Закрытие портов ipfw

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
WideAreaNetwork
ефрейтор
Сообщения: 57
Зарегистрирован: 2017-01-10 14:37:13

Закрытие портов ipfw

Непрочитанное сообщение WideAreaNetwork » 2018-12-16 16:28:22

нужно закрыть порт извне для mysql , почитав об этом сделал два варианта правил

Код: Выделить всё

ipfw add 48 deny tcp from any to me 3306 via vlan1009
ipfw add 49 deny tcp from me to any 3306 via vlan1009

Код: Выделить всё

ipfw add 48 deny tcp from any to any 3306 in via vlan1009
ipfw add 49 deny tcp from any to any 3306 out via vlan1009
как бы тот те и те блокируют, что предпочтительнее выбрать?

или же вместо протокола tcp указать all

Код: Выделить всё

ipfw add 48 deny all from any to me 3306 via vlan1009
ipfw add 49 deny all from me to any 3306 via vlan1009

Код: Выделить всё

ipfw add 48 deny all from any to any 3306 in via vlan1009
ipfw add 49 deny all from any to any 3306 out via vlan1009
подскажите пжл что выбрать, вроде как все блокируют

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2477
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Закрытие портов ipfw

Непрочитанное сообщение skeletor » 2018-12-18 9:17:22

Смотря что вы собираетесь блокировать: tcp port 3306 или tcp/udp/... port 3306 или ...

Для блокировки из-вне доступа к mysql достаточно таких правил:

Код: Выделить всё

ipfw add 48 deny tcp from any to me 3306 in via vlan1009
ipfw add 49 deny tcp from me 3306 to any out via vlan1009
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

WideAreaNetwork
ефрейтор
Сообщения: 57
Зарегистрирован: 2017-01-10 14:37:13

Закрытие портов ipfw

Непрочитанное сообщение WideAreaNetwork » 2018-12-18 19:35:16

будет ли лучше вместо tcp указать ip/all?

Аватара пользователя
skeletor
майор
Сообщения: 2477
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Закрытие портов ipfw

Непрочитанное сообщение skeletor » 2018-12-20 9:43:46

Ну это как зимой одевать/не одевать капюшон, если вы в тёплой шапке и вам не холодно.
Вряд ли у вас будут приложения, которые слушают тот же порт, что и mysql, но использует другой протокол (например, udp, gre,...) и особого смысла нет. Но если вам будет спокойнее, то можете писать "all"
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

lazhu
сержант
Сообщения: 188
Зарегистрирован: 2013-08-10 14:28:38
Контактная информация:

Закрытие портов ipfw

Непрочитанное сообщение lazhu » 2018-12-20 12:20:06

А не закрыто все извне натом deny_in? Закройте, пока не поздно ;)

WideAreaNetwork
ефрейтор
Сообщения: 57
Зарегистрирован: 2017-01-10 14:37:13

Закрытие портов ipfw

Непрочитанное сообщение WideAreaNetwork » 2018-12-20 21:44:40

для ната использую PF

Аватара пользователя
skeletor
майор
Сообщения: 2477
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Закрытие портов ipfw

Непрочитанное сообщение skeletor » 2018-12-21 9:55:08

А расскажите, зачем используете для фильтрации и NAT'a разные файерволы? Почему нельзя использовать один? Мне так, чисто интересно, почему люди так делают.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

WideAreaNetwork
ефрейтор
Сообщения: 57
Зарегистрирован: 2017-01-10 14:37:13

Закрытие портов ipfw

Непрочитанное сообщение WideAreaNetwork » 2018-12-21 10:04:05

Потому что стоит биллинг, устанавливал по мануалу

lazhu
сержант
Сообщения: 188
Зарегистрирован: 2013-08-10 14:28:38
Контактная информация:

Закрытие портов ipfw

Непрочитанное сообщение lazhu » 2018-12-21 14:13:36

да без разницы какой файрвол, локалка извне закрывается натом

WideAreaNetwork
ефрейтор
Сообщения: 57
Зарегистрирован: 2017-01-10 14:37:13

Закрытие портов ipfw

Непрочитанное сообщение WideAreaNetwork » 2018-12-21 17:09:04

WideAreaNetwork писал(а):
2018-12-21 10:04:05
устанавливал по мануалу
как еще написать)