forum.opennet.ru

Составление сообщения

Исходное сообщение

"ipfw заблокировать внешние запросы на ntpd"
Отправлено михалыч, 01-Мрт-14 21:56

> есть сервер ntpd по которому синхронизируются машины из локалки.
> сервер расположен на машине с реальным адресом, и доступен из внешки.
> хочу сделать его доступным только в локалке.
> пробую на роутере правила
> ipfw add 08 allow udp from 1.1.1.0/24 to any dst-port 123 out via wan1
> ipfw add 09 deny udp from any to any dst-port 123 in via wan1
> ntpd больше не доступен с внешки, но теперь сама машина перестает синхронизироваться
> с серверами в инете.
> подскажите пожалуйста - как правильно заблокировать входящий udp не поломав исходящий?
Если я правильно понял, то:
сервер ntpd находится на роутере с белым адресом
через этот роутер выходит локалка 1.1.1.0/24
(обычно локалку обозначают серыми адресами 192.168.0.0.16, 172.16.0.0/12 или 10.0.0.0/8)
вы хотите обеспечить доступ к ntpd только из локалки.
А что у вас написано?
08 разрешить протокол udp из сети с ip-адресами 1.1.1.0/24 к любым ip-адресам на порт назначения 123 исходящие через интерфейс wan1
09 запретить протокол udp от любых ip-адресов к любым ip-адресам на порт назначения 123 входящие через интерфейс wan1
Локалка имеет серые адреса?
У вас что, имеется не один wan (внешний) интерфейс?
А как сервер ntpd будет синхронизироваться?
Приводим к каноническому виду:
локальная сеть (интранет) - 192.168.0.0/16
внутренний интерфейс смотрящий в локальную сеть - rl1
внешний интерфейс смотрящий наружу в интернет - rl0
тогда правила примут вид
allow udp from 192.160.0.0/16 to me 123 via rl1 # не обязательно, если на rl1 и так всё разрешено
allow udp from me 123 to any 123 keep-state via rl0 # динамическое правило с учётом состояния
сильно хочется запретить запросы к своему серверу-роутеру на 123 порт udp?
хм.. думаете ломанутся все синхронизацию "по вам" делать? такой точный сервер? ну-ну..
тогда нужно перечислить сервера по которым ваш сервер делает синхронизацию и запретить остальные, например, вот так в статических правилах
allow udp from me 123 to 0.freebsd.pool.ntp.org,1.freebsd.pool.ntp.org,2.freebsd.pool.ntp.org 123 via rl0
allow udp from 0.freebsd.pool.ntp.org,1.freebsd.pool.ntp.org,2.freebsd.pool.ntp.org 123 to me 123 via rl0
deny udp from any to me 123 via rl0

Исходное сообщение
"ipfw заблокировать внешние запросы на ntpd" Отправлено михалыч, 01-Мрт-14 21:56
> есть сервер ntpd по которому синхронизируются машины из локалки. > сервер расположен на машине с реальным адресом, и доступен из внешки. > хочу сделать его доступным только в локалке. > пробую на роутере правила > ipfw add 08 allow udp from 1.1.1.0/24 to any dst-port 123 out via wan1 > ipfw add 09 deny udp from any to any dst-port 123 in via wan1 > ntpd больше не доступен с внешки, но теперь сама машина перестает синхронизироваться > с серверами в инете. > подскажите пожалуйста - как правильно заблокировать входящий udp не поломав исходящий? Если я правильно понял, то: сервер ntpd находится на роутере с белым адресом через этот роутер выходит локалка 1.1.1.0/24 (обычно локалку обозначают серыми адресами 192.168.0.0.16, 172.16.0.0/12 или 10.0.0.0/8) вы хотите обеспечить доступ к ntpd только из локалки. А что у вас написано? 08 разрешить протокол udp из сети с ip-адресами 1.1.1.0/24 к любым ip-адресам на порт назначения 123 исходящие через интерфейс wan1 09 запретить протокол udp от любых ip-адресов к любым ip-адресам на порт назначения 123 входящие через интерфейс wan1 Локалка имеет серые адреса? У вас что, имеется не один wan (внешний) интерфейс? А как сервер ntpd будет синхронизироваться? Приводим к каноническому виду: локальная сеть (интранет) - 192.168.0.0/16 внутренний интерфейс смотрящий в локальную сеть - rl1 внешний интерфейс смотрящий наружу в интернет - rl0 тогда правила примут вид allow udp from 192.160.0.0/16 to me 123 via rl1 # не обязательно, если на rl1 и так всё разрешено allow udp from me 123 to any 123 keep-state via rl0 # динамическое правило с учётом состояния сильно хочется запретить запросы к своему серверу-роутеру на 123 порт udp? хм.. думаете ломанутся все синхронизацию "по вам" делать? такой точный сервер? ну-ну.. тогда нужно перечислить сервера по которым ваш сервер делает синхронизацию и запретить остальные, например, вот так в статических правилах allow udp from me 123 to 0.freebsd.pool.ntp.org,1.freebsd.pool.ntp.org,2.freebsd.pool.ntp.org 123 via rl0 allow udp from 0.freebsd.pool.ntp.org,1.freebsd.pool.ntp.org,2.freebsd.pool.ntp.org 123 to me 123 via rl0 deny udp from any to me 123 via rl0

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> есть сервер ntpd по которому синхронизируются машины из локалки. >> сервер расположен на машине с реальным адресом, и доступен из внешки. >> хочу сделать его доступным только в локалке. >> пробую на роутере правила >> ipfw add 08 allow udp from 1.1.1.0/24 to any dst-port 123 out via wan1 >> ipfw add 09 deny udp from any to any dst-port 123 in via wan1 >> ntpd больше не доступен с внешки, но теперь сама машина перестает синхронизироваться >> с серверами в инете. >> подскажите пожалуйста - как правильно заблокировать входящий udp не поломав исходящий? > Если я правильно понял, то: > сервер ntpd находится на роутере с белым адресом > через этот роутер выходит локалка 1.1.1.0/24 > (обычно локалку обозначают серыми адресами 192.168.0.0.16, 172.16.0.0/12 или 10.0.0.0/8) > вы хотите обеспечить доступ к ntpd только из локалки. > А что у вас написано? > 08 разрешить протокол udp из сети с ip-адресами 1.1.1.0/24 к любым ip-адресам > на порт назначения 123 исходящие через интерфейс wan1 > 09 запретить протокол udp от любых ip-адресов к любым ip-адресам на порт > назначения 123 входящие через интерфейс wan1 > Локалка имеет серые адреса? > У вас что, имеется не один wan (внешний) интерфейс? > А как сервер ntpd будет синхронизироваться? > Приводим к каноническому виду: > локальная сеть (интранет) - 192.168.0.0/16 > внутренний интерфейс смотрящий в локальную сеть - rl1 > внешний интерфейс смотрящий наружу в интернет - rl0 > тогда правила примут вид > allow udp from 192.160.0.0/16 to me 123 via rl1 # не обязательно, > если на rl1 и так всё разрешено > allow udp from me 123 to any 123 keep-state via rl0 # > динамическое правило с учётом состояния > сильно хочется запретить запросы к своему серверу-роутеру на 123 порт udp? > хм.. думаете ломанутся все синхронизацию "по вам" делать? такой точный сервер? ну-ну.. > тогда нужно перечислить сервера по которым ваш сервер делает синхронизацию и запретить > остальные, например, вот так в статических правилах > allow udp from me 123 to 0.freebsd.pool.ntp.org,1.freebsd.pool.ntp.org,2.freebsd.pool.ntp.org > 123 via rl0 > allow udp from 0.freebsd.pool.ntp.org,1.freebsd.pool.ntp.org,2.freebsd.pool.ntp.org > 123 to me 123 via rl0 > deny udp from any to me 123 via rl0
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру