Форум: "Прочее";
Текущий архив: 2007.07.29;
Скачать: [xml.tar.bz2];
ВнизПомогите настроить WIPFW Найти похожие ветки
← →
Nucer (2007-06-29 11:31) [0]Вчера установил этот фаерволл, несколько часов прокапался с настройками, но настроить FTP у меня так и не получилось.
Надо, чтобы из вне могли соединяться только на порты 80 (HTTP), 3389 (удаленка), 1230 и 1231 (два сервера), а так же на FTP (21). При установлении соединений пакеты само собой чтобы могли идти в двух направлениях. Все остальные порты необходимо закрыть (как TCP, так и UDP). Информацию о входящих UDP пакетах надо выводить в лог.
Вот что у меня получилось:
# First flush the firewall rules
-f flush
# Localhost rules
add 100 allow all from any to any via lo*
# Prevent any traffic to 127.0.0.1, common in localhost spoofing
add 110 deny log all from any to 127.0.0.0/8 in
add 110 deny log all from 127.0.0.0/8 to any in
add 10001 allow tcp from any to me 80 limit src-addr 50
add 10002 allow tcp from any to me 3389 limit src-addr 100
add 10003 allow tcp from any to me 1230 limit src-addr 50
add 10004 allow tcp from any to me 1231 limit src-addr 50
add 10005 allow tcp from any to me 20,21 keep-state
add 65000 deny tcp from any to me
add 65001 deny log logamount 10000 udp from any to me
add check-state
add pass all from me to any out keep-state
#add count log ip from any to any
Но насколько я понимаю правила очень кривые... да и FTP работать не хочет. Подскажите как составить конфигурационный файл.
← →
Nucer (2007-06-29 11:34) [1]И еще... никаких ограничений на исходящие соединения не должно быть.
Очень надеюсь на вашу помощь.
← →
Anatoly Podgoretsky © (2007-06-29 11:35) [2]> Nucer (29.06.2007 11:31:00) [0]
Обычно делают правило deny all
И разрешают только необходимое.
FTP использует два соединения
← →
Nucer (2007-06-29 11:37) [3]Проблема еще в том, что к серверу нет физического доступа. Т.е. если что настрою сейчас не так, то придется ехать за 100 километров =)
← →
Anatoly Podgoretsky © (2007-06-29 11:43) [4]> Nucer (29.06.2007 11:37:03) [3]
Файрвол это такая штука, которая не является статичной, поэтому надо побеспокоиться об физическом или удаленном доступе
← →
tesseract © (2007-06-29 11:58) [5]
> Т.е. если что настрою сейчас не так, то придется ехать
> за 100 километров =)
add 10005 allow all from <твой ip> to me
← →
Pohil © (2007-06-29 12:09) [6]Какая ось? Если FreeBSD попробуй так
add 65000 deny tcp from any to me
add 65001 deny log logamount 10000 udp from any to me
add 10001 allow tcp from any to me 80 limit src-addr 50
add 10002 allow tcp from any to me 3389 limit src-addr 100
add 10003 allow tcp from any to me 1230 limit src-addr 50
add 10004 allow tcp from any to me 1231 limit src-addr 50
add 10005 allow tcp from any to me 20,21 keep-state
Там вроде порядок правил учитывается
← →
БарЛог © (2007-06-29 12:26) [7]Скажите пожалуйста, под каким виндовсом оно работает.
← →
turbouser © (2007-06-29 12:33) [8]
> БарЛог © (29.06.07 12:26) [7]
http://wipfw.sourceforge.net/index-ru.html
← →
БарЛог © (2007-06-29 12:36) [9]turbouser © (29.06.07 12:33) [8]
Спасибо. Интересная вещь, судя по описанию. Щас попробуем...
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2007.07.29;
Скачать: [xml.tar.bz2];
Память: 0.46 MB
Время: 0.041 c