The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"правила в ipfw"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"правила в ipfw"  
Сообщение от Svv on 23-Окт-08, 13:10 
rl0 локалка
rl1 внешка

ipfw show

00100    288    34304 allow ip from any to any via lo0
00200      0        0 deny ip from any to 127.0.0.0/8
00300      0        0 deny ip from 127.0.0.0/8 to any
00300    209    58891 divert 8668 ip from 192.168.0.0/24 to any out via rl1
00400   1910  1914103 divert 8668 ip from any to 1.1.1.1 in via rl1
65000 398021 32859733 allow ip from any to any
65535     27     2034 deny ip from any to any

нстроен nat, перечитал маны но так и не нашел:
1. Как запертить нат пользователям использовать опеределеный порт (диапазон)

В идеале как я понимаю правило для нат должно выглядеть так извначально все закрыто и лишь зачем я открываю необходимые порты.

в верном ли я направлении ? Например если мне нужно открыть только почту пользователям

ipfw add 500 deny ip from any to me  ## закрываю все
ipfw add 550 allow tcp 8668 from any to me ## разрешаю Nat
ipfw add 550 allow tcp 3128 from any to me ## разрешаю прокси
ipfw add 580 deny tcp,udp natd from any to any # запрещаю через нат запрос на все порты
ipfw add 600 allow tcp natd from any to any 25,110 ## Разрешаю 25 и 110 порт через NAT
ipfw add 700 allow tcp natd from any 25,110 to any

Верен ли ход мыслей или это полный бред, поможете разобраться буду очень благодарен

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "правила в ipfw"  
Сообщение от Square (ok) on 23-Окт-08, 13:31 
>65000 398021 32859733 allow ip from any to any
>65535     27     2034 deny >ip from any to any

гдето я этот конфиг уже видел... не пару ли дней назад?

>нстроен nat, перечитал маны но так и не нашел:
>1. Как запертить нат пользователям использовать опеределеный порт (диапазон)

Читайте ман снова.


>В идеале как я понимаю правило для нат должно выглядеть так извначально
>все закрыто и лишь зачем я открываю необходимые порты.
>в верном ли я направлении ? Например если мне нужно открыть только
>почту пользователям
>
>ipfw add 500 deny ip from any to me  ## закрываю все
>ipfw add 550 allow tcp 8668 from any to me ## разрешаю Nat

Остроумно... :) Подсказка: правила в ipfw применяются последовательно. Пакет завершает свой путь через файрвол если попадает под правило.
Это ключевая мысль. И вы как в прошлый раз ее игнорировали, так и сейчас продолжаете ее игнорировать.

>Верен ли ход мыслей или это полный бред, поможете разобраться буду очень
>благодарен

Я бы сказал что вам надо начать изучение концепции файрвола с самого начала.
Собственно если вы сомневаетесь в конструкции - попробуйте применить ее. И посмотрите логи. проследите движение пакета через правила файрвола. если правила сработают не так как ожидалось - подумайте что нужно изменить в них. Читайте мануал и учитесь.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "правила в ipfw"  
Сообщение от Svv on 23-Окт-08, 13:49 
проблема решена

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру