У меня на BSD установленна одна сетевая карта смотрящая в локальную сеть. На BSD установленны разные сервичы типа SSH Apache и другихвидов.
Можете показать от начала и доканци скрипт с примером фаервола с переменными где например настроенны apache mysql два примера хватит - просто не догоняю.
Само ядро пересобранно под IPFW
Буду очень рад любой информации.
Чайник в IPFW
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
DeeN
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2009-05-22 1:17:35
Re: Чайник в IPFW
http://www.lissyara.su/?id=1127
там очень подробно всё написано, надо понять как правила пишутся иначе будет тяжко
там очень подробно всё написано, надо понять как правила пишутся иначе будет тяжко
-
paradox
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Чайник в IPFW
pass all from any to anyУ меня на BSD установленна одна сетевая карта смотрящая в локальную сеть.
будет достаточно
-
BigDim
- рядовой
- Сообщения: 47
- Зарегистрирован: 2007-09-24 20:46:04
Re: Чайник в IPFW
а примеры будут ?
-
paradox
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Чайник в IPFW
задайтесь самым первым вопросом
для чего вам фаервол?
и какие функции он выполняет
токо от того что в интерене много пишут что нужен фаервол
нужна еще и своя голова
вам будет достаточно одного правила
для чего вам фаервол?
и какие функции он выполняет
токо от того что в интерене много пишут что нужен фаервол
нужна еще и своя голова
вам будет достаточно одного правила
Код: Выделить всё
ipfw add 1 pass all from any to any-
demonsked
- ефрейтор
- Сообщения: 68
- Зарегистрирован: 2009-05-24 3:27:45
- Откуда: Россия, 67rus
- Контактная информация:
Re: Чайник в IPFW
У меня другая беда, статью читал. Переписывать правила под себя пытался. После применения не работает интернет у клиентов. Как я понял трафик попадает в петлю на внешнем интерфейсе.
172.16.0.0/24 локальная сеть(vr0).
172.16.1.200 сетевка смотрящая в инет(sis0).
Может объясните где и что не так.
Если можно подправьте или направьте меня на путь истинный, но пожалуйста не хендбук, читал и не раз. Возможно я просто не понял приоритеты правил.
172.16.0.0/24 локальная сеть(vr0).
172.16.1.200 сетевка смотрящая в инет(sis0).
Может объясните где и что не так.
Если можно подправьте или направьте меня на путь истинный, но пожалуйста не хендбук, читал и не раз. Возможно я просто не понял приоритеты правил.
- Вложения
-
- ipfw_new1.txt
- (2.64 КБ) 30 скачиваний
Нас в ребут, а мы крепчаем.
-
MASiK
- лейтенант
- Сообщения: 625
- Зарегистрирован: 2008-09-19 20:09:41
- Откуда: Оттуда
- Контактная информация:
Re: Чайник в IPFW
Дружище это у тя так выглядет Файлик конфига фаэра? Именно так??!demonsked писал(а):У меня другая беда, статью читал. Переписывать правила под себя пытался. После применения не работает интернет у клиентов. Как я понял трафик попадает в петлю на внешнем интерфейсе.
172.16.0.0/24 локальная сеть(vr0).
172.16.1.200 сетевка смотрящая в инет(sis0).
Может объясните где и что не так.
Если можно подправьте или направьте меня на путь истинный, но пожалуйста не хендбук, читал и не раз. Возможно я просто не понял приоритеты правил.
