00349 3540 439711 fwd 10.25.4.1 ip from 8.72.18.17 to any keep-state
00356 13 1300 allow ip from 88.198.46.171 to 8.72.18.17
00450 1161167 181417446 divert 8888 ip from any to any via vr0
00500 1128682 179896539 allow ip from any to any via vr0
00600 0 0 check-state
00700 1567911 797749949 allow ip from me to any keep-state
349 и 600е не пашут, приходиться втыкать 356, проблемма как сделать его динамическим чтобы приходили только ответы от 88.198.46.171 и не могли приходить начало соединения?
ipfw+natd+divert
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
Bormental
- сержант
- Сообщения: 267
- Зарегистрирован: 2008-09-26 21:26:35
- Откуда: подмордорье
- Контактная информация:
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
Bormental
- сержант
- Сообщения: 267
- Зарегистрирован: 2008-09-26 21:26:35
- Откуда: подмордорье
- Контактная информация:
Re: ipfw+natd+divert
вроде придумал
должно пахать?
наверное тему можно удалить
Код: Выделить всё
100 deny ip from any to 8.72.18.17 setupнаверное тему можно удалить
-
Twister
- рядовой
- Сообщения: 25
- Зарегистрирован: 2009-01-11 19:00:13
- Откуда: Иркутск
Re: ipfw+natd+divert
ты отпиши что и где,каму-куды,конфиг основную часть в студию
Желаю вам:ни стука в харде,ни глюка в софте.
-
Twister
- рядовой
- Сообщения: 25
- Зарегистрирован: 2009-01-11 19:00:13
- Откуда: Иркутск
Re: ipfw+natd+divert
Код: Выделить всё
#!/bin/sh
ipfw -q -f flush
cmd="ipfw -q add"
skip="skipto 500"
net="tun0" интернет (webstream) adsl
lan="fxp0" морда каторая смотрит в локалку
access="192.168.0.3" этому можно всё
lan_in="192.168.0.0/24" сеть
out_tcp="22,25,37,43,53,67,68,80,81,85,443,110,210,2802,5190,8080,3218,5999,8030" исходящие порты
$cmd 010 permit icmp from any to any icmptype 0,8,11
$cmd 020 permit udp from any to any 137,138 in via $lan
$cmd 030 permit tcp from any to any 139,445 in via $lan
$cmd 040 unreach host ip from not $access to any in via $lan
$cmd 050 allow all from any to any via lo0
$cmd 100 divert natd ip from not $lan_in to any in via $net
$cmd 101 check-state
$cmd 130 $skip udp from any to any 53 out via $net keep-state
$cmd 135 $skip tcp from any to any $out_tcp out via $net setup keep-state
$cmd 140 $skip icmp from any to any out via $net keep-state
$cmd 145 $skip udp from any to any 123 out via $net keep-state
$cmd 150 deny all from 192.168.0.0/24 to any in via $net #RFC 1918 private IP
$cmd 155 deny all from 172.16.0.0/12 to any in via $net #RFC 1918 private IP
$cmd 160 deny all from 10.0.0.0/8 to any in via $net #RFC 1918 private IP
$cmd 165 deny all from 127.0.0.0/8 to any in via $net #loopback
$cmd 170 deny all from 0.0.0.0/8 to any in via $net #loopback
$cmd 175 deny all from 169.254.0.0/16 to any in via $net #DHCP auto-config
$cmd 180 deny all from 192.0.2.0/24 to any in via $net #reserved for docs
$cmd 185 deny all from 204.152.64.0/23 to any in via $net #Sun cluster
$cmd 190 deny all from 224.0.0.0/3 to any in via $net #Class D & E multicast
$cmd 210 deny tcp from any to any 137 in via $net
$cmd 215 deny tcp from any to any 138 in via $net
$cmd 220 deny tcp from any to any 139 in via $net
$cmd 225 deny tcp from any to any 445 in via $net
$cmd 230 deny tcp from any to any 22 in via $net
$cmd 235 deny tcp from any to any 23 in via $net
$cmd 240 deny tcp from any to any 81 in via $net
$cmd 245 deny tcp from any to any 8229 in via $net
$cmd 250 deny tcp from any to any 828 in via $net
$cmd 255 deny all from any to any frag in via $net
$cmd 260 deny tcp from any to any established in via $net
$cmd 265 deny tcp from any to any 113 in via $net
$cmd 270 deny log all from any to any in via $net
$cmd 300 deny log all from any to any out via $net
$cmd 500 divert natd ip from $lan_in to any out via $net
$cmd 501 allow ip from any to any
$cmd 1000 deny log all from any to any
Последний раз редактировалось Twister 2009-01-19 22:11:56, всего редактировалось 5 раз.
Желаю вам:ни стука в харде,ни глюка в софте.
-
Twister
- рядовой
- Сообщения: 25
- Зарегистрирован: 2009-01-11 19:00:13
- Откуда: Иркутск
Re: ipfw+natd+divert
$cmd 245 deny tcp from any to any 8229 in via $net
$cmd 250 deny tcp from any to any 828 in via $net
это так к слову,на одном 8229-sshd он только в локалку смотрит на один адрес
828 радмина прикрутил )
$cmd 250 deny tcp from any to any 828 in via $net
это так к слову,на одном 8229-sshd он только в локалку смотрит на один адрес
828 радмина прикрутил )
Желаю вам:ни стука в харде,ни глюка в софте.
-
Bormental
- сержант
- Сообщения: 267
- Зарегистрирован: 2008-09-26 21:26:35
- Откуда: подмордорье
- Контактная информация:
Re: ipfw+natd+divert
Смысл в том что через нат не пашут динамические правила keep-state и check-state и натовый интерфейс приходиться по полной открывать, но как то нужно закрыть установку соединений из вне ...