WIPFW / IPFW - [5] :: Программы :: Компьютерный форум Ru.Board

Помогите, пожалуйста!

Есть желание сменить режим работы фаервола на deny any

wipfw 0.2.8

Все работает, но за пределы сервера трафик не идет. В чем модет быть проблема?

172.16.20.0/24 своя подсеть, можно все во все подсети без ограничений.
10.152.0.0/16, 10.171.0.0/16, 10.221.0.0/167 можно только то, что явно разрешено.

10.152.0.0/16 и интернет на внешних PPPOE.

Вот адаптеры:

lo0 - MS TCP Loopback (127.0.0.1)
eth1 - home (172.16.20.1)
eth2 - corbina (10.171.90.88)
ppp0 - WAN (PPP/SLIP) Interface (172.16.20.21)
ppp1 - WAN (PPP/SLIP) Interface (10.152.200.15)
ppp2 - WAN (PPP/SLIP) Interface (62.148.132.39)

Вот конфиг:

# First flush the firewall rules
-f flush

add 00096 allow ip from me to any via eth2
add 00097 allow ip from me to any via ppp1
add 00098 allow ip from me to any via ppp2
add 00099 allow ip from me to any via eth1
add 00100 allow ip from any to any via lo*

# icmp
add 00101 allow icmp from any to 62.148.132.39 in recv ppp2 icmptype 0,3,4,11,12
add 00102 allow icmp from any to 10.152.200.15 in recv ppp1 icmptype 0,3,4,11,12
add 00103 allow icmp from any to 10.171.90.88 in recv eth2 icmptype 0,3,4,11,12

add 00104 allow icmp from 62.148.132.39 to any out xmit ppp2 icmptype 3,8,12
add 00105 allow icmp from 10.152.200.15 to any out xmit ppp1 icmptype 3,8,12
add 00106 allow icmp from 10.171.90.88 to any out xmit eth2 icmptype 3,8,12

add 00107 allow icmp from 62.148.132.39 to any via ppp2 frag
add 00108 allow icmp from 10.152.200.15 to any via ppp1 frag
add 00109 allow icmp from 10.171.90.88 to any via eth2 frag

add 00110 allow icmp from 172.16.20.0/24 to any
add 00111 deny icmp from any to any via ppp2
add 00112 deny icmp from any to any via ppp1
add 00113 deny icmp from any to any via eth2

#127.0.0.0
add 00130 deny ip from 127.0.0.0/8 to any in
add 00131 deny ip from any to 127.0.0.0/8 in

#port filter
add 00132 deny tcp from any to 10.171.90.88 135-139
add 00133 deny tcp from any to 10.152.200.15 135-139
add 00134 deny tcp from any to 10.171.90.88 1025-1029
add 00135 deny tcp from any to 10.152.200.15 1025-1029
add 00136 deny tcp from any to 10.171.90.88 1723
add 00137 deny tcp from any to 10.152.200.15 1723

#other
add 00145 allow ip from 172.16.20.0/24 to any via eth1
#add 00212 check-state
#add 00312 allow ip from me to any keep-state out
add 00400 allow tcp from any to 10.171.90.88 3128
add 00401 allow tcp from any to 10.152.200.15 3128
add 00402 allow tcp from any to any 21
add 00403 allow tcp from any to any 22
add 00404 allow tcp from any to any 443
add 00403 allow tcp from any to any 5900

add 65535 deny ip from any to any

Модерирует : gyra, Maz
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9