RU/2: Форум. Общение пользователей и разработчиков OS/2 (eCS). : Я вас еще не задолбал своим файерволом? +


Список сообщений | Написать новое | Ответить на сообщение | Домой Поиск:
Предыдущее сообщение | Следующее сообщение
From : gor[e]
To : v_b
Subj : Я вас еще не задолбал своим файерволом? +
Ну вообще-то в терминах IBM non-secure интерфейс смотрит в Инет (он небезопасный), а secure - в локалку. Не вижу также смысла прописывать отдельно правила для routed траффика и отдельно для траффика гейта, ведь если гшейту чего-то нельзя, то на траффик из локалки перенаправится на внешний интерфейс где благополучно и порежется. Вот это мои правила на домашнем гейте:

;убираем паразитный траффик от виндовых машинок, чтобы в логах deny не мешал
deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp any 0 eq 137 secure both inbound l=no f=yes t=0
deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp any 0 eq 138 secure both inbound l=no f=yes t=0

;разрешаем весь трафик на локальном (secure) интерфейсе
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all any 0 any 0 secure both both l=no f=yes t=0

;разрешаем доступ к внешним ftp
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 21 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 21 any 0 non-secure both inbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 ge 40000 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack ge 40000 any 0 non-secure both inbound l=no f=yes t=0

;разрешаем доступ к внешним www серверам
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 80 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 80 any 0 non-secure both inbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 443 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 443 any 0 non-secure both inbound l=no f=yes t=0

;разрешаем доступ к DNS серверам провайдера
permit 0.0.0.0 0.0.0.0 10.106.255.199 255.255.255.255 udp any 0 eq 53 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 10.102.45.199 255.255.255.255 udp any 0 eq 53 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 10.100.18.199 255.255.255.255 udp any 0 eq 53 non-secure both outbound l=no f=yes t=0
permit 10.106.255.199 255.255.255.255 0.0.0.0 0.0.0.0 udp eq 53 any 0 non-secure both inbound l=no f=yes t=0
permit 10.102.45.199 255.255.255.255 0.0.0.0 0.0.0.0 udp eq 53 any 0 non-secure both inbound l=no f=yes t=0
permit 10.100.18.199 255.255.255.255 0.0.0.0 0.0.0.0 udp eq 53 any 0 non-secure both inbound l=no f=yes t=0

;разрешаем доступ к внешним ssh серверам
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 22 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 22 any 0 non-secure both inbound l=no f=yes t=0

;jabber
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 5222 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 5222 any 0 non-secure both inbound l=no f=yes t=0

;IRC
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 6667 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 6667 any 0 non-secure both inbound l=no f=yes t=0

;почта на SMTP и POP
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 110 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 110 any 0 non-secure both inbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 25 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all eq 25 any 0 non-secure both inbound l=no f=yes t=0

;NEWS сервера
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 119 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 119 any 0 non-secure both inbound l=no f=yes t=0

;служба времени
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp any 0 eq 123 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp eq 123 any 0 non-secure both inbound l=no f=yes t=0

;Citrix ICA
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 1494 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 1494 any 0 non-secure both inbound l=no f=yes t=0

;VNC
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 5900 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 5900 any 0 non-secure both inbound l=no f=yes t=0

;Windows RDP
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 3389 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 3389 any 0 non-secure both inbound l=no f=yes t=0

;тоже зачем-то был нужен (Citrix, что-ли)
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 8422 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 8422 any 0 non-secure both inbound l=no f=yes t=0

;IDENT сервер у меня
permit 0.0.0.0 0.0.0.0 85.30.194.227 255.255.255.255 tcp any 0 eq 113 non-secure local inbound l=no f=yes t=0
permit 85.30.194.227 255.255.255.255 0.0.0.0 0.0.0.0 tcp/ack eq 113 any 0 non-secure local outbound l=no f=yes t=0

;ftp сервер у меня
permit 0.0.0.0 0.0.0.0 85.30.194.227 255.255.255.255 tcp any 0 eq 21 non-secure local inbound l=no f=yes t=0
permit 85.30.194.227 255.255.255.255 0.0.0.0 0.0.0.0 tcp/ack eq 21 any 0 non-secure local outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 85.30.194.227 255.255.255.255 tcp any 0 ge 40000 non-secure local inbound l=no f=yes t=0
permit 85.30.194.227 255.255.255.255 0.0.0.0 0.0.0.0 tcp/ack ge 40000 any 0 non-secure local outbound l=no f=yes t=0

;ssh сервер у меня
permit 0.0.0.0 0.0.0.0 85.30.194.227 255.255.255.255 tcp any 0 eq 22 non-secure local inbound l=no f=yes t=0
permit 85.30.194.227 255.255.255.255 0.0.0.0 0.0.0.0 tcp/ack eq 22 any 0 non-secure local outbound l=no f=yes t=0

;исходящие ping
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 icmp eq 8 any 0 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 icmp eq 0 any 0 both both inbound l=no f=yes t=0

;OS/2 tracerte
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp any 0 ge 33438 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 icmp eq 11 any 0 non-secure both inbound l=no f=yes t=0

;запрещаем весь остальной входящий и исходящий траффик на non-secure (внешнем) интерфейсе
deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all any 0 any 0 non-secure both inbound l=no f=yes t=0
deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all any 0 any 0 non-secure both outbound l=yes f=yes t=0


Sat 11 Mar 2006 15:20 Mozilla/5.0 (OS/2; U; Warp 4.5; ru; rv:1.8.0.1) Gecko/200602



Programmed by Dmitri Maximovich, Dmitry I. Platonoff, Eugen Kuleshov.
25.09.99 (c) 1999, RU/2. All rights reserved.
Rewritten by Dmitry Ban. All rights ignored.