ipfw

SSL, TLS, Web protect, etc.

Модераторы: Art.i, vasya

Сообщение tosser » Ср дек 24, 2008 8:08 pm

Alexander* писал(а):Либо вписывайте по очереди кого в /etc/firewall.conf не пускать
add reset tcp from 202.169.233.197 to me 22
add allow tcp from any to me 22


Проще вписывать, наоборот, кого ПУСКАТЬ.
add allow tcp from xxx.xxx.xxx.xxx to me dst-port 22
add reset tcp from any to me dst-port 22
tosser
 
Сообщений: 13
Зарегистрирован: Ср дек 24, 2008 7:53 pm

Сообщение sai » Вт июл 07, 2009 12:17 am

я тоже недопонимаю..

rc.conf
firewall_type="closed"

ipfw.rules
add 00999 deny log all from any to any

ipfw list
00999 deny log ip from any to any
65535 allow ip from any to any

откуда взялось правила инклюзивного файрвола?

и что самое непонятное для меня, это то, что ipfw show показал там отфильтрованные пакеты. как они дотуда добрались??
sai
 
Сообщений: 14
Зарегистрирован: Ср мар 09, 2005 12:52 pm

Сообщение sai » Вт июл 07, 2009 11:02 am

sai писал(а):и что самое непонятное для меня, это то, что ipfw show показал там отфильтрованные пакеты. как они дотуда добрались??


возможно это происходит во время обновления правил, когда остаётся только "открытый" файрвол, который непонятно откуда берётся.
sai
 
Сообщений: 14
Зарегистрирован: Ср мар 09, 2005 12:52 pm

Вот так 100% работает!

Сообщение Alex_P » Ср июл 08, 2009 12:51 pm

Я не стал заморачиваться, а прочитал хэндбук, где английским по белому написано, что в rc.conf:

enable_firewall = "YES" - просто включает файрвол (слава Богу ядро походу тут собрано с разрешающим правилом по умолчанию)

также я не стал заморачиваться и создавать свой скрипт, а просто добавил свой case в стандартный rc.firewall, а в rc.conf добавил ещё вот такую строчку:

firewall_type="Alex"

"[Aa][Ll][Ee][Xx])" - это мой case с моими правилами в стандартном rc.firewall наряду с "[Oo][Pp][Ee][Nn])" и "[Cc][Ll][Ii][Ee][Nn][Tt])".

Хинт: для проверки того, что правила подгружаются нормально лучше НЕ ставить "deny all from any to any", а сначала про следить за тем в какое правило попали ваши коннекты посредством "ipfw show" ;)
Alex_P
 
Сообщений: 11
Зарегистрирован: Пн дек 01, 2008 4:54 pm

Re: Вот так 100% работает!

Сообщение sai » Ср июл 08, 2009 1:03 pm

Alex_P писал(а):Я не стал заморачиваться, а прочитал хэндбук,


если это ответ мне, то вы вообще не поняли, о чём я писал :).
sai
 
Сообщений: 14
Зарегистрирован: Ср мар 09, 2005 12:52 pm

Re: Вот так 100% работает!

Сообщение Alex_P » Пт июл 10, 2009 2:26 am

sai писал(а):
Alex_P писал(а):Я не стал заморачиваться, а прочитал хэндбук,


если это ответ мне, то вы вообще не поняли, о чём я писал :).

Не... я ещё кому-то.

А пакеты в closed режиме - эт забавно...
Alex_P
 
Сообщений: 11
Зарегистрирован: Пн дек 01, 2008 4:54 pm

Сообщение SagePtr » Ср июл 07, 2010 4:26 pm

теперь еще вопрос, как в модуле Firewall ISPManager'а прописать, чтобы порты как-нибудь назывались красиво? Сейчас выглядит это примерно так:
Код: выделить все
Domain Name Server
FTP server
MySQL database server
SSH server
Secure WWW server
WWW server
rndc
unknown service port 8000
unknown service port 8080

Последние два порта желательно переименовать, а то они визуально похожи, можно нечаянно промахнуться и не туда правило вписать, да и перепутать обоих между собой) Как им дать названия?
SagePtr
 
Сообщений: 16
Зарегистрирован: Пт янв 08, 2010 1:14 am

Сообщение ls » Пт июл 09, 2010 3:42 pm

Нельзя это сделать, жестко прописано в ISPmanager названия.
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Пред.

Вернуться в Безопасность

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1