>Да чую нутром админ из тя чудный бут ток наверна не в
>этой жизни... :-))
Недождётесь!!! Я настырный! Вызубрю!!!...:)))
>ну да ладна кадата и я таким был...
>знач так по порядку...
>1. Все правила фаервола прописываються в файле /etc/rc.firewall, ну эт понятно если ты не душевнобольной маньяк, а нормальный...
Справку показать? :)
>2. Тип фаервола указывается в файлике /etc/rc.conf
>firewall_enable="YES" - говорит что фаервол запускается при старте системы
Это мы уже выучили...:)
>firewall_flags="" - соотв. флаги с которыми запускать фаервол.... (да кстати если ты не душевнобольной маньяк то все флаги которые нада указываються в файле скрипта... см. п.1)
Тобишь в /etc/rc.firewall.
>firewall_type="OPEN" - говорит, что тип фаервола - "открытый"..., для более подробной инфы
>смотри /etc/rc.firewall...
Где смотреть там? И что я там должон увидеть?
>Эт было лирическое отступление типа....
>Далее подробно для особо одаренных рассказую что наваял...
Спасибо. :)
>1. открываем доступ твоего внешнего интерфейса (который смотрит в инет) с адресом xxx.xxx.xxx.xxx (можна указать мантису маски /32, что соотв. маске подсети 255.255.255.255) ко всей сети т.е. Инету на интерфейсе допустим ppp0, думаю ты догадался что он пишется после via вместо точек
>${fwcmd} add nn pass all from xxx.xxx.xxx.xxx to any via ....
Нихрена не понял...:(
вместо xxx.xxx.xxx.xxx пишем наш внешний IP а вместо точек название интерфейса который обозначает сетевуху через которую Фряха подключена в локалку - так?
>2. терь что нам нужна... почта наверна, для энтага пишем правило которое разрешит всему инету конектится к нашему 25 порту (smtp) -этя думаю понятно....
>${fwcmd} add nn pass tcp from any to xxx.xxx.xxx.xxx 25
Вроде понятно.
>3. терь форвардим пакетики юзверей из сеток 192.168.0.0/16, которые идут не в 192.168.0.0/16-е сетки (т.е. в ИНЕТ) на порт прокси учитывая что прокся смотрит внутрь сетки с интерфейса с адресом yyy.yyy.yyy.yyy на порту 3128,
>ну как, логично????
>${fwcmd} add nn rdr yyy.yyy.yyy.yyy,3128 tcp from 192.168.0.0/16 to not 192.168.0.0/16
А хрен его знает логично или не логично? Раз ты говоришь - значит логично наверное.
Тоесть все пакетики которые будут хотеть крутится не в сетке будут отсылатся на прокси - так? Осталось понять что за адрес должон быть вместо yyy.yyy.yyy.yyy. Точнее где и как его найти в моей системе. Мож командочка какая хитрая есть аль файлик конфигурационный где завалялся....:)?
>4. ну терь надобно я так думаю открыть обмен пакетами во внутренней
>сети... (допустим на внутренней сетевой) - точно???
>${fwcmd} add nn pass all from 192.168.0.0/16 to 192.168.0.0/16 via ....
а /16 соответсвует маске 255.255.255.0 - так? А почему так? Что это за дроби - откуда они берутся?
Кстати вместо точек ставить опять название интерфейса как и в пункте 1?
>5. ну клиентов вроде в инет пихнули почта ходит... между собой клиенты
>тож трафик создают (фильмы смотрят гады...), но подумать о том чтоб
>наши новости увидел весь мир тож нада... знач откроем импорт http
>сервера...
>${fwcmd} add nn pass tcp from any to xxx.xxx.xxx.xxx 80 setup
>да модное славечко типа setup говорит что можно устанавливать соединение на ентот порт.....
А зачем МИРУ видеть НАШИ новости? Это МЫ хотим видеть МИРОВЫЕ новости. Тобишь лазить по инету. Или это делается для того чтобы в дальнейшем можно было запустить апач и типа создать на этом серваки типа крЮтой сайт нашей фирмы - чтобы крЮтые пацаны могли ходить и смотреть на фотки нашех сотрудниц - да? :)
>6. ну а теперь смотрим че нехватает... пакетики в инет мы плюем....,
>а ответы на наши пакетики.... или допустим на веб к нам
>приконектились, а в ответ тишина.... нихорошо получается.... Для ентага разрешаем... типа я ИМПЕРАТОР ВСЕЯ РУСИ передачу пакетов по уже установленным конектам... (модное слово established - установленные)
>${fwcmd} add nn pass tcp from any to any established
ох уж эти модные словечки......а гденить есть списочек всех этих модных словечек и чего они обозначают? Только желательно на нашем - родном.
>>а что нужно подставить вместо NN XXX и YYY?
>ну nn эт ты мож посмотреть по команде ipfw -a list...
>я думаю что ты и сам уже допер, что енто номер правила.....
Тоесть какие хочу номера такие и ставлю - главное в возрастающем порядке - так?
>Да учти что в ipfw (этого ниде не написано... , или мож
>я слеп просто)
>все правила каунтятся до первого совпадения...
"каунтятся" - эт чё такое?
>поясню...
>т.е. если у тя написано так...
>${ipfw} add 1 pass all from any to any
>${ipfw} add 2 deny all from any to any
>то бут работать тока первое правило... т.е. все бут ходить куда ветер
>дует..... а ежели поменять номера правил... то и ветер дуть перестанет...
тоесть номера правил выполняются по порядку сначала 1 потом 10 потом 100 и так далее но не 1 потом 100 а потом 10.
И если есть одинаковые правила то выполняется то у кого самый маленький номер.
Я правильно понял тоГварищь генерал?
>:-))
>>>a 65000 allow ip from any to any закоментируй
>>Как ?
>Так # в Юникс приложениях и системах которые в 99% написаны на
>С знаком коментария является символ "#"
Я не правильно вопрос задал наверное - я хотел спросить ГДЕ. А как коментировать я уже умею...:))))))))))
>как говорит мой друзяка "Матчасть учить нада"
>
>Ну вот пожалуй и все....
Знаю я это - учу по мере возможностей. Но с нуля уж сильно сложно.
Да и и посленее в каком именно месте в /etc/rc.firewall прописывать эти самые правила - где угодно или там где есть строчки:
===
############
# Only in rare cases do you want to change these rules
#
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
# If you're using 'options BRIDGE', uncomment the following line to pass ARP
#${fwcmd} add 400 pass udp from 0.0.0.0 2054 to 0.0.0.0
===
Кстати тамже дальше есть такие строчки:
===
# Prototype setups.
#
case ${firewall_type} in
[Oo][Pp][Ee][Nn])
${fwcmd} add 65000 pass all from any to any
;;
[Cc][Ll][Ii][Ee][Nn][Tt])
############
# This is a prototype setup that will protect your system somewhat
# against people from outside your own network.
############
# set these to your network and netmask and ip
net="192.0.2.0"
mask="255.255.255.0"
ip="192.0.2.1"
# Allow any traffic to or from my own net.
${fwcmd} add pass all from ${ip} to ${net}:${mask}
${fwcmd} add pass all from ${net}:${mask} to ${ip}
===
Я так понимаю это тож правила. Причём использующие переменные типа ${net}, ${mask} которые задаются в первых строчках.
Так вот чё это такое и как этим всем добром пользоватся?
P.S. Ты уж извени меня за чайниковские вопросы...:)
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
on
25-Июл-02, 13:11 (MSK)
