Код: Выделить всё
03050 131 7200 allow tcp from any to any <<<<----------------------- без этого ничего не работает только с этим и тогда пакеты через сквид проходить начинают
Бред!!!
Надо разрешать исходящий от роутера трафик TCP
Вот обещаный пример, безопасность в стороне, просто функциональность
Код: Выделить всё
setup_loopback () {
${fwcmd} add pass all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any
# set these to your outside interface network and netmask and ip
oif="rl0"
onet="212.154.146.164"
omask="255.255.255.252"
oip="212.154.146.166"
# set these to your inside interface network and netmask and ip
iif="sis0"
inet="192.168.0.0"
imask="255.255.255.0"
iip="192.168.0.100"
${fwcmd} -f flush
setup_loopback
#${fwcmd} add check-state поскольку правила в основном статические, динамика песня отдельная хотя кое-где проще
# Из стандартной поставки Stop spoofing
${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}
# Stop RFC1918 nets on the outside interface
${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
${fwcmd} add deny all from any to 192.168.0.0/16 via ${oif}
# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}
#Allow anything internal interface for localnet, внутрення сеть
${fwcmd} add allow all from ${inet}:${imask} to ${inet}:${imask} via ${iif}
#Так делается прозрачным прокси, не нужно поскольку клиенты и так никуда не пролезут, без явных на то разрешений.
#${fwcmd} add forward ${iip},3128 tcp from ${inet}:${imask} to any 80 via ${oif}
${fwcmd} add divert natd all from any to ${oip} in via ${oif}
${fwcmd} add divert natd all from ${inet}:${imask} to any out via ${oif}
# Тоже из стандартной поставки только правила наоборот
#Stop RFC1918 nets on the outside interface
${fwcmd} add deny all from 10.0.0.0/8 to any via ${oif}
${fwcmd} add deny all from 172.16.0.0/12 to any via ${oif}
${fwcmd} add deny all from 192.168.0.0/16 to any via ${oif}
# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
${fwcmd} add deny all from 0.0.0.0/8 to any via ${oif}
${fwcmd} add deny all from 169.254.0.0/16 to any via ${oif}
${fwcmd} add deny all from 192.0.2.0/24 to any via ${oif}
${fwcmd} add deny all from 224.0.0.0/4 to any via ${oif}
${fwcmd} add deny all from 240.0.0.0/4 to any via ${oif}
#Надо понимать клиент банк, не понятно только что за протокол, если TCP тогда все OK,
#а если UDP (что мало вероятно) тогда надо явно указывать указывать разрешения и для внутреннего интерфейса и для внешнего
# предположим TCP
${fwcmd} add allow tcp from 192.168.0.8 1024-2000 to any 1024-2000 via ${iif}
#Во-второй строчке нужды уже нет: маловероятно что банк сам будет уставнавливать TCP-соединение
#${fwcmd} add allow tcp from any 1024-2000 to 192.168.0.8 1024-2000 via
#Разрешаем TCP для избранных, все замечания об UDP и ICMP верны и тут
${fwcmd} allow tcp from 192.168.0.10 to any setup via ${iif}
# Теперь внешняя сеть, здесь и все потенциальные дыры
# Разрешаем исходящий TCP трафик для роутера, куда хочет туда пусть и лезет
${fwcmd} add allow tcp from ${oip} to any setup out via ${oif}
# Allow access to our FTP, SMTP, WWW, POP, IMAP
${fwcmd} add allow tcp from any to ${oip} 21,49152-65535 setup in via ${oif} #правило для больше для пассивного FTP
#активный фактически открыт уже
${fwcmd} add allow tcp from any to ${oip} 25 setup in via ${oif}
${fwcmd} add allow tcp from any to ${oip} 80 setup in via ${oif}
${fwcmd} add allow tcp from any to ${oip} 110 setup in via ${oif}
${fwcmd} add allow tcp from any to ${oip} 143 setup in via ${oif}
#Разрешаем TCP если соединение установлено, блокируем фрагменты
${fwcmd} add deny ip from any to any frag
${fwcmd} add pass tcp from any to any established
# Разрешаем запросы извне к нашему DNS серверу, и соответственно наши ответы
${fwcmd} add allow udp from any to ${oip} 53 in via ${oif}
${fwcmd} add allow udp from ${oip} 53 to any out via ${oif}
# Разрешаем роутеру самому запрашивать-получать ответы DNS и NTP. (TCP на 53 уже открыт)
${fwcmd} add allow udp from any 53,123 to ${oip} in via ${oif}
${fwcmd} add allow udp from ${oip} to any 53,123 out via ${oif}
#Разрешаем некоторые ICMP запросы-ответы - echo reply, dest unreach,
#source quech, echo, ttl exceed
${fwcmd} add allow icmp from any to ${oip} in via ${oif} icmptype 0,3,8,11,12
${fwcmd} add allow icmp from ${oip} to any out via ${oif} icmptype 0,3,8,11,12
# Дальше запрет и логи
${fwcmd} add deny log logamount 1000 all from any to any
Сам роутер в таком конфиге свободно обращается в Инет по TCP, UDP, ICMP - частично.
Для внутренней сети - выход в Инет по TCP для избранных. UDP и ICMP песня отдельная, хотя есть пример клиент банк.
В остальном для все клиенты могут выйти в Инет только через демоны FreeBSD (SQUID, почта, FTP).
В такой конфигурации логи будут разрастаться сообщениями от внутренней сети чтобы этого не было можно добавить
Код: Выделить всё
${fwcmd} add deny all from any to any via ${iif}
но только после правила с еtstablished.