Показать сообщение отдельно
Старый 04.07.2006, 12:16   #8
unn
Неактивный пользователь
 
Регистрация: 22.01.2006
Сообщений: 4
Репутация: 7
По умолчанию Re: Help! Ограничение траффика во FreeBSD 4.1

Цитата:
Сообщение от jin
unn, sysctl -a -d | grep .ip.fw не исполняется. Сисконтрол net.inet.ip.fw.one_pass найти не могу. Но с этим я разберусь.
Вопрос: можно внести правило в ipfw так, чтобы оно сразу начало работать и не надо было ничего перезагружать? Посмотрите в ответе #5 мои правила ipfw и подскажите пожалуйста, какие изменения надо внести, чтобы порты 4662, 4672 были открыты извне для 192.168.0.7.

Работа правил ipfw начинается сразу после выполнения команды ipfw.

Порты 4662 и иные "козлиные порты" никогда не будут открыты извне для закрытых приватных диапазонов IP-адресов (RFC1918) - т.к. эти адреса не маршрутизируются в сети интернет. Чтобы пропустить необходимый трафик надо поместить за этим правилом 00600 allow tcp from 192.168.0.7 to any 20,21,22,23,80,443,4000,3389,4662 следующее:
00601 allow tcp from any 20-23,80,443,4000,3389,4662 to 192.168.0.7.

Но еще лучше будет разделить правила фильтрования трафика и нат по разным интерфейсам добавлением via fxp1 ко всем правилам фильтрации по портам - соответственно нат (divert) оставить на fxp0 ( via fxp0).

Также рекомендую фильтровать на всех интерфейсах сети 0.0.0.0/8,127.0.0.0/8,10.0.0.0/8,169.254.0.0/16,204.152.64.0/23,224.0.0.0/3 и не пропускать через внешний интерфейс tcp/udp трафик по портам 135,137-139,445 в обоих направлениях. Эти правила необходимо поместить до divert.

Да, ещё не надо светить 500 правилом свой внешний адрес ;) - заменяй его на * при постах в публичных местах ;).

Последний раз редактировалось unn; 04.07.2006 в 12:19..
unn вне форума
 
Ответить с цитированием Вверх
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение:
 
Время генерации страницы 0.09190 секунды с 9 запросами