Код: Выделить всё
#IPFW rules for server
#
#
# сбрасываем все правила
flush
# сбрасываем все pipe
pipe flush
#создаем нат
nat 1 config if sis0 same_ports log
#лимиты скорости
pipe 1 config bw 128k
pipe 2 config bw 128k
pipe 3 config bw 128k
pipe 4 config bw 128k
pipe 5 config bw 512k
pipe 6 config bw 512k
#разрешаем весь траффик по внутреннему интерфейсу
add 10 allow all from any to any via lo0
#рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0
add 11 deny all from any to 127.0.0.0/8
add 12 deny all from 127.0.0.0/8 to any
# рубим пакеты `типа от внутренней сети, но на внешнем интерфейсе`
add 20 deny ip from 172.16.0.0/24 to any in via sis0
# рубим пакеты `типа от внешней сети, но на внутреннем интерфейсе`
add 21 deny ip from 172.16.1.0/24 to any in via vr0
# рубим автоконфигуреную частную сеть
add 30 deny ip from any to 169.254.0.0/16 in via sis0
# рубаем мультикастовые рассылки
add 40 deny ip from 224.0.0.0/4 to any out via sis0
add 41 deny ip from any to 240.0.0.0/4 in via sis0
# рубим фрагментированные icmp
add 50 deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
add 51 deny log icmp from any to 255.255.255.255 in via sis0
add 52 deny log icmp from any to 255.255.255.255 out via sis0
# разрешаем траффик внутренней сети на внутреннем интерфейсе
add 60 allow all from 172.16.0.0/24 to 172.16.0.0/24 via vr0
#используем нат
add 70 nat 1 ip from 172.16.0.0/24 to any 20,21,22,25,53,80,6112,8767,10000 out
add 71 nat 1 ip from any 20,21,22,25,53,80,6112,8767,10000 to me in via sis0
# разрешаем некоторые типы ICMP траффика - эхо-запрос,
# эхо-ответ и время жизни пакета истекло
add 100 allow icmp from any to any icmptypes 0,8,11
#разрешаем все от нас
add 101 allow all from me to any out
add 102 allow all from any to me in via sis0
#режем скорость
add 111 pipe 1 all from 172.16.0.11 to not me
add 112 pipe 2 all from any to 172.16.0.11
add 113 pipe 3 all from 172.16.0.12 to not me
add 114 pipe 4 all from any to 172.16.0.12
add 115 pipe 5 all from 172.16.0.10 to not me
add 116 pipe 6 all from any to 172.16.0.10
# DNS
add 120 allow udp from any to me 53 in via sis0
add 121 allow udp from me 53 to any out via sis0
add 122 allow udp from any 53 to me in via sis0
add 123 allow udp from me to any 53 out via sis0
# разрешаем снаружи соединяться с 20,21,22,25,53 ,80,6112,10000,49152-65535
add 130 allow tcp from any to me 20,21,25,22,53 ,80,6112,10000,49152-65535 in via sis0
# разрешаем тимспик
add 131 allow all from any to me 8767 in via sis0
# Блокируем все остальные попытки соединения с занесением в логи
add 140 deny log tcp from any to any in via sis0
у тебя должна быть минимум перед каждым правилом строчка ipfw или переменная fw="ipfw"
А по хорошему http://www.lissyara.su/?id=1356 это и http://www.lissyara.su/?id=1075
Так как у тебя тут shell скрипт всётаки
И честно сказать не вижу что бы ты хотя бы смотрел в Хенд Буки и маны....
в общем ЧИТАЙ! Набирайся опыта!
Самурай
-
demonsked
- ефрейтор
- Сообщения: 68
- Зарегистрирован: 2009-05-24 3:27:45
- Откуда: Россия, 67rus
- Контактная информация:
Re: Чайник в IPFW
А почему сразу должна быть "у тебя должна быть минимум перед каждым правилом строчка ipfw или переменная fw="ipfw"". Я указываю в rc.conf firewall_script="/etc/ipfw.conf". Правила подгружаются. Работает что то не так. И где там увидели скрипт я вообще не понял. Я что указал !/бин/сш? Вроде как нет. Я по сушеству спросил где могут быть ошибки. А скрипт или нет это дело сторонее.Какие все умные, чуть что кури маны и хендбук. Сами никогда не спрашивали? Все сами вкуривали, без объяснений? Тогда грац.
Нас в ребут, а мы крепчаем.
-
demonsked
- ефрейтор
- Сообщения: 68
- Зарегистрирован: 2009-05-24 3:27:45
- Откуда: Россия, 67rus
- Контактная информация:
Re: Чайник в IPFW
В догонку про то что можно и без переменных типа ipfw в конфиге.
Вот те конф:
А вот те вывод при загрузке данных правил и все работает(но хочется большего)
Не читает никто маны и хандбуки, тя я смотрю тоже можно и нужно туда отправить MASiKk.
