Нород всем доброго дня! Подскажите как мне закрыть все порты и открыть только определенные. Стоит файрвол и настроен свид. Требуется закрыть порты на исходящий и входящий трафик для юзеров. Помогите пожалста. Заранее спасибо

• Помогите с файрволом,mplane, 10:37 , 13-Янв-06
  • Помогите с файрволом,D.mon, 10:48 , 13-Янв-06
• Помогите с файрволом,newser, 10:56 , 13-Янв-06
• Помогите с файрволом,Nescio, 11:00 , 13-Янв-06
  • Помогите с файрволом,D.mon, 12:37 , 13-Янв-06

Глянь http://www.opennet.me/docs/RUS/iptables/....
Там в конце есть скрипт.... Ты его выдираешь и немножко правишь.... И получишь готовый в память iptables ы правилами по умолчанию DROP Я так сделал....

>Глянь http://www.opennet.me/docs/RUS/iptables/....
>Там в конце есть скрипт.... Ты его выдираешь и немножко правишь.... И
>получишь готовый в память iptables ы правилами по умолчанию DROP Я
>так сделал....

хорошо бы но пресобирать нада ....а сервак ребутить нельзя дело в том что у меня правила allow all any to any

я не знаю как правильно прописать что бы запретить все ....и как правильно прописать что бы открыть определенные порты

>Нород всем доброго дня! Подскажите как мне закрыть все порты и открыть
>только определенные. Стоит файрвол и настроен свид. Требуется закрыть порты на
>исходящий и входящий трафик для юзеров. Помогите пожалста. Заранее спасибо

Вам сюда: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firew...

То есть оставить доступ только себе?
Тогда сначала разрешаешь себе все что тебе надо, а потом запрещаешь все остальное.

Но лучше напиши более конкретно что тебя интересует. Может разделить пользователей на тех кому доступна только почта, а кому то еще и ICQ и прочее?
Может покажешь для начала свой конфиг файрвола?

>То есть оставить доступ только себе?
>Тогда сначала разрешаешь себе все что тебе надо, а потом запрещаешь все
>остальное.
>
>Но лучше напиши более конкретно что тебя интересует. Может разделить пользователей на
>тех кому доступна только почта, а кому то еще и ICQ
>и прочее?
>Может покажешь для начала свой конфиг файрвола?

    ###########################################################
    #                           vars                          #
    ###########################################################
    fwc="/sbin/ipfw"

    if1="fxp0"
    if2="fxp1"
    ip1="172.18.2.2"
    ip2="192.168.1.2"

    # users
        gw="192.168.1.1"
        mailgate="192.168.1.3"
        lotus="172.18.2.4"
        testgw="192.168.1.4"
        our_subnet="172.18.2.0/24"
        our_external_subnet="192.168.1.1/31"
        ibm="172.18.2.5"
        admin_denis="172.18.2.252"
        admin_kostya="172.18.2.1"
        admin_andrey="172.18.2.176"
        admin_grisha="172.18.2.148"
        admin_sasha="172.18.2.219"
        admin_denis_k="172.18.2.222"
        admin_ruslan="172.18.2.122"
        client_bank="172.18.2.118"
        for_rus="10.0.0.0"
    ###########################################################
    #                      exec. commands                     #
    ###########################################################
    ### flush all rules
    $fwc -f flush

    ### diveret for NAT ###
    #$fwc add 200 divert 8888 all from any to ${ip2} in via ${if2}

    ### divert all packets for ipacctd
        $fwc add 400 pass all from ${for_rus} to any via ${if1}
        $fwc add 450 pass all from any to ${for_rus} via ${if1}
        $fwc add 455 pass tcp from any to any established
        $fwc add 460 pass all from any to any frag
#       $fwc add 500 divert 10000 all from any to any in via ${if2}

    #######################  for LOCALHOST  ########################
        $fwc add 1000 allow ip from any to any  via lo0

