URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4940
[ Назад ]

Исходное сообщение
"Закрыть порт на внешнем сетевом интерфейсе"
Отправлено Жекан , 21-Сен-11 12:09

Есть сервер ОС FreeBSD 8.2 на нём шлюз squid nat  c пересобраным ядром добавлены опции в ядро
options IPFIREWALL_VERBOSE # логгинг пакетов, если в правиле написано log
options IPFIREWALL_VERBOSE_LIMIT=100 # ограничение логов (повторяющихся)
options IPFIREWALL_DEFAULT_TO_ACCEPT # дефолтное правило - разрешающее
options IPDIVERT # необходимо для NAT
options IPFIREWALL_FORWARD # перенаправление пакетов
options DUMMYNET # ограничение скорости

установлен squid на 80 порту
SSH на внешнем интерфейсе закрыл
ядро пересобрано установлено
сканим порты на внешнем интерфейсе xl0 10.2.4.7
nmap-sT -O 10.2.4.7
80/tcp  open  http
открыт 80 порт
надо закрыть
добавляем правило в ipfw
ipfw -q add deny tcp from any to any 80 in via xl1
deny tcp from any to any dst-port 80 in via xl1
поверяем ipfw list
поверяем правило добавилось
Но при сканировании потов на внешнем интерфейсе  он всеравно открыт 80/tcp  open  http
Где ошибка не пойму подскажите

Содержание

Закрыть порт на внешнем сетевом интерфейсе,Aquarius, 12:59 , 21-Сен-11
- Закрыть порт на внешнем сетевом интерфейсе,Жекан, 14:40 , 21-Сен-11
  - Закрыть порт на внешнем сетевом интерфейсе,Aquarius, 21:29 , 24-Сен-11
Закрыть порт на внешнем сетевом интерфейсе,Evgen, 15:28 , 21-Сен-11
- Закрыть порт на внешнем сетевом интерфейсе,bga83, 17:00 , 12-Окт-11

Сообщения в этом обсуждении

"Закрыть порт на внешнем сетевом интерфейсе"
Отправлено Aquarius , 21-Сен-11 12:59

>[оверквотинг удален]
> надо закрыть
> добавляем правило в ipfw
>  ipfw -q add deny tcp from any to any 80 in
> via xl1
> deny tcp from any to any dst-port 80 in via xl1
> поверяем ipfw list
> поверяем правило добавилось
> Но при сканировании потов на внешнем интерфейсе  он всеравно открыт 80/tcp
>  open  http
> Где ошибка не пойму подскажите
параметр http_port в squid.conf

"Закрыть порт на внешнем сетевом интерфейсе"
Отправлено Жекан , 21-Сен-11 14:40

>[оверквотинг удален]
>> добавляем правило в ipfw
>>  ipfw -q add deny tcp from any to any 80 in
>> via xl1
>> deny tcp from any to any dst-port 80 in via xl1
>> поверяем ipfw list
>> поверяем правило добавилось
>> Но при сканировании потов на внешнем интерфейсе  он всеравно открыт 80/tcp
>>  open  http
>> Где ошибка не пойму подскажите
> параметр http_port в squid.conf
да там стоит 80 порт
он открыт на обоих интерфейсах внутреннем и внешнем
а надо чтобы только на внутреннем работал 80 порт
собсно я прбую ет сделать ipfw  но НЕРАБОТАЕТ
ПОрт всеравно ОТКРЫТ
подскажите что сделать чтобы закрыть порт ipfw

"Закрыть порт на внешнем сетевом интерфейсе"
Отправлено Aquarius , 24-Сен-11 21:29

>[оверквотинг удален]
>>> Но при сканировании потов на внешнем интерфейсе  он всеравно открыт 80/tcp
>>>  open  http
>>> Где ошибка не пойму подскажите
>> параметр http_port в squid.conf
> да там стоит 80 порт
> он открыт на обоих интерфейсах внутреннем и внешнем
> а надо чтобы только на внутреннем работал 80 порт
> собсно я прбую ет сделать ipfw  но НЕРАБОТАЕТ
> ПОрт всеравно ОТКРЫТ
> подскажите что сделать чтобы закрыть порт ipfw
прочитайте внимательно описание параметра

"Закрыть порт на внешнем сетевом интерфейсе"
Отправлено Evgen , 21-Сен-11 15:28

> сканим порты на внешнем интерфейсе xl0 10.2.4.7
> deny tcp from any to any dst-port 80 in via xl1
Чето или я не понял или ты интерфейсы попутал

"Закрыть порт на внешнем сетевом интерфейсе"
Отправлено bga83 , 12-Окт-11 17:00

Сканирование откуда проводишь? точно снаружи?
просто если проводить его из локалки, то пакет не попадет на внешний интерфейс. Он пройдет внутренний интерфейс, а потом на интерфейс обратной петли