ipfw

[hammer68]

ситуебина
есть роутер на фрях за ним стоит сервер (с белым ИП) который должен быть доступен из внешки
пути в rc.conf прописаны
собственно вопрос какие правила в конфиг фаервола поставить
все работает с одним правилом

Код: Выделить всё

ipfw add allow all from any to any

а как мне теперь разрешить инет тока на этот сервер ???

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

что то типа

Код: Выделить всё

real_ip=x.x.x.x
ipfw add allow all from any to $real_ip 
ipfw add allow all from $real_ip  to any
ipfw add deny all from any to any 

[hammer68]

так пробовал пакеты по ним идут но потом почемуто попадают на последнее дефолтовское дени и рубятся в чем проблема я так и не понимаю

[hizel]

а с

Код: Выделить всё

ipfw add allow all from any to any

все ходит?

[hammer68]

да все ходит нормально

[hizel]

тогда непонятно

Код: Выделить всё

real_ip=x.x.x.x
ipfw add allow all from any to $real_ip 
ipfw add allow all from $real_ip  to any
ipfw add deny all from any to any 

первый allow срабатывает когда пакет проходит через внешнию и внутреннию сетевуху в строну real_ip
второй allow соответственно наоборот
логически все верно

[hammer68]

вот такой фаервол

Код: Выделить всё

LanIn="xx.xx.xx.xx"                                  #интерфейс в локалку
LanOut="yy.yy.yy.yy"                                 #интерфейс в инет
serverr="zz.zz.zz.zz"

${ipfw} -f flush
#${ipfw} add allow all from any to any

${ipfw} add 00340 allow all from $server to any
${ipfw} add 00350 allow all from any to $server

${ipfw} add allow all from $LanOut to any
${ipfw} add allow all from any to $LanOut

с сервера пингуются оба интерфейса роутера

в rc.conf прописано

Код: Выделить всё

static_routes="loc"
static_loc="-net xx.xx.xx.xx/27 yy.yy.yy.yy -inteface rl1"

[hammer68]

странно почемута пингуются оба интерфейса а вот
traceroute внешний ИП не проходит кто нить знает почему так может быть ?

[hizel]

то что вы только tcp открыли может быть

[hammer68]

пробовал ставить all ниче не меняется

[dikens3]

пробовал ставить all ниче не меняется

Существует действие LOG для отладки правил.

Нужно добавить в rc.conf

Код: Выделить всё

firewall_logging="NO"           # Set to YES to enable events logging

И потом использовать действие log на всех правилах использующих DENY. Если правило последнее, тогда добавить перед ним:

Код: Выделить всё

ipfw add 65534 deny log ip from any to any

Все прибитые пакеты будут записаны в /var/log/security в котором можно найти всю информацию о том, что блокируется.