Вот те конф:
Код: Выделить всё
demon@gate demon $ cat /etc/ipfw.conf
#IPFW rules for server
#
#
flush
nat 1 config if sis0 same_ports log
pipe 1 config bw 128k
pipe 2 config bw 128k
pipe 3 config bw 128k
pipe 4 config bw 128k
pipe 5 config bw 512k
pipe 6 config bw 512k
add 12 allow all from 172.16.0.0/24 to 172.16.0.0/24 via vr0
add 13 allow all from not 172.16.0.0/24 to not me via sis0
add 15 allow all from any to any via lo0
add 18 deny all from any to 127.0.0.0/8
add 19 deny all from 127.0.0.0/8 to any
add 30 nat 1 ip from 172.16.0.0/24 to any out
add 31 nat 1 ip from any to me in via sis0
add 101 pipe 1 all from 172.16.0.11 to any
add 102 pipe 2 all from any to 172.16.0.11
add 103 pipe 3 all from 172.16.0.12 to any
add 104 pipe 4 all from any to 172.16.0.12
add 105 pipe 5 all from 172.16.0.10 to any
add 106 pipe 6 all from any to 172.16.0.10
add 110 allow all from any to any
Код: Выделить всё
demon@gate demon $ ipfw list
00012 allow ip from 172.16.0.0/24 to 172.16.0.0/24 via vr0
00013 allow ip from not 172.16.0.0/24 to not me via sis0
00015 allow ip from any to any via lo0
00018 deny ip from any to 127.0.0.0/8
00019 deny ip from 127.0.0.0/8 to any
00030 nat 1 ip from 172.16.0.0/24 to any out
00031 nat 1 ip from any to me in via sis0
00101 pipe 1 ip from 172.16.0.11 to any
00102 pipe 2 ip from any to 172.16.0.11
00103 pipe 3 ip from 172.16.0.12 to any
00104 pipe 4 ip from any to 172.16.0.12
00105 pipe 5 ip from 172.16.0.10 to any
00106 pipe 6 ip from any to 172.16.0.10
00110 allow ip from any to any
65535 deny ip from any to any
Код: Выделить всё
demon@gate demon $ ipfw pipe show
00001: 128.000 Kbit/s 0 ms 50 sl. 0 queues (1 buckets) droptail
00002: 128.000 Kbit/s 0 ms 50 sl. 0 queues (1 buckets) droptail
00003: 128.000 Kbit/s 0 ms 50 sl. 0 queues (1 buckets) droptail
00004: 128.000 Kbit/s 0 ms 50 sl. 0 queues (1 buckets) droptail
00005: 512.000 Kbit/s 0 ms 50 sl. 1 queues (1 buckets) droptail
mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
0 tcp 172.16.0.10/3681 67.220.205.212/80 72473 5629834 0 0 0
00006: 512.000 Kbit/s 0 ms 50 sl. 1 queues (1 buckets) droptail
mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
0 tcp 67.220.205.212/80 172.16.0.10/3681 124251 166794225 46 63145 167
Нас в ребут, а мы крепчаем.
-
MASiK
- лейтенант
- Сообщения: 625
- Зарегистрирован: 2008-09-19 20:09:41
- Откуда: Оттуда
- Контактная информация:
Re: Чайник в IPFW
Во как, спать походу надоdemonsked писал(а):А почему сразу должна быть "у тебя должна быть минимум перед каждым правилом строчка ipfw или переменная fw="ipfw"". Я указываю в rc.conf firewall_script="/etc/ipfw.conf". Правила подгружаются. Работает что то не так. И где там увидели скрипт я вообще не понял. Я что указал !/бин/сш? Вроде как нет. Я по сушеству спросил где могут быть ошибки. А скрипт или нет это дело сторонее.Какие все умные, чуть что кури маны и хендбук. Сами никогда не спрашивали? Все сами вкуривали, без объяснений? Тогда грац.
а возмущаться совсем не стоит, если посмотреть по форуму тут толька и спрашивают КАК? Ipfw и маны все перечитали 100 раз
Посмотри у тебя нат
Код: Выделить всё
add 70 nat 1 ip from 172.16.0.0/24 to any 20,21,22,25,53,80,6112,8767,10000 out
add 71 nat 1 ip from any 20,21,22,25,53,80,6112,8767,10000 to me in via sis0Давай не ной а сюда дай
Код: Выделить всё
ipfw nat show configСамурай
-
MASiK
- лейтенант
- Сообщения: 625
- Зарегистрирован: 2008-09-19 20:09:41
- Откуда: Оттуда
- Контактная информация:
Re: Чайник в IPFW
Я-то знаю что так можно, я не знаю что ты так можешьdemonsked писал(а):В догонку про то что можно и без переменных типа ipfw в конфиге.
