Obmedzenie portu 3306 cez firewall PF
Dan Lukes
dan at obluda.cz
Sun Jun 6 10:27:18 CEST 2021
Frantisek Hennel wrote on 06.06.2021 9:53:
> Potreboval by som zablokovat pristup na mysql server (port
> 3306), aby nebol pristupny do internetu a povolit by som chcel
> tento port iba pre konkretne IP adresy, pripadne konkretne
> subnety.
> table <blockedips> persist file "/etc/pf.blocked.ip.conf"
> ext_if="em0" # interface connected to internet
> block drop in log (all) quick on $ext_if from <blockedips> to any
Ja PF moc nepouzivam, muj favorit je IPFW, al eneni duvod, proc by na
tohle PF neslo pouzit.
Ale logika v tech tvych pravidlech se mi zda byt prevracena oproti tomu,
co jsi popsal slovne.
Slovne jsi popsal, ze chces zablokovat vsechno krome vyjmenovanych
adres/adresnich rozsahu. V pravidlech ale vyjmenovane adresy blokujes,
nikoliv povolujes. Navic v pravidle nezminujes nijak port, takze
blokujes vsechny a jeste filtrovani vazes vyhradne na vnejsi interface,
takze pripadna spojeni richazejici pres jine interface zustavaji
povolena (coz muze a nemusi byt to co chces).
Takze bych to videl spis na
table <mwhite> persist file "/etc/pf.mysqlwhite.ip.conf"
ext_if="em0" # interface connected to internet
pass in quick on $ext_if from <mwhite> to any port 3306
block return in log (all) quick on $ext_if from any to any port 3306
Jak jsme ale rikal, PF nepouzivam, mozna to tedy jde i nejak jeste
efektivneji. On me pripadne nekdo opravi. Zachoval jsme navazani na
vnejsi interface $ext_if, pokud to neni to co chces tak to tam proste
nedavej.
Dan
More information about the Users-l
mailing list