RU/2: Форум. Общение пользователей и разработчиков OS/2 (eCS). : хороший пример

From	:	oleandr
To	:	alexadmin
Subj	:	хороший пример

> PS Или может я зря написал tcp/ack и надо везде tcp писать? Как-то я этот момент не очень осознал.
>

Ниже хороший пример. Был опубликован здесь же, но ссылку потерял, потому цитирую целиком.

---fwfltrs.cnf begin---
#Local net
permit 0.0.0.0 0 0.0.0.0 0 all any 0 any 0 non-secure both both l=no f=yes t=0

#HTTP, HTTPS request
permit out_ip 255.255.255.255 0.0.0.0 0.0.0.0 tcp any 0 eq 80 secure both outbound l=no f=yes t=0
permit out_ip 255.255.255.255 0.0.0.0 0.0.0.0 tcp any 0 eq 443 secure both outbound l=no f=yes t=0

#FTP request
permit out_ip 255.255.255.255 0.0.0.0 0.0.0.0 tcp any 0 eq 21 secure local outbound l=no f=yes t=0
permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 tcp any 0 eq 21 secure route outbound l=no f=yes t=0
permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 tcp any 0 ge 40000 secure route outbound l=no f=yes t=0

#ICQ request
permit out_ip 255.255.255.255 0.0.0.0 0.0.0.0 tcp any 0 eq 5190 secure local outbound l=no f=yes t=0
permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 tcp any 0 eq 5190 secure route outbound l=no f=yes t=0

#IRC request
permit out_ip 255.255.255.255 0.0.0.0 0.0.0.0 tcp any 0 eq 6667 secure local outbound l=no f=yes t=0
permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 tcp any 0 eq 6667 secure route outbound l=no f=yes t=0

#HTTP, HTTPS, FTP, ICQ, IRC answer
permit 0.0.0.0 0.0.0.0 192.168.0.0 255.255.255.0 tcp/ack any 0 any 0 secure route inbound l=no f=no t=0
permit 0.0.0.0 0.0.0.0 out_ip 255.255.255.255 tcp/ack any 0 any 0 secure local inbound l=yes f=yes t=0

#IDENT
permit 0.0.0.0 0.0.0.0 out_ip 255.255.255.255 tcp any 0 eq 113 secure local inbound l=no f=yes t=0
permit out_ip 255.255.255.255 0.0.0.0 0.0.0.0 tcp/ack eq 113 any 0 secure local outbound l=no f=yes t=0

#DNS
permit out_ip 255.255.255.255 0.0.0.0 0.0.0.0 udp any 0 eq 53 secure local outbound l=no f=yes t=0
permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 udp any 0 eq 53 secure route outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 out_ip 255.255.255.255 udp eq 53 any 0 secure local inbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 192.168.0.0 255.255.255.0 udp eq 53 any 0 secure route inbound l=no f=yes t=0

#Time
permit out_ip 255.255.255.255 0.0.0.0 0.0.0.0 udp any 0 eq 37 secure local outbound l=no f=yes t=0
permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 udp any 0 eq 37 secure route outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 out_ip 255.255.255.255 udp eq 37 any 0 secure local inbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 192.168.0.0 255.255.255.0 udp eq 37 any 0 secure route inbound l=no f=yes t=0

#Mail
permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 tcp any 0 eq 110 secure route outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 192.168.0.0 255.255.255.0 tcp eq 110 any 0 secure route inbound l=no f=yes t=0
permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 tcp any 0 eq 25 secure route outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 192.168.0.0 255.255.255.0 tcp eq 25 any 0 secure route inbound l=no f=yes t=0

#ICMP
permit 84.242.6.253 255.255.255.255 out_ip 255.255.255.255 icmp eq 8 any 0 secure local inbound l=no f=yes t=0
permit 192.168.92.253 255.255.255.255 out_ip 255.255.255.255 icmp eq 8 any 0 secure local inbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 out_ip 255.255.255.255 icmp any 0 any 0 secure both inbound l=yes f=yes t=0
permit out_ip 255.255.255.255 0.0.0.0 0.0.0.0 icmp any 0 any 0 secure both outbound l=yes f=yes t=0

deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all eq 135 any 0 secure both both l=no f=yes t=0
deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all eq 137 any 0 secure both both l=no f=yes t=0
deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all eq 138 any 0 secure both both l=no f=yes t=0
deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all eq 139 any 0 secure both both l=no f=yes t=0
deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all eq 445 any 0 secure both both l=no f=yes t=0

deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp any 0 any 0 secure both outbound l=yes f=yes t=0
deny 0.0.0.0 0.0.0.0 255.255.255.255 255.255.255.255 udp any 0 any 0 secure local inbound l=no f=yes t=0
deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp any 0 any 0 secure both both l=no f=yes t=0

deny 194.109.21.230 255.255.255.255 out_ip 255.255.255.255 all any 0 any 0 both both both l=no f=yes t=0

deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all any 0 any 0 both both both l=yes f=yes t=0

-----------------

;убираем паразитный траффик от виндовых машинок, чтобы в логах deny не мешал
deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp any 0 eq 137 secure both inbound l=no f=yes t=0
deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp any 0 eq 138 secure both inbound l=no f=yes t=0

;разрешаем весь трафик на локальном (secure) интерфейсе
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all any 0 any 0 secure both both l=no f=yes t=0

;разрешаем доступ к внешним ftp
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 21 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 21 any 0 non-secure both inbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 ge 40000 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack ge 40000 any 0 non-secure both inbound l=no f=yes t=0

