помогите проанализиворать / оптимизировать pf.conf

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
subdigger
проходил мимо
Сообщения: 3
Зарегистрирован: 2012-02-03 19:36:04

помогите проанализиворать / оптимизировать pf.conf

Непрочитанное сообщение subdigger » 2012-02-03 22:42:42

на фре установлен pf, squid (sams + rejik)
(подсматривал вот тут http://www.lissyara.su/articles/freebsd ... ams+rejik/)
но не совсем понимаю что к чему....

необходимо:
  1. оптимизировать (убрать лишнее)
  2. максимально обезопасить
  3. сделать возможным обновление винды (лицензия) из сети
  4. сделать возможным обновление drWeb (лицензия) из сети

Код: Выделить всё

### makros ###
# локальная сеть
int_if="rl0"

# ADSL модем
ext_if="tun0"

lan_net="{192.168.0.0/24}"
allowed_icmp_types="{echoreq,unreach}"

SERVERS_table="{192.168.0.3, 192.168.0.6}"
WinAdmin="192.168.0.6"
NoRouteIPs="{127.0.0.0/8}"

### tables ###
table <hacker> {175.203.96.109, 91.205.189.27}
table <badhosts> persist
table <msupdate> {46.33.68.78, 46.33.68.87, 46.33.68.121, 46.33.68.113, 65.55.184.152, 65.55.200.139, 65.55.53.190}

### options ###
set block-policy drop
set skip on lo0
set timeout { frag 10, tcp.established 3600 }

### trafic normalize ###
scrub in all

#redirect
#rdp to WinAdmin
#rdr pass log on $ext_if proto tcp from any to ($ext_if) port {5900, 3389} -> $WinAdmin

#nat
nat pass on $ext_if from $lan_net to any port 21 -> $ext_if
nat pass on $ext_if from $lan_net to any port 1023 -> $ext_if
nat pass on $ext_if from $lan_net to any port 25 -> $ext_if
nat pass on $ext_if from $lan_net to any port 110 -> $ext_if
nat pass on $ext_if from $lan_net to any port 465 -> $ext_if
nat pass on $ext_if from $lan_net to any port 995 -> $ext_if
nat pass on $ext_if from $lan_net to any port 993 -> $ext_if

# clientbank
nat pass on $ext_if from {192.168.0.4} to {195.248.190.38} port 2193 -> $ext_if

#servers
nat pass on $ext_if from $SERVERS_table to any -> $ext_if

### filtering ##
antispoof quick for $ext_if

block log (all) all

# block bed
block in quick on $ext_if from <hacker> to any
block in quick on $ext_if from <badhosts> to any

#ssh
pass in quick on $ext_if proto {tcp,udp} from any to self port 22

pass out log inet proto icmp all icmp-type $allowed_icmp_types
pass out log on $ext_if from $int_if:network to <msupdate>

pass in quick on $int_if from $lan_net to any
pass out quick on $int_if from self to $lan_net

pass out quick on $ext_if from self to any keep state
block in on $ext_if from any to any
Последний раз редактировалось f_andrey 2012-02-04 7:23:10, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

rayder
лейтенант
Сообщения: 661
Зарегистрирован: 2008-12-18 16:29:43
Откуда: Ukraine/Kiev
Контактная информация:

Re: помогите проанализиворать / оптимизировать pf.conf

Непрочитанное сообщение rayder » 2012-02-04 3:22:00

subdigger писал(а):на фре установлен pf, squid (sams + rejik)
(подсматривал вот тут http://www.lissyara.su/articles/freebsd ... ams+rejik/)
но не совсем понимаю что к чему....

необходимо:
  1. оптимизировать (убрать лишнее)
то что для одного лишнее, для другого жизненно необходимо...
subdigger писал(а):на фре установлен pf, squid (sams + rejik)
[*]максимально обезопасить
кого/что от кого/чего нужно обезопасить?
subdigger писал(а):на фре установлен pf, squid (sams + rejik)
[*]сделать возможным обновление винды (лицензия) из сети
google:windows update ports firewall
Вы как минимум не указали версию форточки

subdigger писал(а):на фре установлен pf, squid (sams + rejik)
[*]сделать возможным обновление drWeb (лицензия) из сети[/list]
собственно способ такой же

что бы разобраться как работает pf(либо другой фаер) нужно почитать по нему документацию которой в гугле полно, а уж если что-то не выходит тогда писать:
делал вот так и вот так - не работает, подскажите где неправильно.

если у Вас нет желание учиться/развиваться самому, то учить с нуля Вас никто не будет.

PS. Количество обращений в форум с одним и тем же вопросом не гарантирует разнообразия ответов
Человеку свойственно ошибаться, но для нечеловеческих ляпов нужен компьютер.

subdigger
проходил мимо
Сообщения: 3
Зарегистрирован: 2012-02-03 19:36:04

Re: помогите проанализиворать / оптимизировать pf.conf

Непрочитанное сообщение subdigger » 2012-02-04 11:50:26

rayder писал(а):то что для одного лишнее, для другого жизненно необходимо...
Могли бы вы описать, что в данном конфиге для Вас лишнее и что необходимое и почему?
rayder писал(а):кого/что от кого/чего нужно обезопасить?
разумеется свою сеть от внешнего (не санкционированного) влияния.
есть открытый доступ ssh к фре. поставил дополнительно sshit для защиты от подбора паролей (тоже где-то тут на сайте нашёл инструкцию)

+ доступ к самс по http для статического IP

может опытный глаз видит потенциальную дыру, которую я не учёл?


по поводу обновлений спасибо. реально не то у гугла спрашивал =)
subdigger писал(а):PS. Количество обращений в форум с одним и тем же вопросом не гарантирует разнообразия ответов
дрогнула рука поэта.
ЗЫ. а телепаты таки есть.

snorlov
подполковник
Сообщения: 3879
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: помогите проанализиворать / оптимизировать pf.conf

Непрочитанное сообщение snorlov » 2012-02-04 14:37:08

Да нету телепатов. А вообще то для того, чтобы обезапасить себя, достаточно не выставлять ни одного сервиса во внешнюю сетку, правда встанет вопрос о защите станций за фрей, накачав туда вирусов и троянов.... Возьмем тот же sshit например, ну не надо вам управлять фрей извне, ну так заставьте слушать sshd только интерфейс внутренней сети и уже sshit вам не нужен. И прав rayder спаршивая
rayder писал(а):защищаться от кого/чего
Начните не только с чтения доки по pf, но и по tcp/ip