>>Существует домовая локальная сеть с сегментами 192.168.3.х и 192.168.0.х, между ними становлен
>>роутер на FreeBSD. Недавно возникла необходимость установить firewall. Для этого скомпилировал
>>и установил новое ядро с поддержкой firewall и NATD. Файервол установлен
>>по дефолту – options IPFIREWALL_DEFAULT_TO_ACCEPT. Опыта по установке Файервола нет, в
>>манах одна теория – не помогает, поэтому прошу поделиться конкретной информацией.
>>
>>
>>Сеть с IP 192.168.3.х приходит в сетевуху rl1(192.168.3.1)
>>Сеть с IP 192.168.0.х приходит в сетевуху rl0(192.168.0.159)
>>
>>Необходимо настроить файервол так:
>>1. Все IP из сегмента 192.168.3.х могут видеть всех IP соседнего 192.168.0.х.
>>(короче разрешить все пакеты на все порты)
>Это у тебя уже и так определено опцией options IPFIREWALL_DEFAULT_TO_ACCEPT
>
>>2. Запретить выход юзера с IP 192.168.3.10 в сегмент 192.168.0.х.
>ipfw add deny all from 192.168.3.10 to 192.168.0.0/24
>
>>3. Запретить вход юзера с IP 192.168.0.50 в сегмент 192.168.3.х
>ipfw add deny all from 192.168.0.50 to 192.168.3.0/24
>
>>4. Разрешить удаленное соединее с роутером по SSH (порт 22) только с
>>IP 192.168.3.100
>т.к. у тебя определена опция options IPFIREWALL_DEFAULT_TO_ACCEPT то прийдется нарисовать 2 правила
>подряд
>
>ipfw add allow tcp from 192.168.3.100 to me 22
>ipfw add deny tcp from any to me 22
>
>ниже "куда и что нажать"
>в файле /etc/rc.conf пишешь примерно следующее
>firewall_enable="YES"
>firewall_script="/etc/fwrules"
>
>создаешь файл /etc/fwrules с примерно таким содержанием:
>#!/bin/sh -
>ipfw add deny all from 192.168.3.10 to 192.168.0.0/24
>ipfw add deny all from 192.168.0.50 to 192.168.3.0/24
>ipfw add allow tcp from 192.168.3.100 to me 22
>ipfw add deny tcp from any to me 22
>#EOF >>
>
>дальше ребутЪ и вроде должно работать.
>ну и конечно rtfm по теме
>успехов!
зачем ребутить? :) cd /etc && ./netstart - перечитаются все правила в фаерволле...

Ответить | Сообщить модератору