Помогите с файерволом

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Сергей Ю.
проходил мимо

Помогите с файерволом

Непрочитанное сообщение Сергей Ю. » 2007-06-11 7:52:24

Ну могу понять вот эти правила:

Код: Выделить всё

${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
Вроде как
1. запрет на локалку из вне.
2. запрет из локалки наружу.
Но почемуто с этими правилами у меня даже сервак не ходит в инет :(
Вот все правила как я задал:

Код: Выделить всё

        FwCMD="/sbin/ipfw"
        LanOut="ed0"
        LanIn="rl0"
        IpOut="192.168.1.2"
        IpIn="192.168.0.100"

        ${FwCMD} add allow ip from any to any via lo0
        ${FwCMD} add deny ip from any to 127.0.0.0/8
        ${FwCMD} add deny ip from 127.0.0.0/8 to any
        ${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
        ${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
        #${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
        ${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
        ${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
        ${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
        ${FwCMD} add deny icmp from any to any frag
        ${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
        ${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
        ${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
        ${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
        #${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
        ${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
        ${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
        ${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
        ${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
        ${FwCMD} add allow tcp from any to any established
        ${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
        ${FwCMD} add allow udp from any 53 to any via ${LanOut}
        ${FwCMD} add allow udp from any to any 123 via ${LanOut}
        ${FwCMD} add allow icmp from any to any icmptypes 0,8,11
        #${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
        ${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
        #${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
        ${FwCMD} add allow tcp from any to ${IpOut} 30001 via ${LanOut}
        #${FwCMD} add allow ip from any to any via ${LanIn}
        #${FwCMD} add allow gre from any to any via ${LanIn}
        ${FwCMD} add allow tcp from any to any via ${LanIn}
        ${FwCMD} add allow udp from any to any via ${LanIn}
        ${FwCMD} add allow icmp from any to any via ${LanIn}
        ${FwCMD} add deny log ip from any to any
        ;;
Нужно: на серваке стоит squid, frox, pop3gwd (для входящей почты) и rinetd (перенаправляет всю исходящую почту на почтовый сервак провайдера). Из вне мне надо только ssh и 30001 порт. Все остальное закрыть.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Непрочитанное сообщение schizoid » 2007-06-11 8:31:07

а сервак ИП какой имеет? не с той же подсети. которую запрещаешь?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Непрочитанное сообщение alex3 » 2007-06-11 9:07:18

Все очень просто.
Судя по контексту - эти правила взял из стандартного набора правил фаера. Там же перед этими правилами русским языком по английски написано :) про блокировку серых сетей для интернета. Тебе надо просто сузить диапазон. сли ты хочешь
1. запрет на локалку из вне.
2. запрет из локалки наружу.
то правила должны приобрести такой вид

Код: Выделить всё

${FwCMD} add deny ip from any to 192.168.0.0/24 in via ${LanOut} 
${FwCMD} add deny ip from 192.168.0.0/24 to any out via ${LanOut}
поскольку в том виде, в каком ты их написал - сетевая маска включает и айпи твоего внешнего интрефейса.
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Непрочитанное сообщение Andy » 2007-06-11 9:47:55

Кстати, все правила имеют говорящие названия (и не тольк в ipfw, но и в ipfilter, и в pf, и в iptables) попробуй читать их, очень помогает разобраться.

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-06-13 8:43:49

alex3 писал(а):

Код: Выделить всё

${FwCMD} add deny ip from any to 192.168.0.0/24 in via ${LanOut} 
${FwCMD} add deny ip from 192.168.0.0/24 to any out via ${LanOut}
поскольку в том виде, в каком ты их написал - сетевая маска включает и айпи твоего внешнего интрефейса.
Спасибо. Попробую. Просто я в этом деле полный ноль. И даже не знаю что значат эти /16 или /24 :oops:

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Непрочитанное сообщение Andy » 2007-06-13 9:29:17

Anonymous писал(а):Спасибо. Попробую. Просто я в этом деле полный ноль. И даже не знаю что значат эти /16 или /24 :oops:
Это так называемая, бесклассовая адресация сети. Подробнее о ней можно прочитать на сайте m0n0wall, либо на сайте подготовки к сертификации по BSD системам.