Вот те конф:
А вот те вывод при загрузке данных правил и все работает(но хочется большего)
Не читает никто маны и хандбуки, тя я смотрю тоже можно и нужно туда отправить MASiKk.
в Маны меня давно надо отправлять, если бы тока я читать мог...
Самурай
-
demonsked
- ефрейтор
- Сообщения: 68
- Зарегистрирован: 2009-05-24 3:27:45
- Откуда: Россия, 67rus
- Контактная информация:
Re: Чайник в IPFW
Код: Выделить всё
demon@gate etc $ ipfw show
00010 0 0 allow ip from any to any via lo0
00011 0 0 deny ip from any to 127.0.0.0/8
00012 0 0 deny ip from 127.0.0.0/8 to any
00020 0 0 deny ip from 172.16.0.0/24 to any in via sis0
00021 0 0 deny ip from 172.16.1.0/24 to any in via vr0
00030 0 0 deny ip from any to 169.254.0.0/16 in via sis0
00040 0 0 deny ip from 224.0.0.0/4 to any out via sis0
00041 0 0 deny ip from any to 240.0.0.0/4 in via sis0
00050 0 0 deny icmp from any to any frag
00051 0 0 deny log icmp from any to 255.255.255.255 in via sis0
00052 0 0 deny log icmp from any to 255.255.255.255 out via sis0
00060 42 3316 allow ip from 172.16.0.0/24 to 172.16.0.0/24 via vr0
00070 7 280 nat 1 ip from 172.16.0.0/24 to any dst-port 20,21,22,25,53,80,6112,8767,10000 out
00071 0 0 nat 1 ip from any 20,21,22,25,53,80,6112,8767,10000 to me in via sis0
00100 0 0 allow icmp from any to any icmptypes 0,8,11
00101 0 0 allow ip from me to any out
00102 7 476 allow ip from any to me in via sis0
00111 0 0 pipe 1 ip from 172.16.0.11 to not me
00112 0 0 pipe 2 ip from any to 172.16.0.11
00113 0 0 pipe 3 ip from 172.16.0.12 to not me
00114 0 0 pipe 4 ip from any to 172.16.0.12
00115 7 280 pipe 5 ip from 172.16.0.10 to not me
00116 0 0 pipe 6 ip from any to 172.16.0.10
00120 0 0 allow udp from any to me dst-port 53 in via sis0
00121 0 0 allow udp from me 53 to any out via sis0
00122 0 0 allow udp from any 53 to me in via sis0
00123 0 0 allow udp from me to any dst-port 53 out via sis0
65535 43 5049 deny ip from any to anyКод: Выделить всё
demon@gate etc $ ipfw nat show config
ipfw nat 1 config if sis0 log same_ports
Нас в ребут, а мы крепчаем.
-
demonsked
- ефрейтор
- Сообщения: 68
- Зарегистрирован: 2009-05-24 3:27:45
- Откуда: Россия, 67rus
- Контактная информация:
Re: Чайник в IPFW
А вот тот конфиг который я писал без него, применял, но тоже ничего хорошего не родилось.
Код: Выделить всё
#IPFW rules for server
#
#
# сбрасываем все правила
flush
# сбрасываем все pipe
pipe flush
#создаем нат
nat 1 config if sis0 same_ports log
#лимиты скорости
pipe 1 config bw 128k
pipe 2 config bw 128k
pipe 3 config bw 128k
pipe 4 config bw 128k
pipe 5 config bw 512k
pipe 6 config bw 512k
#разрешаем все от нас
add 1 allow all from me to any out
#разрешаем весь траффик по внутреннему интерфейсу
add 10 allow all from any to any via lo0
#рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0
add 11 deny all from any to 127.0.0.0/8
add 12 deny all from 127.0.0.0/8 to any
# рубим пакеты `типа от внутренней сети, но на внешнем интерфейсе`
add 20 deny ip from 172.16.0.0/24 to any in via sis0
# рубим пакеты `типа от внешней сети, но на внутреннем интерфейсе`
add 21 deny ip from 172.16.1.0/24 to any in via vr0
# рубим автоконфигуреную частную сеть
add 30 deny ip from any to 169.254.0.0/16 in via sis0
# рубаем мультикастовые рассылки
add 40 deny ip from 224.0.0.0/4 to any out via sis0
add 41 deny ip from any to 240.0.0.0/4 in via sis0
# рубим фрагментированные icmp
add 50 deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
add 51 deny log icmp from any to 255.255.255.255 in via sis0
