IPFW

[tj.anton]

Всем привет!

Вопрос такой, есть настроенный фаерволл, а вот команды и все такое знаю плохо(

Вот команды при которых всем разрешается заходить и выходить на порт 3306

Код: Выделить всё

ipfw add 00005 allow tcp from any to any 3306
ipfw add 00006 allow tcp from any 3306 to any

как сделать чтобы можно было только определенному IP?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[FreeBSP]

переведи правила
вот прямо дословно

[tj.anton]

фаерволл добавить 00005 позволить соединению tcp от любого любому 3306
фаерволл добавить 00006 позволить соединению tcp от любого 3306 любому

т.е.

ipfw add 00005 allow tcp from 1.1.1.1 to any 3306
ipfw add 00006 allow tcp from 1.1.1.1 3306 to any

так? ставлю не пускает с этого ип адреса(

[FreeBSP]

так
а теперь сформулируй что ты хочешь
вот примерно в виде переведенного

[tj.anton]

я хочу чтобы меня с ип адреса 1.1.1.1 пускало на сервер по порту 3306 и чтобы сервер отдавал информацию по порту 3306 этому же ип адресу...

[FreeBSP]

в форме переведенного

фаерволл добавить 00005 позволить соединению tcp от любого любому 3306
фаерволл добавить 00006 позволить соединению tcp от любого 3306 любому

файер добавить позволить с 1.1.1.1 на СЕРВЕР порт 3306
файер добавить позволить с СЕРВЕР порт 3306 на 1.1.1.1

подставь ип серва и преведи обратно на английский
получишь правила

[tj.anton]

получилось вот так:

ipfw add 00005 allow tcp from 1.1.1.1 to any 3306
ipfw add 00006 allow tcp from any 3306 to 1.1.1.1

[FreeBSP]

почему any?

[tj.anton]

почему any?

только так пускать стал с определенного IP

[FreeBSP]

там должен быть сервак мускуля а не any
по уму - два разрешающих правила
разрешить от меня к серверу на порт мускуля
и обратно с сервера с порта мускуля ко мне

[baton4eg]

#!/bin/sh
fw="/sbin/ipfw -q"

${fw} -f flush
${fw} -f pipe flush
${fw} -f queue flush

mysql_allow="127.0.0.1,192.168.0.1"
# mysql server
${fw} add 1002 allow tcp from $mysql_allow to me dst-port 3306
${fw} add 1003 deny log tcp from any to me dst-port 3306

[eXis]

Приветствую всех!
Дабы не создавать новую тему, спрошу здесь по той же тематике.
Пытаюсь настроить ipfw, но не все понимаю. И я надеюсь, что сообщество поможет с несколькими вопросами.

Код: Выделить всё

BadIP= "xx.xx.xx.xx, xx.xx.xx.xx"
add deny ip from ${BadIP}

Это правильная запись для блокировки неугодных айпи? И при задании переменной айпи адреса надо разделять запятой с пробелами или просто запятой?

Код: Выделить всё

pipe 201 config bw 2200Kbit/s  mask dst-ip 0xffffffff
pipe 211 config bw 2200Kbit/s  mask src-ip 0xffffffff

Опять же, для разделения канала это правильная запись?

Код: Выделить всё

add allow tcp from any to me 1723 in via $OutLan
add allow tcp from me 1723 to any out via $OutLan
add allow gre from me to any out via $OutLan
add allow gre from any to me in via $OutLan

Это все что необходимо сделать для открытия впн?

И как организовать запись в нат для такой ситуации:
я соединяюсь по рдп на айпи шлюза xx.xx.xx.xx:3390 и меня форвардит на определенный локальный айпи и на нужный порт 3389?

[tj.anton]

Приветствую всех!
Дабы не создавать новую тему, спрошу здесь по той же тематике.
Пытаюсь настроить ipfw, но не все понимаю. И я надеюсь, что сообщество поможет с несколькими вопросами.

Код: Выделить всё

BadIP= "xx.xx.xx.xx, xx.xx.xx.xx"
add deny ip from ${BadIP}

Это правильная запись для блокировки неугодных айпи? И при задании переменной айпи адреса надо разделять запятой с пробелами или просто запятой?

BadIP= "xx.xx.xx.xx, xx.xx.xx.xx"
${fwcmd} add 00040 deny all from ${BadIP} to me

[Гость]

BadIP= "xx.xx.xx.xx, xx.xx.xx.xx"
${fwcmd} add 00040 deny all from ${BadIP} to me

Спасибо! Обязательно нумеровать правила?

[tj.anton]

BadIP= "xx.xx.xx.xx, xx.xx.xx.xx"
${fwcmd} add 00040 deny all from ${BadIP} to me

Спасибо! Обязательно нумеровать правила?

Да.

[FreeBSP]

можно не нумеровать, тогда они устроят анархию и будут нумероваться сами

[eXis]

Код: Выделить всё

add allow tcp from any to me 1723 in via $OutLan
add allow tcp from me 1723 to any out via $OutLan
add allow gre from me to any out via $OutLan
add allow gre from any to me in via $OutLan

Это все что необходимо сделать для открытия впн?

В общем-то апну тему повторным вопросом, ipfw утверждает что у меня должно работать впн:

Код: Выделить всё

02600 allow tcp from any to me dst-port 1723 in via tun0
02700 allow tcp from me 1723 to any out via tun0
02800 allow gre from me to any out via tun0
02900 allow gre from any to me in via tun0

Но при попытке коннекта с виндовой машины выдается ошибка 800 или 868 и ощущение полного отсуствия впн.
Почему так?

[FreeBSP]

логи, логи, логи в студию