URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 25949
[ Назад ]

Исходное сообщение
"прокоментируйте правила ipfw"
Отправлено AlexBSD , 03-Фев-03 22:01

/sbin/ipfw add divert natd all from any to any via xl0
/sbin/ipfw add pass all from any to any via lo0
/sbin/ipfw add deny all from any to 127.0.0.0/8
/sbin/ipfw add deny ip from 127.0.0.0/8 to any
/sbin/ipfw add pass tcp from any to 10.1.1.1 80 in via xl1
/sbin/ipfw add fwd 10.1.1.1,3128 tcp from any to any 80 in via xl1
/sbin/ipfw add deny tcp from any 135-139 to any in via xl1
/sbin/ipfw add deny tcp from any to any 135-139 out via xl1
/sbin/ipfw add pass tcp from any to any 1024-65535 out via xl1
/sbin/ipfw add pass tcp from any 1024-65535 to any in via xl1
/sbin/ipfw add pass udp from any to any 1024-65535 out via xl1
/sbin/ipfw add pass udp from any 1024-65535 to any in via xl1
/sbin/ipfw deny all from any to any
xl0 - инет
xl1 - lan
если можно подкорректируйте правила...на усовершенствование...
спасибо заранее

Содержание

RE: прокоментируйте правила ipfw,AlexBSD, 22:51 , 03-Фев-03
- RE: прокоментируйте правила ipfw,Anonymous, 06:38 , 04-Фев-03

Сообщения в этом обсуждении

"RE: прокоментируйте правила ipfw"
Отправлено AlexBSD , 03-Фев-03 22:51

>/sbin/ipfw add divert natd all from any to any via xl0
>/sbin/ipfw add pass all from any to any via lo0
>/sbin/ipfw add deny all from any to 127.0.0.0/8
>/sbin/ipfw add deny ip from 127.0.0.0/8 to any
>/sbin/ipfw add pass tcp from any to 10.1.1.1 80 in via xl1
>
>/sbin/ipfw add fwd 10.1.1.1,3128 tcp from any to any 80 in via
>xl1
>/sbin/ipfw add deny tcp from any 135-139 to any in via xl1
>
>/sbin/ipfw add deny tcp from any to any 135-139 out via xl1
>
>/sbin/ipfw add pass tcp from any to any 1024-65535 out via xl1
>
>/sbin/ipfw add pass tcp from any 1024-65535 to any in via xl1
>
>/sbin/ipfw add pass udp from any to any 1024-65535 out via xl1
>
>/sbin/ipfw add pass udp from any 1024-65535 to any in via xl1
>
>/sbin/ipfw deny all from any to any
>xl0 - инет
>xl1 - lan
>если можно подкорректируйте правила...на усовершенствование...
>спасибо заранее
вот заменил ещё...
дмверт поставил перед правилом /sbin/ipfw deny all from any to any , чтобы девертилось только то что разрешено...
и добавил:
/sbin/ipfw add pass icmp from any to 192.168.0.2 in via xl0 icmptype 0,3,4,11,12
/sbin/ipfw add pass icmp from 192.168.0.2 to any out via xl0 icmptype 3,8,12
/sbin/ipfw add pass icmp from 192.168.0.2 to any out via xl0 frag
/sbin/ipfw add deny log icmp from any to any in via xl0
xl0 - 192.168.0.2
xl1 - 10.1.1.1

"RE: прокоментируйте правила ipfw"
Отправлено Anonymous , 04-Фев-03 06:38

/sbin/ipfw add divert natd all from any to any via xl0
/sbin/ipfw add pass all from any to any via lo0
/sbin/ipfw add deny all from any to 127.0.0.0/8
/sbin/ipfw add deny ip from 127.0.0.0/8 to any
/sbin/ipfw add pass tcp from any to 10.1.1.1 80 in via xl1
Если есть такое надо бы и в обратую сторону
/sbin/ipfw add fwd 10.1.1.1,3128 tcp from any to any 80 in via xl1
/sbin/ipfw add deny tcp from any 135-139 to any in via xl1
/sbin/ipfw add deny tcp from any to any 135-139 out via xl1
Эти два правила излишни так как политика по-умолчанию закрыть все.
Хотя и не мешают.
/sbin/ipfw add pass tcp from any to any 1024-65535 out via xl1
/sbin/ipfw add pass tcp from any 1024-65535 to any in via xl1
/sbin/ipfw add pass udp from any to any 1024-65535 out via xl1
/sbin/ipfw add pass udp from any 1024-65535 to any in via xl1
/sbin/ipfw add pass icmp from any to 192.168.0.2 in via xl0 icmptype 0,3,4,11,12
/sbin/ipfw add pass icmp from 192.168.0.2 to any out via xl0 icmptype 3,8,12
/sbin/ipfw add pass icmp from 192.168.0.2 to any out via xl0 frag
/sbin/ipfw add deny log icmp from any to any in via xl0
Для внтуренних хостов конечно можно ограничить, но лучше уделить внимание внешнему интерфейсу.
/sbin/ipfw deny all from any to any