рц конф:
Код: Выделить всё
hostname="get.vsit.ru"
gateway_enable="YES"
defaultrouter="192.168.201.100"
ifconfig_rl0="inet 192.168.201.60 netmask 255.255.255.0"
ifconfig_rl1="inet 172.29.151.14 netmask 255.255.255.248"
static_routes="rs1 wowgg"
route_rs1="-net 172.29.0.0/16 172.29.151.9"
route_wowgg="-host 172.31.64.84 172.29.151.9"
sshd_enable="YES"
named_enable="YES"
mpd_enable="YES"
firewall_enable="YES"
firewall_script="/etc/ipfw4.conf"
natd_enable="YES"
natd_interface="rl0"
natd_flags="-f /etc/natd.conf"
Код: Выделить всё
log yes
use_sockets yes
same_ports yes
dynamic yes
unregistered_only yes
Код: Выделить всё
#!/bin/sh -
###
cmd="/sbin/ipfw -q"
#--------------------------
# настройки сети ВСИТ
vsitif="rl0"
vsitip="192.168.201.60"
vsitlan="192.168.201.0/24"
#--------------------------
# настройки сети Right-Side
rightif="rl1"
rightip="172.29.151.14"
rightlan="172.29.0.0/16"
#--------------------------
# те кому можно конектиться по ssh
val="192.168.201.49,192.168.201.100"
ral="172.29.146.119"
#--------------------------
# те кому разрешено конектиться по впн из райта
vral="10.100.0.0/16"
#--------------------------
###
# Сбрасываем все правила
${cmd} flush -f
# Проверяем - соответствует ли пакет динамическим правилам
${cmd} add check-state
# разрешаем весь трафик на внутреннем интерфейсе
${cmd} add allow ip from any to any via lo
# следующие два правила запрещают кому либо обращаться 127.0.0.1, а 127.0.0.1 обращаться к кому либо
# закоментировал потому что не работает днс при этих двух правилах
# ${cmd} add deny ip from any to 127.0.0.0/8
# ${cmd} add deny ip from 127.0.0.0/8 to any
# разрешаем все установленные соединения
${cmd} add allow tcp from any to any established
# разрешаем весь исходящий трафик от сервера, 1 в направление ВСИТа, 2 в направление РАЙТА
${cmd} add allow ip from ${vsitip} to any out xmit ${vsitif}
${cmd} add allow ip from ${rightip} to any out xmit ${rightif}
# разрешаем icmp трафик эхо-запрос,эхо-отает,время жизни пакета истекло
${cmd} add allow icmp from any to any icmptypes 0,8,11
# следующие два правила разрешают соединяться с сервером по ssh разрешенным хостам
${cmd} add allow tcp from ${val} to ${vsitip} 22 via ${vsitif}
${cmd} add allow tcp from ${ral} to ${rightip} 22 via ${rightif}
# следующие два правила разрешают входящий и исходящий dns трафик во всех направлениях
${cmd} add allow udp from any 53 to any
${cmd} add allow udp from any to any 53
# разрешаем конектиться по впн разрешенным хостам
${cmd} add allow tcp from any to me 1723
${cmd} add allow gre from any to any
# дивиртим запросы с подсети райта в всит
${cmd} add divert 8668 ip from ${vral} to any out xmit ${vsitif}
${cmd} add divert 8668 ip from any to ${vsitip} in recv ${vsitif}
# разрешаем все для вситовской сети
${cmd} add allow udp from any to any via ${vsitif}
${cmd} add allow tcp from any to any via ${vsitif}
${cmd} add allow icmp from any to any via ${vsitif}