BSDPORTAL.RU

Есть такая задача, полностью все закрыть порты и открыть только необходимые , интернет, почта, клиент банки. Подскажите пожалуйста как это сделать, с фряхой работаю первый раз, очень мало в ней смыслю. Есть шлюз с ipfw и squid. Именно на этой машинке нужно сделать сие.

man ipfw
Надо открыть нужные порты, а остальные закрыть, типа такого

А можно поподробнее плиз. Это пишется как я понимаю в rc.firewall? у меня там все закоментированно, подскажите под каким комментарий писать это правило. И еще, разве в начале закрыть , а потом только открывать порты? это имеет значение?

Вот тебе пару ссылок: PF и IPFW. Прочитай, потом пробуй.

_________________
Сила ночи, сила дня - одинаково фигня

подскажите пожалуйста, что я делаю не так. мне необходимо закрыть некоторые порты из вне на роутере freebsd 8.0 что бы на эти порты из инета никто не лез. в конфиг фаервола добавляю такю строчку
и не работает, порты не закрываются:( подскажите где руки кривые?:) спасибо.

в rc.conf фаервол обозначен так:

2 rewired
эээ, ошибка в формате правил и в понимании того, как оно работает
читаем документацию на ipfw сначала.

2 Dimonuch,
можно по существу? где конкретно? я могу привести весь код fw.conf если надо.
Исправил на все равно не закрываются порты.

разобрался,
Как мне объяснил знающий человек, в FreeBSD начиная с 7 что бы после ната все отрезалось надо было вписать в /etc/sysctl.conf

ну а как определяется, что порты открыты?
я с ipfw не знаком, так что синтаксис проверить не могу. Первый вариант был явно неверный, второй больше похож на правильный. Вопрос только в том, что имеют пакеты в качестве адреса назначения. Адрес машины или нет?

Проверить загрузились ли правила #ipfw list
Файл fw.conf должен быть исполняемым.

Помогите закрыть все порты и открыть только нужные, знающие! Вот у меня что написанно.

firewall_enable="YES"
firewall_script="/etc/rc.firewall.local"
firewall_type="open"

и rc.firewall.local
00050 divert 8668 ip from any to xx.xxx.xxx.x4 in recv vlan127
00050 divert 8669 ip from any to any in recv rl1
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
02000 fwd 87.241.215.53 ip from xx.xxx.xxx.x4 to any out xmit rl1
02010 fwd 80.64.160.249 ip from xx.xxx.xxx.xx0 to any out xmit vlan127
04010 divert 8668 ip from 192.168.0.0/16 to any out xmit vlan127
04050 divert 8669 ip from 192.168.0.0/16 to any out xmit rl1
04150 fwd 192.168.10.1,3129 ip from 192.168.10.0/24 to any dst-port 80
04250 fwd 192.168.10.1,3129 ip from 192.168.0.0/24 to any dst-port 80
04350 allow tcp from 192.168.10.0/24 to xx.xxx.xxx.x4 dst-port 22
04450 allow udp from 192.168.10.0/24 to xx.xxx.xxx.x4 dst-port 22
04550 deny tcp from any to xx.xxx.xxx.x4 dst-port 22
04650 deny udp from any to xx.xxx.xxx.x4 dst-port 22
04750 deny tcp from any to xx.xxx.xxx.xx0dst-port 22
04850 deny udp from any to xx.xxx.xxx.xx0 dst-port 22
65000 allow ip from any to any
65535 deny ip from any to any


Нужно закрыть все порты и очередно открывать , те которые нужны для работы.

нужно закрыть порт извне для mysql , почитав об этом сделал два варианта правил





как бы те и те блокируют, что предпочтительнее выбрать?

или же вместо протокола tcp указать all





подскажите пжл что выбрать, вроде как все блокируют