ipfw. очень нужна помощь! правила для DNS

[Mr Alter Ego]

блин ... голову сломал себе уже.

на сервере есть интерфейс.
на нем 5 алиасов.
поднят намед ... - ...
он держит кучу зон на себе.

фаервол - всё запрещено.

мне нужно разрешить всем из мира ...
соеденяться с ДНС и получать зоны. при этом естесно сделать само правило безопасным.

как быть ?

пробовал
add allow all from any to 216.32.64.26 53 in via rl0 establishe

болт ...

очень нужно. пожалуйста не отсылайте в маны ... а скажите конкретно, какие правила написать чтобы все извне могли правильно работать с моим ДНС

спасибо Вам огромное. нижайший поклон.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

разрешить setup на tcp 53 - чтоб могли зону забирать, и udp 53 туда-обратно чтоб могли имена резольвить.
==========
у меня на веб-серврее вообще мизерный набор правил:

Код: Выделить всё

serv# ipfw show
00001   298440    35836698 allow ip from any to any via lo0
00001      277       17416 deny tcp from 81.176.76.93 to me dst-port 80
01000        0           0 allow ip from any to any via lo0
01800      689      624297 allow tcp from me to 87.240.15.4
01900      603      123320 allow tcp from 87.240.15.4 to me
65535 55626898 34733207106 allow ip from any to any
serv#

плюс при большой нагрузке в серёдку лезет правило про ограничение коннектов на 80 порт

[Mr Alter Ego]

спасибо. по ФТП вопрос

Код: Выделить всё

add allow tcp from any to 216.#2.64.#6 20,21 in via rl0 established (setup пробовал)
add allow tcp from any to 216.##.64.#6 49152-65535 via rl0

не пускает по ФТП.

а включение 00400 add allow tcp from any to any established не совсем устраивает.

как доработать те правила ?

почему таки не пускает немогу понять ?

он не то что не пускает а не соеденяется с сервером.
а при активировании 00400 пускат и работает. но мне без него нужно

[Alex Keda]

а включение 00400 add allow tcp from any to any established не совсем устраивает.

почему?
разреши setup тока куда надо и всё.

[Mr Alter Ego]

потому что ... весь трафик льется ... через это правило - а у меня по каждому count - используется. и это важно (

[Alex Keda]

тогда всё руками описывай..

[Mr Alter Ego]

уточни, все это что ?

? напиши плиз как делать ... только в точности чтобы я не делал кучу работы, неверно из за того что непонял. спасибо

[Alex Keda]

варианты обратного пути пакетов.

[Mr Alter Ego]

а если точнее ? ну подскажи. приведи пример. я же блин буду час фигачить правила и не правильно.

[Alex Keda]

зато по дороге к правильному варианту прийдёт понимание принципов работы и много нового узнаешь.
а если я напишу - то вставишь и забудешь.
===========
кстати - последнее время я почти всегда игнорирую вопросы про файрволл - кроме теоретических - практически - всё что нужно для решения большинства задач есть в примерах, в темах на форуме...
какие-то вещи есть в мане (там есть всё, но вот это редчайший случай когда и сам в ман лезу в последнюю очередь - очень у него тяжёлый ман.)
ну и сказывается что фарволл настаривал последнийраз год назад