    ######################## OUR MAILGATE ##########################
        $fwc add 1010 allow ip from ${admin_denis} to ${mailgate}
        $fwc add 1020 allow ip from ${mailgate} to ${admin_denis}
        $fwc add 1030 allow ip from ${admin_ruslan} to ${mailgate}
        $fwc add 1040 allow ip from ${mailgate} to ${admin_ruslan}
        $fwc add 1050 allow ip from ${lotus} to ${mailgate}
        $fwc add 1055 allow ip from ${mailgate} to ${lotus}
        $fwc add 1061 allow ip from ${mailgate} to me
        $fwc add 1062 allow ip from me to ${mailgate}
        $fwc add 1070 deny log ip from any to ${mailgate}
        $fwc add 1075 deny log ip from ${mailgate} to any

    ######################## OUR SERVICES ##########################

    # BLOCK ALL ICMP !!!
        $fwc add 1150 allow icmp from ${gw} to me
        $fwc add 1165 allow icmp from ${lotus} to me
        $fwc add 1170 allow icmp from ${admin_kostya} to me
        #$fwc add 1185 allow icmp from any to me
        $fwc add 1190 deny log icmp from any to me

    # ftp
        $fwc add 1515 allow tcp from ${admin_kostya} to me 21
        $fwc add 1520 allow tcp from ${ibm} to me 21
        $fwc add 1590 allow tcp from ${gw} to me 21
        $fwc add 1590 deny log tcp from any to me 21
    # ssh
        $fwc add 1720 allow tcp from ${admin_kostya} to me 22
        $fwc add 1730 allow tcp from ${gw} to me 22
        $fwc add 1735 allow tcp from ${admin_ruslan} to me 22
        $fwc add 1790 deny log tcp from any to me 22
    # bind
        $fwc add 2000 allow log ip from any to me 53
        $fwc add 2005 allow log ip from me to any 53
        $fwc add 2010 allow ip from any to me 123
        $fwc add 2020 allow ip from me to any 123
    # apache
        $fwc add 2105 allow tcp from $admin_denis to me 80
        $fwc add 2110 allow tcp from $admin_kostya to me 80
        $fwc add 2115 allow tcp from $admin_grisha to me 80
        $fwc add 2125 allow tcp from $admin_andrey to me 80
        $fwc add 2130 allow tcp from $admin_sasha to me 80
        $fwc add 2135 allow tcp from $admin_ruslan to me 80
        $fwc add 2140 allow tcp from $gw to me 80
        $fwc add 2150 deny log ip from any to me 80
    # samba
        #$fwc add 2200 allow tcp from $admin_kostya to me 139
        #$fwc add 2220 allow tcp from $admin_denis to me 139
        $fwc add 2260 allow tcp from ${testgw} to me 139
        $fwc add 2270 allow tcp from ${our_external_subnet} to me 139
        $fwc add 2280 allow tcp from ${our_subnet} to me 139
        $fwc add 2290 deny log tcp from any to me 139
    # squid
        $fwc add 2300 allow tcp from ${our_subnet} to me 3128
        $fwc add 2310 allow tcp from ${testgw} to me 3128
        $fwc add 2390 deny log tcp from any to me 3128
    # mysql
        $fwc add 2510 allow tcp from ${ip1} to me 5432
        $fwc add 2520 allow tcp from ${ip2} to me 5432
        $fwc add 2530 allow tcp from ${gw} to me 5432
        $fwc add 2590 deny log tcp from any to me 5432

        #$fwc add 2600 divert 8888 all from any to any out via ${if2}
    ##################### BLOCK WINDOWS NETWORK ####################
        $fwc add 3000 deny log ip from any to any 135-139,445 via ${if2}
    
    ########################### INTERNAL ###########################
    # ALLOW from any to INTERNAL
        #$fwc add 10000 allow ip from any to any via ${if1}

    ########################### EXTERNAL ###########################
    # ALLOW from any to any for EXTERNAL
        #$fwc add 20000 allow ip from any to any via ${if2}
        $fwc add 55000 allow ip from any to any

    ########################## END OF IPFW #########################
    #clear
    echo "Operation complit"

        ;;
*)
        if [ -r "${firewall_type}" ]; then
                ${fwcmd} ${firewall_flags} ${firewall_type}
        fi
        ;;
esac

вот конфиг

причем когда я добавляю какое нибуть правило то вырубается все инет аська кароче все вырубается.

Дело в том что Провайдер позвонил и сказал что у вас большой исходящий трафик соответвенно мне нада закрыть все порты  а открыть только самые известные аську почту шттп и прочее