- ifpw2+nat, glyuk, 12:50 , 21-Ноя-04 (1)
>mne nujna sdelati : >-nat 192.168.1.0/24 -> 16.17.18.19 (tut ne kakih ograni4enii liubie soedinenia tcp/udp/icmp) >-na etoi je machine stoit apache/mysql & more. (nujna sdelati 4tob dostup >iz vne na server osushestvlialsea toka na sotvetstviushe ip 80,3306). > >p.s ipfw/nat zagrujen v kernel & rabotaet. plz help. то есть nat работает на машине 16.17.18.19? тогда так, имхо: # сбрасываешь все правила /sbin/ipfw -f flush # разрешаешь loopback /sbin/ipfw add 10 pass all from any to any via lo0 /sbin/ipfw add 11 deny all from any to 127.0.0.0/8 /sbin/ipfw add 12 deny ip from 127.0.0.0/8 to any #запрещаешь доступ извне к приватным сетям /sbin/ipfw add 13 deny all from 172.16.0.0/12 to any in recv <внешний интерфейс> /sbin/ipfw add 14 deny all from 192.168.0.0/16 to any in recv <внешний интерфейс> /sbin/ipfw add 15 deny all from 10.0.0.0/8 to any in in recv <внешний интерфейс> #запрещаешь NETBIOS снаружи /sbin/ipfw add 16 deny log tcp from any to $ext_ip 137-139 via <внешний интерфейс> /sbin/ipfw add 17 deny log tcp from any to $ext_ip 137-139 via <внешний интерфейс> #дивертишь всех вподряд /sbin/ipfw add 18 divert natd all from any to any via <внешний интерфейс> # разрешаешь доступ к 16.17.18.19 только по нужным портам извне # snmp /sbin/ipfw add 19 allow tcp from 16.17.18.19 to any 161-162 /sbin/ipfw add 19 allow udp from 16.17.18.19 to any 161-162 /sbin/ipfw add 19 allow tcp from any 161-162 to 16.17.18.19 /sbin/ipfw add 19 allow udp from any 161-162 to 16.17.18.19 # web /sbin/ipfw add 20 allow tcp from any to 16.17.18.19 www # точно также и другие сервисы, нужные тебе # только не забывай увеличивать номер правила, ибо выполняются они в порядке возрастания /sbin/ipfw add 21 allow tcp from any to 16.17.18.19 <номер порта или название сервиса> . . . . . . # разрешаешь, если нужно, пинги до тебя извне /sbin/ipfw add 40 allow icmp from any to 16.17.18.19 /sbin/ipfw add 40 allow icmp from 16.17.18.19 to any # разрешаешь своему серверу ходить в мир /sbin/ipfw add 41 allow tcp from any to any established /sbin/ipfw add 42 allow tcp from 16.17.18.19 to any keep-state # если пользуешь ntp, то пишешь вот это /sbin/ipfw add 43 allow udp from any ntp to any ntp # разрешаешь DNS, иначе никто никуда не пойдет /sbin/ipfw add 44 allow tcp from any to 16.17.18.19 domain /sbin/ipfw add 45 allow udp from any domain to any /sbin/ipfw add 46 allow udp from any to any domain # разрешаешь трафик внутри приватной сети /sbin/ipfw add 47 allow ip from 192.168.1.0/24 to 192.168.1.0/24 запрещаешь все остальное 65535 deny ip from any to any вроде так, мож чего и забыл :))
|