- ifpw2+nat,
 glyuk, 12:50 , 21-Ноя-04 (1)>mne nujna sdelati :
>-nat 192.168.1.0/24 -> 16.17.18.19 (tut ne kakih ograni4enii liubie soedinenia tcp/udp/icmp)
>-na etoi je machine stoit apache/mysql & more. (nujna sdelati 4tob dostup
>iz vne na server osushestvlialsea toka na sotvetstviushe ip 80,3306).
>
>p.s ipfw/nat zagrujen v kernel & rabotaet. plz help. то есть nat работает на машине 16.17.18.19?
тогда так, имхо:
# сбрасываешь все правила
/sbin/ipfw -f flush
# разрешаешь loopback
/sbin/ipfw add 10 pass all from any to any via lo0
/sbin/ipfw add 11 deny all from any to 127.0.0.0/8
/sbin/ipfw add 12 deny ip from 127.0.0.0/8 to any
#запрещаешь доступ извне к приватным сетям
/sbin/ipfw add 13 deny all from 172.16.0.0/12 to any in recv <внешний интерфейс>
/sbin/ipfw add 14 deny all from 192.168.0.0/16 to any in recv <внешний интерфейс>
/sbin/ipfw add 15 deny all from 10.0.0.0/8 to any in in recv <внешний интерфейс>
#запрещаешь NETBIOS снаружи
/sbin/ipfw add 16 deny log tcp from any to $ext_ip 137-139 via <внешний интерфейс>
/sbin/ipfw add 17 deny log tcp from any to $ext_ip 137-139 via <внешний интерфейс>
#дивертишь всех вподряд
/sbin/ipfw add 18 divert natd all from any to any via <внешний интерфейс>
# разрешаешь доступ к 16.17.18.19 только по нужным портам извне
# snmp
/sbin/ipfw add 19 allow tcp from 16.17.18.19 to any 161-162
/sbin/ipfw add 19 allow udp from 16.17.18.19 to any 161-162
/sbin/ipfw add 19 allow tcp from any 161-162 to 16.17.18.19
/sbin/ipfw add 19 allow udp from any 161-162 to 16.17.18.19
# web
/sbin/ipfw add 20 allow tcp from any to 16.17.18.19 www
# точно также и другие сервисы, нужные тебе
# только не забывай увеличивать номер правила, ибо выполняются они в порядке возрастания
/sbin/ipfw add 21 allow tcp from any to 16.17.18.19 <номер порта или название сервиса>
. . .
. . .
# разрешаешь, если нужно, пинги до тебя извне
/sbin/ipfw add 40 allow icmp from any to 16.17.18.19
/sbin/ipfw add 40 allow icmp from 16.17.18.19 to any
# разрешаешь своему серверу ходить в мир
/sbin/ipfw add 41 allow tcp from any to any established
/sbin/ipfw add 42 allow tcp from 16.17.18.19 to any keep-state
# если пользуешь ntp, то пишешь вот это
/sbin/ipfw add 43 allow udp from any ntp to any ntp
# разрешаешь DNS, иначе никто никуда не пойдет
/sbin/ipfw add 44 allow tcp from any to 16.17.18.19 domain
/sbin/ipfw add 45 allow udp from any domain to any
/sbin/ipfw add 46 allow udp from any to any domain
# разрешаешь трафик внутри приватной сети
/sbin/ipfw add 47 allow ip from 192.168.1.0/24 to 192.168.1.0/24
запрещаешь все остальное
65535 deny ip from any to any
вроде так, мож чего и забыл :))
|
Версия для распечатки
ifpw2+nat, 
