forum.lissyara.su

Код: Выделить всё

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet

# And finally deny all other access to this proxy
http_access deny all

Код: Выделить всё

http_access allow localnet

Код: Выделить всё

allow tcp from 192.168.100.0/24 to any 25
allow tcp from 192.168.100.0/24 to any 110
allow tcp from 192.168.100.0/24 to any 995
allow tcp from 192.168.100.0/24 to any 465

Код: Выделить всё

# -- sysinstall generated deltas -- # Tue Jul  5 22:05:08 2011
# Created: Tue Jul  5 22:05:08 2011
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
hostname="freebsd"
ifconfig_le0="DHCP"
ifconfig_le1="inet 192.168.1.100 netmask 255.255.255.0"

keymap="ru.koi8-r"
moused_enable="YES"
moused_type="auto"
apache22_enable="YES"
#squid_enable="YES"
mysql_enable="YES"

font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
scrnmap="koi8-r2cp866"

hald_ebable="YES"
dbus_ebable="YES"
sams_enable="YES"

firewall_enable="YES"
firewall_script="/etc/rc.firewall"
gateway_enable="YES"
natd_enable="YES"
natd_interface="le0"

Код: Выделить всё

#!/bin/sh

FwCMD=/sbin/ipfw # собственно где лежит бинарник ipfw
LanOut=le0            # внешний интерфейс
LanIn=le1            # внутренний интерфейс
IpOut=192.168.0.113 # внешний IP адрес машины
IpIn=192.168.1.100   # внутренний IP машины
NetMask=24            # маска сети

NetIn=192.168.1.0    # Внутренняя сеть

# Сбрасываем все правила:
${FwCMD} -f flush

# Проверяем - соответствует ли пакет динамическим правилам:
${FwCMD} add check-state

# Разрешаем весь траффик по внутреннему интерфейсу (петле)
${FwCMD} add allow ip from any to any via lo0

# Вводим запреты:.
# рубим частные сeти
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
#${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}

# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
# рубим фрагментированные icmp
${FwCMD} add deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

# а тут собственно файрволл и начался:

# отправляем всех на frox
#${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
# отправляем всех на squid
#${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}


# пропускаем траффик через трансляцию сетевых адресов (NAT)
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

# рубим траффик к частным сетям через внешний интерфейс
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
#${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}


# разрешаем все установленные соединения (если они установились - 
# значит по каким-то правилам они проходили.)
${FwCMD} add allow tcp from any to any established
# разрешаем весь исходящий траффик (серверу-то в инет можно? :))
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}

# разрешаем DNS снаружи (нам же надо узнавать IP по именам машин?)
${FwCMD} add allow udp from any 53 to any via ${LanOut}

# разрешаем UDP (для синхронизации времени - 123 порт)
${FwCMD} add allow udp from any to any 123 via ${LanOut}
# разрешаем ftp снаружи (оба правила - для пасивного режима)
# для узнавания портранджа по которому будет работать, лезем в 
#/usr/home/lissyara/>sysctl net.inet.ip.portrange.first
# net.inet.ip.portrange.first: 49152
# /usr/home/lissyara/>sysctl net.inet.ip.portrange.last
# net.inet.ip.portrange.last: 65535
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
#Можно изгалиться примерно так, если есть желание, но я предпочитаю руками
${FwCMD} add allow tcp from any to ${IpOut} \
#`sysctl net.inet.ip.portrange.first | awk '{print $2}'`-\
#`sysctl net.inet.ip.portrange.last | awk '{print $2}'` via ${LanOut}
#${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
# разрешаем некоторые типы ICMP траффика - эхо-запрос, 
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
# открываем снаружи 80 порт - если у нас есть WWW сервер на машине
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
# открываем снаружи 25 порт (SMTP) если на машине крутится почта
${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
# открываем снаружи 22 порт - если надо будет ходить на машину по ssh
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
# открываем снаружи 143 порт(если надо смотреть почту снаружи по IMAP)
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
# открываем снаружи 110 порт(если надо смотреть почту снаружи по POP)
${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
#шифрованные порты почты
${FwCMD} add allow tcp from any to ${IpOut} 995 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 465 via ${LanOut}

# по поводу следующих трёх правил, для tcp, udp и icmp - их можно
# заменить одним правилом:
${FwCMD} add allow ip from any to any via ${LanIn}

# запрещаем всё и всем.
#${FwCMD} add deny ip from any to any

Код: Выделить всё

freebsd# ps -ax | grep natd
  849  ??  Is     0:00,00 /sbin/natd -dynamic -n le0

Код: Выделить всё

# -- sysinstall generated deltas -- # Tue Jul  5 22:05:08 2011
# Created: Tue Jul  5 22:05:08 2011
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
hostname="freebsd"
ifconfig_le0="DHCP"
ifconfig_le1="inet 192.168.1.100 netmask 255.255.255.0"

keymap="ru.koi8-r"
moused_enable="YES

firewall_enable="YES"
firewall_type="open"
gateway_enable="YES"
natd_enable="YES"
natd_interface="le0"

apache22_enable="YES"
#squid_enable="YES"
mysql_enable="YES"

font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
scrnmap="koi8-r2cp866"

hald_ebable="YES"
dbus_ebable="YES"
sams_enable="YES"

Код: Выделить всё

freebsd# ipfw show
00100  250  226442 allow ip from any to any via lo0
00200    0       0 deny ip from any to 127.0.0.0/8
00300    0       0 deny ip from 127.0.0.0/8 to any
00400    0       0 deny ip from any to ::1
00500    0       0 deny ip from ::1 to any
00600    0       0 allow ipv6-icmp from :: to ff02::/16
00700    0       0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800    0       0 allow ipv6-icmp from fe80::/10 to ff02::/16
00900    0       0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000    0       0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000 2968 1666126 allow ip from any to any
[b]65535    0       0 deny ip from any to any[/b]