Shorewall - Позвольте клиенту проверять с помощью ping-запросов Интернет, но не использовать браузер или порт 80
Мой сетевой адрес 192.168.5.0. Моя хост-машина 192.168.5.1 и моя клиентская машина 192.168.5.2. Как я позволю моему клиенту проверить с помощью ping-запросов Интернет через терминал, но ограничить его в использовании порта 80 или браузер? Ниже мой /etc/shorewall/policy файл:
SOURCE DEST POLICY LOGLEVEL RATE CONNLIMIT
loc net ACCEPT
net all DROP info
/etc/shorewall/rules файл:
DROP loc fw tcp 80
/etc/shorewall/interfaces файл:
net eth0
loc eth1
Интерфейсы хоста:
eth0 - Connection to the internet
eth1 - Local Network Connection
Скажите мне, если я все еще должен предоставить больше подробную информацию. Используя конфигурацию выше, мой клиент не может проверить с помощью ping-запросов любой интернет-веб-сайт и в то же время доступ наклона любой сайт от браузера.
1 ответ
На правилах, когда Вы используете:
DROP loc fw tcp 80
Ваш говорят: запретите зону локальной сети (местоположение) от порта доступа TCP/80 на зоне fw. Но Ваш conf не показывает зоны, названной fw (вероятно, Вы имели в виду $FW, но это представит саму машину брандмауэра). Вы могли попробовать что-то вроде этого:
Ping(ACCEPT) loc net
HTTP(DROP) loc net
HTTPS(DROP) loc net
AFAICR, shorewall добавляет ОТБРАСЫВАНИЕ ВСЕ правило в конце каждой цепочки*, таким образом, два правила для отбрасывания HTTP и HTTPS могли быть удалены (потому что все, что явно не позволяется, заблокировано заключительным ОТБРАСЫВАНИЕМ ВСЕ правило).
*Это поведение определяется в файле политики.