forum.lissyara.su

Код: Выделить всё

${FwCMD} add 9500 deny log all from any to any in via $LIF

Код: Выделить всё

${FwCMD} add 4000 allow tcp from any to me dst-port 443
${FwCMD} add 4010 allow tcp from any to me dst-port 80

Код: Выделить всё

/sbin/ipfw -q -f flush #sbros pravil
FwCMD="/sbin/ipfw -q"  #oboznachenie comand
LIF="rl0"              #localni interfeis
LIP="`ifconfig $LIF|awk '/inet /{print \$2}'`" #local IP
LAN="$LIP/24"          #local setka
WIF="sis0"             #vneshni interfeis
WIP="`ifconfig $WIF|awk '/inet /{print \$2}'`" #vneshni IP
WAN="$WIP/24"          #vneshni setka

#########PRAVILA#########

${FwCMD} add 1100 allow ip from any to any via lo0

${FwCMD} add 1200 deny ip from any to 127.0.0.0/8 #zapret vsego iz 127.0.0.0/8
${FwCMD} add 1250 deny ip from 127.0.0.0/8 to any #zapret 127.0.0.0/8 dly vsego

${FwCMD} add 1255 allow ip from me to me #razreshit IP compa

############################
${FwCMD} add 1260 deny ip from $LAN to any in via $WIF #zapret v inet
${FwCMD} add 1265 deny ip from $WAN to any in via $LIF #zapret

${FwCMD} add 1270 deny ip from any to 172.16.0.0/12 in via $WIF #zapret v WIF
${FwCMD} add 1275 deny ip from any to 0.0.0.0/8 in via $WIF     #zapret v WIF
${FwCMD} add 1280 deny ip from any to 169.254.0.0/16 in via $WIF #zapret v WIF
${FwCMD} add 1285 deny ip from any to 244.0.0.0/4 in via $WIF   #zapret v WIF
${FwCMD} add 1290 deny ip from any to 240.0.0.0/4 in via $WIF   #zapret v WIF

${FwCMD} add 1295 deny ip from 172.16.0.0/12 to any out via $WIF #zapret
${FwCMD} add 1300 deny ip from 0.0.0.0/8 to any out via $WIF     #zapret
${FwCMD} add 1305 deny ip from 169.254.0.0/16 to any out via $WIF #zapret
${FwCMD} add 1310 deny ip from 244.0.0.0/4 to any out via $WIF   #zapret
${FwCMD} add 1315 deny ip from 240.0.0.0/4 to any out via $WIF   #zapret

##################################

${FwCMD} add 3000 allow ip from any to $LAN in via $LIF #hozdenie paketov po local
${FwCMD} add 3005 allow ip from $LAN to any out via $LIF #hozdenie paketov po local


${FwCMD} add 3055 allow tcp from any to $WIP in via $WIF

############################
${FwCMD} add 3455 allow tcp from 192.168.10.0/24 to 37.48.115.46 in via $LIF # 37.48.115.46 server aeroadmin

${FwCMD} add 9500 deny log all from any to any in via $LIF


${FwCMD} nat 1 config log if $WIF same_ports
${FwCMD} add 10000 nat 1 all from any to any

${FwCMD} add 65530 allow all from any to any

Код: Выделить всё

${FwCMD} add 3455 allow tcp from 192.168.10.0/24 to 37.48.115.46 443 in via $LIF # 37.48.115.46 server aeroadmin

Код: Выделить всё

ipfw -a list

Код: Выделить всё

1. Клиент, который намеревается установить соединение, посылает серверу сегмент с номером последовательности и флагом SYN.

        Сервер получает сегмент, запоминает номер последовательности и пытается создать сокет (буферы и управляющие структуры памяти) для обслуживания нового клиента.
            В случае успеха сервер посылает клиенту сегмент с номером последовательности и флагами SYN и ACK, и переходит в состояние SYN-RECEIVED.
            В случае неудачи сервер посылает клиенту сегмент с флагом RST.

2. Если клиент получает сегмент с флагом SYN, то он запоминает номер последовательности и посылает сегмент с флагом ACK.

        Если он одновременно получает и флаг ACK (что обычно и происходит), то он переходит в состояние ESTABLISHED.
        Если клиент получает сегмент с флагом RST, то он прекращает попытки соединиться.
        Если клиент не получает ответа в течение 10 секунд, то он повторяет процесс соединения заново.

3. Если сервер в состоянии SYN-RECEIVED получает сегмент с флагом ACK, то он переходит в состояние ESTABLISHED.

        В противном случае после тайм-аута он закрывает сокет и переходит в состояние CLOSED.

Код: Выделить всё

${FwCMD} add 3450 allow tcp from $LAN to 37.48.115.46 443 in via $LIF #разрешаем клиенту отправить сегмент
${FwCMD} add 3455 allow tcp from 37.48.115.46 443 to $LAN via $LIF    #разрешаем клиенту принять от сервера сегмент

${FwCMD} add 3460 deny log all from any to any in via $LIF            #запрещаем всё