|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Dmitry Penzin 2:5020/400 12 Feb 2005 17:31:51
To : Alexander Chagadaev
Subject : Re: ipfw правила для гейта
--------------------------------------------------------------------------------
Александр, здр.
Сейчас Вам будет давать советы и задавать вопросы человек, у которого ipfw
не работает :-). Т.е. я. Во-первых, вот тут:
>${fwcmd} add deny log ip from ${onet} to any in via ${iif}
Правильно ли я понимаю, что ${onet} это внутренняя сеть вашего ISP?
Что-нибудь вроде 10.0.0.0/16 ? Идем дальше:
>${fwcmd} add allow ip from ${oip} to any keep-state
Вот здесь Вы вводите две константы ${oip} и ${iip}. Я так понял, что это
IP-адреса Вашего сервера во внешней сети и во внутренней. Я читал, что есть
такое слово "me", т.е. все IP-адреса, относящиеся к локальным интерфейсам.
Возможно лучше его использовать? Затем:
> ipfw.rules:
> ############
> # Suck in the configuration variables.
> #
> if [ -z "${source_rc_confs_defined}" ]; then
Hужно ли оставлять эти куски кода из /etc/rc.firewall ? Потом, все ли
правильно в порядке правил?
>${fwcmd} add deny ip from any to any 135,137,138,139,microsoft-ds
> ${fwcmd} add deny ip from any to 255.255.255.255
Если Вы эти два дропа задвинули в самый конец, то какой в них смысл?
> ${fwcmd} add allow ip from any to ${oip}
>
ftp\\-data,ftp,49152-65535,ssh,smtp,smtps,domain,http,https,pop3,pop3s,imap,
ima
> ps,24554 keep-state
И вот тут. В других примерах я не видел, чтобы использовался keep-state. Тем
более, что трафик от сервера у Вас ведь разрешен.
--
http://www.d-p.spb.ru/
icq:1583594, skype:dmitrypenzin
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: http://www.d-p.spb.ru (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: ipfw правила для гейта 