add 52 deny log icmp from any to 255.255.255.255 out via sis0
# разрешаем траффик внутренней сети на внутреннем интерфейсе
add 60 allow all from 172.16.0.0/24 to 172.16.0.0/24 via vr0
add 61 allow all from not 172.16.0.0/24 to not me via sis0
#используем нат
add 70 nat 1 ip from 172.16.0.0/24 to any out
add 71 nat 1 ip from any to me in via sis0
# разрешаем tcp-пакеты по уже установленным соединениям
add 80 allow tcp from any to any established
# разрешаем некоторые типы ICMP траффика - эхо-запрос,
# эхо-ответ и время жизни пакета истекло
add 100 allow icmp from any to any icmptypes 0,8,11
#режем скорость
add 111 pipe 1 all from 172.16.0.11 to any
add 112 pipe 2 all from any to 172.16.0.11
add 113 pipe 3 all from 172.16.0.12 to any
add 114 pipe 4 all from any to 172.16.0.12
add 115 pipe 5 all from 172.16.0.10 to any
add 116 pipe 6 all from any to 172.16.0.10
# DNS
add 120 allow udp from any to me 53 in via sis0
add 121 allow udp from me 53 to any out via sis0
add 122 allow udp from any 53 to me in via sis0
add 123 allow udp from me to any 53 out via sis0
# разрешаем снаружи соединяться с 53 портом (TCP DNS)
add 131 allow tcp from any to 172.16.1.200 53 in via sis0 setup
# открываем снаружи 80 порт - если у нас есть WWW сервер
add 132 allow tcp from any to 172.16.1.200 80 in via sis0 setup
# открываем снаружи 20,21 порт - для активного FTP
add 133 allow tcp from any to 172.16.1.200 20,21 in via sis0 setup
# разрешаем входящую почту
add 134 allow tcp from any to 172.16.1.200 25 in via sis0 setup
# разрешаем SSH
add 135 allow tcp from any to 172.16.1.200 22 in via sis0 setup
# открываем снаружи 20,21 порт - для активного FTP
add 136 allow tcp from any to 172.16.1.200 20,21 in via sis0 setup
# разрешаем тимспик
add 137 allow all from any to me 8767 in via sis0 setup
# webmin
add 138 allow all from any to me 10000 in via sis0 setup
# пассивный FTP
add 139 allow tcp from any to 172.16.1.200 49152-65535 via sis0
# разрешаем UDP (для синхронизации времени - 123 порт)
add 140 allow udp from any to any 123 via sis0
# Блокируем все остальные попытки соединения с занесением в логи
add 150 deny log tcp from any to me in via sis0 setup
Последний раз редактировалось demonsked 2009-05-27 19:23:27, всего редактировалось 1 раз.
Нас в ребут, а мы крепчаем.
-
princeps
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Чайник в IPFW
У тебя gateway_enable="YES" есть в rc.conf?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
demonsked
- ефрейтор
- Сообщения: 68
- Зарегистрирован: 2009-05-24 3:27:45
- Откуда: Россия, 67rus
- Контактная информация:
Re: Чайник в IPFW
Код: Выделить всё
gateway_enable="YES"
dummynet_enable="YES"
firewall_nat_enable="YES"
firewall_nat_flags="same_ports"
firewall_enable="YES"
firewall_type="/etc/ipfw.conf"
firewall_flags="-q"
Нас в ребут, а мы крепчаем.
-
princeps
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Чайник в IPFW
на самом шлюзе интернет есть?
tcpdump заюзай, что ли
tcpdump заюзай, что ли
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
demonsked
- ефрейтор
- Сообщения: 68
- Зарегистрирован: 2009-05-24 3:27:45
- Откуда: Россия, 67rus
- Контактная информация:
Re: Чайник в IPFW
На шлюзе итернет есть.
Новость такова, использовав свой конфиг появился интернет у всех. Тогда другой вопрос, где были ошибки?
И еще попутно есть ли смысл резать и на исходящем и на входящем вот так
Или там должно быть одно правило?
Новость такова, использовав свой конфиг появился интернет у всех. Тогда другой вопрос, где были ошибки?
