The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Помогите нубу "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (BSD ipfw, ipf, ip-filter / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Помогите нубу "  +/
Сообщение от FreebsdNOOB email(ok) on 07-Фев-13, 12:05 
Вкратце : руководство поставило задачу перейти в срок до конца недели с керио на фрибсд.
Конец недели завтра.
сейчас стоит керио 6.4, помимо простого НАТа. обеспечивает проброс портов по фтп, РДП, некоторым другим. и по айпителефонии. На интерфейсе 2003 винды 2 айпишника (1 для работы прокси, 2ой для ВОИП АТС)
Проблема в том я наверное 0 в freebsd. и  в общем пока из этого ничего не выходит, непонимаю  где и что не так делаю.

конфиг rc.conf
hostname ="gate"
gateway_enable ="YES"
ifcongif_re0=" inet 192.168.0.202 netmask 255.255.255.0"   #тестовый режим, адрес #локалки,шлюзом которой является сейчас сервер с керио
ifcongif_vr0=" iinet 192.168.1.250 netmask 255.255.255.0"  # тестовый режим, тестовая #одсеть локалки
defaultriuter="192.168.0.199"  # сервер 2003 с керио который является шлюзом текущей #локальной сети
firewall_enable="YES"
firewall_nat_enable="YES"
dummynet_enable="YES"
firewall_type="/etc/firewall-nat"
sshd_enable="YES"
squid_enable="YES"  # изначально хотел со сквидом, но не смог раззобраться в основах
moused_enable="YES"
ntpd_enable="YES"
powerd_enable="YES"
dumdev="AUTO"


КОНФИГ /etc/firewall-nat

allow 10 ip from any to any via vr0
nat 1 config log if re0 reset same_ports
add 100 nat 1 ip from any to any via re0
# так все работает, в том смысле что вообще все через себя пускает, но надо некоторые порты закрыть, эскперементировал очень много , вот самое простое

allow 10 ip from any to any via vr0
add 20 deny tcp from any to any 80 via vr0
nat 1 config log if re0 reset same_ports
add 100 nat 1 ip from any to any via re0

ДЛя теста добавил 2 строчку, но 80 ый порт не закрылся , как ходил так и хожу через браузер куда угодно. Вопрос как корректно его зарыть ? или закрыть все ненужное в таком конфиге ? пробовал еще вместо первого
add 10 allow tcp from any to any 21,80-83,53,61,465 via vr0
результатом было то что сервер пинговал внешние ресурсы, а вот подключаемые компы не видели ничего кроме сервера.


В общем подскажите как доделать конфиг чтоб закрыть не нужные порты и оставить к примеру 21,80-83,53,61,465  ... так же как пробросить к примеру 21 порт на 192.168.1.199, спс
ps так же кериое сейчас автоматически переключает каналы основной и резеврный, как то это можно в freebsd ?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Помогите нубу "  +/
Сообщение от name (??) on 07-Фев-13, 17:33 
http://m0n0.ch/wall/
http://www.pfsense.org/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Помогите нубу "  +/
Сообщение от allez (ok) on 07-Фев-13, 17:38 
>[оверквотинг удален]
> корректно его зарыть ? или закрыть все ненужное в таком конфиге
> ? пробовал еще вместо первого
>  add 10 allow tcp from any to any 21,80-83,53,61,465 via vr0
> результатом было то что сервер пинговал внешние ресурсы, а вот подключаемые компы
> не видели ничего кроме сервера.
> В общем подскажите как доделать конфиг чтоб закрыть не нужные порты и
> оставить к примеру 21,80-83,53,61,465  ... так же как пробросить к
> примеру 21 порт на 192.168.1.199, спс
> ps так же кериое сейчас автоматически переключает каналы основной и резеврный, как
> то это можно в freebsd ?

М-да, повезло вам, как утопленнику. Но не отчаивайтесь. ;)

В общем-то - если, конечно, начальство не будет упираться - можно попробовать
специализированные дистрибутивы на базе FreeBSD. Например, PFSense или отечественный
"ИКС". Один системный администратор из моего отдела, ни разу до этого в глаза не
видевший юниксов, без посторонней помощи и подсказки установил PFSense и настроил на
нем DHCP-сервер, балансировку нагрузки между двумя провайдерами, проброс нужных портов
в локальную сеть, а с моей подсказкой - еще и IPSEC. Он даже умудрился установить
Samba и настроить общий каталог, но потом все-таки понял, что эта штука на шлюзе - просто
архитектурное излишество. :)

Думаю, вам тоже не составит особого труда освоить PFSense или "ИКС".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру