IPFW минимум правил
Добавлено: 2006-05-06 8:00:58
Собран тестовый srv для шлюза организации FBSD5.4, обновленны порты, перестроенна система, перекомпилино ядро с опциями для работы файера, по дефолту deny any to any
соответственно не могу ставить из портов сквиды итд (хочу всё поставить для начала а потом настраивать). Нужно минимум правил которые бы позволяли серверу смотреть в инет, чтобы только в локалку был открыт 22 порт на мой ип к примеру 192.168.1.100/24,
Далее столкнулся с проблемами:
1. Настраивал /etc/rc.firewall перезапускал машину, ipfw его не читает, прописал путь в rc.conf к нему, перегружаем такая же байда, ipfw -list кажет только дени на всё и всё,
запускаю ручками его sh rc.firewall, ipfw -list вижу свои правила, там есть файл rc.firewall6 его тоже менял не хочит он при загрузки автоматом их видеть, где грабли?
2. делал как у Лисяры в доках, поймал грабли в этом месте
пишу в правиле переменную IpIn а он вроде её видет но как будто игнорирует
оказалсь нужно при описании переменной добавить маску, т.е. IpIn="192.168.20.254/24"
незнаю как у вас, но у меня без маски не работает, так же и для всей сети NetIn="192.168.20.0/24"
и ещё одного не пойму для чего писать два правила к примеру для доступа локального траффика 2 раза? т.е для out и in, достаточно опустить в одном правиле out к примеру и будет одним правилом и out и in
дальше ещё не понимаю, для чего мне чтобы открыть порт в локаль нужно ещё и траффик разрешать весь? пишу я только одно к примеру прваило 22 порт на меня а остальное и нафиг не нужно, не хочу я весь трафик пропускать на локалку, только определённые порты, вроде всё просто с одной стороны, но с другой сплошные грабли.
Подскажите где и что!
соответственно не могу ставить из портов сквиды итд (хочу всё поставить для начала а потом настраивать). Нужно минимум правил которые бы позволяли серверу смотреть в инет, чтобы только в локалку был открыт 22 порт на мой ип к примеру 192.168.1.100/24,
Далее столкнулся с проблемами:
1. Настраивал /etc/rc.firewall перезапускал машину, ipfw его не читает, прописал путь в rc.conf к нему, перегружаем такая же байда, ipfw -list кажет только дени на всё и всё,
запускаю ручками его sh rc.firewall, ipfw -list вижу свои правила, там есть файл rc.firewall6 его тоже менял не хочит он при загрузки автоматом их видеть, где грабли?
2. делал как у Лисяры в доках, поймал грабли в этом месте
Код: Выделить всё
FwCMD="/sbin/ipfw" # собственно где лежит бинарник ipfw
LanOut="xl0" # внешний интерфейс
LanIn="sis0" # внутренний интерфейс
IpOut="222.222.222.222" # внешний IP адрес машины
IpIn="192.168.20.254" # внутренний IP машины
NetMask="24" # маска сети (если она разная для внешней
# и внутренней сети - придётся вводить ещё
# одну переменную, но самое забавное, что
# можно и забить - оставить 24 - всё будет
# работать, по крайней мере я пробовал -
# работаало на 4-х машинах, в разных сетях,
# с разными масками - настоящими разными! но -
# это неправильно.)
NetIn="192.168.20.0" # Внутренняя сеть
пишу в правиле переменную IpIn а он вроде её видет но как будто игнорирует
оказалсь нужно при описании переменной добавить маску, т.е. IpIn="192.168.20.254/24"
незнаю как у вас, но у меня без маски не работает, так же и для всей сети NetIn="192.168.20.0/24"
и ещё одного не пойму для чего писать два правила к примеру для доступа локального траффика 2 раза? т.е для out и in, достаточно опустить в одном правиле out к примеру и будет одним правилом и out и in
дальше ещё не понимаю, для чего мне чтобы открыть порт в локаль нужно ещё и траффик разрешать весь? пишу я только одно к примеру прваило 22 порт на меня а остальное и нафиг не нужно, не хочу я весь трафик пропускать на локалку, только определённые порты, вроде всё просто с одной стороны, но с другой сплошные грабли.
Подскажите где и что!