The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ipfw freebsd 7.2"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"ipfw freebsd 7.2"  +/
Сообщение от alexnv (ok) on 14-Июл-09, 09:58 
Добрый день! Помогите разобраться с ipfw, настраиваю фаервол, как включаю правила, то ничего не работает. делал по образцу из самой фри.

stge0 - внешний интерфейс
stge1 - внутренний интерфейс, 192.168.128.0/20

правила:

00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
05000 allow ip from any to any # как только убираю сразу же перестает работать.
05100 deny ip from 192.168.128.0/20 to any in via stge0
05200 deny ip from any to 10.0.0.0/8 via stge0
05300 deny ip from any to 172.16.0.0/12 via stge0
05400 deny ip from any to 192.168.0.0/16 via stge0
05500 deny ip from any to 0.0.0.0/8 via stge0
05600 deny ip from any to 169.254.0.0/16 via stge0
05700 deny ip from any to 192.0.2.0/24 via stge0
05800 deny ip from any to 224.0.0.0/4 via stge0
05900 deny ip from any to 240.0.0.0/4 via stge0
06000 allow ip from any to any frag
06100 allow tcp from any to me dst-port 22 setup via stge0
06200 allow tcp from any to me dst-port 80 setup via stge0
06300 allow tcp from any to me dst-port 443 setup via stge0
06400 allow tcp from any to me dst-port 3389 setup via stge0
06500 allow tcp from any to me dst-port 22 setup via stge1
06600 allow tcp from any to me dst-port 25 setup via stge1
06700 allow tcp from any to me dst-port 110 setup via stge1
06800 allow tcp from any to me dst-port 80 setup via stge1
06900 allow tcp from any to me dst-port 443 setup via stge1
07000 allow tcp from any to me dst-port 3128 via stge1
07100 allow tcp from any to me dst-port 3389 setup via stge1
07200 allow tcp from any to me dst-port 10000 setup via stge1
07300 allow tcp from any to me dst-port 22 setup via stge1
07400 allow tcp from any to me dst-port 25 setup via stge1
07500 allow tcp from any to me dst-port 110 setup via stge1
07600 allow tcp from any to me dst-port 80 setup via stge1
07700 allow tcp from any to me dst-port 443 setup via stge1
07800 allow tcp from any to me dst-port 3128 via stge1
07900 allow tcp from any to me dst-port 3389 setup via stge1
08000 allow tcp from any to me dst-port 10000 setup via stge1
08100 deny log tcp from any to any in via stge0 setup
08200 allow tcp from any to any setup

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

  • ipfw freebsd 7.2, PavelR, 10:06 , 14-Июл-09, (1)  
    • ipfw freebsd 7.2, alexnv, 10:53 , 14-Июл-09, (2)  
      • ipfw freebsd 7.2, qwertykma, 14:02 , 14-Июл-09, (3)  

Сообщения по теме [Сортировка по времени | RSS]


1. "ipfw freebsd 7.2"  +/
Сообщение от PavelR (??) on 14-Июл-09, 10:06 
>Добрый день! Помогите разобраться с ipfw, настраиваю фаервол, как включаю правила, то
>ничего не работает. делал по образцу из самой фри.

1. Что работает до того, как Вы начинаете "настраивать" файрволл ?

2. Разделите правила на группы, отдельную для первого, отдельную для второго интерфейса, сейчас они перемешаны.

3. Если машина является маршрутизатором, то пакеты в файрволл попадают дважды, на входе и на выходе.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "ipfw freebsd 7.2"  +/
Сообщение от alexnv (ok) on 14-Июл-09, 10:53 
>>Добрый день! Помогите разобраться с ipfw, настраиваю фаервол, как включаю правила, то
>>ничего не работает. делал по образцу из самой фри.
>
>1. Что работает до того, как Вы начинаете "настраивать" файрволл ?
>
>2. Разделите правила на группы, отдельную для первого, отдельную для второго интерфейса,
>сейчас они перемешаны.
>
>3. Если машина является маршрутизатором, то пакеты в файрволл попадают дважды, на
>входе и на выходе.

1. По умолчанию фаерволл работает в открытом режиме.
2. Вроде ве по группам раскидано.
3. Т.е надо прописать правила на вход и выход?

