forum.lissyara.su

Код: Выделить всё

block in on $int_if

Код: Выделить всё

int_if="nfe0"
serveraddr="192.168.1.2"
# нормализовать все пакеты
scrub in all
#scrub in no-df
# блокировать всё, что не разрешено
block in on $int_if
int_net="192.168.1.0/16"
table <nfs> const { 192.168.1.33, 192.168.1.25, $int_net }
pass quick on lo0 all
# разрешить входящий ICMP (ping)
pass in on $int_if inet proto icmp all icmp-type 8 code 0
# разрешить исходящие соединения
pass out on $int_if proto { tcp, udp, icmp } all keep state
# разрешить запросы к серверу SSH откуда угодно
pass in on $int_if proto tcp from any to $int_if port ssh
# разрешить запросы к серверу POP3 только из локальной сети
pass in on $int_if proto tcp from $int_net to $int_if port pop3
# разрешить запросы к серверу SMTP
pass in on $int_if proto tcp from any to $int_if port smtp
# разрешить запросы к серверу HTTP/HTTPS
pass in on $int_if proto tcp from any to $int_if port { http, https }
# разрешить запросы к серверу DNS
pass in on $int_if proto { tcp, udp } from any to $int_if port domain
# разрешить запросы к серверу NFS и RPCBIND
pass in on $int_if proto { tcp, udp } from <nfs> to port { nfsd, rpcbind } modulate state
# mountd_flags="-p 883" в /etc/rc.conf
pass in on $int_if proto { tcp, udp } from <nfs> to port 883 modulate state
# rpc_lockd_flags="-p 884" в /etc/rc.conf
pass in on $int_if proto { tcp, udp } from <nfs> to port 884 modulate state
# rpc_statd_flags="-p 885" в /etc/rc.conf
pass in on $int_if proto { tcp, udp } from <nfs> to port 885 modulate state