ipf

[Spook1680]

Первый раз с этим вожусь
Подскажите с чего лучше начать
Вот правила созданые при помощи mkfilters
rtk0 - внутренний
sk0 - внешний интерфейс

Насколько я понял ipf в отличии от ipfw прогоняет проверку полностью по всему файлц
group 150
group 100
это что за группы не догоняю
keep state - это значит что типа правило будет как на вход так и на выход Т/е/ один раз проверку прошел потом уже пакеты идут по этому правилу
quick - Правильно понимаю что если это хрень стоит то все правила до или после будут отброшены и выполнено будет только это

Код: Выделить всё

#pass in log quick on lo0 proto icmp from 127.0.0.1/8 to 127.0.0.1/8 with short
block in log quick from any to any with ipopts
block in log quick proto tcp from any to any with short
pass out on rtk0 all head 150
block out from 127.0.0.0/8 to any group 150
block out from any to 127.0.0.0/8 group 150
pass in on rtk0 all head 100
block in from 127.0.0.0/8 to any group 100
pass out on sk0 all head 250
block out from 127.0.0.0/8 to any group 250
block out from any to 127.0.0.0/8 group 250
#pass in on sk0 all head 200
block in on sk0 all head 200
block in from 127.0.0.0/8 to any group 200
#localhost
pass in log quick on lo0 all
pass out log quick on lo0 all
##
pass in log quick on sk0 proto tcp from any to 77. port = 22 keep state
pass in log quick on sk0 proto udp from any to 87.245.190.122 port = 53 keep state
##
#pass in quick on sk0 proto icmp all keep state
pass in quick on sk0 proto icmp from any to any icmp-type echo
pass in quick on sk0 proto icmp from any to any icmp-type echorep
#pass out quick on rtk0 proto icmp from any to any icmp-type echo
#pass out quick on rtk0 proto icmp from any to any icmp-type echorep
##
pass in on rkt0 from 192.168.0.0/24 to any
pass out on rkt0 from any to 192.168.0.0/24

Плиз только не надо отсылать меня ) на маны у меня все есть
И мерится письками кто круче то же не надо/

К примеру почему вот в таком раскладе меня на ssh пускает из вне но проходит 10 сек/ прежде чем появится предложение набрать пароль/
Где-то косяк в правилах/

Код: Выделить всё

pass out on sk0 all head 250 - разрешаем всем типа выходить из сервака в инет ?
pass in log quick on sk0 proto tcp from any to 77. port = 22 keep state  - разрешаем на вход
это правило как исключение из 
block in on sk0 all head 200

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[vadim64]

не указали причину использования этого фаервола

[Spook1680]

не указали причину использования этого фаервола

Банально прозваучит
Он был там по умолчанке))
Предвзято подошел к вопросу/
Старая машина (пень 3 256 оперативы) (машина как старый харлей))
Фряха для нее была бы тяжеловата (ну тут то же спорно)
openBSD - ) не понравился инстолятор (предвзято)
NetBSD - удобный при установке
- минусы - у меня так и не заработал Portsentry (аналогов не нашел пока)
- ipf - похоже нельза ограничить скорость/
Спасибо за то что откликнулись
С основными командами я разобрался
ipf настроил/ Возможно кому пригодится (сброшу основу конфигурации сюда)/