The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"ipfw: разрешить доступ к серверу только из двух сетей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (BSD ipfw, ipf, ip-filter / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"ipfw: разрешить доступ к серверу только из двух сетей"  +/
Сообщение от alexy (ok), 16-Авг-18, 07:56 
Здравствуйте. Давно не брал я в руки шашек, т.е. давненько не трогал настройки своего сервера FreeBSD. Встала задача закрыть любой доступ к имеющемуся серверу со всех сетей, кроме пары, принадлежащих моему предприятию. Сетевой интерфейс один. Сети две, разделённые аппаратным маршрутизатором. В своё время главк поставил свой маршрутизатор, разделяющий нашу сеть с сетью системы, откуда ещё выше происходит выход в Internet, забрали часть сервисов на себя. С тех пор в rc.conf прописаны строки:
# FireWall
firewall_enable="YES"
firewall_script="/etc/rc.firewall" # Which script to run to set up the firewall
firewall_type="OPEN"            # Firewall type (see /etc/rc.firewall)
firewall_quiet="NO"             # Set to YES to suppress rule display

Путь до файла правил естественно исправлю. Тип "OPEN" уберу. Пока добавляю правила на лету. Внёс следующие правила:
01000 allow ip from x.x.x.x/a to me
01100 allow ip from y.y.y.y/b to me
Но при задании правила
10000 deny ip from any to me
Заблокировал доступ к серверу вообще. Пришлось с консоли снимать это правило. Что я забыл, неправильно понял и сделал не так?


Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ipfw: разрешить доступ к серверу только из двух сетей"  +/
Сообщение от Сергей (??), 16-Авг-18, 13:35 
> Путь до файла правил естественно исправлю. Тип "OPEN" уберу. Пока добавляю правила
> на лету. Внёс следующие правила:
> 01000 allow ip from x.x.x.x/a to me
> 01100 allow ip from y.y.y.y/b to me
> Но при задании правила
> 10000 deny ip from any to me
> Заблокировал доступ к серверу вообще. Пришлось с консоли снимать это правило. Что
> я забыл, неправильно понял и сделал не так?

А в обратную сторону пакеты должны ходить или как

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ipfw: разрешить доступ к серверу только из двух сетей"  +/
Сообщение от alexy (ok), 16-Авг-18, 13:56 
>  А в обратную сторону пакеты должны ходить или как

Да. Осталось на сервере ещё несколько сервисов. Но главное, чтобы для того, кому явно не разрешено, не было видно сервера вообще.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ipfw: разрешить доступ к серверу только из двух сетей"  +/
Сообщение от Сергей (??), 16-Авг-18, 22:57 
>>  А в обратную сторону пакеты должны ходить или как
> Да. Осталось на сервере ещё несколько сервисов. Но главное, чтобы для того,
> кому явно не разрешено, не было видно сервера вообще.

Я к тому, что разрешение на входящие есть, а исходящих нет, как и keepstate...
вообще-то настройка файера это очень ответственная тема, так что подучите матчасть сначала...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ipfw: разрешить доступ к серверу только из двух сетей"  +/
Сообщение от alexy (ok), 17-Авг-18, 07:48 
>  Я к тому, что разрешение на входящие есть, а исходящих нет,
> как и keepstate...
>  вообще-то настройка файера это очень ответственная тема, так что подучите матчасть
> сначала...

Не судите строго. Я же говорю, давно не брал в руки шашек... В итоге у меня получилась такая конфигурация:

00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
01000 allow ip from x.x.x.x/a to me keep-state
01100 allow ip from y.y.y.y/b to me keep-state
05000 allow tcp from any to any established keep-state
05100 allow ip from me to z.z.z.z keep-state
10000 deny ip from any to me
65000 allow ip from any to any
65000 allow ip from any to any
65535 deny ip from any to any

где z.z.z.z - адрес прокси-сервера. Не знаю почему, но выдаёт два правила 65000. Но не суть. Вроде всё работает, если судить по выводу ipfw show.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor