URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4578
[ Назад ]

Исходное сообщение
"Блокировка портов"
Отправлено stanlee , 16-Апр-10 13:41

Здравствуйте.
У меня открытый фаервол (IPFIREWALL_DEFAULT_TO_ACCEPT) с натом
вот с такими основными правилами
# разрешаем трафик по внутренней сети
${fwadd} allow all from any to any via ${lan_if}
# заворачиваем http трафик на сквид
${fwadd} fwd 127.0.0.1,3128 tcp from ${lan_net} to any http out via ${inet_if}
# включаем nat
${fwcmd} nat 1 config ip ${inet_ip} log
${fwadd} nat 1 all from any to ${inet_ip} in via ${inet_if}
${fwadd} nat 1 all from ${lan_net} 1024-65535 to any out via ${inet_if}
подскажите как блокировать все порты кроме определнных наражу
с открытым фаерволом путаюсь, с закрытым ка кто проще было

Содержание

Блокировка портов,Pahanivo, 15:54 , 16-Апр-10
- Блокировка портов,stanlee, 17:14 , 16-Апр-10

Сообщения в этом обсуждении

"Блокировка портов"
Отправлено Pahanivo , 16-Апр-10 15:54

>Здравствуйте.
>
>У меня открытый фаервол (IPFIREWALL_DEFAULT_TO_ACCEPT) с натом
>
>вот с такими основными правилами
>
># разрешаем трафик по внутренней сети
>${fwadd} allow all from any to any via ${lan_if}
какой трафик локалки ходит через шлюз? )
нафег это правило
#разрешаем нужное
allow udp from ${lan_net} to any dst-port 53 in via ${lan_if}
allow tcp from ${lan_net} to any dst-port 443 in via ${lan_if}
#тут незабываем скипнуть порт сквида
skipto ...
#остальное фтопку
deny all from ${lan_net} to any in via ${lan_if}

>[оверквотинг удален]
>
># включаем nat
>${fwcmd} nat 1 config ip ${inet_ip} log
>
>${fwadd} nat 1 all from any to ${inet_ip} in via ${inet_if}
>${fwadd} nat 1 all from ${lan_net} 1024-65535 to any out via ${inet_if}
>
>
>подскажите как блокировать все порты кроме определнных наражу
>с открытым фаерволом путаюсь, с закрытым ка кто проще было

"Блокировка портов"
Отправлено stanlee , 16-Апр-10 17:14

получилось такое
# разрешаем нужное
${fwadd} allow tcp from ${lan_net} to any dst-port 22,25,80,110,137,138,139,443,445,995,3306,5190 in via ${lan_if}
${fwadd} allow udp from ${lan_net} to any dst-port 53,137,138,139,445 in via ${lan_if}
# заворачиваем http трафик на сквид
${fwadd} fwd 127.0.0.1,3128 tcp from ${lan_net} to any http out via ${inet_if}
${fwadd} deny all from ${lan_net} to any in via ${lan_if}
# включаем nat
${fwcmd} nat 1 config ip ${inet_ip} log
${fwadd} nat 1 all from any to ${inet_ip} in via ${inet_if}
${fwadd} nat 1 all from ${lan_net} 1024-65535 to any out via ${inet_if}

но при таком раскладе я закрываю внутрисетевые порты, а не внешние