|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Ilya Kulagin 2:5020/871.18 04 Oct 2004 11:00:09
To : Anton Barabanov
Subject : Проверьте если не трудно
--------------------------------------------------------------------------------
Пара общих замечаний. если ставить везде ${fwcmd} -q, то явно проще ставить таки
${fwcmd}, а уже переменную fwcmd="/sbin/ipfw -q ".
Hет никакого резона пропускать нумерацию правил. Это после управляющей команды
(add, deny, divert, skipto...)
Как правило, нет резона использовать ${IpAddr-of-my-computer} вместо простого и
понятного me (возможно, дополненного in recv или out xmit). Hапротив, поможет
при грядущих сменах ip-адресов. В первую очередь, относится к провайдерскому.
AB> # Запрещаем - FTP, терминал, Squid - снаружи
AB> ${fwcmd} -q add deny tcp from any to any 20,21,22,23,3128 in via ${LanOut}
ещё надо таки запустить sockstat и поглядеть, что там болтается окромя них.
AB> # Доступен сервер binkd из внешнего мира
AB> ${fwcmd} -q add pass tcp from any to ${IPOut} 24554 via ${LanOut}
Этому правилу не вижу соответствия на локальном интерфейсе (from any to
${binkd-ip} out xmit ${LanIn}).
AB> 195.195.95.5/32
Вместо этой конструкции 0/32 вполне подходит. Кстати. Hе вижу, каким правилом
локальному сквиду разрешили лазать по Сети. Возможно, просто плохо смотрел.
В принципе и по идее, ipnat -l, ipfw show и tcpdump -n -i rl0|rl1 могут сильно
сократить число сомнений.
Примите уверение в совершеннейшем к Вам почтении
/kiv
--- kiv@work [Престарелые алкоголики] [Иллюзорных судаков не существует!]
* Origin: Moose 2:5020/871.18 (2:5020/871.18)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
