forum.opennet.ru

"Нужен срочный хелп по правилам ipfw"

Форум Информационная безопасность
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

. "Нужен срочный хелп по правилам ipfw"	+/–
Сообщение от zlodey (ok), 24-Дек-04, 18:52
>Граждане, помогите, пожалуйста. >Стоит FreBSD 5.1 + Squid stable7 > >Имею вот такой конфиг для ipfw: > >#!/bin/sh ># envars >fwcmd="/sbin/ipfw -q" > > >#xl0 - external >#dc0 - internal >#212.xx.xxx.64/255.255.255.224 - my subnet >#212.xx.xxx.167 - my external address >#212.xx.xxx.65 - internal router address > ># init >${fwcmd} -f flush > >${fwcmd} add 200 pass icmp from any to any #allow all icmp > > >${fwcmd} add 300 pass tcp from any to any established >${fwcmd} add 300 pass tcp from any to any 49152-65535 #safe ports > >${fwcmd} add 300 pass tcp from any to any 53 #DNS >${fwcmd} add 300 pass tcp from any to any 113 in via >xl0 >${fwcmd} add 300 pass tcp from any to any 25 in #smtp > >${fwcmd} add 300 pass udp from any to any 49152-65535 >${fwcmd} add 300 pass udp from any to any 53 > >${fwcmd} add 500 pass all from any to any 4899 #Remote Administrator > > >${fwcmd} add 600 deny tcp from any to any 135 via xl0 > >${fwcmd} add 600 deny tcp from any to any 137 via xl0 > >${fwcmd} add 600 deny tcp from any to any 139 via xl0 > >${fwcmd} add 600 deny tcp from any to any 140 via xl0 > >${fwcmd} add 600 deny tcp from any to any 141 via xl0 > >${fwcmd} add 600 deny tcp from any to any 69 via xl0 > >${fwcmd} add 600 deny tcp from any to any 4444 via xl0 > > >#router >${fwcmd} add 700 pass all from any to 212.xx.xxx.65 via dc0 >${fwcmd} add 700 pass all from 212.xx.xxx.65 to any via dc0 >${fwcmd} add 700 pass tcp from any to any 22 >${fwcmd} add 700 pass tcp from any to any 23 > >${fwcmd} add 800 pass all from 212.xx.xxx.167 to any via xl0 >${fwcmd} add 800 pass all from any to 212.xx.xxx.167 via xl0 > >#my subnet rules >${fwcmd} add 900 pass all from 212.xx.xxx.64/255.255.255.224 to any >${fwcmd} add 900 pass all from any to 212.xx.xxx.64/255.255.255.224 > >########################################################### ># Global reject rules >########################################################### >#${fwcmd} add 63000 pass all from any to any >${fwcmd} add 65000 deny all from any to any > >почему не пускает в инет? > >Изначально мне нужно в правилах 900 указать только нужные внешние адреса/подсетки, чтоб >доступ к ним был без прокси, а в остальные места - >только через проксик (поэтому в правилах роутеру разрешено все). > >Может я чего-то забыл указать в правилах? И вообще, покритикуйте конфиг, я >в никсах полный ламер, без помощи "взрослых" все настраивал :) А >сроки поджимают - сегодня к вечеру надо все настроить. А чем же ты пакеты заворачивать собираешься?? 00070 406764 38025374 divert 8668 ip from any to not .../16 xmit xl0 00070 0 0 divert 8668 ip from any to not .../16 xmit xl0 00070 0 0 divert 8668 ip from any to not .../16 xmit xl0 00070 0 0 divert 8668 ip from any to not ...*/16 xmit xl0
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Нужен срочный хелп по правилам ipfw, Maxz, 14-Дек-04, 12:29 [смотреть все]

ну поможите хоть кто-нибудь , Maxz, 21-Дек-04, 17:10 (1) //
- man ipfwgoogle ruopennet ru, dravor, 21-Дек-04, 17:22 (2)
Во первых, я бы всем правилам раздал разные номера, а тл вдруг что-то необходимо, alexvs, 21-Дек-04, 21:37 (3) //
- Дык вроде у меня все правильно написано, но почему не работает И мне, как ламеру, Maxz, 21-Дек-04, 22:16 (4) //
  - всем здямте вомервых ,ДРАВОР, тут ваш бестолкового совет читать ман не поможет, , Z_M, 22-Дек-04, 08:43 (5) //
    - Сразу встречные вопросы что такое диверт и для чего нужен natd , Maxz, 22-Дек-04, 14:15 (6)
      - а вот теперь надо почитать вот тут http www opennet ru docs BSD handbook netwo, Z_M, 22-Дек-04, 14:24 (7)
        
        У меня внутри сети все айпишники реальные, в таком случае натд не нужен Мне нуж, Maxz, 22-Дек-04, 17:26 (8)
        
        ответ будет такой же аморфный как и вопрос я полагаю не нужно ничего кроме нас, Z_M, 22-Дек-04, 17:32 (9)
        
        это есть, вопрос в первом сообщении был - почему в инет не лазит с указанными мн, Maxz, 22-Дек-04, 20:26 (10)
        
        что значит и прокси юзеры в инет напрямую ходят или через прокси какойнить , Z_M, 23-Дек-04, 11:40 (12)
        
        напрямую юзвери ходят только по разрешенным адресам, которые я прописываю в фаер, Maxz, 23-Дек-04, 17:28 (13)
А вы все deny заставте логироваться, а потом смотрите в security лог какие же па, alexvs, 23-Дек-04, 11:35 (11) //
- попробуй в правило 700 добавь ipfw add 700 allow ip from any to me via xl0 ipfw , Z_M, 23-Дек-04, 17:47 (14)
А чем же ты пакеты заворачивать собираешься 00070 406764 38025374 divert 8668 , zlodey, 24-Дек-04, 18:52 (15)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру