forum.opennet.ru - "Блокировка портов" (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Блокировка портов"

Форумы Информационная безопасность (BSD ipfw, ipf, ip-filter / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Блокировка портов"		+/–
Сообщение от stanlee (ok) on 16-Апр-10, 13:41
Здравствуйте. У меня открытый фаервол (IPFIREWALL_DEFAULT_TO_ACCEPT) с натом вот с такими основными правилами # разрешаем трафик по внутренней сети ${fwadd} allow all from any to any via ${lan_if} # заворачиваем http трафик на сквид ${fwadd} fwd 127.0.0.1,3128 tcp from ${lan_net} to any http out via ${inet_if} # включаем nat ${fwcmd} nat 1 config ip ${inet_ip} log ${fwadd} nat 1 all from any to ${inet_ip} in via ${inet_if} ${fwadd} nat 1 all from ${lan_net} 1024-65535 to any out via ${inet_if} подскажите как блокировать все порты кроме определнных наражу с открытым фаерволом путаюсь, с закрытым ка кто проще было
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Блокировка портов, Pahanivo, 15:54 , 16-Апр-10, (1)

Блокировка портов, stanlee, 17:14 , 16-Апр-10, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "Блокировка портов" +/–

Сообщение от Pahanivo (ok) on 16-Апр-10, 15:54

>Здравствуйте.
>
>У меня открытый фаервол (IPFIREWALL_DEFAULT_TO_ACCEPT) с натом
>
>вот с такими основными правилами
>
># разрешаем трафик по внутренней сети
>${fwadd} allow all from any to any via ${lan_if}
какой трафик локалки ходит через шлюз? )
нафег это правило
#разрешаем нужное
allow udp from ${lan_net} to any dst-port 53 in via ${lan_if}
allow tcp from ${lan_net} to any dst-port 443 in via ${lan_if}
#тут незабываем скипнуть порт сквида
skipto ...
#остальное фтопку
deny all from ${lan_net} to any in via ${lan_if}

>[оверквотинг удален]
>
># включаем nat
>${fwcmd} nat 1 config ip ${inet_ip} log
>
>${fwadd} nat 1 all from any to ${inet_ip} in via ${inet_if}
>${fwadd} nat 1 all from ${lan_net} 1024-65535 to any out via ${inet_if}
>
>
>подскажите как блокировать все порты кроме определнных наражу
>с открытым фаерволом путаюсь, с закрытым ка кто проще было

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Блокировка портов" +/–

Сообщение от stanlee (ok) on 16-Апр-10, 17:14

получилось такое
# разрешаем нужное
${fwadd} allow tcp from ${lan_net} to any dst-port 22,25,80,110,137,138,139,443,445,995,3306,5190 in via ${lan_if}
${fwadd} allow udp from ${lan_net} to any dst-port 53,137,138,139,445 in via ${lan_if}
# заворачиваем http трафик на сквид
${fwadd} fwd 127.0.0.1,3128 tcp from ${lan_net} to any http out via ${inet_if}
${fwadd} deny all from ${lan_net} to any in via ${lan_if}
# включаем nat
${fwcmd} nat 1 config ip ${inet_ip} log
${fwadd} nat 1 all from any to ${inet_ip} in via ${inet_if}
${fwadd} nat 1 all from ${lan_net} 1024-65535 to any out via ${inet_if}

но при таком раскладе я закрываю внутрисетевые порты, а не внешние

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Блокировка портов"		+/–
Сообщение от Pahanivo (ok) on 16-Апр-10, 15:54
>Здравствуйте. > >У меня открытый фаервол (IPFIREWALL_DEFAULT_TO_ACCEPT) с натом > >вот с такими основными правилами > ># разрешаем трафик по внутренней сети >${fwadd} allow all from any to any via ${lan_if} какой трафик локалки ходит через шлюз? ) нафег это правило #разрешаем нужное allow udp from ${lan_net} to any dst-port 53 in via ${lan_if} allow tcp from ${lan_net} to any dst-port 443 in via ${lan_if} #тут незабываем скипнуть порт сквида skipto ... #остальное фтопку deny all from ${lan_net} to any in via ${lan_if} >[оверквотинг удален] > ># включаем nat >${fwcmd} nat 1 config ip ${inet_ip} log > >${fwadd} nat 1 all from any to ${inet_ip} in via ${inet_if} >${fwadd} nat 1 all from ${lan_net} 1024-65535 to any out via ${inet_if} > > >подскажите как блокировать все порты кроме определнных наражу >с открытым фаерволом путаюсь, с закрытым ка кто проще было
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "Блокировка портов"		+/–
	Сообщение от stanlee (ok) on 16-Апр-10, 17:14
	получилось такое # разрешаем нужное ${fwadd} allow tcp from ${lan_net} to any dst-port 22,25,80,110,137,138,139,443,445,995,3306,5190 in via ${lan_if} ${fwadd} allow udp from ${lan_net} to any dst-port 53,137,138,139,445 in via ${lan_if} # заворачиваем http трафик на сквид ${fwadd} fwd 127.0.0.1,3128 tcp from ${lan_net} to any http out via ${inet_if} ${fwadd} deny all from ${lan_net} to any in via ${lan_if} # включаем nat ${fwcmd} nat 1 config ip ${inet_ip} log ${fwadd} nat 1 all from any to ${inet_ip} in via ${inet_if} ${fwadd} nat 1 all from ${lan_net} 1024-65535 to any out via ${inet_if} но при таком раскладе я закрываю внутрисетевые порты, а не внешние
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору