![]() |
Внимание, важное сообщение: Дорогие Друзья!
В ноябре далекого 2001 года мы решили создать сайт и форум, которые смогут помочь как начинающим, так и продвинутым пользователям разобраться в операционных системах. В 2004-2006г наш проект был одним из самых крупных ИТ ресурсов в рунете, на пике нас посещало более 300 000 человек в день! Наша документация по службам Windows и автоматической установке помогла огромному количеству пользователей и сисадминов. Мы с уверенностью можем сказать, что внесли большой вклад в развитие ИТ сообщества рунета. Но... время меняются, приоритеты тоже. И, к сожалению, пришло время сказать До встречи! После долгих дискуссий было принято решение закрыть наш проект. 1 августа форум переводится в режим Только чтение, а в начале сентября мы переведем рубильник в положение Выключен Огромное спасибо за эти 24 года, это было незабываемое приключение. Сказать спасибо и поделиться своей историей можно в данной теме. С уважением, ваш призрачный админ, BigMac... |
|
Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по FreeBSD » ipfw rules |
|
ipfw rules
|
Новый участник Сообщения: 17 |
Привет...Подскажыте плиз. Есть сервак в локаке, в ipfw открыто всьо.надо всьо закрыть,и оставить доступ только к протоколам ping и ICQ (порт 5190)
За ранее благодарен. |
|
Отправлено: 02:25, 05-01-2006 |
![]() Редкий гость Сообщения: 1769
|
Профиль | Сайт | Отправить PM | Цитировать Lanix
хм, сродни вопросу: как создать мир за семь дней? ![]() а по конкретнее? |
------- Отправлено: 17:11, 05-01-2006 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 17
|
Профиль | Отправить PM | Цитировать Ну чтоб закрить какойто порт я пишу ipfw add deny tcp all from any to any 8000.
А чтоб закрыть все порти кроме одного, мне писать каждий порт по очереди и в новой сторчке? ![]() ![]() Мне надо оставить открытим например 5190 |
Отправлено: 05:05, 10-01-2006 | #3 |
just mar Сообщения: 3906
|
Профиль | Отправить PM | Цитировать Lanix
есть и немного совсем другой вариант - открыть нужный(ые) порты, а про все остальное потом написать, что оно закрыто. Пример подобных правил со всякими вариантами: # определение переменной ipfw='/sbin/ipfw -q' # сброс правил ${ipfw} -fq flush # использование natd ${ipfw} add divert natd all from any to any via rl0 # Разрешаем трафик по local интерфейсу ${ipfw} add pass all from any to any via lo0 # Разрешаем трафик только в пределах локальной сети (rl1) ${ipfw} add pass all from any to any via rl1 keep-state # Запрещаем прохождение фрагментированных пакетов ${ipfw} add deny all from any to any frag # Разрешаем прохождение ICMP пакетов ${ipfw} add pass ICMP from any to any # Разрешаем пользователям ЛОКАЛЬНОЙ сети забирать почту по POP3 протоколу (rl0 - наружный интерфейс) ${ipfw} add pass tcp from any to any 110 out via rl0 setup keep-state # Разрешаем работу с HTTP протоколом (всем) ${ipfw} add pass tcp from any to any 80 keep-state # Разрешаем работу с DNS серверами ${ipfw} add pass udp from any to any 53 keep-state # Разрешаем traceroute работать, но не достигать нас. ${ipfw} add unreach port udp from me to any 33435-33524 # Broadcasts запрещены, но не записываются. ${ipfw} add deny all from any to 255.255.255.255 # Все остальное запрещено и заносится в протокол ${ipfw} add deny log all from any to any |
Отправлено: 09:10, 10-01-2006 | #4 |
Новый участник Сообщения: 17
|
Профиль | Отправить PM | Цитировать Подскажыте плис,что здесь не так! ???
${ipfw} add pass tcp from any to 192.168.1.1 5190 keep-state ${ipfw} add pass tcp from 192.168.1.1 to any 5190 keep-state ${ipfw} add pass ICMP from any to 192.168.1.1 ${ipfw} add pass ICMP from 192.168.1.1 to any ${ipfw} add pass tcp from any to 192.168.1.1 80 keep-state ${ipfw} add pass tcp from 192.168.1.1 to any 80 keep-state ${ipfw} add pass udp from any to 192.168.1.1 53 keep-state ${ipfw} add pass udp from 192.168.1.1 to any 53 keep-state ${ipfw} add unreach port udp from 192.168.1.1 to any 33435-33524 ${ipfw} add deny all from any to any via rl0 |
|
Отправлено: 04:38, 02-02-2006 | #5 |
![]() Старожил Сообщения: 453
|
Профиль | Отправить PM | Цитировать Lanix
Ты говори для начала, что за проблема, что не работает. Тут вроде магов вуду и телепатов нет. ![]() |
------- Отправлено: 21:04, 02-02-2006 | #6 |
Новый участник Сообщения: 17
|
Профиль | Отправить PM | Цитировать Просто надо зделать,чтоб работало только 3 порта (80,5190,21) на одну айпи .А всем остальным доступе не было.
Ищё если можно,надо привязать айпи к маку! |
Отправлено: 02:39, 03-02-2006 | #7 |
![]() Старожил Сообщения: 453
|
Профиль | Отправить PM | Цитировать Эх... Ты меня не понял... Тебе нужно привести пример строчек о IPFW в кончиге ядра и rc.conf. Чтобы все порты закрывались по умолчанию нужно убрать из rc.conf firewall_type="open", а так же из конфига ядра опцию, которая открывает по умолчанию все порты (на память точно не помню, может кто-нить подскажет). Разумеется, если данные строчки у тебя присутсвуют. Далее, открывать нужные тебе порты:
${ipfw} add pass tcp from any to 192.168.1.1 5190 keep-state ${ipfw} add pass tcp from 192.168.1.1 to any 5190 keep-state и т.д. Напиши только в чём проблемы, если данный пример не работает... |
------- Отправлено: 22:30, 03-02-2006 | #8 |
![]() |
Участник сейчас на форуме |
![]() |
Участник вне форума |
![]() |
Автор темы |
![]() |
Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
FreeBSD - freebsd and ipfw rules + squid | kirimey | Общий по FreeBSD | 2 | 24-04-2009 18:58 | |
FreeBSD - IPFW через какие правила прошел пакет / debuging ipfw | lcat | Общий по FreeBSD | 2 | 03-02-2009 10:24 | |
FreeBSD - Firewall rules ifpw out recv | lcat | Общий по FreeBSD | 1 | 29-05-2008 14:41 | |
FreeBSD - IPFW | fenix152 | Общий по FreeBSD | 5 | 07-02-2008 08:33 | |
chown rules info | EndErr | Общий по Linux | 3 | 17-04-2007 18:02 |
|