вот скрипт пришлось переделать т.к случайно его убил
        # set these to your outside interface network
        oif="stge0"
        onet="any"

        # set these to your inside interface network
        iif="stge1"
        inet="192.168.128.0/20"

        ${fwcmd} add 5000 allow ip from any to any

        # Stop spoofing
        ${fwcmd} add deny all from ${inet} to any in via ${oif}
        ${fwcmd} add deny all from ${onet} to any in via ${iif}

        # Stop RFC1918 nets on the outside interface
        ${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
        ${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
        ${fwcmd} add deny all from any to 192.168.0.0/16 via ${oif}

        # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
        # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
        # on the outside interface
        ${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
        ${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
        ${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
        ${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
        ${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}

        # Stop RFC1918 nets on the outside interface
        ${fwcmd} add deny all from 10.0.0.0/8 to any via ${oif}
        ${fwcmd} add deny all from 172.16.0.0/12 to any via ${oif}
        ${fwcmd} add deny all from 192.168.0.0/16 to any via ${oif}

        # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
        # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
        # on the outside interface
        ${fwcmd} add deny all from 0.0.0.0/8 to any via ${oif}
        ${fwcmd} add deny all from 169.254.0.0/16 to any via ${oif}
        ${fwcmd} add deny all from 192.0.2.0/24 to any via ${oif}
        ${fwcmd} add deny all from 224.0.0.0/4 to any via ${oif}
        ${fwcmd} add deny all from 240.0.0.0/4 to any via ${oif}

        # Allow TCP through if setup succeeded
        ${fwcmd} add pass tcp from any to any established

        # Allow IP fragments to pass through
        ${fwcmd} add pass all from any to any frag

        # Allow ports on oif
        ${fwcmd} add pass tcp from any to me 22 setup via ${oif}
        ${fwcmd} add pass tcp from me 22 to any
        ${fwcmd} add pass tcp from any to me 80 setup via ${oif}
        ${fwcmd} add pass tcp from me 80 to any
        ${fwcmd} add pass tcp from any to me 443 setup via ${oif}
        ${fwcmd} add pass tcp from me 443 to any
#       ${fwcmd} add pass tcp from any to me 3128 setup via ${oif}
#       ${fwcmd} add pass tcp from me 3128 to any
        ${fwcmd} add pass tcp from any to me 3389 setup via ${oif}
        ${fwcmd} add pass tcp from me 3389 to any
#       ${fwcmd} add pass tcp from any to me 10000 setup via ${oif}
#       ${fwcmd} add pass tcp from me 10000 to any

        # Allow ports on iif
        ${fwcmd} add pass tcp from any to me 22 setup via ${iif}
        ${fwcmd} add pass tcp from me 22 to any
        ${fwcmd} add pass tcp from any to me 80 setup via ${iif}
        ${fwcmd} add pass tcp from me 80 to any
        ${fwcmd} add pass tcp from any to me 443 setup via ${iif}
        ${fwcmd} add pass tcp from me 443 to any
        ${fwcmd} add pass tcp from any to me 3128 setup via ${iif}
        ${fwcmd} add pass tcp from me 3128 to any
        ${fwcmd} add pass tcp from any to me 3389 setup via ${iif}
        ${fwcmd} add pass tcp from me 3389 to any
        ${fwcmd} add pass tcp from any to me 10000 setup via ${iif}
        ${fwcmd} add pass tcp from me 10000 to any

        #port mapping...
        case ${firewall_nat_enable} in
        [Yy][Ee][Ss])
                ${fwcmd} nat 123 config ip ${whiteip} log same_ports redirect_port tcp 192.168.129.109:3389 3389
                ${fwcmd} add 100 nat 123 tcp from 192.168.129.109 3389 to any
                ${fwcmd} add 100 nat 123 tcp from any to 192.168.129.109 3389
                ;;
        esac

        # Reject&Log all setup of incoming connections from the outside
        ${fwcmd} add deny log tcp from any to any in via ${oif} setup

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "ipfw freebsd 7.2"  +/
Сообщение от qwertykma on 14-Июл-09, 14:02 
Хорошо бы посмотреть на:
#ipfw list
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру