форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"ipfw правильно ли Я составил правила?"

Сообщение от weldpua2008 (ok) on 28-Окт-06, 01:02

Привет ВСЕМ (У Мну FreeBSD 6.X) Я все никак не могу настроить Его... Я не пойму когда нужно пользоваться: keep-state, established, setup,tcpflags Есть мост на 6.0 с (option BRIDGE в ядре) - фильтрирующий... К Нему подлючено 2-е Сети: Чужая и Моя(несколько подсетей) Почему так? просто все соеденино через Wi-Fi Надо что бы Мои Сети видели друг-друга Сети,а вот в Чужая не могла получать, принимать кое-что... Чужая Сеть подключена к $alien_card Мои сетки подключены к $my_card1,$my_card2 В соседской сети используют широковещательный чат, который рассылает по адрессу 255.255.255.255 данные - как с этим бороться? #!/bin/sh ipf=/sbin/ipfw alien_card=rl0 #карта к Сеседям my_card1=rl1 #карта к Моей Сети my_card2=rl2 #карта к моей Сети router=10.11.25.253 #это и Есть мой бридж #ssh $ipf add 89 allow all from any to $router 22 $ipf add 90 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 $ipf add 91 allow udp from  0.0.0.0 2054 to 0.0.0.0 $ipf add 92 allow all from any to any via lo0 #Во первых надо зарубить Netbios из другой Сети $ipf add 93 deny all from any to any 136-139 via $alien_card #Надо закрыть DHCP в Ту Сеть и от туда $ipf add 94 deny all from any to any 67-68 via $alien_card #надо закрыть еще пару портов из той сетки/туда -или только от туда? #И можно ли так писать порты? #или лутше отдельно $ipf add 95 deny all from any to any 445,8167,7777,7551,7550 via $alien_card #Надо разрешить ходить только определённым ИП-кам через мои сетевые на роутере $ipf add 96 allow all from 10.11.25.0/24 to any via $my_card1 $ipf add 97 allow all from 10.11.26.0/24 to any via $my_card1 $ipf add 98 allow all from 10.11.25.0/24 to any via $my_card2 $ipf add 99 allow all from 10.11.26.0/24 to any via $my_card2 #разрешить DHCP через для моих сеток $ipf add 100 allow all from any to any 67-68 via $my_card1 $ipf add 101 allow all from any to any 67-68 via $my_card2 #разрешить DC++ $ipf add 102 allow all from any to any 411 #разрешить 53 $ipf add 103 allow all from any to any 53 $ipf add 103 allow all from any to any 25 $ipf add 103 allow all from any to any 110 #для хорошего конекта к роутеру $ipf add 104 deny tcp from any to $router in tcpflags syn,fin,!ack, $ipf add 105 deny tcp from any to $router in tcpflags syn,fin,urg,psh,!ack $ipf add 106 deny tcp from any to $router in tcpflags fin,urg,psh,!ack #закрыть порты для внутреней сети $ipf add 107 deny all from any to any 8167,7777,7550,7551 via $my_card1 #Для того что бы ip не могли поменять на "соседские" #правила за номером 96-99 разрешает определёные ИП по идеи через НИХ $ipf add 200 deny ip from any to any via $my_card1 $ipf add 201 deny ip from any to any via $my_card2 #Что бы остальное отрубить? #да - значит не надо 200+201? $ipf add 500 deny all from any to any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "ipfw правильно ли Я составил правила?"

Сообщение от weldpua2008 (ok) on 28-Окт-06, 01:26

Забыл добавить: $ipf add 88 allow all from any to any 1-1024 Или же последующие правила не отбросят? Если отбросят - тогда можно было не писать allow а только deny Или Я не прав?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "ipfw правильно ли Я составил правила?"
	Сообщение от Hammer (ok) on 29-Окт-06, 11:35
	>Забыл добавить: >$ipf add 88 allow all from any to any 1-1024 > >Или же последующие правила не отбросят? >Если отбросят - тогда можно было не писать allow а только deny > >Или Я не прав? В правилах где вместо протокалп присутствует all резаться по портам не будет. Короче $ipf add 88 allow all from any to any 1-1024  -- неверно $ipf add 88 allow tcp from any to any 1-1024   -- верно $ipf add 89 allow udp from any to any 1-1024   -- верно
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "ipfw правильно ли Я составил правила?"
	Сообщение от weldpua2008 (ok) on 01-Ноя-06, 22:23
	>В правилах где вместо протокалп присутствует all резаться по портам не будет. > >Короче >$ipf add 88 allow all from any to any 1-1024  -- >неверно > >$ipf add 88 allow tcp from any to any 1-1024   >-- верно >$ipf add 89 allow udp from any to any 1-1024   >-- верно deny для портов:123,136-139,445,7777,7551,7550,8167,67-68,22, Что писать? udp и tcp? allow для : 67-68,22,25,110,21 Что писать? udp и tcp? Этоих транспортных протоколов достаточно? Транспортный уровень OSI:    TCP, UDP, NetBEUI, AEP, ATP, IL, NBP, RTMP, SMB, SPX, SCTP, DCCP, RTP, STP, TFTP отрубить везде: TraffInspector, широковещательный чат - и вообще желательно отрубить бродкасты - Они в даун вводят точки В общем есть желание отрубить все и оставить: локальная почта,ДС++ (порт 411),ДНС,DHCP,VPN(PPTP),icq,http/https,ftp отрубить на опрелённой карточке: DHCP
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "ipfw правильно ли Я составил правила?"
	Сообщение от weldpua2008 (ok) on 04-Ноя-06, 00:52
	так Я прав? Везде тупо мои all - одно правило поменять на 2-а udp/tcp?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "ipfw правильно ли Я составил правила?"
	Сообщение от weldpua2008 (ok) on 17-Ноя-06, 23:41
	>так Я прав? >Везде тупо мои all - одно правило поменять на 2-а udp/tcp? Странно с этим all работает н минут потом не работает а поменять все на udp/tcp сейчас не могу Еще вопрос Что это такое? # рубаем мультикастовые рассылки ${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut} # рубаем мультикастовые рассылки ${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]