BSDPORTAL.RU
http://bsdportal.ru/

ipfw. что нибудь есчо...
http://bsdportal.ru/viewtopic.php?f=23&t=7443
Страница 1 из 1

Автор:  Hallelujah [ Пн 21 ноя, 2005 11:39 pm ]
Заголовок сообщения:  ipfw. что нибудь есчо...

Добрый день.

Есть две сети, внутреняя, внешняя, через внешную внутреняя попадает во внешнюю и интернет, ну вообщем все как всегда.


Есть следующие правила:
Код:
check-state
deny icmp from any to any in icmptype 5,9,13,14,15,16,17
unreach host ip from внутреняя сеть to any in recv rl0
allow ip from any to any via lo0
fwd 127.0.0.1,3128 tcp from внутреняя сеть to any 80,8080,8101
divert 8668 ip from any to any via rl0
allow ip from any to внутреняя сеть in recv rl0
allow tcp from any 80,8080,8101 to внешний адрес in recv rl0
divert 1234 ip from внутреняя сеть to any via ng0
divert 1234 ip from any to vpn-адрес via ng0
allow gre from vpn-сервер to me in recv ng0
allow gre from me to vpn-сервер out xmit ng0
allow ip from any to vpn-адрес in recv ng0
allow ip from any to внутреняя сеть in recv ng0
allow tcp from vpn-сервер 1723 to me in recv rl0
allow gre from me to vpn-сервер keep-state out xmit rl0
allow gre from vpn-сервер to me in recv rl0
allow udp from внешний адрес 68 to dhcp-сервер 67 keep-state out xmit rl0
allow icmp from any to any
allow tcp from any to me 20,21 in recv rl0
allow tcp from any to me 4096-6144 in recv rl0
allow udp from днс1 53 to me in recv rl0
allow udp from днс1 to me 53 in recv rl0
allow udp from днс2 to me in recv rl0
allow udp from днс2 to me 53 in recv rl0
allow tcp from any to me 113 in recv rl0
allow tcp from any to me 22 in recv rl0
allow tcp from me to any
allow udp from me to any
allow ip from any to any via rl1
deny ip from any to any


Хотелось бы сюда добавить еще и established соединения между сервером и внешней локальной сетью, но как не пробывал в различных вариантах - не получается - слетает NAT.

И вообще хотелось бы услышать от "гуру" что можно еще добавить для улучшения безопасности.

Заранее спасибо.

Автор:  btw [ Ср 23 ноя, 2005 1:05 pm ]
Заголовок сообщения: 

Про established не понятно. Если на то пошло, то параметром established в ipfw(1|2), обозначаються пакеты tcp с флагами RST и ACK. Нет конкретного вопроса, что не работает и что вы пытались сделать!

P.S. Никто подсказывать не будет, потому что каждый понимает, что у всех свои рецепты и если кто то лезет со своим, сразу начинаеться полемика, на тему, как правильно, а как нет! Задавайте конкретные вопросы - получайте конкретные ответы! ;)

Страница 1 из 1 Часовой пояс: UTC + 4 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/