Закрытие портов ipfw

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
WideAreaNetwork
сержант
Сообщения: 239
Зарегистрирован: 2017-01-10 14:37:13

Закрытие портов ipfw

Непрочитанное сообщение WideAreaNetwork » 2018-12-16 16:28:22

нужно закрыть порт извне для mysql , почитав об этом сделал два варианта правил

Код: Выделить всё

ipfw add 48 deny tcp from any to me 3306 via vlan1009
ipfw add 49 deny tcp from me to any 3306 via vlan1009

Код: Выделить всё

ipfw add 48 deny tcp from any to any 3306 in via vlan1009
ipfw add 49 deny tcp from any to any 3306 out via vlan1009
как бы тот те и те блокируют, что предпочтительнее выбрать?

или же вместо протокола tcp указать all

Код: Выделить всё

ipfw add 48 deny all from any to me 3306 via vlan1009
ipfw add 49 deny all from me to any 3306 via vlan1009

Код: Выделить всё

ipfw add 48 deny all from any to any 3306 in via vlan1009
ipfw add 49 deny all from any to any 3306 out via vlan1009
подскажите пжл что выбрать, вроде как все блокируют

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Закрытие портов ipfw

Непрочитанное сообщение skeletor » 2018-12-18 9:17:22

Смотря что вы собираетесь блокировать: tcp port 3306 или tcp/udp/... port 3306 или ...

Для блокировки из-вне доступа к mysql достаточно таких правил:

Код: Выделить всё

ipfw add 48 deny tcp from any to me 3306 in via vlan1009
ipfw add 49 deny tcp from me 3306 to any out via vlan1009

WideAreaNetwork
сержант
Сообщения: 239
Зарегистрирован: 2017-01-10 14:37:13

Закрытие портов ipfw

Непрочитанное сообщение WideAreaNetwork » 2018-12-18 19:35:16

будет ли лучше вместо tcp указать ip/all?

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Закрытие портов ipfw

Непрочитанное сообщение skeletor » 2018-12-20 9:43:46

Ну это как зимой одевать/не одевать капюшон, если вы в тёплой шапке и вам не холодно.
Вряд ли у вас будут приложения, которые слушают тот же порт, что и mysql, но использует другой протокол (например, udp, gre,...) и особого смысла нет. Но если вам будет спокойнее, то можете писать "all"

lazhu
сержант
Сообщения: 254
Зарегистрирован: 2013-08-10 14:28:38
Контактная информация:

Закрытие портов ipfw

Непрочитанное сообщение lazhu » 2018-12-20 12:20:06

А не закрыто все извне натом deny_in? Закройте, пока не поздно ;)

WideAreaNetwork
сержант
Сообщения: 239
Зарегистрирован: 2017-01-10 14:37:13

Закрытие портов ipfw

Непрочитанное сообщение WideAreaNetwork » 2018-12-20 21:44:40

для ната использую PF

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Закрытие портов ipfw

Непрочитанное сообщение skeletor » 2018-12-21 9:55:08

А расскажите, зачем используете для фильтрации и NAT'a разные файерволы? Почему нельзя использовать один? Мне так, чисто интересно, почему люди так делают.

WideAreaNetwork
сержант
Сообщения: 239
Зарегистрирован: 2017-01-10 14:37:13

Закрытие портов ipfw

Непрочитанное сообщение WideAreaNetwork » 2018-12-21 10:04:05

Потому что стоит биллинг, устанавливал по мануалу

lazhu
сержант
Сообщения: 254
Зарегистрирован: 2013-08-10 14:28:38
Контактная информация:

Закрытие портов ipfw

Непрочитанное сообщение lazhu » 2018-12-21 14:13:36

да без разницы какой файрвол, локалка извне закрывается натом

WideAreaNetwork
сержант
Сообщения: 239
Зарегистрирован: 2017-01-10 14:37:13

Закрытие портов ipfw

Непрочитанное сообщение WideAreaNetwork » 2018-12-21 17:09:04

WideAreaNetwork писал(а):
2018-12-21 10:04:05
устанавливал по мануалу
как еще написать)