форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"закрытие портов в ipfw"
Сообщение от 2vl on 29-Июл-04, 17:23  (MSK)
столкнулся с старнным непониманием себя очень простая задача закрыть netBios в внешнюю сетку конфиг #!/bin/sh /sbin/ipfw -f -q flush /sbin/ipfw add 100 drop tcp from any 135,137-139 to any /sbin/ipfw add 300 drop udp from any 135,137-139 to any /sbin/ipfw add 500 divert natd ip from 192.168.200.1/24 to any out via rl0 /sbin/ipfw add 600 divert natd ip from any to 192.168.50.2 in via rl0 /sbin/ipfw add 800 pass all from any to any via rl1 даже так все равно из вне видно помогите.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "закрытие портов в ipfw"
Сообщение от lamerusha on 29-Июл-04, 17:57  (MSK)
слушай , а можно более подробно ... Что тебе видно ... откуда ... И зачем ты людям НАТ ставишь ???? это хорошо но IMHO не секурно ... proxy и пускай не жужат ! ;о)))))
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "закрытие портов в ipfw"
	Сообщение от 2vl on 29-Июл-04, 18:30  (MSK)
	>слушай , а можно более подробно ... > > Что тебе видно ... откуда ... > >И зачем ты людям НАТ ставишь ???? это хорошо но IMHO не >секурно ... > >proxy и пускай не жужат ! ;о))))) есть две сетевки rl0 -- внешн 192.168.50.2 (через нее инет и тд)                  rl1 -- 192.168.200.1 внутр. (через нее зверьки бегают) проблема в том, что широковещательный траф от зверьков попадает на 50.2 что есть IMHO очень не хорошо я хотел зарезать этот траф а именно netbios виндовых машинок во вне но у меня не получилось все равно на внешнем интер они проходят и уходят дальше прову :((
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "закрытие портов в ipfw"
	Сообщение от lamerusha on 29-Июл-04, 19:08  (MSK)
	firewall rules - default to deny... мой конфиг для примера - свои правила сам придумаешь куда поставить .... да еще забыл добывить если будешь использовать shaiping то нужно обяз. ________________ Как разрешить или запретить выполнение следующих ipfw правил после встречи dummynet pipe     [есть мнение]    Завершить выполнение цепочки ipfw правил после попадания в pipe:    sysctl -w net.inet.ip.fw.one_pass=1                                             Продолжить выполнение следующих ipfw правил после попадания в pipe:    sysctl -w net.inet.ip.fw.one_pass=0 ________________ +++++++++++++++ #!/bin/sh cmd="/sbin/ipfw" onet="f.f.f.f/29" oip="w.w.w.w." oif="xl0" office="192.168.1.0/24" bbb="b.b.b.b" aaa="a.a.a.a4" $cmd -f flush         j=100 allow () { j=$(($j+100)); $cmd add $j allow $*; } deny_log  () { j=$(($j+100)); $cmd add $j deny log $*; } deny  () { j=$(($j+100)); $cmd add $j deny  $*; } count () { j=$(($j+100)); $cmd add $j count $*; } fwd   () { j=$(($j+100)); $cmd add $j fwd $*; } divert () { j=$(($j+100)); $cmd add $j divert $*; } allow_110 () { allow tcp from any 110 to $*               allow tcp from $* to any 110; } add_pipe () { j=$(($j+100)); $cmd add $j pipe $*; }         allow ip from $oip to $onet         allow ip from $onet to $oip         allow ip from $aaa to any         allow ip from any to $aaaa         allow ip from any to any via lo0           add_pipe 1000 tcp from $oip  to any           add_pipe 1100 tcp from  any to $oip         $cmd pipe 1000 config bw 512KBit/s         $cmd pipe 1100 config bw 512KBit/s      deny tcp from any to $oip 8090         deny tcp from $oip 8090 to any         deny tcp from any to $oip 8080         deny tcp from $oip 8080 to any         allow tcp from any to any 7722         allow tcp from any 7722 to any #ntpdate         allow ip from any to 195.58.5.202         allow ip from 195.58.5.202 to any #       allow ip from $onet to any #       allow ip from any to $onet #local net         allow tcp from any to any 25         allow tcp from any 25 to any         allow udp  from any 53 to any         allow udp  from any to any 53         allow tcp from any 53 to any         allow tcp from any to any 53         allow tcp from any 80 to any         allow tcp from any to any 80         allow tcp from any 20-22 to $oip         allow tcp from $oip to any 20-22     allow tcp from any 443 to any         allow tcp from any to any 443 #download soft         allow ip from any to 204.152.184.110         allow ip from 204.152.184.110 to any         allow ip from any to 131.159.72.23         allow ip from 131.159.72.23 to any         allow ip from any to 213.24.208.27         allow ip from 213.24.208.27 to any         deny_log ip from any to any +++++++++++++++
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "закрытие портов в ipfw"
	Сообщение от 2vl on 29-Июл-04, 20:19  (MSK)
	:)))) мне не надо каналов :)) мне всего этого не надо и стенка то по умолчанию у меня ОТКРЫТА !!! вот в чем загвозка :))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "закрытие портов в ipfw"
	Сообщение от lamerusha on 30-Июл-04, 09:11  (MSK)
	ну это твой гемор.... тогда тебе надо бить ip x.x.x.255
		Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "закрытие портов в ipfw"
Сообщение от Arifolth (ok) on 30-Июл-04, 13:45  (MSK)
>столкнулся с старнным непониманием себя >очень простая задача закрыть netBios в внешнюю сетку >конфиг >#!/bin/sh >/sbin/ipfw -f -q flush >/sbin/ipfw add 100 drop tcp from any 135,137-139 to any >/sbin/ipfw add 300 drop udp from any 135,137-139 to any >/sbin/ipfw add 500 divert natd ip from 192.168.200.1/24 to any out via >rl0 >/sbin/ipfw add 600 divert natd ip from any to 192.168.50.2 in via >rl0 >/sbin/ipfw add 800 pass all from any to any via rl1 > >даже так все равно из вне видно >помогите. попробуй так: ipfw add 100 deny ip from any to any dst-port 135, 137-139 in via rl1 ipfw add 100 deny ip from any to any dst-port 135, 137-139 in via rl0 ну или out поможет - напиши
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "закрытие портов в ipfw"
	Сообщение от 2vl on 03-Авг-04, 19:50  (MSK)
	вылечил :)) /sbin/ipfw -f -q flush /sbin/ipfw add 100 drop tcp from 192.168.200.0/24 135,137-139 to 192.168.50.0/24 via rl0 /sbin/ipfw add 200 drop tcp from 192.168.50.0/24 135,137-139 to any via rl0 /sbin/ipfw add 300 drop udp from 192.168.200.0/24 135,137,138,139 to 192.168.50.0/24 via rl0 /sbin/ipfw add 400 drop udp from 192.168.50.0/24 135,137-139 to any via rl0 впорос снят 2vl
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.