retex писал(а):Так что? Неправильно настроен ipfw? Или?
Отправлено спустя 3 минуты 39 секунд:
...на этом сайте есть очень хорошая статья...
Ссылку пожалуйста (если можно)...
уже были, две самые правильные ссылки.
Вы просто не хотите учиться и думать.
Вам чистый пример показали, Вы не смогли его повторить ибо:
# man ipfw
Код: Выделить всё
A ruleset always includes a default rule (numbered 65535) which cannot be
modified or deleted, and matches all packets. The action associated with
the default rule can be either deny or allow depending on how the kernel
is configured.
...
LOADER TUNABLES
Tunables can be set in loader(8) prompt, loader.conf(5) or kenv(1) before
ipfw module gets loaded.
net.inet.ip.fw.default_to_accept: 0
Defines ipfw last rule behavior. This value overrides options
IPFW_DEFAULT_TO_(ACCEPT|DENY) from kernel configuration file.
- by default ipfw -> default to deny:
65535 deny ip from any to any
если хотите -> default to accept:
в ядро:
options IPFIREWALL_DEFAULT_TO_ACCEPT
суть, взаисимости от того с каким default для IPFW у Вас загружается система,
Вы имеете:
- в последнем правиле все запрещено
либо
- в последнем правиле все разрешно
последнее правило присутствует всегда, его нельзя удалить и оно определяет
default'ное состояние firewall, каждый выбирает это состояние под свою
политику и практику. Скажем, половина администриторов, считает, что
default accept надежней в случае удаленной настройки, если промахнулся.
Исходя из этого, Вы строите свой набор правил.
В примере, было показано для ядра GENERIC, в rc.conf настройка
firewall_enable="YES"
firewall_type="OPEN"
firewall_logging="YES"
после чего показан список правил и добавлено ОДНО правило
закрывающее командный порт ftp: 21/tcp
ipfw add 1001 deny tcp from any to me 21
прежде чем городить огород из правил которые НЕ ПОНИМАЕТЕ, нужно мало-мало почитать,
оределиться что и как Вы будете "строить" и потом
вручную, добавлять правила и проверять, в помощь ipfw list и ipfw show.
В итоге, пазл сложится и тогда составите свой набор правил для firewall_script или firewall_coscripts (man rc.conf)
# grep firewall /etc/defaults/rc.conf
а в помощь:
# less /etc/rc.firewall
где найдете шаблоны и общие правила для lo0/ipv6:
Код: Выделить всё
############
# Define the firewall type in /etc/rc.conf. Valid values are:
# open - will allow anyone in
# client - will try to protect just this machine
# simple - will try to protect a whole network
# closed - totally disables IP services except via lo0 interface
# workstation - will try to protect just this machine using stateful
# firewalling. See below for rc.conf variables used
# UNKNOWN - disables the loading of firewall rules.
# filename - will load the rules in the given filename (full path required)
#
# For ``client'' and ``simple'' the entries below should be customized
# appropriately.
Далее приступить к динамическим правилам, man ipfw -> DYNAMIC RULES -> STATEFUL FIREWALL
ну и тд и тп.
чтиво: handbook, man ipfw и чтение по ссылкам.