https://opennet.ru/openforum/vsluhforumID3/38020.html Пример структурирования правил фильтра пакетов ipfw во FreeBSD <br>с целью упрощения их восприятия и уменьшения вероятности допущения ошибок.<br><br>Исторически так сложилось, что правила файрвола в rc.firewall написаны в плохом и труднопонимаемом стиле: <br>входящие и исходящие пакеты проходят один и тот же набор правил. <br>Многие используют этот скрипт как образец для написания собственного набора правил и<br>наступают на одни и те же грабли. Как минимум, с натом. На самом деле ipfw очень удобен, <br>если писать список правил как некую программу - с разбиением на мелкие подпрограммы (блоки) <br>и добавлением комментариев. При этом надо руководствоваться рядом<br>соглашений:<br><br><br>1. Весь трафик первым делом делится на входящий и исходящий. <br>Каждый вид трафика обрабатывается в отдельном блоке. <br>В качестве еще одного блока можно выделить трафик через интерфейс lo0. <br>Слова in и out после первоначального разделения трафика не<br>используются.<br><br><br>2. Входящий трафик делится на а) трафик, адресованный данному серверу; <br>б) броа https://opennet.ru/openforum/vsluhforumID3/38020.html#16 Thu, 13 Aug 2009 08:19:58 GMT Тема active ftp не раскрыта совершенно :(<br> https://opennet.ru/openforum/vsluhforumID3/38020.html#15 Wed, 02 Jan 2008 16:43:07 GMT Может немного не в тему, но у автора всё так просто с броадкастами. У меня на FreeBSD 6.1 не получается их обрабатывать вообще. Может быть, надо какую-то опцию, где-нить в ядре включить/отключить (может не IPFW виновен), но броадкасты, кроме ARP и DHCP не ходят. Файер их видит, но они никуда больше не попадают. Как, например, форвардить броадкаст-пакеты (ну скажем, NetBIOS) на какой-нибудь порт?<br><br>Ещё лучше было бы, их просто маршрутизировать между подсетями. Кто знает, как это сделать (желательно без бриджинга и туннелинга), подскажите. Заранее благодарен.<br><br>PS: на ответы типа "эта тема стара как мир и полно ифы", "гугли и всё поймёшь" и т.д., сразу скажу, что так и не нашёл, где роутинг броадкастов описан, так сказать, "под ключ" (и желательно для чайника). Полемику типа "броадкасты нужны или не нужны", думаю тоже разводить не стоит.<br> https://opennet.ru/openforum/vsluhforumID3/38020.html#14 Sat, 15 Sep 2007 11:46:24 GMT правда справедливости ради надо заметить, что человек, скорее всего, и не планировал там адрес локалки ловить (что, вообщем-то, упущение), тогда действительно, сработает с трансляцией ДО<br> https://opennet.ru/openforum/vsluhforumID3/38020.html#13 Sat, 15 Sep 2007 11:45:09 GMT там надо бы добавочку внести по-поводу НАТа ДО антиспуфинга во входящем трафе<br>если вписать вместо %global.internal такие вещи (их не должно быть на внешнем интерфейсе. если есть, значит атака на сервер с подменой адресов):<br>192.168.0.0/16<br>0.0.0.0/8<br>172.16.0.0/12<br>224.0.0.0/4<br>240.0.0.0/4<br>192.168.0.0/24<br><br>то получим:<br>приходит пакет из инета с адресом нашего внешнего интерфейса к васе пупкину, преобразуется за просто так в адрес васи (192.168.15.10 с маской 255.255.255.0), при этом всё ещё остаётся на внешнем интерфейсе. потом делает тук-тук об фаерволл и втыкает в правило deny 192.168.0.0/24 на внешнем интерфейсе. а это, между прочим, адрес нашей локалки.<br>в результате вася сидит - балдеет, потому что "не работает", а админ ловит шишки.<br><br>сдаётся мне, правильнее было бы запрет на появление на внешнем интерфейсе входящего трафа с зарезервированными адресами для локалок, ставить ДО НАТа и тогда можно было бы даже адрес родной локалки указать на запрет, потому что её до трансляции там тоже быть не должно в https://opennet.ru/openforum/vsluhforumID3/38020.html#12 Tue, 28 Aug 2007 09:02:23 GMT pf-nat доточи до natd - тогда и пользовать начнём pf.<br> https://opennet.ru/openforum/vsluhforumID3/38020.html#11 Sun, 26 Aug 2007 19:33:31 GMT Много красивее использовать для этой задачи что-нибудь вроде hlfl.<br> https://opennet.ru/openforum/vsluhforumID3/38020.html#10 Fri, 10 Aug 2007 11:38:29 GMT # Запрещаем соединения на 80 порт (samba)<br> https://opennet.ru/openforum/vsluhforumID3/38020.html#9 Tue, 07 Aug 2007 08:29:15 GMT &gt;# NAT-трансляция входящих пакетов <br>&gt;$fwcmd add 700 divert 8668 ip from any to # NAT-трансляция входящих пакетов<br><br>$fwcmd add 700 divert 8668 ip from any to %ip.nat $recv_iface_inet $recv_iface_inet <br>&gt;<br>&gt;##----------------------------------------------------------------------------- <br>&gt;## Антиспуфинг (нумерация с 1000) <br>&gt;##----------------------------------------------------------------------------- <br>&gt;<br>&gt;# Интерфейсы Интернета <br>&gt;$fwcmd add 1000 deny log ip from %global.internal to any $recv_iface_inet <br><br>Что есть %ip.nat и %global.internal в этих правилах? <br> https://opennet.ru/openforum/vsluhforumID3/38020.html#8 Tue, 07 Aug 2007 08:11:47 GMT Супер!!! :)<br>Вот это работа!<br>