URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 32060
[ Назад ]

Исходное сообщение
"Нужна помошь в настройке IPFW"
Отправлено Fallout , 10-Июл-03 08:29

Народ помогите!!!
Сталкнулся с тем что на серваке открыт FTP и HTTP сервисы и на них постоянно конектяться ненужные личности! А за серваком локалка и очень хочеться прикрыть FTP b Http снаружи но чтобы пользователи сети имели к этому доступ...
Внешний интерфейс rl1
Внутренний rl0

Очень нужны правильные правила для IPFW или чем можно прикрыть эти порты!!!
Заранее благодарен!

Содержание

Нужна помошь в настройке IPFW,mazza, 09:16 , 10-Июл-03
Нужна помошь в настройке IPFW,Lakon, 09:46 , 10-Июл-03
- Нужна помошь в настройке IPFW,mazza, 10:42 , 10-Июл-03
  - Нужна помошь в настройке IPFW,XuMuK, 10:50 , 10-Июл-03
  - Нужна помошь в настройке IPFW,Nikolaev D., 10:51 , 10-Июл-03
- Нужна помошь в настройке IPFW,planar, 12:36 , 10-Июл-03
Нужна помошь в настройке IPFW,denn, 13:04 , 10-Июл-03
Нужна помошь в настройке IPFW,DogEater, 13:53 , 10-Июл-03

Сообщения в этом обсуждении

"Нужна помошь в настройке IPFW"
Отправлено mazza , 10-Июл-03 09:16

>Народ помогите!!!
>
>Сталкнулся с тем что на серваке открыт FTP и HTTP сервисы и
>на них постоянно конектяться ненужные личности! А за серваком локалка и
>очень хочеться прикрыть FTP b Http снаружи но чтобы пользователи сети
>имели к этому доступ...
>Внешний интерфейс rl1
>Внутренний rl0
>
>
>Очень нужны правильные правила для IPFW или чем можно прикрыть эти порты!!!
>
>Заранее благодарен!
ipfw add tcp from any to {твой сервак } ftp via rl1

"Нужна помошь в настройке IPFW"
Отправлено Lakon , 10-Июл-03 09:46

>Народ помогите!!!
>
........

Точнее так:
Посмотри правила - #ipfw list
Потом
ipfw add (номер правила)deny tcp from any to {IP серв. внеш.} 20,21 via rl1
ipfw add (номер правила+10)deny tcp from any to {IP серв. внеш.} 80 via rl1
либо man ipfw там примеры тоже есть

"Нужна помошь в настройке IPFW"
Отправлено mazza , 10-Июл-03 10:42

>>Народ помогите!!!
>>
>........
>
> Точнее так:
>Посмотри правила - #ipfw list
>Потом
>ipfw add (номер правила)deny tcp from any to {IP серв. внеш.} 20,21
>via rl1
>ipfw add (номер правила+10)deny tcp from any to {IP серв. внеш.} 80
>via rl1
>
>либо man ipfw там примеры тоже есть
а почему в номере правила +10 ?
разве нельзя +1 ?

"Нужна помошь в настройке IPFW"
Отправлено XuMuK , 10-Июл-03 10:50

>а почему в номере правила +10 ?
>разве нельзя +1
может ты еще правила писать будешь.. тебе охота все снова переписывать ?

"Нужна помошь в настройке IPFW"
Отправлено Nikolaev D. , 10-Июл-03 10:51

>>Посмотри правила - #ipfw list
>>Потом
>>ipfw add (номер правила)deny tcp from any to {IP серв. внеш.} 20,21
>>via rl1
>>ipfw add (номер правила+10)deny tcp from any to {IP серв. внеш.} 80
>>via rl1
>>
>>либо man ipfw там примеры тоже есть
>а почему в номере правила +10 ?
>разве нельзя +1 ?

Можно все. Шаг в 10 (или в 100) делают, чтобы можно было добавить промежуточные правила.

"Нужна помошь в настройке IPFW"
Отправлено planar , 10-Июл-03 12:36

Так ты ИМХО всем доступ перекроешь. Скорее всего так
ipfw add deny tcp from not сеть:маска to IP-сервера ftp via r11
ipfw add deny tcp from not сеть:маска to IP-сервера http via r11

"Нужна помошь в настройке IPFW"
Отправлено denn , 10-Июл-03 13:04

походу, если в ядре фаирвол не open(IPFIREWALL_DEFAULT_TO_ACCEPT), писать ничего не надо, а только открыть доступ своим, он по умолчанию рубает все остальное(последние правило 65535 deny ip from any to any)
открой своим -
allow ip from твоя_сеть to any via rl0
+ писани пропуск ответов с других серверов(dns например).
нумерация произвольная(через один, два, сотню и т.д.), можна писать
группы под одним номером. соблюдай только порядок.
если хочешь, скину доку на mail
den

"Нужна помошь в настройке IPFW"
Отправлено DogEater , 10-Июл-03 13:53

А нельзя ли просто забиндить указанные сервисы на локальный интерфейс(ибо по умолчанию они слушают на всех доступных сетевых интерфейсах)?