|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Andrey S. Zakharajashchev 2:5020/400 21 Sep 2005 10:50:46
To : Swetlana Nowopachina
Subject : Re: Простой шлюз...
--------------------------------------------------------------------------------
Swetlana Nowopachina wrote:
> SN>> 00100 allow ip from any to any via lo0
> SN>> 00200 deny ip from any to 127.0.0.0/8
> SN>> 00300 deny ip from 127.0.0.0/8 to any
> AZ> passed
> SN>> 00400 deny ip from 172.31.1.0/24 to any in via rl0
> SN>> 00500 deny ip from 10.1.52.0/24 to any in via fxp0
> SN>> 00600 allow tcp from 172.31.1.5 to me dst-port 22 in via fxp0
> SN>> 00700 deny log tcp from any to me dst-port 22 in via fxp0
> SN>> 00800 allow tcp from me 22 to any out via fxp0
>
> SN>> 00900 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
> SN>> 01000 allow icmp from any to any
> AZ> ИМХО, здесь лажа, мадам, Вы сначала запретили некоторые типы icmp, а
> AZ> потом разрешили ВСЕ icmp данные
скорее наоборот... запретила некоторые типы... а все остальные разрешила ;-)
>
> Учтем, но срисовано с какого то конфига...
зря....
> ...покажи как лучше для сервера (клиенты потом). И на данный момент не
> работает ДHС, тк только по ИП можно попасть к провайдеру на ИРЦ.
может что-то типа такого (для ДHС)
ipfw add <number> pass udp from any to me 53
ifpw add <number> pass udp from mmy53 to any
во всяком случае позволит и тебе резолвить и с помощью тебя резолвит
имена...
> ...хочу полный контроль: на каждую машину свои адреса и порты!
т.е.?
лично кому-то что-то разрешать?
--- ifmail v.2.15dev5.3
* Origin: Digital Generation (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
