Nastaveni firewalu

Zbynek Houska zhouska at cz.foxconn.com
Mon Jun 9 13:34:12 CEST 2003


problem je v tom, ze tu volbu "keep state" v ipf.conf mam...
viz>
 pass in quick proto tcp from any to any port = www keep state group 20

Jenze lynx zarve:

Looking up www.seznam.cz first a pak to proste stoji...Mozna je problem v
tom, ze uz jeden firewall je na gateway/routeru do cele firmy...takze by mne
zajimalo jak to resi ti z vas co sedi tez ja firemnim (ci skolnim)
firewallem...

Zbynek

> -----Original Message-----
> From: Marek Sulovsky [mailto:skeeve at popelka.ms.mff.cuni.cz]
> Sent: Monday, June 09, 2003 1:27 PM
> To: users-l at freebsd.cz
> Subject: Re: Nastaveni firewalu
> 
> 
> Zdravim
> 
> >   tak se mi podarilo zprovoynit ten ipfilter...ale zajima 
> mne jak zprovoznit
> > provoz ven tak abych mohl pouzit webovy prohlizec.
> 
> Tim myslis pouzivat webovy prohlizec venku na Tvuj webserver na Tvem
> stroji nebo pouzivat webovy prohlizec u Tebe aby mohl lezt na 
> web venku.
> 
> 
> >   Neco jako
> > 
> >   pass in quick proto tcp from any to any port = 80
> 
> Tohle by melo povolit vsechny pakety na tvuj (a pripadne i 
> jine) webserver
> (nicmene pokud nemas zadne pravidlo povolujici pakety ktere server
> poslila jako odpoved, tak to k nicemu neni)
> 
> 
> > Toto nastaveni palti ocvovidne jenom pro apache...Takze jsou nejaka
> > standardizovana cisla portu pro webove prohlizece? Tez jsem 
> zkousel stahovat
> > pres web neco z inetu a pres sockstat jsem zjistil, ze na 
> lokalu pouzivam
> > ruzne porty:
> > 
> > root     lynx       50468 3  tcp4   10.17.194.108:51645   
> 195.113.19.84:80
> 
> Webovy server pouziva port 80 standardne (http, https je 8080 
> - jestli se
> nepletu), webovi klienti pouzivaji porty z portrange 
> specifikovaneho v sysctl
> net.inet.ip jako ostatni neprivilegovane porgramy (port je pridelen
> vicemene nahodne).
> Muzes tedy bud uvazovat vsechny pakety, ktere budou chodit z tohoto
> portrange, nebo si muzes udelat stavovy firewall (viz man 5 
> ipf, klicove
> slovo keep state).
> 
> 
> Marek Sulovsky
> 



More information about the Users-l mailing list