The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Индекс форумов
Составление сообщения

Исходное сообщение
"ipfw очень нужна помощь"
Отправлено rb26dett, 09-Апр-09 09:46 
Доброго дня всем!!! К сожалению, не было возможности заниматься фрей почти все это время.
Что получилось на днях - почитал вышеуказанные ссылки - спасибо огромное, что имеем -


#!/bin/sh

/sbin/ipfw/ -q -f flush
/sbin/ipfw add allow all from any to any via lo
/sbin/ipfw add allow ip from 192.168.0.0/24 to 192.168.0.0/24 via rl0
/sbin/ipfw add divert natd ip from 192.168.0.0/24 to any out via rl1
/sbin/ipfw add divert natd ip from any to 192.168.1.2 in via rl1
/sbin/ipfw add allow ip from 192.168.1.2 to any out via rl1
/sbin/ipfw add allow ip from any to 192.168.1.2 in via rl1
/sbin/ipfw add allow udp from 192.168.0.0/24 to any 53 in via rl0
/sbin/ipfw add allow udp from 192.168.0.0/24 to any 53 out via rl1
/sbin/ipfw add allow udp from any 53 to 192.168.0.0/24 in via rl1
/sbin/ipfw add allow udp from any 53 to 192.168.0.0/24 out via rl0
/sbin/ipfw add allow tcp from 192.168.0.0/24 to any 80,53 in via rl0
/sbin/ipfw add allow tcp from 192.168.0.0/24 to any 80,53 out via rl1
/sbin/ipfw add allow tcp from any 80,53 to 192.168.0.0/24 in via rl1
/sbin/ipfw add allow tcp from any 80,53 to 192.168.0.0/24 out via rl0

# для начала здесь и ниже разрешил только dns и http ну и ниже - почту
или, немного сократив, насколько я это понял -


#!/bin/sh

/sbin/ipfw/ -q -f flush
/sbin/ipfw add 100 allow all from any to any via lo
/sbin/ipfw add 200 allow ip from any to any via rl0
/sbin/ipfw add 300 divert natd ip from 192.168.0.0/24 to any out via rl1
/sbin/ipfw add 350 divert natd ip from any to 192.168.1.2 in via rl1
/sbin/ipfw add 400 allow ip from 192.168.1.2 to any out via rl1
/sbin/ipfw add 450 allow udp from any to 192.168.1.2 in via rl1
/sbin/ipfw add 500 allow udp from 192.168.0.0./24 to any 53 out via rl1
/sbin/ipfw add 550 allow udp from any 53 to 192.168.0.0/24 in via rl1
/sbin/ipfw add 600 allow tcp from 192.168.0.0/24 to any 80,53,25,110 out via rl1
/sbin/ipfw add 650 allow tcp from any 80,53,25,110 to 192.168.0.0/24 in via rl1
/sbin/ipfw add 700 allow icmp from any to any

Все работает, наконец-то. Большая просьба - оцените, кому не трудно, конфиг. С точки зрения безопасности, в первую очередь. Правильно ли, если нет, то куда примерно копать.
Меня как-то настораживают правила типа 550, 650 - вроде выглядит как открытие портов снаружи вовнутрь, а не разрешение прохождения ответных пакетов.
И как в такой схеме будет выглядеть проброс порта,  - 4899, пусть, извне к любой машине из внутренней сети, пусть 192.168.0.3
Заранее благодарен, с нетерпением жду ответов.


 

Ваше сообщение
Имя*:
EMail:
Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
 
При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру