ipfw rules

Barracuda · Отправлено: **17:11, 05-01-2006** | #2

Lanix
хм, сродни вопросу: как создать мир за семь дней?

а по конкретнее?

Lanix · Отправлено: **05:05, 10-01-2006** | #3

Ну чтоб закрить какойто порт я пишу ipfw add deny tcp all from any to any 8000.
А чтоб закрыть все порти кроме одного, мне писать каждий порт по очереди и в новой сторчке?

Мне надо оставить открытим например 5190

mar · Отправлено: **09:10, 10-01-2006** | #4

Lanix
есть и немного совсем другой вариант - открыть нужный(ые) порты, а про все остальное потом написать, что оно закрыто.
Пример подобных правил со всякими вариантами:

Код:

# определение переменной
ipfw='/sbin/ipfw -q'
# сброс правил
${ipfw} -fq flush

# использование natd
${ipfw} add divert natd all from any to any via rl0 

# Разрешаем трафик по local интерфейсу
${ipfw} add pass all from any to any via lo0

# Разрешаем трафик только в пределах локальной сети (rl1)
${ipfw} add pass all from any to any via rl1 keep-state

# Запрещаем прохождение фрагментированных пакетов
${ipfw} add deny  all from any to any frag

# Разрешаем прохождение ICMP пакетов
${ipfw} add pass ICMP from any to any

# Разрешаем  пользователям ЛОКАЛЬНОЙ сети забирать почту по POP3 протоколу (rl0 - наружный интерфейс)
${ipfw} add pass  tcp from any to any 110 out via rl0 setup keep-state

# Разрешаем работу с HTTP протоколом (всем)
${ipfw} add pass tcp from any to any 80 keep-state

# Разрешаем работу с DNS серверами
${ipfw} add pass udp from any to any 53 keep-state

# Разрешаем traceroute работать, но не достигать нас.
${ipfw} add unreach port udp from me to any 33435-33524

# Broadcasts запрещены, но не записываются.
${ipfw} add deny all from any to 255.255.255.255

# Все остальное запрещено и заносится в протокол
${ipfw} add deny log all from any to any

Lanix · Отправлено: **04:38, 02-02-2006** | #5

Подскажыте плис,что здесь не так! ???

${ipfw} add pass tcp from any to 192.168.1.1 5190 keep-state

${ipfw} add pass tcp from 192.168.1.1 to any 5190 keep-state

${ipfw} add pass ICMP from any to 192.168.1.1

${ipfw} add pass ICMP from 192.168.1.1 to any

${ipfw} add pass tcp from any to 192.168.1.1 80 keep-state

${ipfw} add pass tcp from 192.168.1.1 to any 80 keep-state

${ipfw} add pass udp from any to 192.168.1.1 53 keep-state

${ipfw} add pass udp from 192.168.1.1 to any 53 keep-state

${ipfw} add unreach port udp from 192.168.1.1 to any 33435-33524

${ipfw} add deny all from any to any via rl0

SantaXP · Отправлено: **21:04, 02-02-2006** | #6

Lanix
Ты говори для начала, что за проблема, что не работает. Тут вроде магов вуду и телепатов нет.

Lanix · Отправлено: **02:39, 03-02-2006** | #7

Просто надо зделать,чтоб работало только 3 порта (80,5190,21) на одну айпи .А всем остальным доступе не было.
Ищё если можно,надо привязать айпи к маку!

SantaXP · Отправлено: **22:30, 03-02-2006** | #8

Эх... Ты меня не понял... Тебе нужно привести пример строчек о IPFW в кончиге ядра и rc.conf. Чтобы все порты закрывались по умолчанию нужно убрать из rc.conf firewall_type="open", а так же из конфига ядра опцию, которая открывает по умолчанию все порты (на память точно не помню, может кто-нить подскажет). Разумеется, если данные строчки у тебя присутсвуют. Далее, открывать нужные тебе порты:
${ipfw} add pass tcp from any to 192.168.1.1 5190 keep-state
${ipfw} add pass tcp from 192.168.1.1 to any 5190 keep-state
и т.д.
Напиши только в чём проблемы, если данный пример не работает...