https://www.opennet.ru/openforum/vsluhforumID10/3872.html Доброго всем времени суток.<br>Товарищи форумчане помогите с конфигом (PF). Собственно все настроено и работает, но есть непреодалимое желание улучшить внешнюю безопасность путем ограничения открытых портов снаружи. Подскажите рекомендации по этому вопросу.<br>Заранее благодарен. Конфиг PF прилагается.<br><br>ext_if="rl1"<br>int_if="rl0"<br><br>set limit frags 20000<br>set limit src-nodes 2000<br>set limit tables 1000<br>set limit table-entries 100000<br>#set ruleset-optimization basic<br>set skip on lo0<br><br>#scrub in on $ext_if all fragment reassemble<br><br><br>nat on $ext_if from {$int_if:network} to any -&gt; ($ext_if)<br>rdr on $int_if proto {tcp,udp} from {$int_if:network} to any port {http,https} -&gt; 127.0.0.1 port 3128<br><br>block in quick from no-route to any<br>block in quick from urpf-failed to any<br>#block log on $ext_if from {!$int_if:network} to any<br>block in quick on $ext_if from any to 255.255.255.255<br>block in log quick on $ext_if from {10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 255.255.255.255/32} to any<br>block in quick on $ext_if pr https://www.opennet.ru/openforum/vsluhforumID10/3872.html#7 Wed, 22 Jul 2009 19:32:02 GMT Внимание на слово quick (и на его отсутствие в первом правиле).<br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/3872.html#6 Wed, 22 Jul 2009 11:50:03 GMT &gt;Если у нас в правилах первым стоит <br>&gt;[CODE] bloсk all [/CODE] <br>&gt;нужны ли эти правила <br>&gt;[CODE] <br>&gt;block in quick from 240.0.0.0/4 <br>&gt;block in quick to 240.0.0.0/4 <br>&gt;[/CODE] <br><br>не нужны. если хочешь, то теперь на эти адреса придется писать отдельное разрешение <br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/3872.html#5 Mon, 07 Jul 2008 06:10:37 GMT &gt;[оверквотинг удален]<br>&gt;antispoof log quick for $ext_if <br>&gt;<br>&gt;#Усложним жизнь придуркам - II <br>&gt;pass in quick proto tcp tagged scanning flags S/SA modulate state <br>&gt;table &lt;ssh-bruteforce&gt; persist<br>&gt;block in quick proto tcp from &lt;ssh-bruteforce&gt; to $ext_if port ssh probability 75%<br>&gt;pass in quick on $ext_if proto tcp to $ext_if port ssh flags <br>&gt;S/SA modulate state \ <br>&gt; (max-src-conn-rate 4/180, overload &lt;ssh-bruteforce&gt; flush)<br>&gt;[/CODE] <br><br>Если у нас в правилах первым стоит <br>[CODE] bloсk all [/CODE]<br>нужны ли эти правила<br>[CODE]<br>block in quick from 240.0.0.0/4<br>block in quick to 240.0.0.0/4<br>[/CODE]<br>К тому же pf по дуфолту ставит политику блокировки [CODE]drop[/CODE]<br> https://www.opennet.ru/openforum/vsluhforumID10/3872.html#4 Sun, 06 Jul 2008 20:19:00 GMT Спасибо тебе добрый человек. В понедельник попробую реализовать то что ты сказал.<br>Самое интересное что при:<br>set skip on lo0<br><br>команда rndc не работает. Она должна в соответсвии с праввилом работать ан нет.<br>Еще раз спасибо.<br> https://www.opennet.ru/openforum/vsluhforumID10/3872.html#3 Sat, 05 Jul 2008 12:36:21 GMT За значениями ключевых слов - в маны. Если что-то будет не понятно - объясню.<br>Читаем конфиг с начала:<br><br>0. Первое правило должно быть <br>[CODE]<br>block all<br>[/CODE]<br>Реализуем принцип 'запрещено все что не разрешено'. Далее все правила кот. начинаются с 'block in quick', на мой взгляд лишние.<br><br>1.1 rdr и nat. Стоит 'to any', что подразумевает "ко всем", т.е. и к самому роутеру тоже. В принципе ничего страшного, но лучше заменить на 'to !(self)' - теоретически правильнее.<br><br>1.2 В rdr стоит 'proto {tcp,udp}' теоретически верно, но практически udp использоваться не будет. По этому меняем на 'proto tcp'.<br><br>2. [CODE]pass in quick from $int_if:network to $int_if[/CODE] не мешалобы указать интерфейс, протоколы и порты. Например:<br>[CODE]<br>pass in quick on $int_if proto tcp from $int_if:network to $int_if port ssh modulate state flags S/SA<br>[/CODE]<br><br>3. [CODE] pass on $ext_if inet proto icmp all icmp-type 8 code 0[/CODE] 'all' тут явно лишнее. Меняем, например на:<br>[CODE]<br>pass on $ext_if inet proto icmp to $ext_i https://www.opennet.ru/openforum/vsluhforumID10/3872.html#2 Sat, 05 Jul 2008 08:30:48 GMT &gt;1. Плохой конфиг - много лишнего, нету нужного. Да и вообще так <br>&gt;не делается... <br>&gt;2. С наружи закрыть все просто - block in on $ext_if all, <br>&gt;но я бы переработал конфиг с нуля. <br><br>Сошласен, конфиг очень плох. Поэтому и прошу помощи. Дайте наиболее значимые рекомендации по переписке. man'ами уже раскурился так что крыша едет и в голове одна каша. <br><br> https://www.opennet.ru/openforum/vsluhforumID10/3872.html#1 Fri, 04 Jul 2008 17:52:58 GMT 1. Плохой конфиг - много лишнего, нету нужного. Да и вообще так не делается...<br>2. С наружи закрыть все просто - block in on $ext_if all, но я бы переработал конфиг с нуля.<br>