Psy Posted May 19, 2003 Posted May 19, 2003 Народ, поскажите какими правилами для firewall- а следует прикрыться для относительного своего спокойствия... схема сети следующая internet --> {server FreeBSD>dhcp} --> LAN FreeBSD версия 4.8 Заранее благодарен... Вставить ник Quote
YuryD Posted May 20, 2003 Posted May 20, 2003 Пересобрать ядро с поддержкой FIREWALL и изучить rc.firewall секцию simple - это почти то что вам нужно Вставить ник Quote
Psy Posted May 20, 2003 Author Posted May 20, 2003 Ядро собрано с поддержкой firewall, файл тоже изучал но там было только 2 правила: {ipfw} -flush {ipfw} add allow ip any to any В точности не уверен (писал по памяти), А можно поподробнее про секцию simple, пожалуйста.. Вставить ник Quote
YuryD Posted May 20, 2003 Posted May 20, 2003 TO Psy - смотри личные сообщения >файл тоже изучал но там было только 2 правила Вставить ник Quote
Psy Posted May 20, 2003 Author Posted May 20, 2003 Сообщение получил, спасибо. Вот что не ясно: почему там стоит {ipcmd} когда у меня правила записывались с {ipfw} в чем разница (неуж-то в версиях операционок). у меня в rc.firewall не было секции simple. Объясни, пожалуйста, в чем я не прав. Вставить ник Quote
YuryD Posted May 20, 2003 Posted May 20, 2003 Кинь мне в личные свой e-mail, отвечу подробнее и лично. На самом деле по барабану ${ipfw} или ${fwcmd} - это подстановка переменной с программой ipfw она описана в начале скрипта. Не думаю что дольшая разница между 4.7 и 4.8 Вставить ник Quote
Hugle Posted May 21, 2003 Posted May 21, 2003 TO Psy - смотри личные сообщения>файл тоже изучал но там было только 2 правила 2 YuryD: a mne mozhno poluchit' etot scriptik kak primer?:) Вставить ник Quote
YuryD Posted May 21, 2003 Posted May 21, 2003 Ребята, Вы чего ? Или у меня лыжи не едут, или .... Ставлю FreeBSD начиная с 2.2.8 по 4.7 - везде в базовом rc.firewall есть эти секции и неплохо докуметированные... Или в 4.8 все переломали ? Ну ладно, там по безопасности все просто. Если у вас пара ETherNet ,пусть ed0 - внешний мир ed1 - локалка. Естественно, поднимаете NAT (natd -i ed0) . Теперь все пакеты во внешний мир идут с адреса ed0(то что вам провайдер дал), ответные тоже на этот адрес. Таким образом всего-то надо защитить ed0, запретив все ненужные коннекции, выгрузив все ненужные сервисы. Ну и чтобы лажа с левыми IP не гадила во внешний мир - запретить и это то-же. Все это прописано как пример в секции SIMPLE, только свои адреса подставьте... Да простит меня Nag [ss][ii][Mm][Pp][Ll][Ee]) ############ # This is a prototype setup for a simple firewall. Configure this # machine as a named server and ntp server, and point all the machines # on the inside at this machine for those services. ############ # set these to your outside interface network and netmask and ip oif="ed0" onet="192.0.2.0" omask="255.255.255.240" oip="192.0.2.1" # set these to your inside interface network and netmask and ip iif="ed1" inet="192.0.2.16" imask="255.255.255.240" iip="192.0.2.17" setup_loopback # Stop spoofing ${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif} ${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif} # Stop RFC1918 nets on the outside interface ${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif} ${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif} ${fwcmd} add deny all from any to 192.168.0.0/16 via ${oif} # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1, # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E) # on the outside interface ${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif} ${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif} ${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif} ${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif} ${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif} # Network Address Translation. This rule is placed here deliberately # so that it does not interfere with the surrounding address-checking # rules. If for example one of your internal LAN machines had its IP # address set to 192.0.2.1 then an incoming packet for it after being # translated by natd(8) would match the `deny' rule above. Similarly # an outgoing packet originated from it before being translated would # match the `deny' rule below. case ${natd_enable} in [Yy][Ee][ss]) if [ -n "${natd_interface}" ]; then ${fwcmd} add divert natd all from any to any via ${natd_interface} fi ;; esac # Stop RFC1918 nets on the outside interface ${fwcmd} add deny all from 10.0.0.0/8 to any via ${oif} ${fwcmd} add deny all from 172.16.0.0/12 to any via ${oif} ${fwcmd} add deny all from 192.168.0.0/16 to any via ${oif} # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1, # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E) # on the outside interface ${fwcmd} add deny all from 0.0.0.0/8 to any via ${oif} ${fwcmd} add deny all from 169.254.0.0/16 to any via ${oif} ${fwcmd} add deny all from 192.0.2.0/24 to any via ${oif} ${fwcmd} add deny all from 224.0.0.0/4 to any via ${oif} ${fwcmd} add deny all from 240.0.0.0/4 to any via ${oif} # Allow TCP through if setup succeeded ${fwcmd} add pass tcp from any to any established # Allow IP fragments to pass through ${fwcmd} add pass all from any to any frag # Allow setup of incoming email ${fwcmd} add pass tcp from any to ${oip} 25 setup # Allow access to our DNS ${fwcmd} add pass tcp from any to ${oip} 53 setup ${fwcmd} add pass udp from any to ${oip} 53 ${fwcmd} add pass udp from ${oip} 53 to any # Allow access to our WWW ${fwcmd} add pass tcp from any to ${oip} 80 setup # Reject&Log all setup of incoming connections from the outside ${fwcmd} add deny log tcp from any to any in via ${oif} setup # Allow setup of any other TCP connection ${fwcmd} add pass tcp from any to any setup # Allow DNS queries out in the world ${fwcmd} add pass udp from ${oip} to any 53 keep-state # Allow NTP queries out in the world ${fwcmd} add pass udp from ${oip} to any 123 keep-state # Everything else is denied by default, unless the # IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel # config file. ;; Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.