У меня стоит FREEBSD какие порты лучше в сего закрыть, и как это написать в фаерволе, как должна выглядить сторока?
>У меня стоит FREEBSD какие порты лучше в сего закрытьТе, которые не нужны.
netstat -na
less /etc/services>и как это написать в фаерволе, как должна выглядить сторока?
почитать что-нибудь...
>>У меня стоит FREEBSD какие порты лучше в сего закрыть
>
>Те, которые не нужны.
>netstat -na
>less /etc/services
>
>>и как это написать в фаерволе, как должна выглядить сторока?
>
>почитать что-нибудь...
А как строку написать в фаерволе
Лучше всего сначала закрыть ВСЁ ваще, а уж потом, если что нужно , открыть его и очень осторожно. :)
>Лучше всего сначала закрыть ВСЁ ваще, а уж потом, если что нужно
>, открыть его и очень осторожно. :)
А как это написать в фаерволе
Я могу дать тебе настройки для Linux. Но у тебя ж вря, наскока я понял так что с этим не помогоу. Ты ваще пробовал в инете доки искать? Их куча.
>Я могу дать тебе настройки для Linux. Но у тебя ж вря,
>наскока я понял так что с этим не помогоу. Ты ваще
>пробовал в инете доки искать? Их куча.
Дай для линукса я посмотрю
$IPATABLES=/sbin/iptables
__________________________________
вот так вот рубится весь траффик:
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROPа вот так вот, например, можно разрешить бегать пакетам внутри подсетей 10.200.0.0/255.255.0.0:
$IPTABLES -A tcp_packets -p TCP -s 10.200.0.0/255.255.0.0 -d 10.200.0.0/255.255.0.0 -j ACCEPT (tcp_packets:у меня такая цепочка создаётся в скрипте файрволла )а вот так вот можно разрешить юзерам пересылку пакетов на ukr.net к примеру, для того чтобы забирать почту почтовым клиентом. Можно канешно было указать ещё конкретно порты и эти более сильно ограничить связи с сервером ukr.net но это не суть важно:
$IPTABLES -A FORWARD -d 212.42.65.69 -j allowed, где allowed у меня специальная цепочка в которой есть свои проверки.
p.s. Мораль сей басни такова: читай доки :).
p.p.s. Если тебе нужен NAT, не забудь про него у себя в правилах файрволла :)Вообщем пишешь все свои правила в скрипте, и запускаешь его при старте системы, предварительно не помешает обнулить все настройки. Удобно для тестирования и перезапуска файрволла.
вообще не то, дайте кто нибудь для фришки
вообще не то, дайте кто нибудь для фришки
>вообще не то, дайте кто нибудь для фришкиты только не обижайся. во фре man ipfw есть маленькие примеры. они помогут тебе разобраться и настроить firewall заточенные именно для себя.
я необижаюсь просто у меня расхождение с трафиком провайдера в 30% идет мне надо все закрыть, и открыть только те прты которые надо для инета, вот я и мучаюсь
Так никто вразумительного и не сказал
>Так никто вразумительного и не сказал
это зависит от того как у тебя ядро откомпилированно
а вообще:
Ipfw add deny all from any to any
>я необижаюсь просто у меня расхождение с трафиком провайдера в 30% идет
>мне надо все закрыть, и открыть только те прты которые надо
>для инета, вот я и мучаюсьа сам то чем траффик считаешь? и на основании чего провайдер тебе объем траффика выставляет?
UTM считает, у него тоже, раньше никаких расхождений небыло, а щас какието черви лазиют, исходящий больше чем входящий.
>UTM считает, у него тоже, раньше никаких расхождений небыло, а щас какието
>черви лазиют, исходящий больше чем входящий.
Хех. Лучшее лекарство от головы - топор.
