Код: Выделить всё
${FwCMD} add deny tcp from any to any via ${Lan13}
Код: Выделить всё
${FwCMD} add deny tcp from any to any via ${Lan13}
Не помоглоsnorlov писал(а):Запретил tcp, но не udp, замени tcp на all и посмотри что получишь...Код: Выделить всё
${FwCMD} add deny tcp from any to any via ${Lan13}
Код: Выделить всё
FwCMD="/sbin/ipfw -q"
Lan13="igb0"
Lan172="igb1"
${FwCMD} -f flush
# Loopback
${FwCMD} add allow ip from any to any via lo0
# а кроме lo0 127,0,0,0/8 нигде и не ходит, значит дропаем
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
# icmp
# пока оставим так
${FwCMD} add allow icmp from any to any via ${Lan13}
${FwCMD} add allow icmp from any to any via ${Lan172}
# snmp server on Lan13
${FwCMD} add allow udp from any to me 161 in via ${Lan13} # request to me
${FwCMD} add allow udp from me 161 to any out via ${Lan13} # answer from me
# deny all other traffic on Lan13
${FwCMD} add deny all from any to any via ${Lan13}
# zabbix server tcp on Lan172
${FwCMD} add allow tcp from any to me 10050 in via ${Lan172} # request to me
${FwCMD} add allow tcp from me 10050 to any out via ${Lan172} # answer from me
# zabbix server udp : todo
# zabbix trap: ???
# deny any other traffic on Lan172
${FwCMD} add deny all from any to any via ${Lan172}
# deny any other traffic
${FwCMD} add deny all from any to any
нет, так разрешится трафик в сеть НА ПОРТЫ, а не С ПОРТОВNolf писал(а):То есть получается что бы был ответ с севреа в сеть нужно добавить правило:FreeBSP писал(а):3) разрешение пакета в одну сторону на одном интерфейсе не разрешает прохождение этого же пакета нигде еще, и не разрешает прохождение ответа( в stateless файерфоле, а начинать надо именно со stateless)Код: Выделить всё
${FwCMD} add allow ip from 10.0.1.0/24 to 10.0.1.45 10050-10051 via ${Lan13} # Разрешить любой трафик с сети 10.0.1.0-10.0.1.255 на сервер по портам 10050-10051 на интерфейсе igb0 (входящий и исходящий трафик)
в данной ситуации тут логическое противоречиеNolf писал(а):... трафик с сети 10.0.1.1-10.0.1.255 на сервер ... (входящий и исходящий трафик)
направление действительно не указано, но это не значит что все будет бегать. трафик из сети пойдет, а вот ответы с сервера в сеть - нет, потому что им явно не разрешеноКод: Выделить всё
${FwCMD} add allow ip from 10.0.1.45 to 10.0.1.0/24 10050-10051 via ${Lan13}
established - это уже динамикаNolf писал(а): Или в самом начале добавить правило:Будет так:Код: Выделить всё
${FwCMD} tcp from any to any established
Или есть 3-тий вариант использовать динамические правила, но к ним вернемся посже)Код: Выделить всё
${FwCMD} add allow tcp from any to any established ${FwCMD} add allow tcp from 10.0.1.0/24 to 10.0.1.45 10050-10051 via ${Lan13}
FreeBSP писал(а):так, всю динамику долой.
сначала определим, какие сервисы находятся на сервере, к которым должен быть доступ из-вне, и к каким должен быть доступ у самого сервера/ и что по каким интерфейсам
вобщем надо разобраться с тем какие куда потоки трафика
при таком рулсете будет работать доступ к snmp на сервере. но не у самого сервера к snmp на других машинахжду вопросов по рулсету, что непонятноКод: Выделить всё
FwCMD="/sbin/ipfw -q" Lan13="igb0" Lan172="igb1" ${FwCMD} -f flush # Loopback ${FwCMD} add allow ip from any to any via lo0 # а кроме lo0 127,0,0,0/8 нигде и не ходит, значит дропаем ${FwCMD} add deny ip from any to 127.0.0.0/8 ${FwCMD} add deny ip from 127.0.0.0/8 to any # icmp # пока оставим так ${FwCMD} add allow icmp from any to any via ${Lan13} ${FwCMD} add allow icmp from any to any via ${Lan172} # snmp server on Lan13 ${FwCMD} add allow udp from any to me 161 in via ${Lan13} # request to me ${FwCMD} add allow udp from me 161 to any out via ${Lan13} # answer from me # deny all other traffic on Lan13 ${FwCMD} add deny all from any to any via ${Lan13} # zabbix server tcp on Lan172 ${FwCMD} add allow tcp from any to me 10050 in via ${Lan172} # request to me ${FwCMD} add allow tcp from me 10050 to any out via ${Lan172} # answer from me # zabbix server udp : todo # zabbix trap: ??? # deny any other traffic on Lan172 ${FwCMD} add deny all from any to any via ${Lan172} # deny any other traffic ${FwCMD} add deny all from any to any
Код: Выделить всё
FwCMD="/sbin/ipfw -q"
Lan13="igb0"
Lan172="igb1"
${FwCMD} -f flush
${FwCMD} add allow ip from any to any via lo0
#${FwCMD} add allow tcp from any to any established
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
# icmp
${FwCMD} add allow icmp from any to any via ${Lan13}
${FwCMD} add allow icmp from any to any via ${Lan172}
# zabbix server agent
${FwCMD} add allow tcp from any to me 10050 in via ${Lan13}
${FwCMD} add allow tcp from me to any 10050 out via ${Lan13}
# snmp мониторинг
${FwCMD} add allow udp from any to me 161 in via ${Lan13}
${FwCMD} add allow udp from me 161 to any out via ${Lan13}
# smtp (zabbix сообщения)
${FwCMD} add allow tcp from me 25 to any out via ${Lan13}
#ssh
${FwCMD} add allow tcp from any to me 22 in via ${Lan13}
${FwCMD} add allow tcp from me to any out via ${Lan13}
#ntp синхронизация
${FwCMD} add allow udp from any to me 123 in via ${Lan13}
${FwCMD} add allow udp from me to any 123 out via ${Lan13}
# web
${FwCMD} add allow tcp from any to me 80 via ${Lan13}
#dns
${FwCMD} add allow tcp from any to me 53 via ${Lan13}
${FwCMD} add allow tcp from me to any 53 via ${Lan13}
${FwCMD} add allow udp from any to me 53 via ${Lan13}
${FwCMD} add allow udp from me to any 53 via ${Lan13}
${FwCMD} add deny all from any to any via ${Lan13}
# zabbix agent
${FwCMD} add allow tcp from any to me 10050 in via ${Lan172}
${FwCMD} add allow tcp from me 10050 to any out via ${Lan172}
${FwCMD} add deny ip from any to any via ${Lan172}
Код: Выделить всё
#ntp синхронизация
${FwCMD} add allow udp from any to me 123 in via ${Lan13}
${FwCMD} add allow udp from me to any 123 out via ${Lan13}
FreeBSP писал(а):чтобы не был шлюзом достаточно выключить форвардинг и все, файер не нужен
почему порты в одном месте в конце правила, а в другом посередине? какая цель?
