iptables -t nat -I PREROUTING 1 ! -d 192.168.6.1 -p tcp --dport 80 -m mac --mac-source $argument -j REDIRECT --to-port 3128


Подскажите как реализовать нечно подобное во FreeBSD. Единственные способ который сейчас вижу - делать переадресацию для каждого ip отдельно и в скрипте потом ее удалять заменяя другой... но этот метод как мне кажется не очень правильный, должно быть что-то хитрее.

Во FreeBSD есть также нумерация правил.. если переадресацию на наш web server поставить с номером больше а добавлять правила переадресации на squid с номером меньше будет ли это корректно работать?
Спасибо сказали:
Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: ipfw portforward

Сообщение sash-kan »

посмотрите, как это сделано в chillispot·
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:
W1R0X
Сообщения: 46
ОС: Gentoo

Re: ipfw portforward

Сообщение W1R0X »

Судя по FAQ
Do I need to use a firewall?
No, but it is probably a good idea to protect the server running ChilliSpot from attacks from the wireless users and the Internet.

Фаервол он не использует

А судя по исходникам он является прокси сервером. Особо не вчитывался. Этот вариант немного не подходит. Попробую реализовать с нумерацией правил, додумался до этого только когда создал тему, позже отпишусь.

Спасибо сказали: