IPFW omezeni sluzeb z inetu

Cizek.Milan cizek.milan at seznam.cz
Tue Feb 26 09:09:13 CET 2008


Ahoj,
mam nasledujici situaci: DALSIBSDSTROJE<->iGW(NAT)<->BSDSTROJ.

- Na iGW je presmerovana verejna IP na BSDSTROJ (redirect_address).
- Na BSDSTROJ se pres stejne rozhrani pristupuje i z lokalni site (DALSIBSDSTROJE).
- Na BSDSTROJ mi bezi spousta sitovych veci, u nekterych nechci, aby byly zjistitelne/dostupne z internetu, ale fungovali pouze v lokalni siti.

Nektere deamony jsem pomoci optionu prinutil naslouchat jen na nekterych rozhranich/IP, ale u nekterych to neumim (NFS a dalsi). Nechci zakazovat konkretni sluzby, pride mi cistejsi zakazat defaultne vse a povolit jen vybrane (az pribyde nejaka nova sitova sluzba, aby byla preventivne deny). Takze jsem si udelal nasledujici pravidlo:

add deny all from not 10.0.0.0/8 to me not dst-port ftp\\-data,ftp,ssh,smtp,domain,http,pop3,imap,https,3306,ircd

To to omezi skvele, ale v tu chvili mi prestava fungovat pristup na FTP (z internetu; pasivni). Spojeni se navaze, ale selze na prikazu LIST (nenacte obsah adresare). Jeste podstatna informace, provoz z BSDSTROJ ven neni nijak blokovan. Jestli jsem to spravne pochopil, tak ftp sice otevira nahodne porty, ale pouze smerem ven, takze prichozi by meli stacit 20+21? Cely vecer jsem si pak hral se stavovym firewallem (check-state apod.), ale zadneho funkcniho reseni jsem nedosahl. Tak bych se chtel zeptat, jak takovou situaci nejlepe resit. Diky.

Milan



More information about the Users-l mailing list