;разрешаем доступ к внешним www серверам
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 80 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 80 any 0 non-secure both inbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 443 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 443 any 0 non-secure both inbound l=no f=yes t=0

;разрешаем доступ к DNS серверам провайдера
permit 0.0.0.0 0.0.0.0 10.106.255.199 255.255.255.255 udp any 0 eq 53 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 10.102.45.199 255.255.255.255 udp any 0 eq 53 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 10.100.18.199 255.255.255.255 udp any 0 eq 53 non-secure both outbound l=no f=yes t=0
permit 10.106.255.199 255.255.255.255 0.0.0.0 0.0.0.0 udp eq 53 any 0 non-secure both inbound l=no f=yes t=0
permit 10.102.45.199 255.255.255.255 0.0.0.0 0.0.0.0 udp eq 53 any 0 non-secure both inbound l=no f=yes t=0
permit 10.100.18.199 255.255.255.255 0.0.0.0 0.0.0.0 udp eq 53 any 0 non-secure both inbound l=no f=yes t=0

;разрешаем доступ к внешним ssh серверам
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 22 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 22 any 0 non-secure both inbound l=no f=yes t=0

;jabber
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 5222 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 5222 any 0 non-secure both inbound l=no f=yes t=0

;IRC
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 6667 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 6667 any 0 non-secure both inbound l=no f=yes t=0

;почта на SMTP и POP
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 110 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 110 any 0 non-secure both inbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 25 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all eq 25 any 0 non-secure both inbound l=no f=yes t=0

;NEWS сервера
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 119 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 119 any 0 non-secure both inbound l=no f=yes t=0

;служба времени
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp any 0 eq 123 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp eq 123 any 0 non-secure both inbound l=no f=yes t=0

;Citrix ICA
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 1494 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 1494 any 0 non-secure both inbound l=no f=yes t=0

;VNC
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 5900 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 5900 any 0 non-secure both inbound l=no f=yes t=0

;Windows RDP
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 3389 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 3389 any 0 non-secure both inbound l=no f=yes t=0

;тоже зачем-то был нужен (Citrix, что-ли)
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 8422 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 8422 any 0 non-secure both inbound l=no f=yes t=0

;IDENT сервер у меня
permit 0.0.0.0 0.0.0.0 85.30.194.227 255.255.255.255 tcp any 0 eq 113 non-secure local inbound l=no f=yes t=0
permit 85.30.194.227 255.255.255.255 0.0.0.0 0.0.0.0 tcp/ack eq 113 any 0 non-secure local outbound l=no f=yes t=0

;ftp сервер у меня
permit 0.0.0.0 0.0.0.0 85.30.194.227 255.255.255.255 tcp any 0 eq 21 non-secure local inbound l=no f=yes t=0
permit 85.30.194.227 255.255.255.255 0.0.0.0 0.0.0.0 tcp/ack eq 21 any 0 non-secure local outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 85.30.194.227 255.255.255.255 tcp any 0 ge 40000 non-secure local inbound l=no f=yes t=0
permit 85.30.194.227 255.255.255.255 0.0.0.0 0.0.0.0 tcp/ack ge 40000 any 0 non-secure local outbound l=no f=yes t=0

;ssh сервер у меня
permit 0.0.0.0 0.0.0.0 85.30.194.227 255.255.255.255 tcp any 0 eq 22 non-secure local inbound l=no f=yes t=0
permit 85.30.194.227 255.255.255.255 0.0.0.0 0.0.0.0 tcp/ack eq 22 any 0 non-secure local outbound l=no f=yes t=0

;исходящие ping
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 icmp eq 8 any 0 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 icmp eq 0 any 0 both both inbound l=no f=yes t=0

;OS/2 tracerte
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp any 0 ge 33438 non-secure both outbound l=no f=yes t=0
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 icmp eq 11 any 0 non-secure both inbound l=no f=yes t=0

;запрещаем весь остальной входящий и исходящий траффик на non-secure (внешнем) интерфейсе
deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all any 0 any 0 non-secure both inbound l=no f=yes t=0
deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all any 0 any 0 non-secure both outbound l=yes f=yes t=0
------- cut here ---------

Fri 30 Mar 2007 09:47

Mozilla/5.0 (OS/2; U; Warp 4.5; ru-RU; rv:1.8.1.2) Gecko/200

И меня учим файрволам (alexadmin, 28.03.07 10:17)
- И меня учим файрволам (sy-uname, 28.03.07 10:44)
  - И меня учим файрволам (alexadmin, 28.03.07 10:48)
    - И меня учим файрволам (Improver, 28.03.07 14:20)
      - И меня учим файрволам (alexadmin, 28.03.07 15:02)
        
        И меня учим файрволам (Improver, 28.03.07 15:21)
        
        И меня учим файрволам (alexadmin, 29.03.07 15:34)
        
        хороший пример (oleandr, 30.03.07 09:47)
        
        Версия файрвола (alexadmin, 02.04.07 13:21)
        
        Версия файрвола (oleandr, 03.04.07 10:26)
        
        Может не в файрволе дело? (VicTor, 04.04.07 21:26)
        
        Может не в файрволе дело? (alexadmin, 05.04.07 10:30)
        
        Может не в файрволе дело? (VicTor, 06.04.07 21:11)
        
        Может не в файрволе дело? (Alexey Bezditko, 07.04.07 17:50)
  - И меня учим файрволам (oleandr, 28.03.07 16:14)
- И меня учим файрволам (Nikolay, 29.03.07 12:06)

Список сообщений \| Написать новое \| Ответить на сообщение \| Домой	Поиск:
Предыдущее сообщение \| Следующее сообщение