ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Evgeniy Zhavoronkov                  2:5030/1533    20 Oct 2006  17:46:16
 To : Alex Mogilnikov
 Subject : Re: правила
 -------------------------------------------------------------------------------- 
 

 
 19 окт 06 15:30, Alex Mogilnikov -> Evgeniy Zhavoronkov:
 
  EZ>> Вот этим я разрешаю пользователю инет.
  EZ>> ${ipfw} add 1002 allow ip from ${uprefix}.2 to any via ${ifuser}
  EZ>> ${ipfw} add 1002 allow ip from any to ${uprefix}.2 via ${ifuser}
  EZ>> поэтому нужно разделять нат на in/ out? или это не обязательно?
  EZ>> Можно обойтись одной строкой:
  EZ>> ${ipfw} add 500 divert natd all from any to any via ${ifout}
  EZ>> ?
  AM>     Можно, только ты не учел, что после правила 500 исходящие пакеты
  AM> уже не будут иметь адрес отправителя ${uprefix}.2, поэтому верхнее
  AM> правило 1002 никогда не выполнится. Замени его, например, на allow ip
  AM> from any to any out via ${ifout}
 
  Ты наверное не понял. Вот мои правила:
 
 ${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
 ${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
 ${ipfw} add 300 allow ip from any to any via lo
 ${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}
 ${ipfw} add 320 allow icmp from any to any
 ${ipfw} add 330 allow udp from me to any domain keep-state
 ${ipfw} add 340 allow udp from any to me domain
 ${ipfw} add 350 allow ip from me to any
 ${ipfw} add 400 allow tcp from any to me http
 ${ipfw} add 410 allow tcp from not ${ournet} to me smtp
 ${ipfw} add 510 divert natd ip from ${ournet} to any out via ${ifout}
 ${ipfw} add 515 divert natd ip from not ${ournet} to any in via ${ifout}
 
 -> ${ipfw} add 1002 allow ip from ${uprefix}.2 to any via ${ifuser}
 -> ${ipfw} add 1002 allow ip from any to ${uprefix}.2 via ${ifuser}
 
 ${ipfw} add 1003 allow ip from ${uprefix}.3 to any via ${ifuser}
 ${ipfw} add 1003 allow ip from any to ${uprefix}.3 via ${ifuser}
 ${ipfw} add 1004 allow ip from ${uprefix}.4 to any via ${ifuser}
 ${ipfw} add 1004 allow ip from any to ${uprefix}.4 via ${ifuser}
 
 ${ipfw} add 65535 deny ip from any to any
 
 Суть в том что при желании надо закоментить выделенные строки знаком -> чтобы
 отсоединить пользователя от инета. Правильно?
 
 2АЛЛ: заодно можете посмотреть на защиту? Более менее безапастность хорошо
 организована или что-то переделать надо?
     До свидания, Evgeniy.
 np: Lamb of God - Blacken The Cursed Sun
 [Metal] [Death] [Doom] [Guitar] [Animate] [C++] [asm]
 --- GoldED+/W32-MSVC 1.1.5-b20051208
  * Origin: The Omega Station ftime 1:30-07:30 (2:5030/1533)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    правила   Alex Mogilnikov   19 Oct 2006 15:30:46   Re: правила   Evgeniy Zhavoronkov   20 Oct 2006 17:46:16   правила   Alex Mogilnikov   20 Oct 2006 23:15:29