помогите проанализиворать / оптимизировать pf.conf

[subdigger]

на фре установлен pf, squid (sams + rejik)
(подсматривал вот тут http://www.lissyara.su/articles/freebsd ... ams+rejik/)
но не совсем понимаю что к чему....

необходимо:

1. оптимизировать (убрать лишнее)
2. максимально обезопасить
3. сделать возможным обновление винды (лицензия) из сети
4. сделать возможным обновление drWeb (лицензия) из сети

Код: Выделить всё

### makros ###
# локальная сеть
int_if="rl0"

# ADSL модем
ext_if="tun0"

lan_net="{192.168.0.0/24}"
allowed_icmp_types="{echoreq,unreach}"

SERVERS_table="{192.168.0.3, 192.168.0.6}"
WinAdmin="192.168.0.6"
NoRouteIPs="{127.0.0.0/8}"

### tables ###
table <hacker> {175.203.96.109, 91.205.189.27}
table <badhosts> persist
table <msupdate> {46.33.68.78, 46.33.68.87, 46.33.68.121, 46.33.68.113, 65.55.184.152, 65.55.200.139, 65.55.53.190}

### options ###
set block-policy drop
set skip on lo0
set timeout { frag 10, tcp.established 3600 }

### trafic normalize ###
scrub in all

#redirect
#rdp to WinAdmin
#rdr pass log on $ext_if proto tcp from any to ($ext_if) port {5900, 3389} -> $WinAdmin

#nat
nat pass on $ext_if from $lan_net to any port 21 -> $ext_if
nat pass on $ext_if from $lan_net to any port 1023 -> $ext_if
nat pass on $ext_if from $lan_net to any port 25 -> $ext_if
nat pass on $ext_if from $lan_net to any port 110 -> $ext_if
nat pass on $ext_if from $lan_net to any port 465 -> $ext_if
nat pass on $ext_if from $lan_net to any port 995 -> $ext_if
nat pass on $ext_if from $lan_net to any port 993 -> $ext_if

# clientbank
nat pass on $ext_if from {192.168.0.4} to {195.248.190.38} port 2193 -> $ext_if

#servers
nat pass on $ext_if from $SERVERS_table to any -> $ext_if

### filtering ##
antispoof quick for $ext_if

block log (all) all

# block bed
block in quick on $ext_if from <hacker> to any
block in quick on $ext_if from <badhosts> to any

#ssh
pass in quick on $ext_if proto {tcp,udp} from any to self port 22

pass out log inet proto icmp all icmp-type $allowed_icmp_types
pass out log on $ext_if from $int_if:network to <msupdate>

pass in quick on $int_if from $lan_net to any
pass out quick on $int_if from self to $lan_net

pass out quick on $ext_if from self to any keep state
block in on $ext_if from any to any

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[rayder]

на фре установлен pf, squid (sams + rejik)
(подсматривал вот тут http://www.lissyara.su/articles/freebsd ... ams+rejik/)
но не совсем понимаю что к чему....

необходимо:

1. оптимизировать (убрать лишнее)

то что для одного лишнее, для другого жизненно необходимо...

на фре установлен pf, squid (sams + rejik)
[*]максимально обезопасить

кого/что от кого/чего нужно обезопасить?

на фре установлен pf, squid (sams + rejik)
[*]сделать возможным обновление винды (лицензия) из сети

google:windows update ports firewall
Вы как минимум не указали версию форточки

на фре установлен pf, squid (sams + rejik)
[*]сделать возможным обновление drWeb (лицензия) из сети[/list]

собственно способ такой же

что бы разобраться как работает pf(либо другой фаер) нужно почитать по нему документацию которой в гугле полно, а уж если что-то не выходит тогда писать:
делал вот так и вот так - не работает, подскажите где неправильно.

если у Вас нет желание учиться/развиваться самому, то учить с нуля Вас никто не будет.

PS. Количество обращений в форум с одним и тем же вопросом не гарантирует разнообразия ответов

[subdigger]

то что для одного лишнее, для другого жизненно необходимо...

Могли бы вы описать, что в данном конфиге для Вас лишнее и что необходимое и почему?

кого/что от кого/чего нужно обезопасить?

разумеется свою сеть от внешнего (не санкционированного) влияния.
есть открытый доступ ssh к фре. поставил дополнительно sshit для защиты от подбора паролей (тоже где-то тут на сайте нашёл инструкцию)

+ доступ к самс по http для статического IP

может опытный глаз видит потенциальную дыру, которую я не учёл?


по поводу обновлений спасибо. реально не то у гугла спрашивал

PS. Количество обращений в форум с одним и тем же вопросом не гарантирует разнообразия ответов

дрогнула рука поэта.
ЗЫ. а телепаты таки есть.

[snorlov]

Да нету телепатов. А вообще то для того, чтобы обезапасить себя, достаточно не выставлять ни одного сервиса во внешнюю сетку, правда встанет вопрос о защите станций за фрей, накачав туда вирусов и троянов.... Возьмем тот же sshit например, ну не надо вам управлять фрей извне, ну так заставьте слушать sshd только интерфейс внутренней сети и уже sshit вам не нужен. И прав rayder спаршивая

защищаться от кого/чего

Начните не только с чтения доки по pf, но и по tcp/ip