1) Антивирусная защита "на уровне" %-)
2) хоть бы показал то свои правила..телепатировать сложно
3) оставь разрешенными на выход только соединения с минимумом служб (например только 25,53,80, 110, 143, 443)...потом netstat посмотри по внутреннему интерфейсу - кто у тебя наружу просится...ну и соотв принимай меры
А каким правилом все закрыть
Вот мой
# Interfaces.
if_local='vr1'
if_extern='vr0'
if_inet='tun0'
# Networks.
iif="vr1"
oip="10.11.81.108" сетка на входе
iip="192.168.2.1" моя сетка
iin="192.168.2.0/24"
extern_net='10.11.81.0/24'
extern_ip='10.11.81.108/24'
local_net='192.168.2.0/24'
local_ip='192.168.2.1/24'
inet_ip='217.X.X.X/32' внешний IP после VPN
# Commands.
natcmd='/sbin/natd'
ipfwcmd='/sbin/ipfw'
${ipfwcmd} -q -f flush
#### Start NAT ####
${natcmd} -interface ${if_extern} -port 8668
${natcmd} -interface ${if_inet} -port 8669
${ipfwcmd} add 1 deny tcp from any to any 135,137,138,139 via ${if_inet}
${ipfwcmd} add 2 deny tcp from any 135,137,138,139 to any via ${if_inet}
${ipfwcmd} add 3 deny tcp from any to any 135,137,138,139 via ${if_extern}
${ipfwcmd} add 4 deny tcp from any 135,137,138,139 to any via ${if_extern}
${ipfwcmd} add 5 deny tcp from any to any 135,137,138,139 via ${if_local}
${ipfwcmd} add 6 deny tcp from any 135,137,138,139 to any via ${if_local}
${ipfwcmd} add 7 deny udp from any to any 135,137,138,139 via ${if_inet}
${ipfwcmd} add 8 deny udp from any 135,137,138,139 to any via ${if_inet}
${ipfwcmd} add 9 deny udp from any to any 135,137,138,139 via ${if_extern}
${ipfwcmd} add 10 deny udp from any 135,137,138,139 to any via ${if_extern}
${ipfwcmd} add 11 deny udp from any to any 135,137,138,139 via ${if_local}
${ipfwcmd} add 12 deny udp from any 135,137,138,139 to any via ${if_local}
## Firewall ###
${ipfwcmd} add 19 divert 20000 ip from any to any
${ipfwcmd} add 20 divert 8668 all from any to any via ${if_extern}
${ipfwcmd} add 30 divert 8669 all from any to any via tun0
${ipfwcmd} add 40 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfwcmd} add 70 pass all from any to any via lo0
${ipfwcmd} add 80 pass all from any to any via ${if_inet}
${ipfwcmd} add 90 pass all from any to any via ${if_extern}${ipfwcmd} add 01003 allow ip from any to 172.16.0.4
${ipfwcmd} add 01003 allow ip from 172.16.0.4 to any
${ipfwcmd} -q add 1195 pass all from 192.168.2.0/24 to 192.168.2.1 via ${if_loca
${ipfwcmd} -q add 1195 pass all from 192.168.2.1 to 192.168.2.0/24 via ${if_loca
${ipfwcmd} -q add 2000 deny all from 192.168.2.0/24 to any via ${if_local}
${ipfwcmd} -q add 2000 deny all from any to 192.168.2.0/24 via ${if_local}
${ipfwcmd} -q add 2001 deny all from 192.168.2.0/24 to any via vr0
${ipfwcmd} -q add 2001 deny all from any to 192.168.2.0/24 via vr0
${ipfwcmd} -q add 2002 deny all from 192.168.2.0/24 to any via tun0
${ipfwcmd} -q add 2002 deny all from any to 192.168.2.0/24 via tun0
${ipfwcmd} -q add 2003 deny all from 172.16.0.0/24 to any via ${if_local}
${ipfwcmd} -q add 2003 deny all from any to 172.16.0.0/24 via ${if_local}
${ipfwcmd} -q add 2004 deny all from 172.16.0.0/24 to any via vr0
${ipfwcmd} -q add 2004 deny all from any to 172.16.0.0/24 via vr0
${ipfwcmd} -q add 2005 deny all from 172.16.0.0/24 to any via tun0