напрмер правила разрешат ЗАПРОСЫ откуда угодно к этому серверу и от него к любому ntp сереру. но ОТВЕТЫ на эти запросы не разрешеныпотоки трафика какие? кто куда зачем ходит и что на сервере крутится?Код: Выделить всё
#ntp синхронизация ${FwCMD} add allow udp from any to me 123 in via ${Lan13} ${FwCMD} add allow udp from me to any 123 out via ${Lan13}
Код: Выделить всё
#ntp синхронизация
${FwCMD} add allow udp from any to me 123 in via ${Lan13}
${FwCMD} add allow udp from me 123 to any out via ${Lan13}
Код: Выделить всё
FwCMD="/sbin/ipfw -q"
Lan13="igb0"
Lan172="igb1"
${FwCMD} -f flush
${FwCMD} add allow ip from any to any via lo0
#${FwCMD} add allow tcp from any to any established
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} add allow icmp from any to any via ${Lan13}
${FwCMD} add allow icmp from any to any via ${Lan172}
${FwCMD} add allow tcp from any to me 10050 via ${Lan13}
${FwCMD} add allow tcp from any 10050 to me via ${Lan13}
${FwCMD} add allow tcp from me to any 10050 via ${Lan13}
${FwCMD} add allow tcp from me 10050 to any via ${Lan13}
${FwCMD} add allow udp from any to me 161 via ${Lan13}
${FwCMD} add allow udp from any 161 to me via ${Lan13}
${FwCMD} add allow udp from me to any 161 via ${Lan13}
${FwCMD} add allow udp from me 161 to any via ${Lan13}
${FwCMD} add allow tcp from any to any 25 via ${Lan13}
${FwCMD} add allow tcp from any 25 to any via ${Lan13}
${FwCMD} add allow tcp from me to any 25 via ${Lan13}
${FwCMD} add allow tcp from me 25 to any via ${Lan13}
${FwCMD} add allow tcp from any to me 22 via ${Lan13}
${FwCMD} add allow tcp from any 22 to me via ${Lan13}
${FwCMD} add allow tcp from me to any 22 via ${Lan13}
${FwCMD} add allow tcp from me 22 to any via ${Lan13}
${FwCMD} add allow udp from 10.0.1.30 to me 123 via ${Lan13}
${FwCMD} add allow udp from 10.0.1.30 123 to me via ${Lan13}
${FwCMD} add allow udp from me to 10.0.1.30 123 via ${Lan13}
${FwCMD} add allow udp from me 123 to 10.0.1.30 via ${Lan13}
${FwCMD} add allow tcp from any to me 80 via ${Lan13}
${FwCMD} add allow tcp from any 80 to me via ${Lan13}
${FwCMD} add allow tcp from me to any 80 via ${Lan13}
${FwCMD} add allow tcp from me 80 to any via ${Lan13}
${FwCMD} add allow tcp from any to me 53 via ${Lan13}
${FwCMD} add allow tcp from any 53 to me via ${Lan13}
${FwCMD} add allow tcp from me to any 53 via ${Lan13}
${FwCMD} add allow tcp from me 53 to any via ${Lan13}
${FwCMD} add allow udp from any to me 53 via ${Lan13}
${FwCMD} add allow udp from any 53 to me via ${Lan13}
${FwCMD} add allow udp from me to any 53 via ${Lan13}
${FwCMD} add allow udp from me 53 to any via ${Lan13}
${FwCMD} add deny all from any to any via ${Lan13}
${FwCMD} add allow tcp from any to me 10050 via ${Lan172}
${FwCMD} add allow tcp from any 10050 to me via ${Lan172}
${FwCMD} add allow tcp from me to any 10050 via ${Lan172}
${FwCMD} add allow tcp from me 10050 to any via ${Lan172}
${FwCMD} add allow udp from any to me 161 via ${Lan172}
${FwCMD} add allow udp from any 161 to me via ${Lan172}
${FwCMD} add allow udp from me to any 161 via ${Lan172}
${FwCMD} add allow udp from me 161 to any via ${Lan172}
${FwCMD} add deny all from any to any via ${Lan172}
пару дней выходного) в среду вернусь на работу и продолжу)))FreeBSP писал(а):как успехи?