Да, я составил слишком мудрёные правила и 90% пакетов через них не пройдут, правила составленны криво, зато легко и понятно читаются (надеюсь )
Хотел чтоб через них проходил фтп и хттп (пусть не все, нохоть стандартные, пусть не все хттп, но фтп то должны!!)
пояснения к правилам:
192.168.1.0/29 -- внутренняя сеть
rl1 -- интерфейс смотрящий во внутреннюю сеть
192.168.0.1 -- ип внутреннего интерфейса
rl0 -- внешний интерфейс
10.4.2.15 -- ип внешнего интерфейса
компьютеры из внутренней сети должны выходить через НАТ на фтп и хттп во внешнюю сеть
sysctl net.inet.ip.fw.one_pass=0
Я наверно туплю, но уже неоднократно перепроверял правила--ошибки невижу (
Помогите, пожалуйста,
С уважением, Alex123, правила привожу ниже.
Код: Выделить всё
Правила:
#=====Firewall Configuration
#var
#inthost="192.168.0.1"
#intnet="192.168.0.0/29"
#outhost="10.4.2.15"
#admcomp="192.168.1.2"
#outinterface="rl0"
#intinterface="rl1"
#Rules Begin
#antihack
#No Fragmentation
add 10 deny ip from any to any frag
#Deny ISMP hack
add 11 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
#Deny interip mask hack
add 12 reject ip from ${intnet} to any in via ${outinterface}
# Deny X-scaning
add 13 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
# Deny N-scaning
add 14 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
# Deny FIN-scaning
add 15 reject tcp from any to any not established tcpflags fin
# Prevent from spoofing
add 16 deny ip from any to any not verrevpath in
add 17 deny ip from ${intnet} to any in via ${outinterface}
add 18 deny ip from ${outhost} to any in via ${intinterface}
# ip-session limit
#add 19 allow ip from any to any setup limit src-addr 10
#Deny loop back external acces
#add 20 deny all from any to 127.0.0.0/8
#add 21 deny all from 127.0.0.0/8 to any
#Deny Windows flood
add 24 deny ip from ${intnet} to ${intnet} 135,137-139,445 in via ${intinterface}
add 25 deny ip from any to ${outhost} 135,137-139,445 in via ${outinterface}
#SSH
add 30 allow tcp from ${admcomp} to ${inthost} 22 in via ${intinterface}
add 31 allow tcp from ${inthost} 22 to ${admcomp} out via ${intinterface}
#dynamic on
add 40 check-state
#ICMP
add 50 deny icmp from any to any via ${outinterface}
#HTTP/HTTPS/FTP
#from intnet to Global over NAT
add 60 skipto 71 tcp from ${intnet} to not ${intnet} 20,21,80,8080,443 keep-state via ${intinterface}
add 61 skipto 71 udp from ${intnet} to not ${intnet} 20,21 keep-state via ${intinterface}
#from Global to intnet over NAT
add 62 skipto 71 tcp from not ${intnet} 20,21,80,8080,443 to ${outhost} via ${outinterface}
add 63 skipto 71 udp from not ${intnet} 20,21 to ${outhost} via ${outinterface}
#NAT
nat 72 config ip ${outhost} same_ports
add 70 deny all from any to any via ${outinterface}
add 71 nat 72 ip from any to any via ${outinterface}
#HTTP/HTTPS/FTP
#from intnet to Global via intinterface
#add 79 allow all from any to any via lo0
add 80 allow tcp from ${intnet} to not ${intnet} 20,21,80,8080,443 keep-state via ${intinterface}
add 81 allow udp from ${intnet} to not ${intnet} 20,21 keep-state via ${intinterface}
#from NAT to Global
add 82 allow tcp from ${outhost} to not ${intnet} 20,21,80,8080,443 keep-state via ${outinterface}
add 83 allow udp from ${outhost} to not ${intnet} 20,21 keep-state via ${outinterface}
#from NAT to intnet
add 84 allow tcp from not ${intnet} 20,21,80,8080,443 to ${intnet} via ${outinterface}
add 85 allow udp from not ${intnet} 20,21 to ${intnet} via ${outinterface}
#from Global to intnet via intinterface
add 86 allow tcp from not ${intnet} 20,21,80,8080,443 to ${intnet} via ${intinterface}
add 87 allow udp from not ${intnet} 20,21 to ${intnet} via ${intinterface}
#Deny any all
add 10000 deny all from any to any via ${outinterface}
add 10001 deny all from any to any via ${intinterface}
#Rules END