Код: Выделить всё
${FwCMD} -f flush
${FwCMD} add check-state
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add allow ip from any to any via ${Lan13}
${FwCMD} add deny ip from any to any 10050 via ${Lan13}
Код: Выделить всё
${FwCMD} add deny ip from any to any via ${Lan13}
${FwCMD} add allow ip from any to any 10050-10051 via ${Lan13}
${FwCMD} add allow tcp from 10.0.1.0/24 to 10.0.1.45 22 via ${Lan13}
${FwCMD} add allow udp from 10.0.1.30 to 10.0.1.45 123 via ${Lan13}
${FwCMD} add allow tcp from any to 10.0.1.45 80 via ${Lan13}
${FwCMD} add allow tcp from any to 10.0.1.45 53 via ${Lan13}
${FwCMD} add allow tcp from any to 10.0.1.45 67,68 via ${Lan13}
Читал, но как видите не понял... вот поэтому и обратился за помощью.snorlov писал(а):Найдите статью про ipfw на сайте и внимательно прочитайте...
deny в конец переместитеNolf писал(а):Спасибо помогло, но вот написал еще правила:10.0.1.45 -адрес сервера на ктором настраиваю ipfwКод: Выделить всё
${FwCMD} add deny ip from any to any via ${Lan13} ${FwCMD} add allow ip from any to any 10050-10051 via ${Lan13} ${FwCMD} add allow tcp from 10.0.1.0/24 to 10.0.1.45 22 via ${Lan13} ${FwCMD} add allow udp from 10.0.1.30 to 10.0.1.45 123 via ${Lan13} ${FwCMD} add allow tcp from any to 10.0.1.45 80 via ${Lan13} ${FwCMD} add allow tcp from any to 10.0.1.45 53 via ${Lan13} ${FwCMD} add allow tcp from any to 10.0.1.45 67,68 via ${Lan13}
Закрыть все, кроме портов 10050-10051, а также открыть ssh, ntp, web, dns и dhcp запросы... но почему то тоже не работает( Подскажите что в данном случаи не так?
Может Вы и правы, опыта написание правил у меня нет, любой человек когда то чего то не умеет делать... но как по мне главное желание и стремления чего то добиться. Не могли бы Вы объяснить чем данные правила "странные"?fedextm писал(а):Какие-то странные правила у Вас, мне кажется, что вобще нет понимания пакетной фильтрации.
Вот тут, все подробно описано, с примерами, читайте внимательно и все поймете:
http://www.freebsd.org/doc/ru_RU.KOI8-R ... -ipfw.html
Спасибо попробую.lazhu писал(а):deny в конец переместитеNolf писал(а):Спасибо помогло, но вот написал еще правила:10.0.1.45 -адрес сервера на ктором настраиваю ipfwКод: Выделить всё
${FwCMD} add deny ip from any to any via ${Lan13} ${FwCMD} add allow ip from any to any 10050-10051 via ${Lan13} ${FwCMD} add allow tcp from 10.0.1.0/24 to 10.0.1.45 22 via ${Lan13} ${FwCMD} add allow udp from 10.0.1.30 to 10.0.1.45 123 via ${Lan13} ${FwCMD} add allow tcp from any to 10.0.1.45 80 via ${Lan13} ${FwCMD} add allow tcp from any to 10.0.1.45 53 via ${Lan13} ${FwCMD} add allow tcp from any to 10.0.1.45 67,68 via ${Lan13}
Закрыть все, кроме портов 10050-10051, а также открыть ssh, ntp, web, dns и dhcp запросы... но почему то тоже не работает( Подскажите что в данном случаи не так?
Код: Выделить всё
${FwCMD} add deny ip from 10.0.1.0/24 to 10.0.1.45 22 via ${Lan13}
${FwCMD} add allow ip from any to any via ${Lan13}Код: Выделить всё
${FwCMD} add allow ip from 10.0.1.0/24 to 10.0.1.45 22 via ${Lan13}
${FwCMD} add deny ip from any to any via ${Lan13}1 интерфейс, 1 сеть.fedextm писал(а):Мне не понятно, сколько у Вас локальных интерфейсов, сколько внешних. Какие маршруты в сети, поэтому и не понятно что, куда должно ходить.
Хотелось бы научится понимать... тока вот как то пока не получилось в теории, решил пробовать на практике...fedextm писал(а):Странные правила, потому что нет понимания, а не из-за того что они не синтаксически или логически не верны.
Хотелось бы... но в хендбук пока не помог до конца понять...mak_v_ писал(а):Разберитесь хоя-бы как пакеты попадают под правила и как срабатывают правила.
Код: Выделить всё
#!/bin/sh
FwCMD="ipfw -q add"
Lan13="igb0"
Lan14="igb1"
${FwCMD} -f flush
${FwCMD} add check-state
${FwCMD} add allow ip from any to any via lo0 # Разрешить любой трафик по внутреннему интерфейсу.
${FwCMD} add allow ip from 10.0.1.0/24 to 10.0.1.45 10050-10051 via ${Lan13} # Разрешить любой трафик с сети 10.0.1.0-10.0.1.255 на сервер по портам 10050-10051 на интерфейсе igb0 (входящий и исходящий трафик)
${FwCMD} add allow tcp from 10.0.1.0/24 to 10.0.1.45 22 via ${Lan13} # Разрешаем ssh
${FwCMD} add allow udp from 10.0.1.30 to 10.0.1.45 123 via ${Lan13} # Разрешить только UDP c сервера 10.0.1.30 на мой сервер по 123 порту
${FwCMD} add allow tcp from 10.0.1.0/24 to 10.0.1.45 80 via ${Lan13} # Разрешаем web
${FwCMD} add allow tcp from 10.0.1.0/24 to 10.0.1.45 53 via ${Lan13} # Разрешаем DNS
${FwCMD} add deny ip from any to any via ${Lan13} # А данным правилом запрещаем все что не разрешено више на интерфейсе igb0
# На втором интерфейсе разрешаем только in и out трафик на порт 10050, все остальной запрещаем
${FwCMD} add deny ip from any to any via ${Lan14}
${FwCMD} add allow ip from 10.0.2.0/24 to 10.0.2.45 10050 via ${Lan14}
Код: Выделить всё
# На втором интерфейсе разрешаем только in и out трафик на порт 10050, все остальной запрещаем
${FwCMD} add allow ip from 10.0.2.0/24 to 10.0.2.45 10050 via ${Lan14}
${FwCMD} add deny ip from any to any via ${Lan14}
Код: Выделить всё
${FwCMD} add allow ip from 10.0.1.0/24 to 10.0.1.45 10050-10051 via ${Lan13} # Разрешить любой трафик с сети 10.0.1.0-10.0.1.255 на сервер по портам 10050-10051 на интерфейсе igb0 (входящий и исходящий трафик)
в описании Правильней будет написать описание вот так: Разрешить любой трафик с сети 10.0.1.1-10.0.1.255 на сервер по портам 10050-10051 на интерфейсе igb0 (входящий и исходящий трафик)FreeBSP писал(а):найти и обосновать ошибкуКод: Выделить всё
${FwCMD} add allow ip from 10.0.1.0/24 to 10.0.1.45 10050-10051 via ${Lan13} # Разрешить любой трафик с сети 10.0.1.0-10.0.1.255 на сервер по портам 10050-10051 на интерфейсе igb0 (входящий и исходящий трафик)
советую перечитать три положения из моего прошлого поста
с многими остальными правилами такой же косяк4
и убрать чек-стейт. или обосновать зачем он нужен
3) разрешение пакета в одну сторону на одном интерфейсе не разрешает прохождение этого же пакета нигде еще, и не разрешает прохождение ответа( в stateless файерфоле, а начинать надо именно со stateless)
Код: Выделить всё
${FwCMD} add allow ip from 10.0.1.0/24 to 10.0.1.45 10050-10051 via ${Lan13} # Разрешить любой трафик с сети 10.0.1.0-10.0.1.255 на сервер по портам 10050-10051 на интерфейсе igb0 (входящий и исходящий трафик)в данной ситуации тут логическое противоречиеNolf писал(а):... трафик с сети 10.0.1.1-10.0.1.255 на сервер ... (входящий и исходящий трафик)
То есть получается что бы был ответ с севреа в сеть нужно добавить правило:FreeBSP писал(а):3) разрешение пакета в одну сторону на одном интерфейсе не разрешает прохождение этого же пакета нигде еще, и не разрешает прохождение ответа( в stateless файерфоле, а начинать надо именно со stateless)Код: Выделить всё
${FwCMD} add allow ip from 10.0.1.0/24 to 10.0.1.45 10050-10051 via ${Lan13} # Разрешить любой трафик с сети 10.0.1.0-10.0.1.255 на сервер по портам 10050-10051 на интерфейсе igb0 (входящий и исходящий трафик)в данной ситуации тут логическое противоречиеNolf писал(а):... трафик с сети 10.0.1.1-10.0.1.255 на сервер ... (входящий и исходящий трафик)
направление действительно не указано, но это не значит что все будет бегать. трафик из сети пойдет, а вот ответы с сервера в сеть - нет, потому что им явно не разрешено
Код: Выделить всё
${FwCMD} add allow ip from 10.0.1.45 to 10.0.1.0/24 10050-10051 via ${Lan13}Код: Выделить всё
${FwCMD} tcp from any to any establishedКод: Выделить всё
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow tcp from 10.0.1.0/24 to 10.0.1.45 10050-10051 via ${Lan13}
) достаточно тонкое и гибкое... Код: Выделить всё
${FwCMD} add allow udp from any to me 161 in via ${Lan13}
${FwCMD} add allow udp from me 161 to any out via ${Lan13}Код: Выделить всё
${FwCMD} add allow udp from any to any 161 keep-stateПривожу весь рулсет:FreeBSP писал(а):весь рулсет покажи. двух первых правил достаточно для работы snmp
НО
третье правило сильно отличается от того что делают первые два
ну и проверь в тот ли интерфейс шнурок воткнут
Код: Выделить всё
FwCMD="/sbin/ipfw -q"
Lan13="igb0"
Lan172="igb1"
${FwCMD} -f flush
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow icmp from any to any via ${Lan13}
${FwCMD} add allow tcp from any to me 10050 in via ${Lan13}
${FwCMD} add allow tcp from me to any 10050 out via ${Lan13}
${FwCMD} add allow tcp from any to me 10051 in via ${Lan13}
${FwCMD} add allow tcp from me to any 10051 out via ${Lan13}
${FwCMD} add allow udp from any to any 161 keep-state
#${FwCMD} add allow udp from any to me 161 in via ${Lan13}
#${FwCMD} add allow udp from me 161 to any out via ${Lan13}
${FwCMD} add allow tcp from any to any 25 keep-state
#${FwCMD} add allow tcp from me 25 to any out via ${Lan13}
${FwCMD} add allow tcp from any to me 22 via ${Lan13}
${FwCMD} add allow udp from any to any 123 keep-state
#${FwCMD} add allow udp from any to me 123 in via ${Lan13}
#${FwCMD} add allow udp from me to any 123 out via ${Lan13}
${FwCMD} add allow tcp from any to me 80 via ${Lan13}
${FwCMD} add allow udp from any to any 53 keep-state
#${FwCMD} add allow tcp from any to me 53 via ${Lan13}
#${FwCMD} add allow tcp from me to any 53 via ${Lan13}
#${FwCMD} add allow udp from any to me 53 via ${Lan13}
#${FwCMD} add allow udp from me to any 53 via ${Lan13}
${FwCMD} add deny tcp from any to any via ${Lan13}
${FwCMD} add allow tcp from any to me 10050 in via ${Lan172}
${FwCMD} add allow tcp from me 10050 to any out via ${Lan172}
${FwCMD} add deny ip from any to any via ${Lan172}