BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 8 ] 
Автор Сообщение
 Заголовок сообщения: Ваше мнение. Правила ipfw.
СообщениеДобавлено: Ср 25 авг, 2004 9:21 am 
Что ни так в этих правилах:

# set these to your outside interface network and netmask and ip
oif="rl0"
omask="255.255.255.x"
oip="x.x.x.x"

# set these to your inside interface network and netmask and ip

iif="rl1"
inet="192.168.1.0"
imask="255.255.255.0"
iip="192.168.1.1"

${fwcmd} add pass all from any to any via lo0

${fwcmd} add deny ip from 192.168.0.0/16 to any via ${oif}
${fwcmd} add deny ip from 172.16.0.0/12 to any via ${oif}
${fwcmd} add deny ip from 10.0.0.0/8 to any via ${oif}

${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any

${fwcmd} add fwd 192.168.1.1,3128 tcp from ${inet}:${imask} to 0.0.0.0/0 80, 443, 20, 21, 5190

${fwcmd} add divert natd all from ${inet}:${imask} to any out via ${oif}
${fwcmd} add divert natd all from any to ${oip} in via ${oif}

${fwcmd} add pass all from any to any via ${iif}

${fwcmd} add deny icmp from any to any frag
${fwcmd} add pass icmp from any to any

${fwcmd} add pass tcp from any to any 25
${fwcmd} add pass tcp from any 25 to any
${fwcmd} add pass tcp from any to any 110
${fwcmd} add pass tcp from any 110 to any


${fwcmd} add pass tcp from ${oip}:&{omask} to any 80
${fwcmd} add pass tcp from any 80 to ${oip}:&{omask}

${fwcmd} add pass tcp from any to any 53
${fwcmd} add pass tcp from any 53 to any

${fwcmd} add deny all from any to any


Вернуться к началу
  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 07 сен, 2004 12:50 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 06 сен, 2004 6:14 pm
Сообщения: 11
${fwcmd} add pass tcp from any to any 53
${fwcmd} add pass tcp from any 53 to any

imho не tcp а udp


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 08 сен, 2004 8:03 am 
Не в сети

Зарегистрирован: Ср 08 сен, 2004 7:55 am
Сообщения: 7
Откуда: Новосибирск
Цитата:
imho не tcp а udp

Новые версии Bind работают по протоколу TCP, а UDP скорей всего нужно для совместимости с более ранними версиями. Плюс доступ к 1024 порту если настроен трансфер зоны с DNS-ника.

А перед последней строкой добавь правило

${fwcmd} add pass all from any to any


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 23 сен, 2004 4:23 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вс 11 июл, 2004 10:46 am
Сообщения: 104
Откуда: Оттуда
${fwcmd} add pass all from any to any
долго смеялся :)
если у тебя везде открытые файерволы,мне тебя искренне жаль


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 23 сен, 2004 8:33 pm 
А где ты видешь что я открыл фаервол ?
Я ведь сказал "перед последней".


Вернуться к началу
  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 23 сен, 2004 10:10 pm 
ага,две последних строки будут такие:
${fwcmd} add pass all from any to any
${fwcmd} add deny all from any to any
вот это и назвается открытым файерволом :)


Вернуться к началу
  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 28 сен, 2004 3:38 pm 
Не в сети

Зарегистрирован: Вт 28 сен, 2004 12:43 pm
Сообщения: 21
Откуда: г. Псков
имхо стоит детализировать правила
то есть к примеру точно указывать порты
поясню: чтобы работал доступ по хттп, достаточно разрешить только пакеты(если говорить о входящих) приходящие на порты >1024 с 80 порта, причем не просто пакеты, а пакеты ответные(флаг established не стоит забывать, это важно)
прежде чем открывать какой то конкретно сервис, стоит подумать каким образом он работает с точки зрения тсп, какие порты юзает и т.д. и тогда уже открывать ТОЛЬКО то что надо, абсолютный минимум

Удачи!


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс 17 окт, 2004 2:31 am 
Цитата:
Новые версии Bind работают по протоколу TCP, а UDP скорей всего нужно для совместимости с более ранними версиями. Плюс доступ к 1024 порту если настроен трансфер зоны с DNS-ника

Про новые не знаю, а вот 8.3 который во фре стоит работает так:
53 udp для запросов
53 tcp для зонных пересылок


Вернуться к началу
  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 8 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика