forum.opennet.ru - "Добрый день! Не подскажет ли кто как на IPFW получше закрыть..." (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Добрый день! Не подскажет ли кто как на IPFW получше закрыть..."

Форумы Информационная безопасность (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Добрый день! Не подскажет ли кто как на IPFW получше закрыть..."
Сообщение от Marvel on 27-Янв-03, 12:05 (MSK)
Добрый день! Не подскажет ли кто как на IPFW получше закрыть 25 порт. Есть роутер на FreeBSD 4.7, на нем висит все: файрволл, почта, squid. Для того чтобы получать почту с публичных серверов требуется создавать такие правила. add allow tcp from any to ${natd_ipaddr} 25 in recv ${natd_interface} add allow tcp from ${natd_upaddr} 25 to any out xmit ${natd_interface} Но при сканировании открытых портов, 25 порт открыт навзнич. Может кто знает более корректное правило? Большое спасибо.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..., Nikola_SPb, 14:06 , 27-Янв-03, (1)
- RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..., Marvel, 16:26 , 27-Янв-03, (2)
  - RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..., Nikola_SPb, 16:53 , 27-Янв-03, (3)
    - RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..., Nikola_SPb, 16:57 , 27-Янв-03, (4)
      - RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..., Marvel, 17:44 , 27-Янв-03, (5)
        
        RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..., FreeMan, 18:06 , 27-Янв-03, (6)
        RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..., Nikola_SPb, 18:16 , 27-Янв-03, (7)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."

Сообщение от Nikola_SPb on 27-Янв-03, 14:06  (MSK)

Что значит "открыт навзничь"?
Этими правилами ты его и открыл...
Если хочешь отслеживать состояние соединения, кури
   man ipfw
   /DYNAMIC RULES

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."

Сообщение от Marvel on 27-Янв-03, 16:26  (MSK)

>Что значит "открыт навзничь"?
>
>Этими правилами ты его и открыл...
>
>Если хочешь отслеживать состояние соединения, кури
>
>   man ipfw
>   /DYNAMIC RULES
Ну добавил я к этим правилам keep-state, все равно порт остается открытым. Может у кого есть пример именно по почтовым портам?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."

Сообщение от Nikola_SPb on 27-Янв-03, 16:53  (MSK)

${fwcmd} add 00140 check-state
${fwcmd} add 00141 deny tcp from any to any established in via $внешний_интерфейс
........
${fwcmd} add 00470 allow tcp from any to any 25 out via $внешний_интерфейс setup keep-state

и можешь не беспокоиться за свой 25-й порт :-)

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."

Сообщение от Nikola_SPb on 27-Янв-03, 16:57  (MSK)

P.S. Прежде, чем включать в реальный конфиг файрвола, советую вдумчиво прочитать man ipfw. Иначе будет больше вреда, нежели помощи.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."

Сообщение от Marvel on 27-Янв-03, 17:44  (MSK)

>P.S. Прежде, чем включать в реальный конфиг файрвола, советую вдумчиво прочитать man
>ipfw. Иначе будет больше вреда, нежели помощи.
Не вы чего то не так поняли, мне надо получать почту с публичных серверов, а для того чтобы установить соединение нужны не только исходящие, но и входящие правила, добавил я ваше правило в конфиг, все равно входящие денается...

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."

Сообщение от FreeMan on 27-Янв-03, 18:06  (MSK)

>>P.S. Прежде, чем включать в реальный конфиг файрвола, советую вдумчиво прочитать man
>>ipfw. Иначе будет больше вреда, нежели помощи.
>
>Не вы чего то не так поняли, мне надо получать почту с
>публичных серверов, а для того чтобы установить соединение нужны не только
>исходящие, но и входящие правила, добавил я ваше правило в конфиг,
>все равно входящие денается...
Все дело в том что от публичных серверов почту ты получаешь не по smtp протоколу а по pop3 или imap. Так что тебе нужно разрешить пробрасывание пакетов по 110 (для pop3) порту или 143 (для imap)

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."

Сообщение от Nikola_SPb on 27-Янв-03, 18:16  (MSK)

>Не вы чего то не так поняли, мне надо получать почту с
>публичных серверов, а для того чтобы установить соединение нужны не только
>исходящие, но и входящие правила, добавил я ваше правило в конфиг,
>все равно входящие денается.
Я понял так, как Вы объясняли...
141-е правило перенумеруйте в 142 и добавьте
${fwcmd} add 00141 allow all from any to any via $внешний_интерфейс keep-state
+ для pop3 & imap4
${fwcmd} add 00471 allow tcp from any to any 110 out via $внешний_интерфейс setup keep-state
${fwcmd} add 00472 allow tcp from any to any 143 out via $внешний_интерфейс setup keep-state

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."
Сообщение от Nikola_SPb on 27-Янв-03, 14:06 (MSK)
Что значит "открыт навзничь"? Этими правилами ты его и открыл... Если хочешь отслеживать состояние соединения, кури man ipfw /DYNAMIC RULES
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."
	Сообщение от Marvel on 27-Янв-03, 16:26 (MSK)
	>Что значит "открыт навзничь"? > >Этими правилами ты его и открыл... > >Если хочешь отслеживать состояние соединения, кури > > man ipfw > /DYNAMIC RULES Ну добавил я к этим правилам keep-state, все равно порт остается открытым. Может у кого есть пример именно по почтовым портам?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."
	Сообщение от Nikola_SPb on 27-Янв-03, 16:53 (MSK)
	${fwcmd} add 00140 check-state ${fwcmd} add 00141 deny tcp from any to any established in via $внешний_интерфейс ........ ${fwcmd} add 00470 allow tcp from any to any 25 out via $внешний_интерфейс setup keep-state и можешь не беспокоиться за свой 25-й порт :-)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."
	Сообщение от Nikola_SPb on 27-Янв-03, 16:57 (MSK)
	P.S. Прежде, чем включать в реальный конфиг файрвола, советую вдумчиво прочитать man ipfw. Иначе будет больше вреда, нежели помощи.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."
	Сообщение от Marvel on 27-Янв-03, 17:44 (MSK)
	>P.S. Прежде, чем включать в реальный конфиг файрвола, советую вдумчиво прочитать man >ipfw. Иначе будет больше вреда, нежели помощи. Не вы чего то не так поняли, мне надо получать почту с публичных серверов, а для того чтобы установить соединение нужны не только исходящие, но и входящие правила, добавил я ваше правило в конфиг, все равно входящие денается...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."
	Сообщение от FreeMan on 27-Янв-03, 18:06 (MSK)
	>>P.S. Прежде, чем включать в реальный конфиг файрвола, советую вдумчиво прочитать man >>ipfw. Иначе будет больше вреда, нежели помощи. > >Не вы чего то не так поняли, мне надо получать почту с >публичных серверов, а для того чтобы установить соединение нужны не только >исходящие, но и входящие правила, добавил я ваше правило в конфиг, >все равно входящие денается... Все дело в том что от публичных серверов почту ты получаешь не по smtp протоколу а по pop3 или imap. Так что тебе нужно разрешить пробрасывание пакетов по 110 (для pop3) порту или 143 (для imap)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: Добрый день! Не подскажет ли кто как на IPFW получше зак..."
	Сообщение от Nikola_SPb on 27-Янв-03, 18:16 (MSK)
	>Не вы чего то не так поняли, мне надо получать почту с >публичных серверов, а для того чтобы установить соединение нужны не только >исходящие, но и входящие правила, добавил я ваше правило в конфиг, >все равно входящие денается. Я понял так, как Вы объясняли... 141-е правило перенумеруйте в 142 и добавьте ${fwcmd} add 00141 allow all from any to any via $внешний_интерфейс keep-state + для pop3 & imap4 ${fwcmd} add 00471 allow tcp from any to any 110 out via $внешний_интерфейс setup keep-state ${fwcmd} add 00472 allow tcp from any to any 143 out via $внешний_интерфейс setup keep-state
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх