форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"ifpw2+nat"
Сообщение от phpinfo (ok) on 15-Ноя-04, 20:10  (MSK)
mne nujna sdelati : -nat 192.168.1.0/24 -> 16.17.18.19 (tut ne kakih ograni4enii liubie soedinenia tcp/udp/icmp) -na etoi je machine stoit apache/mysql & more. (nujna sdelati 4tob dostup iz vne na server osushestvlialsea toka na sotvetstviushe ip 80,3306). p.s ipfw/nat zagrujen v kernel & rabotaet. plz help.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ifpw2+nat"
Сообщение от glyuk on 21-Ноя-04, 12:50  (MSK)
>mne nujna sdelati : >-nat 192.168.1.0/24 -> 16.17.18.19 (tut ne kakih ograni4enii liubie soedinenia tcp/udp/icmp) >-na etoi je machine stoit apache/mysql & more. (nujna sdelati 4tob dostup >iz vne na server osushestvlialsea toka na sotvetstviushe ip 80,3306). > >p.s ipfw/nat zagrujen v kernel & rabotaet. plz help. то есть nat работает на машине 16.17.18.19? тогда так, имхо: # сбрасываешь все правила /sbin/ipfw  -f flush # разрешаешь loopback /sbin/ipfw add 10 pass all from any to any via lo0 /sbin/ipfw add 11 deny all from any to 127.0.0.0/8 /sbin/ipfw add 12 deny ip from 127.0.0.0/8 to any #запрещаешь доступ извне к приватным сетям /sbin/ipfw add 13 deny all from 172.16.0.0/12 to any in recv <внешний интерфейс> /sbin/ipfw add 14 deny all from 192.168.0.0/16 to any in recv <внешний интерфейс> /sbin/ipfw add 15 deny all from 10.0.0.0/8 to any in in recv <внешний интерфейс> #запрещаешь NETBIOS снаружи /sbin/ipfw add 16 deny log tcp from any to $ext_ip 137-139 via <внешний интерфейс> /sbin/ipfw add 17 deny log tcp from any to $ext_ip 137-139 via <внешний интерфейс> #дивертишь всех вподряд /sbin/ipfw add 18 divert natd all from any to any via <внешний интерфейс> # разрешаешь доступ к 16.17.18.19 только по нужным портам извне # snmp /sbin/ipfw add 19 allow tcp from 16.17.18.19 to any 161-162 /sbin/ipfw add 19 allow udp from 16.17.18.19 to any 161-162 /sbin/ipfw add 19 allow tcp from any 161-162 to 16.17.18.19 /sbin/ipfw add 19 allow udp from any 161-162 to 16.17.18.19 # web /sbin/ipfw add 20 allow tcp from any to 16.17.18.19 www # точно также и другие сервисы, нужные тебе # только не забывай увеличивать номер правила, ибо выполняются они в порядке возрастания /sbin/ipfw add 21 allow tcp from any to 16.17.18.19 <номер порта или название сервиса> . . . . . . # разрешаешь, если нужно, пинги до тебя извне /sbin/ipfw add 40 allow icmp from any to 16.17.18.19 /sbin/ipfw add 40 allow icmp from 16.17.18.19 to any # разрешаешь своему серверу ходить в мир /sbin/ipfw add 41 allow tcp from any to any established /sbin/ipfw add 42 allow tcp from 16.17.18.19 to any keep-state # если пользуешь ntp, то пишешь вот это /sbin/ipfw add 43 allow udp from any ntp to any ntp # разрешаешь DNS, иначе никто никуда не пойдет /sbin/ipfw add 44 allow tcp from any to 16.17.18.19 domain /sbin/ipfw add 45 allow udp from any domain to any /sbin/ipfw add 46 allow udp from any to any domain # разрешаешь трафик внутри приватной сети /sbin/ipfw add 47 allow ip from 192.168.1.0/24 to 192.168.1.0/24 запрещаешь все остальное 65535 deny ip from any to any вроде так, мож чего и забыл :))
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.