forum.lissyara.su

Добавлено: **2007-06-11 7:52:24**

Ну могу понять вот эти правила:

${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}

Вроде как
1. запрет на локалку из вне.
2. запрет из локалки наружу.
Но почемуто с этими правилами у меня даже сервак не ходит в инет

Вот все правила как я задал:

Код: Выделить всё

        FwCMD="/sbin/ipfw"
        LanOut="ed0"
        LanIn="rl0"
        IpOut="192.168.1.2"
        IpIn="192.168.0.100"

        ${FwCMD} add allow ip from any to any via lo0
        ${FwCMD} add deny ip from any to 127.0.0.0/8
        ${FwCMD} add deny ip from 127.0.0.0/8 to any
        ${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
        ${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
        #${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
        ${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
        ${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
        ${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
        ${FwCMD} add deny icmp from any to any frag
        ${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
        ${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
        ${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
        ${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
        #${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
        ${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
        ${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
        ${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
        ${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
        ${FwCMD} add allow tcp from any to any established
        ${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
        ${FwCMD} add allow udp from any 53 to any via ${LanOut}
        ${FwCMD} add allow udp from any to any 123 via ${LanOut}
        ${FwCMD} add allow icmp from any to any icmptypes 0,8,11
        #${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
        ${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
        #${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
        ${FwCMD} add allow tcp from any to ${IpOut} 30001 via ${LanOut}
        #${FwCMD} add allow ip from any to any via ${LanIn}
        #${FwCMD} add allow gre from any to any via ${LanIn}
        ${FwCMD} add allow tcp from any to any via ${LanIn}
        ${FwCMD} add allow udp from any to any via ${LanIn}
        ${FwCMD} add allow icmp from any to any via ${LanIn}
        ${FwCMD} add deny log ip from any to any
        ;;

Нужно: на серваке стоит squid, frox, pop3gwd (для входящей почты) и rinetd (перенаправляет всю исходящую почту на почтовый сервак провайдера). Из вне мне надо только ssh и 30001 порт. Все остальное закрыть.

Добавлено: **2007-06-11 8:31:07**

а сервак ИП какой имеет? не с той же подсети. которую запрещаешь?

Добавлено: **2007-06-11 9:07:18**

Все очень просто.
Судя по контексту - эти правила взял из стандартного набора правил фаера. Там же перед этими правилами русским языком по английски написано

про блокировку серых сетей для интернета. Тебе надо просто сузить диапазон. сли ты хочешь

1. запрет на локалку из вне.
2. запрет из локалки наружу.

то правила должны приобрести такой вид

Код: Выделить всё

${FwCMD} add deny ip from any to 192.168.0.0/24 in via ${LanOut} 
${FwCMD} add deny ip from 192.168.0.0/24 to any out via ${LanOut}

поскольку в том виде, в каком ты их написал - сетевая маска включает и айпи твоего внешнего интрефейса.

Добавлено: **2007-06-11 9:47:55**

Кстати, все правила имеют говорящие названия (и не тольк в ipfw, но и в ipfilter, и в pf, и в iptables) попробуй читать их, очень помогает разобраться.

Добавлено: **2007-06-13 8:43:49**

alex3 писал(а):
Код: Выделить всё
${FwCMD} add deny ip from any to 192.168.0.0/24 in via ${LanOut} 
${FwCMD} add deny ip from 192.168.0.0/24 to any out via ${LanOut}
поскольку в том виде, в каком ты их написал - сетевая маска включает и айпи твоего внешнего интрефейса.

Спасибо. Попробую. Просто я в этом деле полный ноль. И даже не знаю что значат эти /16 или /24

Добавлено: **2007-06-13 9:29:17**

Anonymous писал(а):Спасибо. Попробую. Просто я в этом деле полный ноль. И даже не знаю что значат эти /16 или /24

Это так называемая, бесклассовая адресация сети. Подробнее о ней можно прочитать на сайте m0n0wall, либо на сайте подготовки к сертификации по BSD системам.

forum.lissyara.su

Помогите с файерволом

Помогите с файерволом