>> # Rdp permission
>> ipfw add permit tcp from 94.245.133.237 to me 3389
>> ipfw add permit tcp from 46.48.196.127 to me 3389
> ipfw add deny tcp from any to me 3389
>> где "зарыта" собака, что неправильно написал???
>> Зарнее благодарен. Глеб
> удачиipfw add deny tcp from any to me 3389
:((((( не помогает..
у меня не отрабатывает это правило...
в natd.conf прописана такая строка
redirect_port tcp 192.168.1.175:3389 3389
на выходе стоит ADSL 2+ D-link модем(IP 10.107.116.1), на нем поднят виртуальный сервер, поднят протокол TCP порт 3389, и server IP adress: 10.107.116.3
Возникает такое подозрение, что все эти пакеты идут мимо ipfw или правила установлены не в в том порядке...
ipfw show
00100 0 0 deny ip from me to table(1)
00200 0 0 deny ip from table(1) to me
00300 0 0 deny ip from any to any dst-port 137,138,139,445 via sk0
00400 59321 4870119 allow ip from any to any dst-port 137,138,139,445 via rl0
00500 258602 134986165 divert 8668 ip from any to any via sk0
00600 0 0 allow tcp from 94.245.133.237 to me dst-port 3389
00700 0 0 allow tcp from 46.48.196.127 to me dst-port 3389
00800 0 0 deny tcp from any to me dst-port 3389
00900 164 19852 allow ip from me to 127.0.0.0/8
01000 0 0 allow ip from 127.0.0.0/8 to me
01100 0 0 deny icmp from any to any frag
01200 1204 88434 allow icmp from any to any
01300 0 0 allow gre from any to any
01400 36 9066 allow tcp from any to any dst-port 68,873,666,670,1091
01500 37 6377 allow tcp from any 68,873,666,670,1091 to any
01600 4381 373198 allow udp from any to any dst-port 53,68,123,873,87,1091
01700 4396 1854375 allow udp from any 53,68,123,873,87,1091 to any
01800 7929 548332 allow tcp from any to me dst-port 22
01900 111529 66374853 allow tcp from 10.107.116.3 to any dst-port 20,21,22,23,2 5,80,110,443,666,670,1091
02000 604 128056 allow tcp from 192.168.1.66 to any dst-port 20,21,22,23,2 5,80,110,443,666,670,1091
02100 346 20039 allow tcp from 192.168.1.0/24 to 192.168.1.66 dst-port 20 ,21,22,80,137,138,139,445,670,666,1091
02200 0 0 allow udp from 192.168.1.0/24 to 192.168.1.66 dst-port 20 ,21,22,80,137,138,139,445,1091
02300 2127 144280 allow tcp from 192.168.1.0/24 to any dst-port 20,21,22,23 ,25,110,143,443,1091
02400 431366 218376290 allow ip from any to any dst-port 1025-65535
65535 3368 157568 deny ip from any to anyНужен совет...
Удачного дня и настроения!
>[оверквотинг удален]
>>> ipfw add permit tcp from 46.48.196.127 to me 3389
>> ipfw add deny tcp from any to me 3389
>>> где "зарыта" собака, что неправильно написал???
>>> Зарнее благодарен. Глеб
>> удачи
> ipfw add deny tcp from any to me 3389
> :((((( не помогает..
> у меня не отрабатывает это правило...
> в natd.conf прописана такая строка
> redirect_port tcp 192.168.1.175:3389 3389Ваш конфиг ужасен. Посмотрите на форуме тут, ПОЛНЫЙ конфиг ipfw при использовании ната обеспечивающий его нормальную работу, работу сервера и клиентов - состоит из 4-х строчек.
общий вид его таков:
10 аллов ип фром ани то ани виа л0
20 аллов ип фром ме то ани кееп-стэйт
30 диверт натд фром ани то ани виа внешнийинтерфейс
40 аллов ип фром ани то аниа в надт нужно поставить опцию "дени инкомингс"
при этом файрвол будет гарантированно закрыт от ЛЮБЫХ подключений извне.
в таком файрволе, чтобы открыть доступ снаружи на сервис шлюза - нужно
гдето в районе между 20 и 30 строкой вставить "25 аллов тцп фром адрес то адрес портсерсивса кеепстейт"если же сервис находится на сервере внутри сети - то такую строку добавлять не нужно, а просто прописывается в конфиге ната редирект куда нужно.
если есть необходиомость закрыть каке-то порты из внутренней сети - то правила вставляются до соответствующего правила аллов.