${ipfwcmd} -q add 2005 deny all from any to 172.16.0.0/24 via tun0
${ipfwcmd} -q add 22050 pass ip from ${inet_ip} to any out xmit ${if_inet}
# Stop local networks for outside
${ipfwcmd} -q add 1900 deny ip from ${extern_net} to any in via ${if_inet}
${ipfwcmd} -q add 1910 deny ip from ${local_net} to any in via ${if_inet}
${ipfwcmd} -q add 1920 deny ip from 127.0.0.0/8 to any in via ${if_inet}
## Allow mail,http,https,ssh,ftp
# internet
# extern net
${ipfwcmd} -q add 22150 pass tcp from any to any 23,22,21 via ${if_extern}
${ipfwcmd} -q add 22160 pass tcp from any 23,22,21 to any via ${if_extern}
# local net
${ipfwcmd} -q add 22170 pass tcp from any to any 23,25,110,80,443,22,21 via ${if_Local
${ipfwcmd} -q add 22180 pass tcp from any 23,25,110,80,443,22,21 to any via ${if_local
## Allow dns
# internet
${ipfwcmd} -q add 22190 pass udp from any to any 53 via ${if_inet}
${ipfwcmd} -q add 22200 pass udp from any 53 to any via ${if_inet}
# local net
${ipfwcmd} -q add 22210 pass udp from any to any 53 via ${if_local}
${ipfwcmd} -q add 22220 pass udp from any 53 to any via ${if_local}
## Icmp
# localhost
${ipfwcmd} -q add 22230 pass all from any to any via lo0
${ipfwcmd} add 65535 deny all from any to any
>А каким правилом все закрыть
>
>
>Вот мой
># Interfaces.
>if_local='vr1'
>if_extern='vr0'
>if_inet='tun0'
>
># Networks.
>
>iif="vr1"
>oip="10.11.81.108" сетка на входе
>iip="192.168.2.1" моя сетка
>iin="192.168.2.0/24"
>extern_net='10.11.81.0/24'
>extern_ip='10.11.81.108/24'
>
>local_net='192.168.2.0/24'
>local_ip='192.168.2.1/24'
>
>inet_ip='217.X.X.X/32' внешний IP после VPN
>
># Commands.
>natcmd='/sbin/natd'
>ipfwcmd='/sbin/ipfw'
>
>${ipfwcmd} -q -f flush
>#### Start NAT ####
>${natcmd} -interface ${if_extern} -port 8668
>${natcmd} -interface ${if_inet} -port 8669
>
>
>${ipfwcmd} add 1 deny tcp from any to any 135,137,138,139 via
>${if_inet}
>${ipfwcmd} add 2 deny tcp from any 135,137,138,139 to any via
>${if_inet}
>${ipfwcmd} add 3 deny tcp from any to any 135,137,138,139 via
>${if_extern}
>${ipfwcmd} add 4 deny tcp from any 135,137,138,139 to any via
>${if_extern}
>${ipfwcmd} add 5 deny tcp from any to any 135,137,138,139 via
>${if_local}
>${ipfwcmd} add 6 deny tcp from any 135,137,138,139 to any via
>${if_local}
>
>
>${ipfwcmd} add 7 deny udp from any to any 135,137,138,139 via
>${if_inet}
>${ipfwcmd} add 8 deny udp from any 135,137,138,139 to any via
>${if_inet}
>${ipfwcmd} add 9 deny udp from any to any 135,137,138,139 via
>${if_extern}
>${ipfwcmd} add 10 deny udp from any 135,137,138,139 to any via
>${if_extern}
>${ipfwcmd} add 11 deny udp from any to any 135,137,138,139 via
>${if_local}
>${ipfwcmd} add 12 deny udp from any 135,137,138,139 to any via
>${if_local}
>## Firewall ###
>${ipfwcmd} add 19 divert 20000 ip from any to any
>${ipfwcmd} add 20 divert 8668 all from any to any via
>${if_extern}
>${ipfwcmd} add 30 divert 8669 all from any to any via
>tun0
>
>${ipfwcmd} add 40 deny icmp from any to any in icmptype
>5,9,13,14,15,16,17
>${ipfwcmd} add 70 pass all from any to any via lo0
Чтобы не перепахивать весь конфиг,вот тут добавить
${ipfwcmd} add 71 deny all from any to anyчто полностью отрубит траффик со всех интерфейсов, кроме интерфейса обратной петли