Код: Выделить всё
#IPFW rules for server
#
#
# сбрасываем все правила
flush
# сбрасываем все pipe
pipe flush
#создаем нат
nat 1 config if sis0 same_ports log
#лимиты скорости
pipe 1 config bw 128k
pipe 2 config bw 128k
pipe 3 config bw 128k
pipe 4 config bw 128k
pipe 5 config bw 512k
pipe 6 config bw 512k
#разрешаем все от нас
add 1 allow all from 172.16.1.200 to any out
#разрешаем весь траффик по внутреннему интерфейсу
add 10 allow all from any to any via lo0
#рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0
add 11 deny all from any to 127.0.0.0/8
add 12 deny all from 127.0.0.0/8 to any
# рубим пакеты `типа от внутренней сети, но на внешнем интерфейсе`
add 20 deny ip from 172.16.0.0/24 to any in via sis0
# рубим пакеты `типа от внешней сети, но на внутреннем интерфейсе`
add 21 deny ip from 172.16.1.0/24 to any in via vr0
# рубим автоконфигуреную частную сеть
add 30 deny ip from any to 169.254.0.0/16 in via sis0
# рубаем мультикастовые рассылки
add 40 deny ip from 224.0.0.0/4 to any out via sis0
add 41 deny ip from any to 240.0.0.0/4 in via sis0
# рубим фрагментированные icmp
add 50 deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
add 51 deny log icmp from any to 255.255.255.255 in via sis0
add 52 deny log icmp from any to 255.255.255.255 out via sis0
# разрешаем траффик внутренней сети на внутреннем интерфейсе
add 60 allow all from 172.16.0.0/24 to 172.16.0.0/24 via vr0
add 61 allow all from not 172.16.0.0/24 to not 172.16.1.200 via sis0
#используем нат
add 70 nat 1 ip from 172.16.0.0/24 to any out
add 71 nat 1 ip from any to 172.16.1.200 in via sis0
# разрешаем tcp-пакеты по уже установленным соединениям
add 80 allow tcp from any to any established
# разрешаем некоторые типы ICMP траффика - эхо-запрос,
# эхо-ответ и время жизни пакета истекло
add 100 allow icmp from any to any icmptypes 0,8,11
#режем скорость
add 111 pipe 1 all from 172.16.0.11 to any
add 112 pipe 2 all from any to 172.16.0.11
add 113 pipe 3 all from 172.16.0.12 to any
add 114 pipe 4 all from any to 172.16.0.12
add 115 pipe 5 all from 172.16.0.10 to any
add 116 pipe 6 all from any to 172.16.0.10
# DNS
add 120 allow udp from any to 172.16.1.200 53 in via sis0
add 121 allow udp from 172.16.1.200 53 to any out via sis0
add 122 allow udp from any 53 to 172.16.1.200 in via sis0
add 123 allow udp from 172.16.1.200 to any 53 out via sis0
# разрешаем снаружи соединяться с 53 портом (TCP DNS)
add 131 allow tcp from any to 172.16.1.200 53 in via sis0 setup
# открываем снаружи 80 порт - если у нас есть WWW сервер
add 132 allow tcp from any to 172.16.1.200 80 in via sis0 setup
# открываем снаружи 20,21 порт - для активного FTP
add 133 allow tcp from any to 172.16.1.200 20,21 in via sis0 setup
# разрешаем входящую почту
add 134 allow tcp from any to 172.16.1.200 25 in via sis0 setup
# разрешаем SSH
add 135 allow tcp from any to 172.16.1.200 22 in via sis0 setup
# открываем снаружи 20,21 порт - для активного FTP
add 136 allow tcp from any to 172.16.1.200 20,21 in via sis0 setup
# разрешаем тимспик
add 137 allow all from any to 172.16.1.200 8767 in via sis0 setup
# webmin
add 138 allow all from any to 172.16.1.200 10000 in via sis0 setup
# пассивный FTP
add 139 allow tcp from any to 172.16.1.200 49152-65535 via sis0
# разрешаем UDP (для синхронизации времени - 123 порт)
add 140 allow udp from any to any 123 via sis0
# Блокируем все остальные попытки соединения с занесением в логи
add 150 deny log tcp from any to 172.16.1.200 in via sis0 setup
Код: Выделить всё
add 115 pipe 5 all from 172.16.0.10 to any
add 116 pipe 6 all from any to 172.16.0.10Нас в ребут, а мы крепчаем.
-
Laa
- ст. лейтенант
- Сообщения: 1032
- Зарегистрирован: 2008-02-21 18:25:33
- Откуда: Украина, Россия
Re: Чайник в IPFW
О!
У меня тоже есть один чайниковский вопрос!
Почему правило
рубит только тсп пакеты не к самому серверу и не на 25 порт. Киньте мне кусок мана, где четко описано действие параметра not, пожалуйста!
У меня тоже есть один чайниковский вопрос!
Почему правило
Код: Выделить всё
ipfw add 100 deny tcp from any to not me 25 in recv rl0exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!
-
paradox
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Чайник в IPFW
вы что издеваетесь?ipfw add 100 deny tcp from any to not me 25 in recv rl0
а ну марш мануал читать
-
Laa
- ст. лейтенант
- Сообщения: 1032
- Зарегистрирован: 2008-02-21 18:25:33
- Откуда: Украина, Россия
Re: Чайник в IPFW
Пожалуйста, скопируйте и вставьте мне кусок мануала, который четко описывает работу параметра not.
Два действия: скопировать и вставить. Пожалуйста. Прошу вас. Я читал и не нашел.
Два действия: скопировать и вставить. Пожалуйста. Прошу вас. Я читал и не нашел.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!
-
paradox
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Чайник в IPFW
man ipfw
The body of a rule contains zero or more patterns (such as specific
source and destination addresses or ports, protocol options, incoming or
outgoing interfaces, etc.) that the packet must match in order to be
recognised. In general, the patterns are connected by (implicit) and
operators -- i.e., all must match in order for the rule to match. Indi-
vidual patterns can be prefixed by the not operator to reverse the result
of the match, as in
ipfw add 100 allow ip from not 1.2.3.4 to any
-
demonsked
- ефрейтор
- Сообщения: 68
- Зарегистрирован: 2009-05-24 3:27:45
- Откуда: Россия, 67rus
- Контактная информация:
Re: Чайник в IPFW
А на мой вопрос ответа нет?
Да и возможно ли реализовать что то вроде динамического шейпера чтобы скорость давал от 256 до 512 кб/с на клиента?
Вот у меня 172.16.0.10 должен иметь 512 постоянно, а для 172.16.0.11 и 172.16.0.12, 512 нужно делить взависимости 1 работает или 2. Если 1 то тому 512 на всю, если вдвоем то по 256.
Да и возможно ли реализовать что то вроде динамического шейпера чтобы скорость давал от 256 до 512 кб/с на клиента?
Вот у меня 172.16.0.10 должен иметь 512 постоянно, а для 172.16.0.11 и 172.16.0.12, 512 нужно делить взависимости 1 работает или 2. Если 1 то тому 512 на всю, если вдвоем то по 256.
Нас в ребут, а мы крепчаем.
-
Laa
- ст. лейтенант
- Сообщения: 1032
- Зарегистрирован: 2008-02-21 18:25:33
- Откуда: Украина, Россия
Re: Чайник в IPFW
Ок. Разжуйте, почему дляparadox писал(а):man ipfwThe body of a rule contains zero or more patterns (such as specific
source and destination addresses or ports, protocol options, incoming or
outgoing interfaces, etc.) that the packet must match in order to be
recognised. In general, the patterns are connected by (implicit) and
operators -- i.e., all must match in order for the rule to match. Indi-
vidual patterns can be prefixed by the not operator to reverse the result
of the match, as in
ipfw add 100 allow ip from not 1.2.3.4 to any
Код: Выделить всё
ipfw add 100 deny tcp from any to not 1.2.3.4 110 Вполне устроит для разжевывания цитата из мана.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!
-
paradox
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Чайник в IPFW
запретить доступ до порта 110 для всех хостов кроме 1.2.3.4ipfw add 100 deny tcp from any to not 1.2.3.4 110
зы
токо не говори еще и обьяснить то что по русски сказано = )))
-
Laa
- ст. лейтенант
- Сообщения: 1032
- Зарегистрирован: 2008-02-21 18:25:33
- Откуда: Украина, Россия
Re: Чайник в IPFW
Во! Все просто. А-то лезут в голову всякие дурацкие мысли...paradox писал(а):запретить доступ до порта 110 для всех хостов кроме 1.2.3.4ipfw add 100 deny tcp from any to not 1.2.3.4 110
зы
токо не говори еще и обьяснить то что по русски сказано = )))
Спасибо.
По русски понимаю!
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!