Апр 012011
 

Этот конфиг ipfw прост, я его выкладываю как пример.
Правила ipfw.
Рабочий конфиг намного сложнее.

#!/bin/sh
ipfw -q -f flush
Сбрасываем правила
re="re0"
Мой сетевой интерфейс
CMD="ipfw -q add "
сокращаем наши усилия по написанию
KS="keep-state"
Временна запоминаем удовлетворяющее правило соединению
SET_GOOD="{ 10.7.0.0/24 or 10.7.20.0/24 }"
Указываем подсети , вдальнейшеем будем указывать их в правилах
$CMD 100 pass all from any to any via lo0
$CMD 101 deny all from any to 127.0.0.0/8
$CMD 102 deny all from 127.0.0.0/8 to any
# Запрет на принятие/отправку пакетов петли
$CMD 500 check-state
#Проверка на соответствие виртуальных правилам.
$CMD 502 deny all from any to any frag
$CMD 501 deny tcp from any to any established
#запрещаем уже установленные соединения.
$CMD 600 allow tcp from any to any out via $re setup $KS
$CMD 601 allow udp from any to any out via $re $KS
$CMD 700 allow tcp from any to any 80 in via $re setup $KS
$CMD 701 allow tcp from 10.7.20.0/24 to any 22 in via $re setup $KS
$CMD 702 allow udp from ${SET_GOOD} to 10.7.20.0/24 137,138,139,445 $KS
$CMD 703 allow tcp from ${SET_GOOD} to 10.7.20.0/24 137,138,139,445 $KS
#$CMD 702 allow udp from 10.7.20.0/24 to 10.7.20.0/24 137,138,139,445 $KS
#$CMD 703 allow tcp from 10.7.20.0/24 to 10.7.20.0/24 137,138,139,445 $KS
$CMD 704 allow tcp from 10.7.20.0/24 to 10.7.20.210 dst-port 110,25
$CMD 705 allow udp from 10.7.0.0/24 to 10.7.20.210 dst-port 53,123 $KS
# Разрешаем соединения к нашему порту ssh только из нашей под сети.
#Создание виртуальных правил (keep-state), пропускающие (allow) пакеты для #соединений, которые инициированы (setup) вами (out via re0).
# Проты использующиеся самбой 137,138,139,445
#Также 53,123 разрешаеться
# И почта 110,25
$CMD 900 allow icmp from any to any any icmptype 8
$CMD 901 allow icmp from any to any any icmptype 0
#Разрешаем пинг на нас и от нас.

 Leave a Reply

(required)

(required)

37 Запросов к базе. 0,351 Генерации страницы, 36MB Использование памяти.
Вы зашли с IP: 54.198.210.67