-
Как в SuSEfirewall2 можно ограничить канал? Скажем канал 10 Мб/с, а надо, чтоб забирал не больше 8.
-
Есть ли возможность в SuSEfirewall2 открывать порты группам адресов? Надо для 20 IP оставить открытыми все верхние порты, еще для 20 только порты для аськи, десятку открыть 25-й, а остальным только 80.
Через ручное указание правил iptables. Причем это нужно сделать через SuSEFirewall2 или прописать в соответствующий файл настройки - иначе правила не сохранятся после перезагрузки или пере-запишутся при последующем запуске SuSEFirewall2.
Так в том-то и вопрос как это “сделать через SuSEFirewall2 или прописать в соответствующий файл настройки”. Где об этом почитать (желательно разжеванное до состояния кашицы;))?
Где лежит сильно разжеваны материал не знаю, можно попробовать поискать по слову FW_CUSTOMRULES
Вкратце в файте настроек фанеровала /etc/sysconfig/SuSEfirewall2 надо создать и раскоментировать опцию FW_CUSTOMRULES там должна быть ссылка на фаил с дополнительными правилами. Потом в файле с дополнительными правилами /etc/sysconfig/scripts/SuSEfirewall2-custom прописать эти самые правила для iptables.
Немного материала в тему, вдруг поможет:
SuSEfirewall2 — openSUSE
Глава 14. Masquerading and Firewalls](http://doc.xboct.org/html/cha.security.firewall.html)
Кстати второй пункт может быть можно реализовать без пользовательских правил iptables, попробуйте поискать подходящий пункт в файле /etc/sysconfig/SuSEfirewall2
А вот первый однозначно через iptables и если не ошибаюсь надо мутить что то большее чем стандартный iptables, вроде модуль какой ставить\использовать, делал очень, очень давно, уже не помню.
По первому вопросу насколько понял задача не в компетенции фаера.
По второму… спасибо конечно за ответы, но это совсем не то. Собственно меня интересовало есть ли возможность задать 3 различных правила по разрешенным портам для, соответственно, 3 групп IP-адресов. Разумеется чтоб не описывать правило для каждого IP, а по типу как в сквиде - с такого-то по такой-то.
Похоже SuSEfirewall такое не умеет… или я пока не смог найти.
Пока единственный выход видется мне в переводе локалки на класс В и задании трех желаемых правил для 3 сеток класса С и раздавать IP юзерям уже из них.