Автор Тема: ipfw+ipfw_nat  (Прочитано 3617 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн becas

  • Начинающий
  • *
  • Сообщений: 25
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: UA, Kiev
ipfw+ipfw_nat
« : 16 декабря 2010, 09:17:17 »
собсно на правах "увидел, почитал, прикрутил, поделился".
увидел интересную статью: http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat/. сделав мердж с http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html, получил такой вот скрипт:
mail# cat /etc/rc.firewall.nat
#!/bin/sh
cmd="ipfw -q add"
skip="skipto 500"
pif=внешний_интерфейс
ks="keep-state"
good_tcpo="порты_открытые_для_тср"
good_udpo="порты_открытые_для_udp"
LAN="11.22.33.44/24"

ipfw -q -f flush

$cmd 001 allow all from any to any via lo0  # exclude loopback traffic
$cmd 002 allow all from any to any via внутренний_интерфейс
ipfw nat 1 config log if em0 reset same_ports deny_in

$cmd 101 check-state

# Authorized outbound packets
$cmd 110 $skip tcp from me to any out via $pif $ks uid root
$cmd 120 $skip udp from any to any $good_udpo out via $pif $ks
$cmd 130 $skip tcp from any to any $good_tcpo out via $pif $ks
$cmd 140 $skip icmp from any to any out via $pif $ks

# Deny all inbound traffic from non-routable reserved address spaces
$cmd 300 deny all from 192.168.0.0/16  to any in via $pif  #RFC 1918 private IP
$cmd 301 deny all from 172.16.0.0/12   to any in via $pif  #RFC 1918 private IP
$cmd 302 deny all from 10.0.0.0/8      to any in via $pif  #RFC 1918 private IP
$cmd 303 deny all from 127.0.0.0/8     to any in via $pif  #loopback
$cmd 304 deny all from 0.0.0.0/8       to any in via $pif  #loopback
$cmd 305 deny all from 169.254.0.0/16  to any in via $pif  #DHCP auto-config
$cmd 306 deny all from 192.0.2.0/24    to any in via $pif  #reserved for docs
$cmd 307 deny all from 204.152.64.0/23 to any in via $pif  #Sun cluster
$cmd 308 deny all from 224.0.0.0/3     to any in via $pif  #Class D & E multicast

# Authorized inbound packets
$cmd 400 $skip icmp from any to any in via $pif $ks
$cmd 410 $skip tcp from any to any $good_tcpo in via $pif $ks
$cmd 420 $skip udp from any to any $good_udpo in via $pif $ks

$cmd 450 deny log ip from any to any

# This is skipto location for outbound stateful rules
$cmd 500 nat 1 ip from any to any via $pif
$cmd 510 allow ip from any to any

######################## end of rules  ##################

собсно критика приветствуется.

Оффлайн myst

  • Постоялец
  • ***
  • Сообщений: 372
  • Рейтинг: 8
  • Пол: Мужской
    • mistiq.master@gmail.com
    • mistiq.master
    • Просмотр профиля
  • Откуда: Владивосток
Re: ipfw+ipfw_nat
« Ответ #1 : 16 декабря 2010, 12:47:32 »
Цитировать
собсно критика приветствуется.

Горизонт завален.

собственно какой критики вы хотели услышать для 10ти простейших правил фаервола?

ЗЫ все правила 3хх можно скомпоновать в 1 списком.
« Последнее редактирование: 16 декабря 2010, 12:50:14 от myst »
٩(●̮̮̃•̃)۶

Оффлайн becas

  • Начинающий
  • *
  • Сообщений: 25
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: UA, Kiev
Re: ipfw+ipfw_nat
« Ответ #2 : 16 декабря 2010, 15:21:39 »
собственно какой критики вы хотели услышать для 10ти простейших правил фаервола?

ЗЫ все правила 3хх можно скомпоновать в 1 списком.
1. примерно такой: "все правила 3хх можно скомпоновать в 1 списком: вот_так" :)
2. и в чем завал горизонта?

Оффлайн myst

  • Постоялец
  • ***
  • Сообщений: 372
  • Рейтинг: 8
  • Пол: Мужской
    • mistiq.master@gmail.com
    • mistiq.master
    • Просмотр профиля
  • Откуда: Владивосток
Re: ipfw+ipfw_nat
« Ответ #3 : 16 декабря 2010, 16:10:46 »
собственно какой критики вы хотели услышать для 10ти простейших правил фаервола?

ЗЫ все правила 3хх можно скомпоновать в 1 списком.
1. примерно такой: "все правила 3хх можно скомпоновать в 1 списком: вот_так" :)
2. и в чем завал горизонта?
1. собственно от этого мало что поменяется.
2. завал горизонта в том что вопроса как такового в посте нет... судя по всему это не промышленный фаервол а для "домашнего" использования, и оптимизировать там что-то бессмысленно.
٩(●̮̮̃•̃)۶

Оффлайн becas

  • Начинающий
  • *
  • Сообщений: 25
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: UA, Kiev
Re: ipfw+ipfw_nat
« Ответ #4 : 16 декабря 2010, 16:21:36 »
вы угадали: вопроса нет и файер на домашнем шлюзе. просто поделился тем, что прочел, о чем и написал в посте.

Оффлайн becas

  • Начинающий
  • *
  • Сообщений: 25
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: UA, Kiev
Re: ipfw+ipfw_nat
« Ответ #5 : 26 декабря 2010, 20:47:27 »
у этого скрипта есть один существенный недостаток. угадать просто. какой?