https://ns.opennet.ru/openforum/vsluhforumID10/3323.html # /etc/rc.firewall close<br>Flushed all rules.<br>00050 check-state<br>00100 allow ip from any to any via lo0<br>00200 deny ip from any to 127.0.0.0/8<br>00300 deny ip from 127.0.0.0/8 to any<br>00400 deny ip from 192.168.120.0/24 to any in via rl0<br>00500 deny ip from 10.10.10.0/30 to any in via vr0<br>00600 divert 8668 ip from any to any via rl0<br>00700 allow tcp from any to any established<br>00800 allow ip from any to any frag<br>00900 allow tcp from any to 10.10.10.2 dst-port 25<br>01000 allow tcp from 192.168.120.88 to any dst-port 25<br>01100 deny ip from 192.168.120.0/24 to any dst-port 25<br>01200 allow ip from 192.168.120.0/24 to any dst-port 21 keep-state<br>01300 allow udp from 10.10.10.2 to any dst-port 53 keep-state<br>01400 allow udp from 10.10.10.2 to any dst-port 123 keep-state<br>01500 allow tcp from 10.10.10.2 to 82.207.х.х dst-port 1433 keep-state<br>01600 allow udp from 10.10.10.2 to 82.207.х.х dst-port 1433 keep-state<br>01700 allow tcp from any to 82.207.х.х dst-port 3389<br>01800 allow ip from 192.168.120.0/24 to 192.168.1 https://ns.opennet.ru/openforum/vsluhforumID10/3323.html#10 Fri, 26 Oct 2007 06:40:29 GMT &gt;<br>&gt;&gt;Еще вопрос, а где нужно NAT тулить? Имеет ли принципиальное значение <br>&gt;&gt;в начале или в конце правил? <br>&gt;<br>&gt;В начале. <br>&gt;Во-первых через него попадет почтив есь траффик и firewall не будет <br>&gt;перебирать правила. <br>&gt;Во-вторых допустить ошибку в начале будет меньше шансов :) <br><br>По необходимости и здравому смыслу. Например, если висит внутренний почтарь, я не вижу никакой необходимости гонять его траффик через nat. И после nata пакет всё-одно вываливается на следующее за divert правило.<br> https://ns.opennet.ru/openforum/vsluhforumID10/3323.html#8 Tue, 03 Jul 2007 09:43:15 GMT &gt;2Covax, так то оно так, но еще следует учесть что при отсутствии <br>&gt;этой опции в ядре, нельзя перезапускать правила фаервола зайдя на серв <br>&gt;через ssh. (коннект отваливаеться) <br>Можно. Читайте документацию.<br><br><br> https://ns.opennet.ru/openforum/vsluhforumID10/3323.html#7 Mon, 02 Jul 2007 11:51:08 GMT 2Covax, так то оно так, но еще следует учесть что при отсутствии этой опции в ядре, нельзя перезапускать правила фаервола зайдя на серв через ssh. (коннект отваливаеться)<br>Поэтому лучше в последней строке описания правил писать deny all from any to any. https://ns.opennet.ru/openforum/vsluhforumID10/3323.html#6 Sat, 16 Jun 2007 01:43:04 GMT <br>&gt;Еще вопрос, а где нужно NAT тулить? Имеет ли принципиальное значение <br>&gt;в начале или в конце правил? <br><br>В начале.<br>Во-первых через него попадет почтив есь траффик и firewall не будет перебирать правила.<br>Во-вторых допустить ошибку в начале будет меньше шансов :)<br> https://ns.opennet.ru/openforum/vsluhforumID10/3323.html#5 Fri, 01 Jun 2007 14:17:25 GMT &gt;&gt;&gt;<br>&gt;&gt;&gt;Check Your kernel config for: IPFIREWALL_DEFAULT_TO_ACCEPT <br>&gt;&gt;<br>&gt;&gt;Это я понимаю нужно в ядре искать и потом перекомпилировать ядро или <br>&gt;&gt;<br>&gt;&gt;можно где-то переменную поменять? <br>&gt;<br>&gt;<br>&gt;А смысл менять? Делаешь правило с номером 65534 какое тебе надо и <br>&gt;всё. <br><br><br>Спасибо так и сделал.<br>Еще вопрос, а где нужно NAT тулить? Имеет ли принципиальное значение<br>в начале или в конце правил?<br> https://ns.opennet.ru/openforum/vsluhforumID10/3323.html#4 Fri, 01 Jun 2007 14:08:44 GMT &gt;&gt;<br>&gt;&gt;Check Your kernel config for: IPFIREWALL_DEFAULT_TO_ACCEPT <br>&gt;<br>&gt;Это я понимаю нужно в ядре искать и потом перекомпилировать ядро или <br>&gt;<br>&gt;можно где-то переменную поменять? <br><br><br>А смысл менять? Делаешь правило с номером 65534 какое тебе надо и всё.<br> https://ns.opennet.ru/openforum/vsluhforumID10/3323.html#3 Fri, 01 Jun 2007 14:01:57 GMT &gt;<br>&gt;Check Your kernel config for: IPFIREWALL_DEFAULT_TO_ACCEPT <br><br>Это я понимаю нужно в ядре искать и потом перекомпилировать ядро или <br>можно где-то переменную поменять?<br> https://ns.opennet.ru/openforum/vsluhforumID10/3323.html#2 Fri, 01 Jun 2007 14:01:14 GMT Правило 65535 внутренне в ipfw и выставляется в соответствии с параметром IPFIREWALL_DEFAULT_TO_ACCEPT. Если этот параметр есть, то всё разрешено, если нет, то запрещено. Поменять его нельзя. https://ns.opennet.ru/openforum/vsluhforumID10/3323.html#1 Fri, 01 Jun 2007 13:55:36 GMT &gt;# /etc/rc.firewall close <br>&gt;Flushed all rules. <br>&gt;00050 check-state <br>&gt;00100 allow ip from any to any via lo0 <br>&gt;00200 deny ip from any to 127.0.0.0/8 <br>&gt;00300 deny ip from 127.0.0.0/8 to any <br>&gt;00400 deny ip from 192.168.120.0/24 to any in via rl0 <br>&gt;00500 deny ip from 10.10.10.0/30 to any in via vr0 <br>&gt;00600 divert 8668 ip from any to any via rl0 <br>&gt;00700 allow tcp from any to any established <br>&gt;00800 allow ip from any to any frag <br>&gt;00900 allow tcp from any to 10.10.10.2 dst-port 25 <br>&gt;01000 allow tcp from 192.168.120.88 to any dst-port 25 <br>&gt;01100 deny ip from 192.168.120.0/24 to any dst-port 25 <br>&gt;01200 allow ip from 192.168.120.0/24 to any dst-port 21 keep-state <br>&gt;01300 allow udp from 10.10.10.2 to any dst-port 53 keep-state <br>&gt;01400 allow udp from 10.10.10.2 to any dst-port 123 keep-state <br>&gt;01500 allow tcp from 10.10.10.2 to 82.207.х.х dst-port 1433 keep-state <br>&gt;01600 allow udp from 10.10.10.2 to 82.207.х.х dst-port 1433 keep-state <br>&gt;01700 allow tcp from any to 82.207.х.х dst-port 3389 <br>&gt;01800 al