Проблемы установки, настройки и работы Правильной Операционной Системы
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
savio
- лейтенант
- Сообщения: 813
- Зарегистрирован: 2007-11-08 15:46:43
- Откуда: UA
Непрочитанное сообщение
savio » 2008-08-25 17:17:52
Значит на серваке два инет-канала. Нужно закрыть в FTP доступ с внешнего мира
Когда делаю так
Код: Выделить всё
ipfw -q add 100 deny all from any to me 21 via ng1,ng2
то как был открыт доступ, так и остался, если же
Код: Выделить всё
ipfw -q add 100 deny all from any to me 21 via ng1
ipfw -q add 105 deny all from any to me 21 via ng2
то все работает. Почему не работает в первом случаи?
Помни о смерти, все суета сует....
savio
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
Overseer
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-03-20 23:00:42
Непрочитанное сообщение
Overseer » 2008-08-25 19:33:58
ipfw -q add 100 deny all from any to me dst-port 21
Так чем не нравится?
Overseer
-
dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
-
Контактная информация:
Непрочитанное сообщение
dikens3 » 2008-08-25 20:02:52
ipfw -q add 100 deny all from any to me 20,21 in via (ng1 or ng2)
ipfw -q add 100 deny all from any to me 20,21 in via {ng1 or ng2}
Что нибудь типа этого должно быть.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
dikens3
-
dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
-
Контактная информация:
Непрочитанное сообщение
dikens3 » 2008-08-25 20:04:28
Overseer писал(а):ipfw -q add 100 deny all from any to me dst-port 21
Так чем не нравится?
savio писал(а):закрыть в FTP доступ только с внешнего мира
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
dikens3
-
LimpTeaM
- сержант
- Сообщения: 236
- Зарегистрирован: 2007-10-04 16:26:21
Непрочитанное сообщение
LimpTeaM » 2008-08-25 21:27:43
Код: Выделить всё
${FwCMD} add allow tcp from 192.168.0.0/16 to me 20,21
${FwCMD} add allow tcp from me to 192.168.0.0/16 20,21
${FwCMD} add allow tcp from 172.0.0.0/16 to me 20,21
${FwCMD} add allow from me to 172.0.0.0/16 20,21
${FwCMD} add allow tcp from 10.10.0.0/16 to me 20,21
${FwCMD} add allow from me to 10.10.0.0/16 20,21
${FwCMD} add pass tcp from me 1024-65535 to any 1024-65535
${FwCMD} add pass tcp from any 1024-65535 to me 1024-65535
#${fwCMD} add deny from any to any
и попробовать добавить via.
это как вариант возможно и не верный ибо сам только учусь
LimpTeaM
-
hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Непрочитанное сообщение
hizel » 2008-08-25 22:53:06
dikens3 писал(а):ipfw -q add 100 deny all from any to me 20,21 in via (ng1 or ng2)
ipfw -q add 100 deny all from any to me 20,21 in via {ng1 or ng2}
Что нибудь типа этого должно быть.
не работает
такое ощущение, что оно просто сравнивает строки
вот ng* работает, это да, но оно и в man ipfw описано
....
вассап!
Код: Выделить всё
ipfw add count ip from any to any \{ via em0 or via em1 \}
работает
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
hizel
-
savio
- лейтенант
- Сообщения: 813
- Зарегистрирован: 2007-11-08 15:46:43
- Откуда: UA
Непрочитанное сообщение
savio » 2008-08-26 8:05:53
Overseer писал(а):ipfw -q add 100 deny all from any to me dst-port 21
Так чем не нравится?
томому как есть еще rl0, который смотрит в сетку, и через который доступ должен быть.
Спасибо всем кто написал. щас попробую у себя
Помни о смерти, все суета сует....
savio
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
-
Контактная информация:
Непрочитанное сообщение
schizoid » 2008-08-26 12:32:20
а низзя посадить фтп ТОЛЬКО на внутренний ИП?
ядерный взрыв...смертельно красиво...жаль, что не вечно...
schizoid
-
savio
- лейтенант
- Сообщения: 813
- Зарегистрирован: 2007-11-08 15:46:43
- Откуда: UA
Непрочитанное сообщение
savio » 2008-08-26 13:51:19
наверное можно, если в конфиге самого FTP-сервера есть такая функция. но я такого что-то не встречал...
Помни о смерти, все суета сует....
savio
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
-
Контактная информация:
Непрочитанное сообщение
schizoid » 2008-08-26 15:13:34
а что за фтп?
ядерный взрыв...смертельно красиво...жаль, что не вечно...
schizoid
-
savio
- лейтенант
- Сообщения: 813
- Зарегистрирован: 2007-11-08 15:46:43
- Откуда: UA
Непрочитанное сообщение
savio » 2008-08-26 15:37:53
у меня pure-ftpd. но суть не в фтп-серваке, а в указании нескольких via.
просто от адмнина остался конфиг с правилами типа
Код: Выделить всё
ipfw add pipe 100 ip from x.x.x.x to any in via iface1,iface2
до меня все работало, и я как-то не задавался вопросом работает ли на самом деле. так сказать поверил на слово.
когда применил для запрета фтп не прошло. вот собственно так и созрел вопрос
Помни о смерти, все суета сует....
savio