forum.opennet.ru - "прокоментируйте правила ipfw" (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"прокоментируйте правила ipfw"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"прокоментируйте правила ipfw"
Сообщение от AlexBSD on 03-Фев-03, 22:01 (MSK)
/sbin/ipfw add divert natd all from any to any via xl0 /sbin/ipfw add pass all from any to any via lo0 /sbin/ipfw add deny all from any to 127.0.0.0/8 /sbin/ipfw add deny ip from 127.0.0.0/8 to any /sbin/ipfw add pass tcp from any to 10.1.1.1 80 in via xl1 /sbin/ipfw add fwd 10.1.1.1,3128 tcp from any to any 80 in via xl1 /sbin/ipfw add deny tcp from any 135-139 to any in via xl1 /sbin/ipfw add deny tcp from any to any 135-139 out via xl1 /sbin/ipfw add pass tcp from any to any 1024-65535 out via xl1 /sbin/ipfw add pass tcp from any 1024-65535 to any in via xl1 /sbin/ipfw add pass udp from any to any 1024-65535 out via xl1 /sbin/ipfw add pass udp from any 1024-65535 to any in via xl1 /sbin/ipfw deny all from any to any xl0 - инет xl1 - lan если можно подкорректируйте правила...на усовершенствование... спасибо заранее
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: прокоментируйте правила ipfw, AlexBSD, 22:51 , 03-Фев-03, (1)
- RE: прокоментируйте правила ipfw, Anonymous, 06:38 , 04-Фев-03, (2)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: прокоментируйте правила ipfw"

Сообщение от AlexBSD on 03-Фев-03, 22:51 (MSK)

>/sbin/ipfw add divert natd all from any to any via xl0
>/sbin/ipfw add pass all from any to any via lo0
>/sbin/ipfw add deny all from any to 127.0.0.0/8
>/sbin/ipfw add deny ip from 127.0.0.0/8 to any
>/sbin/ipfw add pass tcp from any to 10.1.1.1 80 in via xl1
>
>/sbin/ipfw add fwd 10.1.1.1,3128 tcp from any to any 80 in via
>xl1
>/sbin/ipfw add deny tcp from any 135-139 to any in via xl1
>
>/sbin/ipfw add deny tcp from any to any 135-139 out via xl1
>
>/sbin/ipfw add pass tcp from any to any 1024-65535 out via xl1
>
>/sbin/ipfw add pass tcp from any 1024-65535 to any in via xl1
>
>/sbin/ipfw add pass udp from any to any 1024-65535 out via xl1
>
>/sbin/ipfw add pass udp from any 1024-65535 to any in via xl1
>
>/sbin/ipfw deny all from any to any
>xl0 - инет
>xl1 - lan
>если можно подкорректируйте правила...на усовершенствование...
>спасибо заранее
вот заменил ещё...
дмверт поставил перед правилом /sbin/ipfw deny all from any to any , чтобы девертилось только то что разрешено...
и добавил:
/sbin/ipfw add pass icmp from any to 192.168.0.2 in via xl0 icmptype 0,3,4,11,12
/sbin/ipfw add pass icmp from 192.168.0.2 to any out via xl0 icmptype 3,8,12
/sbin/ipfw add pass icmp from 192.168.0.2 to any out via xl0 frag
/sbin/ipfw add deny log icmp from any to any in via xl0
xl0 - 192.168.0.2
xl1 - 10.1.1.1

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: прокоментируйте правила ipfw"

Сообщение от Anonymous on 04-Фев-03, 06:38 (MSK)

/sbin/ipfw add divert natd all from any to any via xl0
/sbin/ipfw add pass all from any to any via lo0
/sbin/ipfw add deny all from any to 127.0.0.0/8
/sbin/ipfw add deny ip from 127.0.0.0/8 to any
/sbin/ipfw add pass tcp from any to 10.1.1.1 80 in via xl1
Если есть такое надо бы и в обратую сторону
/sbin/ipfw add fwd 10.1.1.1,3128 tcp from any to any 80 in via xl1
/sbin/ipfw add deny tcp from any 135-139 to any in via xl1
/sbin/ipfw add deny tcp from any to any 135-139 out via xl1
Эти два правила излишни так как политика по-умолчанию закрыть все.
Хотя и не мешают.
/sbin/ipfw add pass tcp from any to any 1024-65535 out via xl1
/sbin/ipfw add pass tcp from any 1024-65535 to any in via xl1
/sbin/ipfw add pass udp from any to any 1024-65535 out via xl1
/sbin/ipfw add pass udp from any 1024-65535 to any in via xl1
/sbin/ipfw add pass icmp from any to 192.168.0.2 in via xl0 icmptype 0,3,4,11,12
/sbin/ipfw add pass icmp from 192.168.0.2 to any out via xl0 icmptype 3,8,12
/sbin/ipfw add pass icmp from 192.168.0.2 to any out via xl0 frag
/sbin/ipfw add deny log icmp from any to any in via xl0
Для внтуренних хостов конечно можно ограничить, но лучше уделить внимание внешнему интерфейсу.
/sbin/ipfw deny all from any to any

