добавляю правило, которое должно закрыть коллеге осеку:
ipfw add 10000 deny ip from any to 192.168.83.100 dst-port 5190
ipfw add 10001 deny ip from any to 192.168.83.100 dst-port 443
И он принимает месседжи от меня.
Делаю так:
ipfw add 10002 deny ip from 192.168.83.100 to any dst-port 5190
ipfw add 10003 deny ip from 192.168.83.100 to any dst-port 443
И он все так же получает месаги от меня, но не может отправить и потом осека ложится в офф.
---
офф осеки устраивает, но какого он может отправлять при правилах 10000 и 10001?

лучше блочить сеть icq
64.12.0.0/16
205.188.0.0/16
152.163.0.0/16
61.12.51.0/24
61.12.161.0/24
61.12.174.0/24

неа, я принципиально по порту хочу)) Просто, если у меня не получается, хотя должно - значит я что-то не верно представляю. Хочу разобраться.

а может какое-то правило все же разрешает слать? вдруг где-то противоречие?

ох, пересмотрел. Конфликтов нету. По моему, я где-то в синтаксисе ошибся или осека как-то обходит эти правила.

в правилах интерфейс указывать надо (если их несколько), проверить правильность порта....

интерфейс чего? что за интерфейс? где в правилах интерфейс указывать? Пример покажи. Порты уже проверены.

интерфейс чего? что за интерфейс? где в правилах интерфейс указывать? Пример покажи. Порты уже проверены.
http://www.opennet.ru/base/net/ipfw_man2.txt.html
параметр via

Спанч, спасибо. Седой, ифас условно один. А точнее - траф так идти может только одним способом, посему, не актуально.

покажите ipfw show

первые два правила, по-моему, бесполезны

либо я туплю, либо первые правила запрещают коннект к компу п опортам 443 и 5190. т.е. порты авторизации аськи. а на эти порты на комп ничего не приходит.

3,4 правила - правильный запрет. они запрещают коннект на порты для icq-авторизации.
и вообще, +1 к neprovad. бан по ip'ам, потому что еще что-то может использовать эти порты. или другой клиент использует другие порты (не 443 и 5190) для авторизации и сможет обойти правила.

я бы сделал так:

ipfw add 10000 deny ip from any to me 5190
ipfw add 10001 deny ip from any to me 443

ipfw add 10002 deny ip from me 5190 to any
ipfw add 10003 deny ip from me 443 to any

и как ты это понимаешь? как это должно работать?
напиши про каждое правило?

//это блокирует коннект к твоей машине на 5190 443. Нет смысла, ты же не сервер icq
ipfw add 10000 deny ip from any to me 5190
ipfw add 10001 deny ip from any to me 443

//это блокирует исходящие пакеты от тебя с портов 5190 и 443. Это вообще бред
ipfw add 10002 deny ip from me 5190 to any
ipfw add 10003 deny ip from me 443 to any

Эти правила составлены не верно.

ipfw add 10000 deny ip from any to 192.168.83.100 dst-port 5190
ipfw add 10001 deny ip from any to 192.168.83.100 dst-port 443

эти тоже

ipfw add 10002 deny ip from 192.168.83.100 to any dst-port 5190
ipfw add 10003 deny ip from 192.168.83.100 to any dst-port 443
вот так вернее

Чисто по твоему случаю, мне кажется у тебя раньше есть правило типа
allow ip from any to any established (полезное правило по ряду причин)
тоесть если соединение уже установленно, то оно не сбрасывается.
Отсюда и такой эффект. Если человек за твоим фаером уже подключен,то tcp соединение открыто и он получает мессаги. После закрытия соединения он не сможет подключится.

[QUOTE=fucker"ok]Эти правила составлены не верно.

сорри.
должно быть:



//это блокирует коннект к твоей машине с 5190 и 443.

ipfw add 10000 deny ip from any 5190 to me
ipfw add 10001 deny ip from any 443 to me

//это блокирует исходящие пакеты от тебя к портам icq сервака 5190 и 443.
ipfw add 10002 deny ip from me to any 5190
ipfw add 10003 deny ip from me to any 443