PDA

Просмотр полной версии : wipfw



C_L_S
23.10.2007, 22:21
Помогите разобраться с wipfw.conf
Нашел только этот (http://wipfw.sourceforge.net/doc-ru.html#stateful) мануал, для меня суховат. :oops:
Вот составил правила :


#!/bin/sh
#
#
cmd="./ipfw add"
# First flush the firewall rules
./ipfw -q -f flush
#Главное правило
deny all from any to any
#Блочит входящий ICMP
add allow icmp from me to any out keep-state

#запрещаем пакеты с небезопасными флагами
add deny tcp from any to any tcpflags fin,urg,psh
#запрет netbios rpc
add deny tcp from any to me 135,139,445,593 i
add deny udp from any to me 135,137,138
#DNS
add allow udp from me to any 53 keep-state
#разрешает vpn
add allow 47 from any to any
#Браузер
add allow 80 from me to any
#Почтовая программа для Gmail
add allow 465,587 from me to 72.14.253
add allow 995 from 72.14.253 to me
#ICQ
add allow any from me to 205.188.153.121


Где допустил ошибки :?
Возможно ли при помощи wipfw , разрешить доступ к 21,20 по маку , если да ,то приведите пример правила ?

Pili
24.10.2007, 08:59
Запрещающее правило deny all from any to any следует указывать в конце
разрешить доступ по маку нельзя, но можно так

#ftp
ipfw add allow tcp from any 1024-65535 to me 21 setup keep-state
#ftp-data (activ ftp)
ipfw add allow tcp from me 20 to any 1024-65535 keep-state
#passiv ftp (требуется дополнительно настройка фтп сервера)
ipfw add allow tcp from any 1024-65535 to me 11100-11120 keep-state

Форум wipfw на русском (http://virushelper.net)

C_L_S
24.10.2007, 10:22
Сенкс, про форум знаю... я думал он вымер =)


Запрещающее правило deny all from any to any следует указывать в конце
Хмммм , в iptables сначала вроде, правила которые просматривал на том же русском форуме там у всех сначала.
По маку фигово что нельзя пропускать =(
Ибо открывать доступ всем к 21 опасно , или я параноик =)

Pili
24.10.2007, 11:45
Даже в том мануале пишется, что запрещающие правила указываются в конце.
Админ д.б. немного параноиком :) Если есть желание, то открывайте не всем, а напр. так
allow tcp from table(1) 1024-65535 to me 21 setup keep-state
в табл. прописываете те адреса, котрым разрешаете доступ

C_L_S
24.10.2007, 17:16
Проблема в том что у людей динамический апи =)