RU/2: Форум. Общение пользователей и разработчиков OS/2 (eCS). : Я вас еще не задолбал своим файерволом? +


Список сообщений | Написать новое | Ответить на сообщение | Домой Поиск:
Предыдущее сообщение | Следующее сообщение
From : Nikolay
To : v_b
Subj : Я вас еще не задолбал своим файерволом? +
> Тогда раскритикуйте, плиз, то, что я выстрадал. А еще лучше - надавайте ценных советов.
> Дано:
> 84.242.6.83 - аврора, смотрящая в инет.
в fwsecad.cnf этот прописан?
> 192.168.0.1 - она же, смотрящая в квартиру
> 192.168.0.2 и 192.168.0.3 - настольная ХР и прикроватный бук
Для этих NAT стоит ?
> ---fwfltrs.cnf begin---
> #Local net
> permit 0.0.0.0 0 0.0.0.0 0 all any 0 any 0 non-secure both both l=no f=yes t=0
>
> #HTTP, HTTPS request
> permit 84.242.6.83 255.255.255.255 0.0.0.0 0.0.0.0 tcp any 0 eq 80 secure both outbound l=no f=yes t=0
> permit 84.242.6.83 255.255.255.255 0.0.0.0 0.0.0.0 tcp any 0 eq 443 secure both outbound l=no f=yes t=0
>
> #FTP request
> permit 84.242.6.83 255.255.255.255 0.0.0.0 0.0.0.0 tcp any 0 eq 21 secure local outbound l=no f=yes t=0
для фтп нужен еще и 20 порт,
> permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 tcp any 0 eq 21 secure route outbound l=no f=yes t=0
чтоб эти пакеты вышли - нужно, чтобы они сначала зашли, через non-secure и как inbound, route здесь кажется не поможет,
проще - permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 tcp any 0 eq 21 both both both l=no f=yes t=0
> permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 tcp any 0 ge 40000 secure route outbound l=no f=yes t=0
> #ICQ request
> permit 84.242.6.83 255.255.255.255 0.0.0.0 0.0.0.0 tcp any 0 eq 5190 secure local outbound l=no f=yes t=0
> permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 tcp any 0 eq 5190 secure route outbound l=no f=yes t=0
аналогично ...
> #IRC request
> permit 84.242.6.83 255.255.255.255 0.0.0.0 0.0.0.0 tcp any 0 eq 6667 secure local outbound l=no f=yes t=0
> permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 tcp any 0 eq 6667 secure route outbound l=no f=yes t=0
>
> #HTTP, HTTPS, FTP, ICQ, IRC answer
> permit 0.0.0.0 0.0.0.0 192.168.0.0 255.255.255.0 tcp/ack any 0 any 0 secure route inbound l=no f=no t=0
про tcp/ack - даже и не слышал ...) Или не помню. Но не ругается ... Это надо бы попробовать, если руки дойдут )))
Век живи - век учись )
Остальное разглядывать лень, вспоминать нумера и пр. Процесс этот итерационный, все сразу не предусмотришь. Чо надо разрешить.
> deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all any 0 any 0 both both both l=yes f=yes t=0
а вот это в конце - обязательно, потом на что-то входящее, как у тебя на NBT и пр. l=yes можно отключить, чтобы лог не раздувался,
или оставить - если интересно смотреть чо там сканируют. Исходящие запрещенные лучше писать - вирь в винде сразу видна.
> ---fwfltrs.cnf end---
Удачи.


Wed 08 Mar 2006 15:07 Mozilla/5.0 (OS/2; U; Warp 4.5; en-US; rv:1.7.12) Gecko/2005



Programmed by Dmitri Maximovich, Dmitry I. Platonoff, Eugen Kuleshov.
25.09.99 (c) 1999, RU/2. All rights reserved.
Rewritten by Dmitry Ban. All rights ignored.