Зарегистрирован: 10.11.2008
Пользователь #: 73,094
Сообщения: 31Репутация: 5.9Репутация: 5.9Репутация: 5.9Репутация: 5.9Репутация: 5.9 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен
СообщениеДобавлено: Пт 17 Апр, 2009 21:32 Заголовок сообщения: Настройка WIPFW блокируется весь проходящий траффик Ответить с цитатой
Хотелось настроить фаерволл под винду на базе портированного из Фри WIPFW. Большинство настроек схожи с фри, поэтому написал в этот раздел.На компьютере установлены две сетевые карты, одна смотрит в интернет (eth0), другая во внутреннюю сеть(eth1). Нужно разрешить работу всем сервисам на этом компьютере, которые буду работать в интернет (открыть соотвествующие порты) все остальное запретить.
Открыть все порты из внутренней сети на этот компютер (eth1) и пропускать пакеты, которые будут предназначены для посылки в интернет.
При запуске фаервола все порты закрыты.
Написал такой файл правил, но, к сожалению, пакеты все отклоняются, что видно в логах.
В чем грабли не могу понять. Просьба посоветовать что можно сделать.
Мой файл конфига такой:
Код:
# First flush the firewall rules
-f flushadd check-state
#add count log ip from any to any via eth0# Interface rules
add pass all from any to any via lo0
add deny ip from any to 127.0.0.0/8
add deny ip from 127.0.0.0/8 to any
add pass all from any to any via eth1# Testing rules, to find ports used by services if we aren't sure. These rules allow ALL traffic to pass through the firewall, disabling any subsequent rules
#add 140 allow log logamount 500 tcp from any to any
#add 150 allow log logamount 500 udp from any to any# Allow all ports from me to any
add allow ip from me to any out via eth0# DHCP
#add pass udp from any 68 to any 67 via eth0
#add pass udp from any 67 to any 68 via eth0# DNS
add allow udp from any 1024-65535 to any 53 out via eth0
add allow udp from any 53 to any 1024-65535 in via eth0# FTP incoming traffic
add allow tcp from any to any 20,21 in via eth0# SSH incoming traffic
add allow tcp from any to any 22 in via eth0# SMTP incoming traffic
add allow tcp from any to any 25 in via eth0# POP3 incoming traffic
add allow tcp from any to any 110 in via eth0# HTTP incoming traffic
add allow tcp from any to any 80 in via eth0# HTTPS incoming traffic
add allow tcp from any to any 443 in via eth0
# Emule incoming traffic
add allow tcp from any to any 4661 in via eth0
add allow udp from any to any 4671 in via eth0# Skype-udp incoming traffic
add allow udp from any to any 63991 in via eth0# utorrent
add allow tcp from any to any 18909 in via eth0
add allow udp from any to any 18909 in via eth0# ICMP (ping) allow or deny
add allow icmp from any to any icmptypes 0,3,4,8,11 via eth1# VPN (1194)
add allow tcp from me 1024-65535 to any 1194 keep-state via eth1
add allow gre from me to any keep-state via eth1# Deny rules+write to log
add deny log tcp from any to any in via eth0# Disable traffic for all
add deny ip from any to any
Логи работы:
Код:
--- begin ---
0000000001 2009.04.17 00:02:55.265 ipfw: 2300 Deny TCP 217.199.212.101:80 192.168.1.11:3651 in via eth0
0000000002 2009.04.17 00:02:58.968 ipfw: 2300 Deny TCP 217.199.212.101:80 192.168.1.11:3651 in via eth0
--- end ---
--- begin ---
0000000001 2009.04.17 00:03:56.875 ipfw: 2300 Deny TCP 88.212.196.66:80 192.168.1.11:3655 in via eth0
0000000002 2009.04.17 00:03:56.890 ipfw: 2300 Deny TCP 94.100.178.214:80 192.168.1.11:3656 in via eth0
0000000003 2009.04.17 00:03:57.062 ipfw: 2300 Deny TCP 94.100.178.220:80 192.168.1.11:3658 in via eth0
0000000004 2009.04.17 00:03:57.125 ipfw: 2300 Deny TCP 74.125.39.138:80 192.168.1.11:3657 in via eth0
--- end ---
Заранее спасибо за помощь
еще скажите что это на freebsd работало, тут все правильно
0000000001 2009.04.17 00:02:55.265 ipfw: 2300 Deny TCP 217.199.212.101:80 192.168.1.11:3651 in via eth0
в вашем конфиге нигде нет правил разрешающих исходящий трафик на 80 порт, добавьте
add pass tcp from me to any 80
add pass tcp from any 80 to me
ну или для всех портов для протокола tcp
add allow tcp from me to any setup keep-state
ну и для dns udp откройте
add allow tcp from any to me established# Disable traffic for all
add deny ip from any to any