Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (BSD ipfw, ipf, ip-filter / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"ipfw: разрешить доступ к серверу только из двух сетей"	+/–
Сообщение от alexy (ok), 16-Авг-18, 07:56
Здравствуйте. Давно не брал я в руки шашек, т.е. давненько не трогал настройки своего сервера FreeBSD. Встала задача закрыть любой доступ к имеющемуся серверу со всех сетей, кроме пары, принадлежащих моему предприятию. Сетевой интерфейс один. Сети две, разделённые аппаратным маршрутизатором. В своё время главк поставил свой маршрутизатор, разделяющий нашу сеть с сетью системы, откуда ещё выше происходит выход в Internet, забрали часть сервисов на себя. С тех пор в rc.conf прописаны строки: # FireWall firewall_enable="YES" firewall_script="/etc/rc.firewall" # Which script to run to set up the firewall firewall_type="OPEN"            # Firewall type (see /etc/rc.firewall) firewall_quiet="NO"             # Set to YES to suppress rule display Путь до файла правил естественно исправлю. Тип "OPEN" уберу. Пока добавляю правила на лету. Внёс следующие правила: 01000 allow ip from x.x.x.x/a to me 01100 allow ip from y.y.y.y/b to me Но при задании правила 10000 deny ip from any to me Заблокировал доступ к серверу вообще. Пришлось с консоли снимать это правило. Что я забыл, неправильно понял и сделал не так?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "ipfw: разрешить доступ к серверу только из двух сетей"	+/–
Сообщение от Сергей (??), 16-Авг-18, 13:35
> Путь до файла правил естественно исправлю. Тип "OPEN" уберу. Пока добавляю правила > на лету. Внёс следующие правила: > 01000 allow ip from x.x.x.x/a to me > 01100 allow ip from y.y.y.y/b to me > Но при задании правила > 10000 deny ip from any to me > Заблокировал доступ к серверу вообще. Пришлось с консоли снимать это правило. Что > я забыл, неправильно понял и сделал не так? А в обратную сторону пакеты должны ходить или как
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "ipfw: разрешить доступ к серверу только из двух сетей"	+/–
	Сообщение от alexy (ok), 16-Авг-18, 13:56
	>  А в обратную сторону пакеты должны ходить или как Да. Осталось на сервере ещё несколько сервисов. Но главное, чтобы для того, кому явно не разрешено, не было видно сервера вообще.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "ipfw: разрешить доступ к серверу только из двух сетей"	+/–
	Сообщение от Сергей (??), 16-Авг-18, 22:57
	>>  А в обратную сторону пакеты должны ходить или как > Да. Осталось на сервере ещё несколько сервисов. Но главное, чтобы для того, > кому явно не разрешено, не было видно сервера вообще. Я к тому, что разрешение на входящие есть, а исходящих нет, как и keepstate... вообще-то настройка файера это очень ответственная тема, так что подучите матчасть сначала...
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "ipfw: разрешить доступ к серверу только из двух сетей"	+/–
	Сообщение от alexy (ok), 17-Авг-18, 07:48
	>  Я к тому, что разрешение на входящие есть, а исходящих нет, > как и keepstate... >  вообще-то настройка файера это очень ответственная тема, так что подучите матчасть > сначала... Не судите строго. Я же говорю, давно не брал в руки шашек... В итоге у меня получилась такая конфигурация: 00100 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 01000 allow ip from x.x.x.x/a to me keep-state 01100 allow ip from y.y.y.y/b to me keep-state 05000 allow tcp from any to any established keep-state 05100 allow ip from me to z.z.z.z keep-state 10000 deny ip from any to me 65000 allow ip from any to any 65000 allow ip from any to any 65535 deny ip from any to any где z.z.z.z - адрес прокси-сервера. Не знаю почему, но выдаёт два правила 65000. Но не суть. Вроде всё работает, если судить по выводу ipfw show.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема