forum.lissyara.su

Код: Выделить всё

proxy# uname -v
FreeBSD 8.1-STABLE #0: Tue Aug 10 14:16:27 MSD 2010     ..........:/usr/obj/usr/src/sys/MYKERNEL

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPFIREWALL_NAT
options         LIBALIAS
options         ROUTETABLES=2
options         DUMMYNET
options         HZ="1000"

Код: Выделить всё

# -- sysinstall generated deltas -- # Mon Aug  9 11:00:15 2010
#defaultrouter="10.68.145.1"
keymap="ru.koi8-r"
moused_enable="YES"
sshd_enable="YES"
ifconfig_em1="inet 1.1.19.90  netmask 255.255.255.248"
ifconfig_em0="inet 10.68.145.253  netmask 255.255.255.0"
defaultrouter="1.1.19.89"
hostname="proxy.aaaa.local"
firewall_nat_enable="YES"
firewall_nat_interface="em1"
gateway_enable="YES"
firewall_script="/etc/firewall.rules"
mysql_enable="YES"
apache22_enable="YES"
#squid_enable="YES"

Код: Выделить всё

########################ПЕРЕМЕННЫЕ#########################################
#!/bin/sh
FwCMD="/sbin/ipfw -q"
LanOut="em1" #внешний интерфейс
LanIn="em0" #внутренний
IpOut="1.1.19.90" #внешний ИП
IpIn="10.68.145.253" #внутренний ИП
NetMask="24" #маска
NetIn="10.68.145.0" #внутренняя сеть

${FwCMD} flush
${FwCMD} add 100 check-state
# пропускаем траффик через трансляцию сетевых адресов (NAT)
#
#
${FwCMD} add 200 allow ip from any to any via lo0 #разрешаем трафик через петлю
${FwCMD} add 300 deny ip from any to 127.0.0.0/8 # рубит lo0.
${FwCMD} add 400 deny ip from 127.0.0.0/8 to any #
#запрещают вход и выход по нетбиосу
${FwCMD} add 405 deny tcp from any to any 135-139 via em1
${FwCMD} add 407 deny tcp from any 135-139 to any
#Вводим запреты, рубим частные сeти
${FwCMD} add 500 deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add 600 deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add 800 deny ip from any to 0.0.0.0/8 in via ${LanOut}
#Рубим автоконфигуренную частную сеть
${FwCMD} add 900 deny ip from any to 169.254.0.0/16 in via ${LanOut}
#рубаем мультикастовые рассылки
${FwCMD} add 1000 deny ip from any to 240.0.0.0/4 in via ${LanOut}
#рубим фрагментированные icmp
${FwCMD} add 1100 deny icmp from any to any frag
#рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add 1200 deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add 1300 deny log icmp from any to 255.255.255.255 out via ${LanOut}
############### собственно сам файрволл#########################################
#рубим траффик к частным сетям через внешний интерфейс
${FwCMD} add 1800 deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add 1900 deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add 2000 deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add 2100 deny ip from 0.0.0.0/8 to any out via ${LanOut}
#рубим автоконфигуреную частную сеть
${FwCMD} add 2200 deny ip from 169.254.0.0/16 to any out via ${LanOut}
#рубаем мультикастовые рассылки
${FwCMD} add 2400 deny ip from 240.0.0.0/4 to any out via ${LanOut}
#разрешаем все установленные соединения
${FwCMD} add 2500 allow tcp from any to any established
#разрешаем весь исходящий траффик
${FwCMD} add 2600 allow ip from ${IpOut} to any out xmit ${LanOut}
# разрешаем DNS снаружи
${FwCMD} add 2755 allow udp from any to any 53 via ${LanOut}
${FwCMD} add 2756 allow udp from any 53 to any via ${LanOut}
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add 3100 allow tcp from any to any via ${LanIn}
# разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add 3200 allow udp from any to any via ${LanIn}
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add 3300 allow icmp from any to any via ${LanIn}
${FwCMD} add 3475 allow tcp from any to any out via ${LanOut} setup keep-state
# разрешаем SSH
${FwCMD} add allow tcp from any to ${IpOut} 2220 in via ${LanOut} setup
# открываем снаружи 20,21 порт - для активного FTP
${FwCMD} add allow tcp from any to ${IpOut} 20,21 in via ${LanOut} setup
# пассивный FTP
${FwCMD} add allow tcp from any to ${IpOut} 10000-65535 via ${LanOut}
# Запрещаем все остальное
${FwCMD} add 65000 allow all from any to any
proxy#

Код: Выделить всё

proxy# ipfw show
65535 4858 426091 deny ip from any to any
proxy#

Код: Выделить всё

ipfw nat 123 config ip 1.1.1.19 log same_ports 

Код: Выделить всё

/etc/rc.firewall

Код: Выделить всё

ipfw add 65000 allow ip from any to any

Код: Выделить всё

firewall_enable="YES"

Код: Выделить всё

ipfw show