ipfw подправить правила

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

ipfw подправить правила

Непрочитанное сообщение Spook1680 » 2011-03-16 21:11:02

Были времена ) когда всем можно было выходить в инет
Но лафа закончилась)
типа надо некоторым челам 80 порт закрыть.
Привожу кусок конфига немогу понять где дырка в правилах .
Мне к рпимеру надо закрыть пользователя 192.168.0.23 80 порт

Код: Выделить всё

oif="stge0"
onet="91/28"
oip="91"
####
iif="nfe0"
inet="192.168.0.0/24"
iip="192.168.0.1"

${fwcmd} add 10 allow ip from any to any via lo0

${fwcmd} add 400 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via ${oif}
### NATD
${fwcmd} add 500 divert natd all from ${inet} to any out via ${oif}
${fwcmd} add 800 divert natd all from any to ${oip} in via ${oif}

${fwcmd} add 900 allow tcp from any to any established
## 
${fwcmd} add 1000 allow ip from ${oip} to any out xmit ${oif}
##
${fwcmd} add 1100 allow udp from any 53 to any via ${oif}
##
${fwcmd} add 1200 allow udp from any to any 53 via ${oif}
Пробую закрыть у пользователя 80 тут
[b]${fwcmd} add 1210 deny tcp from any to 192.168.0.23 80
${fwcmd} add 1220 deny tcp from 192.168.0.23 80 to any[/b]

${fwcmd} add 1380 allow ip from any 20 to any via ${oif}
${fwcmd} add 1381 allow ip from any to any 20 via ${oif}
${fwcmd} add 1382 allow ip from any 21 to any via ${oif}
${fwcmd} add 1383 allow ip from any to any 21 via ${oif}

##FTP
${fwcmd} add 1400 allow tcp from any to ${oip} 20 via ${oif}
${fwcmd} add 1500 allow tcp from any to ${oip} 49152-65535 via ${oif}
### ICMP
${fwcmd} add 1600 allow icmp from any to any icmptypes 0,8,11

${fwcmd} add 1900 allow tcp from any to ${oip} 143 via ${oif}
${fwcmd} add 2000 allow tcp from any to ${oip} 110 via ${oif}

${fwcmd} add 2300 allow tcp from any to any via ${iif}
${fwcmd} add 2400 allow udp from any to any via ${iif}
${fwcmd} add 2500 allow icmp from any to any via ${iif}

${fwcmd} add 2800 deny log ip from any to any

Насколько в теме вся проблема в правиле 2300
все дует через него.
Вопрос как безболезнено подправить что бы начальство яйца не оторвало
(ipfw вкомпилин в ядрышко и по умолчанию все что не разрешено запрещено)
Последний раз редактировалось f_andrey 2011-03-16 21:54:54, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

daggerok
мл. сержант
Сообщения: 109
Зарегистрирован: 2009-03-06 14:54:05

Re: ipfw подправить правила

Непрочитанное сообщение daggerok » 2011-03-16 23:04:18

Spook1680 писал(а): Пробую закрыть у пользователя 80 тут
${fwcmd} add 1210 deny tcp from any to 192.168.0.23 80
${fwcmd} add 1220 deny tcp from 192.168.0.23 80 to any
не прально пробуешь.

Код: Выделить всё

ipfw add deny tcp from any 80 to 192.168.0.23
ipfw add deny tcp from 192.168.0.23 to any 80
или

Код: Выделить всё

# создай таблицу ip, которым надо будет закрыть 80 порт:
ipfw table 1 add 192.168.0.23/32
ipfw table 1 add 192.168.0.24/32
# и укажи одно правило для всех ip-ов
ipfw add deny tcp from any 80 to "table(1)"
ipfw add deny tcp from "table(1)" to any 80
но лучше для этих целей юзать прокси.

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: ipfw подправить правила

Непрочитанное сообщение Spook1680 » 2011-03-17 14:37:36

спасибо огромное, ошибку понял).
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "