Как закрыть все порты кроме определенных для доступа из вне

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
invint
мл. сержант
Сообщения: 99
Зарегистрирован: 2008-10-18 23:08:02
Контактная информация:

Как закрыть все порты кроме определенных для доступа из вне

Непрочитанное сообщение invint » 2010-08-03 16:35:20

Добрый день.

Есть сервер с большим количеством выделенных ip, все прописаны через alias в ifconfig, на каждом Ip весит по jail.
Как на основной машине закрыть все порты для всех ip кроме указынных портов (22, 80).

Желательно пример pf

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Как закрыть все порты кроме определенных для доступа из

Непрочитанное сообщение vadim64 » 2010-08-04 7:56:50

1. Для начала PF включён у вас?
2. Вы хоть пытались по форуму искать? Раз в неделю тема-клон заводится на форуме.
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

invint
мл. сержант
Сообщения: 99
Зарегистрирован: 2008-10-18 23:08:02
Контактная информация:

Re: Как закрыть все порты кроме определенных для доступа из

Непрочитанное сообщение invint » 2010-08-04 10:17:09

vadim64 писал(а):1. Для начала PF включён у вас?
2. Вы хоть пытались по форуму искать? Раз в неделю тема-клон заводится на форуме.
Сдела так

Код: Выделить всё

ext_if="igb0"
int_if="igb1"

icmp_types="{ echoreq, unreach}"
trusted_lan="10.0.0.0/16"
localnet="127.0.0.0/8"
trusted_ports="22"

set block-policy return
set skip on lo0
set skip on $int_if

scrub in all
antispoof quick for $ext_if

block all

pass out on $ext_if from $ext_if to any keep state
pass in on $ext_if inet proto tcp from any to $ext_if port 22 keep state

#pass log inet proto icmp all icmp-type $icmp_types
На строку pass log inet proto icmp all icmp-type $icmp_types ругается что синтаксис еррор, почему?
Будет ли работать такая конфа как я описал в первом посту?

Аватара пользователя
Dog
лейтенант
Сообщения: 723
Зарегистрирован: 2006-09-21 10:34:36
Откуда: Kharkiv, Ukraine
Контактная информация:

Re: Как закрыть все порты кроме определенных для доступа из

Непрочитанное сообщение Dog » 2010-08-04 14:31:45

В списке

Код: Выделить всё

icmp_types="{ echoreq, unreach}"
с пробелами что-то не то по-моему.
Oh my God, they killed init! Bastards!

invint
мл. сержант
Сообщения: 99
Зарегистрирован: 2008-10-18 23:08:02
Контактная информация:

Re: Как закрыть все порты кроме определенных для доступа из

Непрочитанное сообщение invint » 2010-08-04 22:58:50

Dog писал(а):В списке

Код: Выделить всё

icmp_types="{ echoreq, unreach}"
с пробелами что-то не то по-моему.
Не, все норм, лишние пробелы игнорируюстя, просто в конце правила надо ставить перевод строки.

А как с конфигом, рабочий? есть нарекания или предложения? Мне важно что бы никто из интеа не ломился ни на какие порты, что бы все было закрыто.