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: прокоментируйте правила ipfw"
Сообщение от AlexBSD on 03-Фев-03, 22:51 (MSK)
>/sbin/ipfw add divert natd all from any to any via xl0 >/sbin/ipfw add pass all from any to any via lo0 >/sbin/ipfw add deny all from any to 127.0.0.0/8 >/sbin/ipfw add deny ip from 127.0.0.0/8 to any >/sbin/ipfw add pass tcp from any to 10.1.1.1 80 in via xl1 > >/sbin/ipfw add fwd 10.1.1.1,3128 tcp from any to any 80 in via >xl1 >/sbin/ipfw add deny tcp from any 135-139 to any in via xl1 > >/sbin/ipfw add deny tcp from any to any 135-139 out via xl1 > >/sbin/ipfw add pass tcp from any to any 1024-65535 out via xl1 > >/sbin/ipfw add pass tcp from any 1024-65535 to any in via xl1 > >/sbin/ipfw add pass udp from any to any 1024-65535 out via xl1 > >/sbin/ipfw add pass udp from any 1024-65535 to any in via xl1 > >/sbin/ipfw deny all from any to any >xl0 - инет >xl1 - lan >если можно подкорректируйте правила...на усовершенствование... >спасибо заранее вот заменил ещё... дмверт поставил перед правилом /sbin/ipfw deny all from any to any , чтобы девертилось только то что разрешено... и добавил: /sbin/ipfw add pass icmp from any to 192.168.0.2 in via xl0 icmptype 0,3,4,11,12 /sbin/ipfw add pass icmp from 192.168.0.2 to any out via xl0 icmptype 3,8,12 /sbin/ipfw add pass icmp from 192.168.0.2 to any out via xl0 frag /sbin/ipfw add deny log icmp from any to any in via xl0 xl0 - 192.168.0.2 xl1 - 10.1.1.1
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: прокоментируйте правила ipfw"
	Сообщение от Anonymous on 04-Фев-03, 06:38 (MSK)
	/sbin/ipfw add divert natd all from any to any via xl0 /sbin/ipfw add pass all from any to any via lo0 /sbin/ipfw add deny all from any to 127.0.0.0/8 /sbin/ipfw add deny ip from 127.0.0.0/8 to any /sbin/ipfw add pass tcp from any to 10.1.1.1 80 in via xl1 Если есть такое надо бы и в обратую сторону /sbin/ipfw add fwd 10.1.1.1,3128 tcp from any to any 80 in via xl1 /sbin/ipfw add deny tcp from any 135-139 to any in via xl1 /sbin/ipfw add deny tcp from any to any 135-139 out via xl1 Эти два правила излишни так как политика по-умолчанию закрыть все. Хотя и не мешают. /sbin/ipfw add pass tcp from any to any 1024-65535 out via xl1 /sbin/ipfw add pass tcp from any 1024-65535 to any in via xl1 /sbin/ipfw add pass udp from any to any 1024-65535 out via xl1 /sbin/ipfw add pass udp from any 1024-65535 to any in via xl1 /sbin/ipfw add pass icmp from any to 192.168.0.2 in via xl0 icmptype 0,3,4,11,12 /sbin/ipfw add pass icmp from 192.168.0.2 to any out via xl0 icmptype 3,8,12 /sbin/ipfw add pass icmp from 192.168.0.2 to any out via xl0 frag /sbin/ipfw add deny log icmp from any to any in via xl0 Для внтуренних хостов конечно можно ограничить, но лучше уделить внимание внешнему интерфейсу. /sbin/ipfw deny all from any to any
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх