Jump to content

вопрос по ipfw и правилам

Vovik
 Share

Recommended Posts

Vovik

Vovik

Posted
Posted

подскажите, хочу полностью закрыть рутер (freebsd) от посторонних глаз, но в то же время, чтобы пакеты между сетями рутились нормально и можно было инициировать любые соединения с самого рутера.

 

доступ закрываю просто:

deny ip from any to me

 

но вот никак не допру, как проще всего разрешить входящие соединения с машин, на которые я сам отправляю запросы с рутера. Для tcp еще понятно - опция established, а у udp, icmp и прочих протоколов такой опции нет.

 

Может есть какая возможность автоматически создавать правила, которые бы открывали доступ для конкретного IP на который я обращаюсь, и по прошествии N секунд неактивности автоматически бы удаляли это правило?

j262

j262

Posted
Posted

Imho

по умолчанию deny ip from any to any

 

>Для tcp еще понятно - опция established, а у udp, icmp и прочих протоколов такой >опции нет.

 

правильно , так как udp это не connection oriented protocol .

а icmp это вообше layer 3 .

 

для icmp ,например для пинга, для входяших только echo answer , для исходящих все что угодно .

пинг это icmptype 0, 8.

что-то вроде этого .

${ipfw} add 1005 pass icmp from any to me in via rl0 icmptype 3,4,11,12,8

${ipfw} add 1006 pass icmp from me to any

и еще нельзя совсем резать icmp для хостов за гейтом , icmp это не только вредно , но и полезно . например помогает регулировать "окно" пакета .

 

established это конечно неплохо ,но лично я использую

${ipfw} add 6100 pass tcp from any to me 1024-65535

${ipfw} add 61001 pass tcp from me to any

а открытые порты закрыты для всего мира отдельными правилами .

Vovik

Vovik

Posted
  • Author
Posted

что то как то все сложно :)

мы ведь ISP. нам зачем резать всю маршрутизацию на клиентов по умолчанию? пускай клиенты и занимаются безопасностью своих сетей, а мы им "голый" доступ в инет даем. А вот свою сетку и маршрутизатор - закрываем.

VicM

VicM

Posted
Posted
Если хочешь ПОЛНОСТЬЮ закрыть router то кроме ipfw нужно добавить IPSTELTH и RANDOM_IP_ID в ядро а также tcp/udp blackhole в sysctl.conf

У тебя какая фря?

У меня в LINT нет RANDOM_IP_ID. Может придумали замену данной опции?

Мое:

$ uname -sr

FreeBSD 6.0-RELEASE-p4

emp

emp

Posted
Posted
FreeBSD 4.11Stable, Принципиально на рабочих серверах не использую не Stable

в FreeBSD ветка stable это не совсем то что вы думаете.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.