forum.lissyara.su

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=50
options         IPFIREWALL_NAT
options         LIBALIAS
options         ROUTETABLES=2
options         DUMMYNET
options         HZ="1000"

Код: Выделить всё

gateway_enable="YES"
keymap="ru.koi8-r"
linux_enable="YES"
moused_enable="YES"
sshd_enable="YES"
firewall_enable="YES"
firewall_script="/etc/ipfw.conf"
#rinetd_enable="YES" №пока закоменчена... потом подниму.
ifconfig_nfe0="DHCP"
ifconfig_ste0="inet 192.168.1.199 netmask 255.255.255.0"
dhcpd_enable="YES"
dhcpd_flags="-q" # отключаем вывод копирайта и прочего при старте dhcpd
dhcpd_ifaces="ste0" # сетевой интерфейс на котором будет работать dhcpd

Код: Выделить всё

#!/bin/sh
 fwcmd="/sbin/ipfw"
 ${fwcmd} -f flush
 ${fwcmd} -f pipe flush
 ${fwcmd} -f queue flush

 ${fwcmd} add 1040 allow ip from any to any via ste0

 ${fwcmd} add 1020 allow tcp from any to any ssh
 ${fwcmd} add 1030 allow tcp from any ssh to any
 ${fwcmd} add 1050 deny ip from any to 192.168.0.0/16 in recv alc0
 ${fwcmd} add 1060 deny ip from 192.168.0.0/16 to any in recv alc0
 ${fwcmd} add 1070 deny ip from any to 172.16.0.0/12 in recv alc0
 ${fwcmd} add 1080 deny ip from 172.16.0.0/12 to any in recv alc0
 ${fwcmd} add 1090 deny ip from any to 10.0.0.0/8 in recv alc0
 ${fwcmd} add 10100 deny ip from 10.0.0.0/8 to any in recv alc0
 ${fwcmd} add 10110 deny ip from any to 169.254.0.0/16 in recv alc0
 ${fwcmd} add 10120 deny ip from 169.254.0.0/16 to any in recv alc0
 ${fwcmd} pipe 1 config bw 10Mbit/s queue 60 gred 0.002/10/30/0.1 
 ${fwcmd} queue 1 config pipe 1 mask src-ip 0xffffffff queue 60 gred 0.002/10/30/0.1
 ${fwcmd} pipe 2 config bw 3Mbit/s queue 60 gred 0.002/10/30/0.1
 ${fwcmd} queue 2 config pipe 2 mask dst-ip 0xffffffff queue 60 gred 0.002/10/30/0.1
 ${fwcmd} add 10130 skipto 10160 ip from 192.168.1.221 to any
 ${fwcmd} add 10140 skipto 10160 ip from any to 192.168.1.221
 ${fwcmd} add 10131 skipto 10160 ip from 192.168.1.222 to any
 ${fwcmd} add 10141 skipto 10160 ip from any to 192.168.1.222
 ${fwcmd} add 10150 queue 1 ip from any to any out xmit alc0
 ${fwcmd} add 10160 nat 1 ip from any to any via alc0
 ${fwcmd} add 10161 allow ip from 192.168.1.221 to any
 ${fwcmd} add 10162 allow ip from any to 192.168.1.221
 ${fwcmd} add 10163 allow ip from 192.168.1.222 to any
 ${fwcmd} add 10164 allow ip from any to 192.168.1.222
 ${fwcmd} add 10170 queue 2 ip from any to any in recv alc0
 ${fwcmd} add 10180 allow all from any to any
 ${fwcmd} add 10230 allow all from any to any
 ${fwcmd} add 65534 deny all from any to any

Код: Выделить всё

net.inet.ip.fw.one_pass=0

Код: Выделить всё

#!/bin/sh
# начнем-с
fwcmd="/sbin/ipfw"

# самоопределимся
ExtIF="alc0"
ExtIP=`ifconfig $ExtIF | grep inet | awk '{print $2}'`

IntIF="ste0"
IntIP=`ifconfig $IntIF | grep inet | awk '{print $2}'`
IntMaskLen=24

IntLan=${IntIP}/${IntMaskLen}

VIP="{ 192.168.1.221 , 192.168.1.222 }

# очистимся
 ${fwcmd} -f flush
 ${fwcmd} -f pipe flush
 ${fwcmd} -f queue flush

# внутреннее сообщение + антиспуфинг
${fwcmd} add allow all from any to any via lo0
${fwcmd} add deny all from 127.0.0.0/8 to any
${fwcmd} add deny all from any to 127.0.0.0/8 

# всегда сохраняй контроль над собой
# и своим сервером
${fwcmd} add allow tcp from any to me ssh
${fwcmd} add allow tcp from me ssh to any

# бывший антиспуфинг наверное и блочил все без разбору 
# но поскольку сети называть вы постеснялись, выключим его
#${fwcmd} add 1050 deny ip from any to 192.168.0.0/16 in recv alc0
#${fwcmd} add 1060 deny ip from 192.168.0.0/16 to any in recv alc0
#${fwcmd} add 1070 deny ip from any to 172.16.0.0/12 in recv alc0
#${fwcmd} add 1080 deny ip from 172.16.0.0/12 to any in recv alc0
#${fwcmd} add 1090 deny ip from any to 10.0.0.0/8 in recv alc0
#${fwcmd} add 10100 deny ip from 10.0.0.0/8 to any in recv alc0

