https://www.opennet.me/openforum/vsluhforumID10/5468.html Здравствуйте. Давно не брал я в руки шашек, т.е. давненько не трогал настройки своего сервера FreeBSD. Встала задача закрыть любой доступ к имеющемуся серверу со всех сетей, кроме пары, принадлежащих моему предприятию. Сетевой интерфейс один. Сети две, разделённые аппаратным маршрутизатором. В своё время главк поставил свой маршрутизатор, разделяющий нашу сеть с сетью системы, откуда ещё выше происходит выход в Internet, забрали часть сервисов на себя. С тех пор в rc.conf прописаны строки:<br>[code]# FireWall<br>firewall_enable="YES"<br>firewall_script="/etc/rc.firewall" # Which script to run to set up the firewall<br>firewall_type="OPEN" # Firewall type (see /etc/rc.firewall)<br>firewall_quiet="NO" # Set to YES to suppress rule display<br>[/code]<br>Путь до файла правил естественно исправлю. Тип "OPEN" уберу. Пока добавляю правила на лету. Внёс следующие правила:<br>01000 allow ip from x.x.x.x/a to me<br>01100 allow ip from y.y.y.y/b to me<br>Но при задании правила <br>10000 deny ip from any to me<br>Заблокир https://www.opennet.me/openforum/vsluhforumID10/5468.html#4 Fri, 17 Aug 2018 04:48:24 GMT &gt; Я к тому, что разрешение на входящие есть, а исходящих нет, <br>&gt; как и keepstate...<br>&gt; вообще-то настройка файера это очень ответственная тема, так что подучите матчасть <br>&gt; сначала...<br><br>Не судите строго. Я же говорю, давно не брал в руки шашек... В итоге у меня получилась такая конфигурация:<br>[code]00100 allow ip from any to any via lo0<br>00200 deny ip from any to 127.0.0.0/8<br>00300 deny ip from 127.0.0.0/8 to any<br>01000 allow ip from x.x.x.x/a to me keep-state<br>01100 allow ip from y.y.y.y/b to me keep-state<br>05000 allow tcp from any to any established keep-state<br>05100 allow ip from me to z.z.z.z keep-state<br>10000 deny ip from any to me<br>65000 allow ip from any to any<br>65000 allow ip from any to any<br>65535 deny ip from any to any<br>[/code]<br>где z.z.z.z - адрес прокси-сервера. Не знаю почему, но выдаёт два правила 65000. Но не суть. Вроде всё работает, если судить по выводу ipfw show.<br><br> https://www.opennet.me/openforum/vsluhforumID10/5468.html#3 Thu, 16 Aug 2018 19:57:17 GMT &gt;&gt; А в обратную сторону пакеты должны ходить или как <br>&gt; Да. Осталось на сервере ещё несколько сервисов. Но главное, чтобы для того, <br>&gt; кому явно не разрешено, не было видно сервера вообще.<br><br> Я к тому, что разрешение на входящие есть, а исходящих нет, как и keepstate...<br> вообще-то настройка файера это очень ответственная тема, так что подучите матчасть сначала...<br><br> https://www.opennet.me/openforum/vsluhforumID10/5468.html#2 Thu, 16 Aug 2018 10:56:34 GMT &gt; А в обратную сторону пакеты должны ходить или как <br><br>Да. Осталось на сервере ещё несколько сервисов. Но главное, чтобы для того, кому явно не разрешено, не было видно сервера вообще.<br> https://www.opennet.me/openforum/vsluhforumID10/5468.html#1 Thu, 16 Aug 2018 10:35:34 GMT &gt; Путь до файла правил естественно исправлю. Тип "OPEN" уберу. Пока добавляю правила <br>&gt; на лету. Внёс следующие правила: <br>&gt; 01000 allow ip from x.x.x.x/a to me <br>&gt; 01100 allow ip from y.y.y.y/b to me <br>&gt; Но при задании правила <br>&gt; 10000 deny ip from any to me <br>&gt; Заблокировал доступ к серверу вообще. Пришлось с консоли снимать это правило. Что <br>&gt; я забыл, неправильно понял и сделал не так?<br><br> А в обратную сторону пакеты должны ходить или как<br><br>