The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Добрый день! Не подскажет ли кто как на IPFW получше закрыть..."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Добрый день! Не подскажет ли кто как на IPFW получше закрыть..."
Сообщение от Marvel emailИскать по авторуВ закладки on 27-Янв-03, 12:05  (MSK)
Добрый день! Не подскажет ли кто как на IPFW получше закрыть 25 порт. Есть роутер на FreeBSD 4.7, на нем висит все: файрволл, почта, squid. Для того чтобы получать почту с публичных серверов требуется создавать такие правила.
add allow tcp from any to ${natd_ipaddr} 25 in recv ${natd_interface}
add allow tcp from ${natd_upaddr} 25 to any out xmit ${natd_interface}

Но при сканировании открытых портов, 25 порт открыт навзнич. Может кто знает более корректное правило?
Большое спасибо.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."
Сообщение от Nikola_SPb Искать по авторуВ закладки on 27-Янв-03, 14:06  (MSK)
Что значит "открыт навзничь"?

Этими правилами ты его и открыл...

Если хочешь отслеживать состояние соединения, кури

   man ipfw
   /DYNAMIC RULES

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."
Сообщение от Marvel emailИскать по авторуВ закладки on 27-Янв-03, 16:26  (MSK)
>Что значит "открыт навзничь"?
>
>Этими правилами ты его и открыл...
>
>Если хочешь отслеживать состояние соединения, кури
>
>   man ipfw
>   /DYNAMIC RULES

Ну добавил я к этим правилам keep-state, все равно порт остается открытым. Может у кого есть пример именно по почтовым портам?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."
Сообщение от Nikola_SPb Искать по авторуВ закладки on 27-Янв-03, 16:53  (MSK)
${fwcmd} add 00140 check-state
${fwcmd} add 00141 deny tcp from any to any established in via $внешний_интерфейс

........

${fwcmd} add 00470 allow tcp from any to any 25 out via $внешний_интерфейс setup keep-state


и можешь не беспокоиться за свой 25-й порт :-)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."
Сообщение от Nikola_SPb Искать по авторуВ закладки on 27-Янв-03, 16:57  (MSK)
P.S. Прежде, чем включать в реальный конфиг файрвола, советую вдумчиво прочитать man ipfw. Иначе будет больше вреда, нежели помощи.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."
Сообщение от Marvel emailИскать по авторуВ закладки on 27-Янв-03, 17:44  (MSK)
>P.S. Прежде, чем включать в реальный конфиг файрвола, советую вдумчиво прочитать man
>ipfw. Иначе будет больше вреда, нежели помощи.

Не вы чего то не так поняли, мне надо получать почту с публичных серверов, а для того чтобы установить соединение нужны не только исходящие, но и входящие правила, добавил я ваше правило в конфиг, все равно входящие денается...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."
Сообщение от FreeMan Искать по авторуВ закладки on 27-Янв-03, 18:06  (MSK)
>>P.S. Прежде, чем включать в реальный конфиг файрвола, советую вдумчиво прочитать man
>>ipfw. Иначе будет больше вреда, нежели помощи.
>
>Не вы чего то не так поняли, мне надо получать почту с
>публичных серверов, а для того чтобы установить соединение нужны не только
>исходящие, но и входящие правила, добавил я ваше правило в конфиг,
>все равно входящие денается...

Все дело в том что от публичных серверов почту ты получаешь не по smtp протоколу а по pop3 или imap. Так что тебе нужно разрешить пробрасывание пакетов по 110 (для pop3) порту или 143 (для imap)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."
Сообщение от Nikola_SPb Искать по авторуВ закладки on 27-Янв-03, 18:16  (MSK)
>Не вы чего то не так поняли, мне надо получать почту с
>публичных серверов, а для того чтобы установить соединение нужны не только
>исходящие, но и входящие правила, добавил я ваше правило в конфиг,
>все равно входящие денается.
Я понял так, как Вы объясняли...

141-е правило перенумеруйте в 142 и добавьте

${fwcmd} add 00141 allow all from any to any via $внешний_интерфейс keep-state

+ для pop3 & imap4

${fwcmd} add 00471 allow tcp from any to any 110 out via $внешний_интерфейс setup keep-state
${fwcmd} add 00472 allow tcp from any to any 143 out via $внешний_интерфейс setup keep-state

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру