Бригинец Александр Posted June 10, 2004 Posted June 10, 2004 Стоял до етого керио фрайвол 5.1.10... А теперь вот решили "подняться" поставили "ексклюзив"... результат впечатление что мерс по болтикам легче собрать вручную чем его настроить... Может кто поможет ответить на некоторые вопросы... Утрировано задача такая... на проксе два сетевых интерфейса... назовем INET(195,161,165,129) и LAN(10,10,10,1 что бы с цифорками не заморачиваться... Ставим правило входящее и исходящее для LAN что По ТСР от маски 10,10,10,0 до маски 10,10,10,0 по всем портам разрешено... Теперь задача пустить всю ету сетку на опредеенный диапазон ИП не заморачиваясь с тарификацией... (этот диапазон относится к городскому инету за который мы не платим...) для начала решим задачу чтобы пускать трафик туа сюда без всяких ограничений по портам... Итак для INET исходящий будет правило... ТСР 10,10,10,0 все порты => 195.161.165.0 все порты разрешить что со всей маски 10,10,10,0 в сторону этих ресурсов по всем портам путь открыт... А вот для входящего ТСР 195,161,165,0 все порты => до ip 195.161.165.129 все порты разрешить Тоесть что со стороны этих ресурсов внешний инет интерфейс открыт... Почему такое несоответствие паралельных правил понял с трудом... А вот теперь начинаются проблемы... Заразы даже на етих ресурсах полно.. поетому ети правила нуно переписывать по портам... Напривер нам нуно зделать только так чтобы выходили только по НТТР. значит а вот что значит то выртел и так и так... к примеру один из вариантов... Изходящий для INET: ТСР 10,10,10,0 все порты => 195.161.165.0 порт 80 - РАЗРЕШИТЬ Входящий для INET: ТСР 195,161,165,0 все порты => до ip 195.161.165.129 порт 80 РАЗРЕШИТЬ конечно не порт 80 но тогда какой... от куда я знаю по какому порту слушает НТТР, если открыть все то толку от переписывания правил не будет ни какого... тоесть мне нунен именно слушающий порт... я не знал пытался вычислить путем бинарного поиска... в реузльтате получилось следующее что в один момент слушается по одному порту потом по другому дале на третий и все ето в разнобой... Как итог забил правилa Изходящее для INET: ТСР 10,10,10,0 все порты => 195.161.165.0 порт 80 - РАЗРЕШИТЬ Входящее INET: ТСР 195,161,165,0 все порты => до ip 195.161.165.129 порт от 45000 до 47000... Все работает... и получается что все остальные порты прикрыты.. но вот что делать с FTP также ***рствовать лукаво... или может быть посоветуете что...? Просто если оставить все как есть что у нас все ети ресурсы открыты то и самое страшное мы открыты для них... помгите разобраться с безопасностью... может кто нибудь вышлет настройки (шаблоны конечно а не конкретные настройки их серверов)... скажу большое спасибо... в городе пецов по етой теме вообще нет... приходится вотбращаться за помощью в таком виде... Вставить ник Quote
Бригинец Александр Posted June 14, 2004 Author Posted June 14, 2004 И на етом спасибо... Вставить ник Quote
O6OPMOT Posted June 14, 2004 Posted June 14, 2004 И на етом спасибо... в службу поддержки. раз купил - должны помочь. Вставить ник Quote
Бригинец Александр Posted June 14, 2004 Author Posted June 14, 2004 в службу поддержки. раз купил - должны помочь вот спасибо... не буду говорить что я ее не купил... скажем у меня пробная версия... Вставить ник Quote
Arkeston Posted July 3, 2004 Posted July 3, 2004 вопрос 1: Правило 1 и правило 2 - это NAT ? И не проще в таком случае: source: destination: service: action: log: translation _________________________________________________ 10.10.10.0: 195.161.165.0: HTTP: Permit: :NAT (INET) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.