BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 2 ] 
Автор Сообщение
 Заголовок сообщения: ipfw. что нибудь есчо...
СообщениеДобавлено: Пн 21 ноя, 2005 11:39 pm 
Не в сети

Зарегистрирован: Пн 21 ноя, 2005 11:08 pm
Сообщения: 3
Добрый день.

Есть две сети, внутреняя, внешняя, через внешную внутреняя попадает во внешнюю и интернет, ну вообщем все как всегда.


Есть следующие правила:
Код:
check-state
deny icmp from any to any in icmptype 5,9,13,14,15,16,17
unreach host ip from внутреняя сеть to any in recv rl0
allow ip from any to any via lo0
fwd 127.0.0.1,3128 tcp from внутреняя сеть to any 80,8080,8101
divert 8668 ip from any to any via rl0
allow ip from any to внутреняя сеть in recv rl0
allow tcp from any 80,8080,8101 to внешний адрес in recv rl0
divert 1234 ip from внутреняя сеть to any via ng0
divert 1234 ip from any to vpn-адрес via ng0
allow gre from vpn-сервер to me in recv ng0
allow gre from me to vpn-сервер out xmit ng0
allow ip from any to vpn-адрес in recv ng0
allow ip from any to внутреняя сеть in recv ng0
allow tcp from vpn-сервер 1723 to me in recv rl0
allow gre from me to vpn-сервер keep-state out xmit rl0
allow gre from vpn-сервер to me in recv rl0
allow udp from внешний адрес 68 to dhcp-сервер 67 keep-state out xmit rl0
allow icmp from any to any
allow tcp from any to me 20,21 in recv rl0
allow tcp from any to me 4096-6144 in recv rl0
allow udp from днс1 53 to me in recv rl0
allow udp from днс1 to me 53 in recv rl0
allow udp from днс2 to me in recv rl0
allow udp from днс2 to me 53 in recv rl0
allow tcp from any to me 113 in recv rl0
allow tcp from any to me 22 in recv rl0
allow tcp from me to any
allow udp from me to any
allow ip from any to any via rl1
deny ip from any to any


Хотелось бы сюда добавить еще и established соединения между сервером и внешней локальной сетью, но как не пробывал в различных вариантах - не получается - слетает NAT.

И вообще хотелось бы услышать от "гуру" что можно еще добавить для улучшения безопасности.

Заранее спасибо.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 23 ноя, 2005 1:05 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 01 ноя, 2004 12:17 am
Сообщения: 1189
Откуда: Tallinn
Про established не понятно. Если на то пошло, то параметром established в ipfw(1|2), обозначаються пакеты tcp с флагами RST и ACK. Нет конкретного вопроса, что не работает и что вы пытались сделать!

P.S. Никто подсказывать не будет, потому что каждый понимает, что у всех свои рецепты и если кто то лезет со своим, сразу начинаеться полемика, на тему, как правильно, а как нет! Задавайте конкретные вопросы - получайте конкретные ответы! ;)


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 2 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика