Доступ по IP
Добавлено: 2008-08-11 12:34:12
Ситуация: есть шлюз на freebsd. Он в городе А. Нужно, чтобы через него в локалку по виндовому терминалу, к терминал серваку подключался комп из города Б.
Сделано:
- НАТ работает
- в НАТ работает редирект портов скажем 5567 снаруже на 3389 внутри.
Как сделать чтоб тока 1 IP пускал (из города Б) ???
IPFW
#Внутренняя петля
add 100 allow ip from any to any via lo0
add 200 deny ip from any to 127.0.0.0/8
add 300 deny ip from 127.0.0.0/8 to any
#Закрываем tcp порт 111 NFS !!!
add 350 deny tcp from any to any 111
add 360 deny tcp from 111 to any
#Разрешаем natd
add 400 divert natd all from 192.168.2.0/24 to any out recv xl1 xmit xl0
add 500 divert natd all from not 192.168.2.0/24 to 8*.*.*.* recv xl0
#Разрешаем подключение mpd
add 550 allow tcp from any to any 1723 via setup keep-state
add 560 allow gre from any to any
#Открываем порт RADMIN
#add 600 allow tcp from any to any 4899
#add 700 allow tcp from 4899 to any
#DNS
add 650 allow udp from any to any 53
add 660 allow udp from 53 to any
#Разрешаем коннект сервака ко всем
add 800 allow all from 8*.*.*.*/24.8*.*.*.*/24 to any setup keep-state
#Разрешаем коннект всем к серваку
add 900 allow all from 8*.*.*.*/24 to 8*.*.*.*/24.8*.*.*.*/24 setup keep-state
#Внутренняя сеть
#Разрешен коннект сервака ко всем
add 1000 allow all from 192.168.2.0/24.192.168.2.1/24 to any setup keep-state
#Разрешенно коннект всех к серваку
add 1100 allow all from 192.168.2.0/24 to 192.168.2.0/24.192.168.2.1/24 setup keep-state
#Разрешенны уже установленные соединения
add 1400 allow tcp from any to any established
#
#Завершающие правило
add 65000 allow ip from any to any
add 65535 deny ip from any to any
NAT
firewall_enable="YES"
firewall_type="/usr/local/etc/firewall.conf"
natd_enable="YES"
natd_interface="xl0"
natd_flags="-redirect_port tcp 192.168.2.2:3389 5567"
Сделано:
- НАТ работает
- в НАТ работает редирект портов скажем 5567 снаруже на 3389 внутри.
Как сделать чтоб тока 1 IP пускал (из города Б) ???
IPFW
#Внутренняя петля
add 100 allow ip from any to any via lo0
add 200 deny ip from any to 127.0.0.0/8
add 300 deny ip from 127.0.0.0/8 to any
#Закрываем tcp порт 111 NFS !!!
add 350 deny tcp from any to any 111
add 360 deny tcp from 111 to any
#Разрешаем natd
add 400 divert natd all from 192.168.2.0/24 to any out recv xl1 xmit xl0
add 500 divert natd all from not 192.168.2.0/24 to 8*.*.*.* recv xl0
#Разрешаем подключение mpd
add 550 allow tcp from any to any 1723 via setup keep-state
add 560 allow gre from any to any
#Открываем порт RADMIN
#add 600 allow tcp from any to any 4899
#add 700 allow tcp from 4899 to any
#DNS
add 650 allow udp from any to any 53
add 660 allow udp from 53 to any
#Разрешаем коннект сервака ко всем
add 800 allow all from 8*.*.*.*/24.8*.*.*.*/24 to any setup keep-state
#Разрешаем коннект всем к серваку
add 900 allow all from 8*.*.*.*/24 to 8*.*.*.*/24.8*.*.*.*/24 setup keep-state
#Внутренняя сеть
#Разрешен коннект сервака ко всем
add 1000 allow all from 192.168.2.0/24.192.168.2.1/24 to any setup keep-state
#Разрешенно коннект всех к серваку
add 1100 allow all from 192.168.2.0/24 to 192.168.2.0/24.192.168.2.1/24 setup keep-state
#Разрешенны уже установленные соединения
add 1400 allow tcp from any to any established
#
#Завершающие правило
add 65000 allow ip from any to any
add 65535 deny ip from any to any
NAT
firewall_enable="YES"
firewall_type="/usr/local/etc/firewall.conf"
natd_enable="YES"
natd_interface="xl0"
natd_flags="-redirect_port tcp 192.168.2.2:3389 5567"