# Скажи НЕТ автонастроенной сети!
# и вообще, перестань разговаривать с сетями
${fwcmd} add 10110 deny ip from any to 169.254.0.0/16 in recv alc0
${fwcmd} add 10120 deny ip from 169.254.0.0/16 to any in recv alc0

# Здесь настраиваем медные трубы
# настройку огня и воды доверьте специалистам
${fwcmd} pipe 1 config bw 10Mbit/s queue 60 gred 0.002/10/30/0.1 
${fwcmd} queue 1 config pipe 1 mask src-ip 0xffffffff queue 60 gred 0.002/10/30/0.1
${fwcmd} pipe 2 config bw 3Mbit/s queue 60 gred 0.002/10/30/0.1
${fwcmd} queue 2 config pipe 2 mask dst-ip 0xffffffff queue 60 gred 0.002/10/30/0.1

# just for fun
# мы не будем использовать NAT
# не настроив его
${fwcmd} nat 1 config if ${ExtIF} reset same_ports deny_in

# Посторонись!
${fwcmd} add skipto 5000 ip from ${VIP} to any
${fwcmd} add skipto 5000 ip from any to ${VIP}

${fwcmd} add queue 1 ip from $IntLan  to any out recv $IntIF xmit $ExtIF

${fwcmd} add 5000 nat 1 ip from any to any via $ExtIF
${fwcmd} add allow ip from ${VIP} to any in
${fwcmd} add allow ip from any to ${VIP} out

${fwcmd} add queue 2 ip from any to $IntLan out recv $ExtIF xmit $IntIF

# локальная сеть + антиспуфинг на внутреннем интерфейсе
${fwcmd} add allow ip from $IntLan to any in via $IntIF
${fwcmd} add allow ip from any to $IntLan out via $IntIF

${fwcmd} add allow ip from any to me
${fwcmd} add allow ip from me to any 

Код: Выделить всё

Line 2: Bad command 'fwcmd="/sbin/ipfw"'

Код: Выделить всё

#!/bin/sh
# начнем-с
fwcmd="/sbin/ipfw"

# самоопределимся
ExtIF="alc0"
ExtIP=`ifconfig $ExtIF | grep inet | awk '{print $2}'`

IntIF="ste0"
IntIP=`ifconfig $IntIF | grep inet | awk '{print $2}'`
IntMaskLen=24

IntLan=${IntIP}/${IntMaskLen}

VIP="{ 192.168.1.221 , 192.168.1.222 }

# очистимся
${fwcmd} -f flush
${fwcmd} -f pipe flush
${fwcmd} -f queue flush

# внутреннее сообщение + антиспуфинг
${fwcmd} add allow all from any to any via lo0
${fwcmd} add deny all from 127.0.0.0/8 to any
${fwcmd} add deny all from any to 127.0.0.0/8 

# всегда сохраняй контроль над собой
# и своим сервером
${fwcmd} add allow tcp from any to me ssh
${fwcmd} add allow tcp from me ssh to any

# бывший антиспуфинг наверное и блочил все без разбору 
# но поскольку сети называть вы постеснялись, выключим его
#${fwcmd} add 1050 deny ip from any to 192.168.0.0/16 in recv alc0
#${fwcmd} add 1060 deny ip from 192.168.0.0/16 to any in recv alc0
#${fwcmd} add 1070 deny ip from any to 172.16.0.0/12 in recv alc0
#${fwcmd} add 1080 deny ip from 172.16.0.0/12 to any in recv alc0
#${fwcmd} add 1090 deny ip from any to 10.0.0.0/8 in recv alc0
#${fwcmd} add 10100 deny ip from 10.0.0.0/8 to any in recv alc0

# Скажи НЕТ автонастроенной сети!
# и вообще, перестань разговаривать с сетями
${fwcmd} add 10110 deny ip from any to 169.254.0.0/16 in recv alc0
${fwcmd} add 10120 deny ip from 169.254.0.0/16 to any in recv alc0

# Здесь настраиваем медные трубы
# настройку огня и воды доверьте специалистам
${fwcmd} pipe 1 config bw 10Mbit/s queue 60 gred 0.002/10/30/0.1 
${fwcmd} queue 1 config pipe 1 mask src-ip 0xffffffff queue 60 gred 0.002/10/30/0.1
${fwcmd} pipe 2 config bw 3Mbit/s queue 60 gred 0.002/10/30/0.1
${fwcmd} queue 2 config pipe 2 mask dst-ip 0xffffffff queue 60 gred 0.002/10/30/0.1

# just for fun
# мы не будем использовать NAT
# не настроив его
${fwcmd} nat 1 config if ${ExtIF} reset same_ports deny_in

# Посторонись!
${fwcmd} add skipto 5000 ip from ${VIP} to any
${fwcmd} add skipto 5000 ip from any to ${VIP}

${fwcmd} add queue 1 ip from $IntLan  to any out recv $IntIF xmit $ExtIF

${fwcmd} add 5000 nat 1 ip from any to any via $ExtIF
${fwcmd} add allow ip from ${VIP} to any in
${fwcmd} add allow ip from any to ${VIP} out

${fwcmd} add queue 2 ip from any to $IntLan out recv $ExtIF xmit $IntIF

# локальная сеть + антиспуфинг на внутреннем интерфейсе
${fwcmd} add allow ip from $IntLan to any in via $IntIF
${fwcmd} add allow ip from any to $IntLan out via $IntIF

${fwcmd} add allow ip from any to me
${fwcmd} add allow ip from me to any

Код: Выделить всё

ipfw show