https://opennet.ru/openforum/vsluhforumID1/84653.html У меня большая просьба:<br><br>напишите конфиг ipfw + natd (или ipfw + kernel nat) который бы делал NAT для внутр сети и пускал только на: www, ftp (активный и пассивный). все.<br><br>Заранее очень благодарен!!!<br><br><br><br><br> https://opennet.ru/openforum/vsluhforumID1/84653.html#11 Mon, 13 Apr 2009 10:27:43 GMT Еще раз спасибо, раобрался.<br><br>для внутренней сетки открыт порт 21, далее natd punch_fw и счастье для активного фтп-клиента.<br><br>а как быть с пассивным режимом? punch_fw не дырявит файерволл при пассивном клиенте!!!<br>А надо!! ))<br><br>Как быть??<br> https://opennet.ru/openforum/vsluhforumID1/84653.html#10 Wed, 08 Apr 2009 08:05:58 GMT &gt;[оверквотинг удален]<br>&gt;&gt;как оставить только ftp,smtp,pop3? <br>&gt;<br>&gt;после того как пакеты попали в это правило <br>&gt;00015 divert 8668 ip from any to any via ng0 <br>&gt;они уже не попадут сюда, так как будут иметь в качестве src <br>&gt;адрес шлюза <br>&gt;00060 allow tcp from 192.168.17.0/24 to any dst-port 20,21,22,25,110 setup <br>&gt;вот тут и думайте как реализовать, можно использовать skipto, а можно писать <br>&gt;правила только для локального интерфейса, явно описать все что можно, а <br>&gt;все что нельзя будут правила для интернет <br><br>ладно, седня опять буду штурмовать!!!!!<br><br>спасибо, tiv!<br> https://opennet.ru/openforum/vsluhforumID1/84653.html#9 Wed, 08 Apr 2009 06:52:14 GMT &gt;это не то что я хотел. <br>&gt;данный конфиг позволяет юзерам из внутр.сети обращаться на любой порт TCP наружу. <br>&gt;<br>&gt;<br>&gt;как оставить только ftp,smtp,pop3? <br><br>после того как пакеты попали в это правило<br>00015 divert 8668 ip from any to any via ng0 <br>они уже не попадут сюда, так как будут иметь в качестве src адрес шлюза<br>00060 allow tcp from 192.168.17.0/24 to any dst-port 20,21,22,25,110 setup <br>вот тут и думайте как реализовать, можно использовать skipto, а можно писать правила только для локального интерфейса, явно описать все что можно, а все что нельзя будут правила для интернет<br> https://opennet.ru/openforum/vsluhforumID1/84653.html#8 Wed, 08 Apr 2009 06:12:00 GMT это не то что я хотел.<br>данный конфиг позволяет юзерам из внутр.сети обращаться на любой порт TCP наружу.<br><br>как оставить только ftp,smtp,pop3?<br><br> https://opennet.ru/openforum/vsluhforumID1/84653.html#7 Fri, 27 Mar 2009 09:34:34 GMT все, нашел )))<br><br>natd punch_fw<br><br>спасибо всем! ))<br><br>просьба, оцените конфиг<br>-------------------------------------------<br>00001 allow ip from any to any via lo0<br>00002 allow ip from any to any via age0 // lan iface<br><br>00015 divert 8668 ip from any to any via ng0 <br>00016 allow tcp from any to any established<br>00020 allow tcp from me to any via ng0 setup<br><br>00050 allow udp from me to any dst-port 53 // dns<br>00051 allow udp from any 53 to me // dns<br>00052 allow icmp from any to any icmptypes 0,8 // icmp<br><br>00060 allow tcp from 192.168.17.0/24 to any dst-port 20,21,22,25,110 setup // users<br><br>00999 deny ip from any to any<br>-------------------------------------------<br> https://opennet.ru/openforum/vsluhforumID1/84653.html#6 Thu, 26 Mar 2009 16:50:25 GMT ------------------------ FROM HandBook ------------<br>00001 allow ip from any to any via lo0<br>00002 allow ip from any to any via age0<br>00014 divert 8668 ip from any to any in via ng0<br>00015 check-state<br>00020 skipto 800 tcp from any to any dst-port 20,21,22 out via ng0 setup keep-state<br>00021 skipto 800 tcp from any 20 to any in via ng0 setup keep-state<br>00030 skipto 800 udp from any to any dst-port 53 out via ng0 keep-state<br>00040 skipto 800 tcp from any to any dst-port 80,443 out via ng0 setup keep-state<br>00080 skipto 800 icmp from any to any out via ng0 keep-state<br>00330 deny ip from any to any frag in via ng0<br>00332 deny tcp from any to any established in via ng0<br>00400 deny log logamount 100 ip from any to any in via ng0<br>00450 deny log logamount 100 ip from any to any out via ng0<br>00800 divert 8668 ip from any to any out via ng0<br>00801 allow ip from any to any<br>00999 deny log logamount 100 ip from any to any<br>65535 allow ip from any to any<br>--------------------- end ------------------------------------- https://opennet.ru/openforum/vsluhforumID1/84653.html#5 Thu, 26 Mar 2009 07:03:46 GMT на счет PF - это запасной бронепоезд, оставлю на закуску ))<br><br>мне нужно чтобы юзеры мои ходили через НАТ на 80 и любой фтп (актив пассив). собсно все.<br>хотелось на ipfw.<br><br>еще раз: юзерам доступ только к 80 и любому фтп. все остальное - закрыто.<br><br>просто инетерсно: в хендбуке режут established, frag. другие наоборот их открывывают.. где правда? ))<br><br>Спасибо!<br> https://opennet.ru/openforum/vsluhforumID1/84653.html#4 Thu, 26 Mar 2009 06:21:59 GMT что за ftp сервер?, можно для него указать диапазон портов для пассивных соединений? <br> https://opennet.ru/openforum/vsluhforumID1/84653.html#3 Thu, 26 Mar 2009 06:13:21 GMT &gt;У меня большая просьба: <br>&gt;<br>&gt;напишите конфиг ipfw + natd (или ipfw + kernel nat) который бы <br>&gt;делал NAT для внутр сети и пускал только на: www, ftp <br>&gt;(активный и пассивный). все. <br>&gt;<br>&gt;Заранее очень благодарен!!! <br><br>попробуй лучше pf. пример конфига там же - в хэндбуке.<br>