Страница 1 из 1
IPFW
Добавлено: 2013-05-11 19:11:43
tj.anton
Всем привет!
Вопрос такой, есть настроенный фаерволл, а вот команды и все такое знаю плохо(
Вот команды при которых всем разрешается заходить и выходить на порт 3306
Код: Выделить всё
ipfw add 00005 allow tcp from any to any 3306
ipfw add 00006 allow tcp from any 3306 to any
как сделать чтобы можно было только определенному IP?
Re: IPFW
Добавлено: 2013-05-11 19:53:14
FreeBSP
переведи правила
вот прямо дословно
Re: IPFW
Добавлено: 2013-05-11 19:59:12
tj.anton
фаерволл добавить 00005 позволить соединению tcp от любого любому 3306
фаерволл добавить 00006 позволить соединению tcp от любого 3306 любому
т.е.
ipfw add 00005 allow tcp from 1.1.1.1 to any 3306
ipfw add 00006 allow tcp from 1.1.1.1 3306 to any
так? ставлю не пускает с этого ип адреса(
Re: IPFW
Добавлено: 2013-05-11 20:00:28
FreeBSP
так
а теперь сформулируй что ты хочешь
вот примерно в виде переведенного
Re: IPFW
Добавлено: 2013-05-11 20:02:04
tj.anton
я хочу чтобы меня с ип адреса 1.1.1.1 пускало на сервер по порту 3306 и чтобы сервер отдавал информацию по порту 3306 этому же ип адресу...
Re: IPFW
Добавлено: 2013-05-11 20:07:13
FreeBSP
в форме переведенного
tj.anton писал(а):фаерволл добавить 00005 позволить соединению tcp от любого любому 3306
фаерволл добавить 00006 позволить соединению tcp от любого 3306 любому
файер добавить позволить с 1.1.1.1 на СЕРВЕР порт 3306
файер добавить позволить с СЕРВЕР порт 3306 на 1.1.1.1
подставь ип серва и преведи обратно на английский
получишь правила
Re: IPFW
Добавлено: 2013-05-11 20:15:53
tj.anton
получилось вот так:
ipfw add 00005 allow tcp from 1.1.1.1 to any 3306
ipfw add 00006 allow tcp from any 3306 to 1.1.1.1
Re: IPFW
Добавлено: 2013-05-11 20:38:04
FreeBSP
почему any?
Re: IPFW
Добавлено: 2013-05-11 20:43:16
tj.anton
FreeBSP писал(а):почему any?
только так пускать стал с определенного IP
Re: IPFW
Добавлено: 2013-05-11 20:44:10
FreeBSP
там должен быть сервак мускуля а не any
по уму - два разрешающих правила
разрешить от меня к серверу на порт мускуля
и обратно с сервера с порта мускуля ко мне
Re: IPFW
Добавлено: 2013-05-11 21:45:56
baton4eg
#!/bin/sh
fw="/sbin/ipfw -q"
${fw} -f flush
${fw} -f pipe flush
${fw} -f queue flush
mysql_allow="127.0.0.1,192.168.0.1"
# mysql server
${fw} add 1002 allow tcp from $mysql_allow to me dst-port 3306
${fw} add 1003 deny log tcp from any to me dst-port 3306
Re: IPFW
Добавлено: 2013-06-27 8:45:10
eXis
Приветствую всех!
Дабы не создавать новую тему, спрошу здесь по той же тематике.
Пытаюсь настроить ipfw, но не все понимаю. И я надеюсь, что сообщество поможет с несколькими вопросами.
Код: Выделить всё
BadIP= "xx.xx.xx.xx, xx.xx.xx.xx"
add deny ip from ${BadIP}
Это правильная запись для блокировки неугодных айпи? И при задании переменной айпи адреса надо разделять запятой с пробелами или просто запятой?
Код: Выделить всё
pipe 201 config bw 2200Kbit/s mask dst-ip 0xffffffff
pipe 211 config bw 2200Kbit/s mask src-ip 0xffffffff
Опять же, для разделения канала это правильная запись?
Код: Выделить всё
add allow tcp from any to me 1723 in via $OutLan
add allow tcp from me 1723 to any out via $OutLan
add allow gre from me to any out via $OutLan
add allow gre from any to me in via $OutLan
Это все что необходимо сделать для открытия впн?
И как организовать запись в нат для такой ситуации:
я соединяюсь по рдп на айпи шлюза xx.xx.xx.xx:3390 и меня форвардит на определенный локальный айпи и на нужный порт 3389?
Re: IPFW
Добавлено: 2013-06-27 13:54:06
tj.anton
eXis писал(а):Приветствую всех!
Дабы не создавать новую тему, спрошу здесь по той же тематике.
Пытаюсь настроить ipfw, но не все понимаю. И я надеюсь, что сообщество поможет с несколькими вопросами.
Код: Выделить всё
BadIP= "xx.xx.xx.xx, xx.xx.xx.xx"
add deny ip from ${BadIP}
Это правильная запись для блокировки неугодных айпи? И при задании переменной айпи адреса надо разделять запятой с пробелами или просто запятой?
BadIP= "xx.xx.xx.xx, xx.xx.xx.xx"
${fwcmd} add 00040 deny all from ${BadIP} to me
Re: IPFW
Добавлено: 2013-06-27 14:32:17
Гость
tj.anton писал(а):
BadIP= "xx.xx.xx.xx, xx.xx.xx.xx"
${fwcmd} add 00040 deny all from ${BadIP} to me
Спасибо! Обязательно нумеровать правила?
Re: IPFW
Добавлено: 2013-06-27 18:39:01
tj.anton
Гость писал(а):tj.anton писал(а):
BadIP= "xx.xx.xx.xx, xx.xx.xx.xx"
${fwcmd} add 00040 deny all from ${BadIP} to me
Спасибо! Обязательно нумеровать правила?
Да.
Re: IPFW
Добавлено: 2013-06-28 10:51:41
FreeBSP
можно не нумеровать, тогда они устроят анархию и будут нумероваться сами
Re: IPFW
Добавлено: 2013-07-02 7:44:18
eXis
eXis писал(а):
Код: Выделить всё
add allow tcp from any to me 1723 in via $OutLan
add allow tcp from me 1723 to any out via $OutLan
add allow gre from me to any out via $OutLan
add allow gre from any to me in via $OutLan
Это все что необходимо сделать для открытия впн?
В общем-то апну тему повторным вопросом, ipfw утверждает что у меня должно работать впн:
Код: Выделить всё
02600 allow tcp from any to me dst-port 1723 in via tun0
02700 allow tcp from me 1723 to any out via tun0
02800 allow gre from me to any out via tun0
02900 allow gre from any to me in via tun0
Но при попытке коннекта с виндовой машины выдается ошибка 800 или 868 и ощущение полного отсуствия впн.
Почему так?
Re: IPFW
Добавлено: 2013-07-15 11:09:17
FreeBSP
логи, логи, логи в студию