Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Tigran Parsadanian, 09:15 , 26-Сен-03 (1)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Василий, 15:25 , 06-Ноя-03 (2)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Константин, 00:13 , 12-Ноя-03 (3)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Евгений., 11:52 , 19-Ноя-03 (4)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Belal, 16:22 , 09-Дек-03 (5)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Ilja, 23:47 , 26-Июн-04 (6)
Люди помогите пожалуйста Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), dima, 12:46 , 02-Фев-05 (7)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Oleg, 18:55 , 18-Мрт-05 (8)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), xOr, 21:32 , 03-Апр-05 (9)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Павел, 10:46 , 07-Апр-05 (10)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), woodmin, 12:10 , 29-Апр-05 (11)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Banan, 17:53 , 02-Июн-05 (12)
Гы :) Тема еще актуальна. Я как раз почти доделал свою переделку - ибо такая схема фиревола крайне гибкая, а мне дома подфартила локалка с интернетом через VPN, и вот таким способом очень удобна кидать запросы на разные natd, рулить трубы и делать гадости пользователям :) Помню как мучался с этой схемой и ничего не выходило. А тут жизнь заставила.. Собсно вот оно. Рабочее. ep0 - внешний интерфейс, rl0 - внутренний. Дабы пользователи имеющие адресок принадлежащий внутренней сети, могли печатать через принтспулер на самбе добавленно соответствующее правило ДО правил индивидуального допуска. Повторяю - это недоделка, но недоделка не самая небезопасная. В днс и сквиде свои допуски.

#!/bin/sh
ournet="192.168.0.0/24"
ourprefix="192.168.0"
ipnet="xxx.xxx.xxx.xxx/24"
ipout="xxx.xxx.xxx.xxx"
ifout="ep0"
ifuser="rl0"
# CLEAR RULES
ipfw -q flush
# BEGIN FIREWALLING
ipfw add 10 check-state
# START DENYING
ipfw add 11 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
ipfw add 17 reject ip from ${ournet} to any in via ${ifout}
ipfw add 19 deny tcp from any to any 137,138,139,445 via ${ifout}
ipfw add 20 deny udp from any to any 137,138,139,445 via ${ifout}
ipfw add 21 deny ip from 69.134.205.181 to any
ipfw add 22 deny ip from any to 69.134.205.181
# THIS MUST BE
ipfw add 70 allow all from any to any via lo
# NETBIOS
ipfw add 71 allow udp from me to any 137,138 out via ${ifuser}
ipfw add 72 allow udp from any 137,138 to any out via ${ifuser}
ipfw add 73 allow tcp from me to ${ournet} 139,445 out via ${ifuser}
ipfw add 74 allow tcp from me 139,445 to ${ournet} out via ${ifuser}
ipfw add 75 allow udp from me to any 137,138 in via ${ifuser}
ipfw add 76 allow udp from any 137,138 to any in via ${ifuser}
ipfw add 77 allow tcp from ${ournet} to me 139,445 in via ${ifuser}
ipfw add 78 allow tcp from ${ournet} 139,445 to me in via ${ifuser}
# ALLOW DNS
ipfw add 80 allow udp from me to any 53 keep-state
ipfw add 81 allow udp from any to me 53 keep-state
# ALLOW NTP
ipfw add 85 allow ip from 195.2.64.5 to me via ${ifout}
ipfw add 86 allow ip from me to 195.2.64.5 via ${ifout}
# SQUID
ipfw add 250 fwd 127.0.0.1,3128 tcp from ${ournet} to any 80,443 out via ${ifout}
# FROX
ipfw add 251 fwd 127.0.0.1,2121 tcp from ${ournet} to any 21 out via ${ifout}
# NATD INTERNET
ipfw add 300 divert natd ip from ${ournet} to any out via ${ifout}
ipfw add 400 divert natd ip from any to ${ipout} in via ${ifout}
#------------------ USER SECTION ----------------------------
# USER 1
ipfw add 1002 allow ip from ${ourprefix}.4 to any in via ${ifuser}
ipfw add 1003 allow ip from any to ${ourprefix}.4
# USER 2
ipfw add 1004 allow ip from ${ourprefix}.123 to any in via ${ifuser}
ipfw add 1005 allow ip from any to ${ourprefix}.123
#------------------ OUT SECTION -----------------------------
ipfw add 1410 allow ip from ${ipout} to any out via ${ifout}
ipfw add 1400 allow ip from any to ${ipout} in keep-state via ${ifout}
# DENY BROADCASTS WITHOUT LOGGING
ipfw add 2999 deny all from any to 255.255.255.255 via ${ifout}
# DENY ANYTHING ELSE WITH LOGGING
ipfw add 3000 deny log ip from any to any
Ответить | Сообщить модератору

Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Banan, 22:23 , 13-Сен-05 (14)
Мучался тут... если долго.
Почитал оригинал статьи еще. У автора пара недочетов в скрипте. Выкладываю рабочий вариант. У меня на роутере стоит ntp сервер, dns сервер (кэширующий всего лишь), squid на порту 3129, mathopd (small http sever) ради банерорезки со статистикой на порту 8000, vsftpd на порту 2121 смотрящий и внутрь и в наружу. Natd запущен с ключами -s -u, в сквиде разрешены запросы от 192.168.0.0/24 То же самое в DNS сервере. Если не будет правила 1500, пакеты из natd пойдут прямиком на правило 3000, но сквид работать будет без вопросов. Вроде пояснил.
#!/bin/sh
ournet="192.168.0.0/24"
ourprefix="192.168.0"
ipout="xx.x.xx.xx"
ifout="ep0"
ifuser="rl0"
# CLEAR RULES
ipfw -q flush
# BEGIN FIREWALLING
ipfw add 10 check-state
# DENY PART I
ipfw add 11 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
ipfw add 12 reject ip from ${ournet} to any in via ${ifout}
ipfw add 13 deny all from any to 255.255.255.255 via ${ifout}
ipfw add 14 deny all from any to 255.255.255.255 via ${ifuser}
ipfw add 16 deny udp from any to any 137,138 via ${ifout}
# THIS MUST BE
ipfw add 100 allow all from any to any via lo
ipfw add 101 allow ip from me to any keep-state via ${ifout}
#----------------- FOREIGN IN --------------------------------
# OUTSIDE DNS
ipfw add 121 allow udp from xx.x.x.x to me 53 in via ${ifout}
# OUTSIDE FTP
ipfw add 122 fwd 127.0.0.1,2121 tcp from any to me 20,21 in via ${ifout}
#----------------- LOCAL SECTION ----------------------------
# LOCAL DNS
ipfw add 150 allow udp from ${ournet} to me 53 in via ${ifuser}
# LOCAL NTP
ipfw add 151 allow udp from ${ournet} to me 123 in via ${ifuser}
# LOCAL FTP
ipfw add 152 fwd 127.0.0.1,2121 tcp from ${ournet} to me 20,21 in via ${ifuser}
# LOCAL HTTP
ipfw add 153 fwd 192.168.0.3,8000 tcp from ${ournet} to me 80 via ${ifuser}
#----------------- FORWARD SECTION -------------------------
# SQUID
ipfw add 299 fwd 127.0.0.1,3129 tcp from ${ournet} to any 80,443 out via ${ifout}
# NATD
ipfw add 300 divert natd all from any to any via ${ifout}
#------------------ USER SECTION ----------------------------
#ipfw add 1000 allow ip from any to ${ournet}
# MIROSLAV
ipfw add 1002 allow ip from ${ourprefix}.5 to any in via ${ifuser}
ipfw add 1003 allow ip from any to ${ourprefix}.5
# BANANMAC
ipfw add 1004 allow ip from ${ourprefix}.11 to any in via ${ifuser}
ipfw add 1005 allow ip from any to ${ourprefix}.11
# NOTEBOOK
ipfw add 1006 allow ip from ${ourprefix}.84 to any in via ${ifuser}
ipfw add 1007 allow ip from any to ${ourprefix}.84
# TEST PC
ipfw add 1008 allow ip from ${ourprefix}.10 to any in via ${ifuser}
ipfw add 1009 allow ip from any to ${ourprefix}.10
#--------------------------------------------------------------
# NATD OUT
ipfw add 1500 allow ip from ${ipout} to any out via ${ifout}
# DENY ANYTHING ELSE
ipfw add 3000 deny ip from any to any
Ответить | Сообщить модератору

Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Squall, 19:01 , 14-Июл-05 (13)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), mir, 11:21 , 07-Окт-05 (15)

Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Banan, 04:00 , 11-Окт-05 (16)
>А как быть с ftp
#!/bin/sh
ournet="192.168.0.0/24"
ourprefix="192.168.0"
ipout="*.*.*.*"
ipuser="192.168.0.*"
ifout="xl0"
ifuser="xl1"
# CLEAR RULES
ipfw -q flush
ipfw -f pipe flush
ipfw -f queue flush
# BEGIN FIREWALLING
ipfw add 10 check-state
# DENY PART I
ipfw add 11 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
ipfw add 12 reject ip from ${ournet} to any in via ${ifout}
ipfw add 14 deny all from any to 255.255.255.255
ipfw add 16 deny udp from any to any 137,138
# THIS MUST BE
ipfw add 30 allow all from any to any via lo
ipfw add 31 allow ip from me to any keep-state
#----------------- FOREIGN IN --------------------------------
# OUTSIDE FTP, FTPDATA
ipfw add 43 allow tcp from any to me 20,21,49153 in via ${ifout}
#----------------- LOCAL SECTION ----------------------------
# LOCAL DNS, NTP
ipfw add 50 allow udp from ${ournet} to me 53,123 in via ${ifuser}
# LOCAL FTP, SSH, HTTP, FTPDATA
ipfw add 55 allow tcp from ${ournet} to me 20,21,22,8000,49153 in via ${ifuser}
#----------------- FORWARD SECTION -------------------------
# SQUID
ipfw add 59 fwd 127.0.0.1,3129 tcp from ${ournet} to any 80 out via ${ifout}
# NATD
ipfw add 60 divert natd all from any to any via ${ifout}
#------------------ USER SECTION ----------------------------
# LOCAL ICMP
ipfw add 70 allow icmp from ${ournet} to any in via ${ifuser}
ipfw add 71 allow icmp from any to ${ournet}
# LOCAL ICQ
ipfw add 80 allow tcp from ${ournet} to any 5190 in via ${ifuser}
ipfw add 81 allow tcp from any 5190 to ${ournet}
#--------------------------------------------------------------
# USER DUMMYNET OUT
ipfw pipe 1 config bw 128Kbit/s
ipfw queue 1 config pipe 1 weight 50 queue 20 mask src-ip 0xffffffff
# USER DUMMYNET IN
ipfw pipe 2 config bw 128Kbit/s
ipfw queue 2 config pipe 2 weight 50 queue 40 mask dst-ip 0xffffffff
# DUMMYNET USER
ipfw add 59901 queue 1 ip from ${ournet} to any in via ${ifuser}
ipfw add 59902 queue 2 ip from any to ${ournet}
#--------------------------------------------------------------
# OUTSIDE ICMP
ipfw add 59998 allow icmp from any to me in via ${ifout}
# GLOBAL OUT
ipfw add 59999 allow ip from ${ipout} to any out via ${ifout}
# DENY ANYTHING ELSE WITH LOGGING
ipfw add 60000 deny ip from any to any
правило за номером 43 и vsftpd. proftpd тоже сойдет: нужен ftp сервер с отстраиваемыми номерами портов.
Ответить | Сообщить модератору

Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Valera, 03:53 , 26-Апр-06 (17)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Mad, 12:18 , 30-Апр-06 (18)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), A1ex, 17:05 , 22-Ноя-06 (19)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), alekciy, 02:23 , 16-Мрт-07 (20)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), rynika, 17:42 , 29-Авг-07 (21)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), greenwar, 13:38 , 15-Сен-07 (22)

Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), greenwar, 17:08 , 08-Окт-07 (23)

Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Jack The Ripper, 15:20 , 09-Окт-07 (24)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Steel Rat, 12:03 , 29-Окт-07 (25)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Pahanivo, 10:45 , 23-Мрт-08 (26)

Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), жжорик, 08:36 , 06-Окт-09 (27)

Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Yura, 10:45 , 09-Фев-10 (28)

Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), jeltoesolnce, 16:35 , 12-Мрт-10 (31)

Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Wolos, 14:46 , 03-Мрт-10 (29)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), scompick, 11:45 , 10-Мрт-10 (30)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), KES, 23:49 , 22-Июл-10 (32)
Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), Nikolay, 10:43 , 06-Окт-10 (33)

Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall), KES, 00:41 , 07-Окт-10 (34)