Firewall IPFW криво работает

Belansky · Отправлено: **17:13, 21-06-2005** | #2

kryo
А причем тут тип файервола и указание на его конфиг?

Код:

firewall_enable="yes"
firewall_type="open"
firewall_script="/etc/firewall.conf"

Zira · Отправлено: **18:05, 21-06-2005** | #3

ИМХО удобнее писать в firewall.sh
тогда в rc.conf:
firewall_enable="yes"
firewall_type="UNKNOWN"
firewall_script="/etc/firewall.sh"

в firewall.sh:

#!/bin/sh

ipfw -f flush #сбрасываем все правила, что установлены ранее чтоб не накладывались

ipfw add 100 allow tcp from 10.15.1.1 to me 80 in
ipfw add 200 allow udp from 10.15.1.1 to me 80 in
и так далее...

кажись при "IP" или "all" нелья указывать какой-то определенный порт. IPFW с этим не дружит.
если два и более интерфейсов - указывать интерфейс в конце (in via lx0, например)

Твои правила вообще работать не могут по определению - ты к себе разрешил, а от себя?

Твоя машина не дает себе же отвечать на полученные запросы. Вернее она отвечает, а фойрвол находит для этого случая только одно правило - add deny all from any to any и поступает по нему. так что лучше последним поставить deny log all from any to any чтоб видеть в логе что режится. так проще отлаживать. нумерацию правил тоже лучше указать явно.

SantaXP · Отправлено: **21:27, 21-06-2005** | #4

Почитай здесь - http://www.nsd.ru/hack.php?group=unix&state=8
-------
Там очень хороший пример, как обезопасить машину с помощью ipfw.

kryo · Отправлено: **09:25, 23-06-2005** | #5

Спасибо, разобрался, SantaXP сделал как в примере. Стал делить доступ по IPшникам и портам после компиляции в ядро.

SantaXP · Отправлено: **22:16, 23-06-2005** | #6

kryo
Дык, всегда пожалуйста!

SantaXP · Отправлено: **22:32, 23-06-2005** | #7

Слушайте, у меня очень тупой вопрос.
----
Я прописал firewall_enable="YES", но не вижу его в процессах.

То есть он работает на уровне ядра и поэтому его не видно, или же, я его просто не запускаю???

FrIcE · Отправлено: **06:21, 24-06-2005** | #8

2SantaXP он работает в ядре и ты его не увидишь. Единственное, что можно увидеть - демоны пользовательского уровня, использующие DIVERT (например, natd).

SantaXP · Отправлено: **13:04, 24-06-2005** | #9

FrIcE
Но славо богу! То есть, если прописать его rc.conf, то он будет включаться по умолчанию. Хм... Хитро!

-------
А зачем тогда команды ipfw set enable/disable???

kryo · Отправлено: **13:13, 24-06-2005** | #10

Почему-то при установке на сервере (делал все то же самое) при выводе листинга ipfw -a list в конце всегда стоит правило
deny all from any to any
хотя в rc.conf задано
firewall_mode="open"
До конца еще не разобрался, подскажите пожалуйста правило для /etc/firewall.sh чтобы все юзеры сети (сеть 10.0.0.0) могли подключаться к squid-у на 3128 порт а сам серв мог (для него есть NAT) выходить в инет через шлюз 10.0.0.200 любым портом