RU/2: Форум. Общение пользователей и разработчиков OS/2 (eCS). : Ответить на сообщение
Имя:
e-mail:
FIDO:
Home page:
сохранить данные о вас
Тема:
> > PS Или может я зря написал tcp/ack и надо везде tcp писать? Как-то я этот момент не очень осознал. > > > > Ниже хороший пример. Был опубликован здесь же, но ссылку потерял, потому цитирую целиком. > > ---fwfltrs.cnf begin--- > #Local net > permit 0.0.0.0 0 0.0.0.0 0 all any 0 any 0 non-secure both both l=no f=yes t=0 > > #HTTP, HTTPS request > permit out_ip 255.255.255.255 0.0.0.0 0.0.0.0 tcp any 0 eq 80 secure both outbound l=no f=yes t=0 > permit out_ip 255.255.255.255 0.0.0.0 0.0.0.0 tcp any 0 eq 443 secure both outbound l=no f=yes t=0 > > #FTP request > permit out_ip 255.255.255.255 0.0.0.0 0.0.0.0 tcp any 0 eq 21 secure local outbound l=no f=yes t=0 > permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 tcp any 0 eq 21 secure route outbound l=no f=yes t=0 > permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 tcp any 0 ge 40000 secure route outbound l=no f=yes t=0 > > #ICQ request > permit out_ip 255.255.255.255 0.0.0.0 0.0.0.0 tcp any 0 eq 5190 secure local outbound l=no f=yes t=0 > permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 tcp any 0 eq 5190 secure route outbound l=no f=yes t=0 > > #IRC request > permit out_ip 255.255.255.255 0.0.0.0 0.0.0.0 tcp any 0 eq 6667 secure local outbound l=no f=yes t=0 > permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 tcp any 0 eq 6667 secure route outbound l=no f=yes t=0 > > #HTTP, HTTPS, FTP, ICQ, IRC answer > permit 0.0.0.0 0.0.0.0 192.168.0.0 255.255.255.0 tcp/ack any 0 any 0 secure route inbound l=no f=no t=0 > permit 0.0.0.0 0.0.0.0 out_ip 255.255.255.255 tcp/ack any 0 any 0 secure local inbound l=yes f=yes t=0 > > #IDENT > permit 0.0.0.0 0.0.0.0 out_ip 255.255.255.255 tcp any 0 eq 113 secure local inbound l=no f=yes t=0 > permit out_ip 255.255.255.255 0.0.0.0 0.0.0.0 tcp/ack eq 113 any 0 secure local outbound l=no f=yes t=0 > > #DNS > permit out_ip 255.255.255.255 0.0.0.0 0.0.0.0 udp any 0 eq 53 secure local outbound l=no f=yes t=0 > permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 udp any 0 eq 53 secure route outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 out_ip 255.255.255.255 udp eq 53 any 0 secure local inbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 192.168.0.0 255.255.255.0 udp eq 53 any 0 secure route inbound l=no f=yes t=0 > > #Time > permit out_ip 255.255.255.255 0.0.0.0 0.0.0.0 udp any 0 eq 37 secure local outbound l=no f=yes t=0 > permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 udp any 0 eq 37 secure route outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 out_ip 255.255.255.255 udp eq 37 any 0 secure local inbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 192.168.0.0 255.255.255.0 udp eq 37 any 0 secure route inbound l=no f=yes t=0 > > #Mail > permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 tcp any 0 eq 110 secure route outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 192.168.0.0 255.255.255.0 tcp eq 110 any 0 secure route inbound l=no f=yes t=0 > permit 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 tcp any 0 eq 25 secure route outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 192.168.0.0 255.255.255.0 tcp eq 25 any 0 secure route inbound l=no f=yes t=0 > > #ICMP > permit 84.242.6.253 255.255.255.255 out_ip 255.255.255.255 icmp eq 8 any 0 secure local inbound l=no f=yes t=0 > permit 192.168.92.253 255.255.255.255 out_ip 255.255.255.255 icmp eq 8 any 0 secure local inbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 out_ip 255.255.255.255 icmp any 0 any 0 secure both inbound l=yes f=yes t=0 > permit out_ip 255.255.255.255 0.0.0.0 0.0.0.0 icmp any 0 any 0 secure both outbound l=yes f=yes t=0 > > deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all eq 135 any 0 secure both both l=no f=yes t=0 > deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all eq 137 any 0 secure both both l=no f=yes t=0 > deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all eq 138 any 0 secure both both l=no f=yes t=0 > deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all eq 139 any 0 secure both both l=no f=yes t=0 > deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all eq 445 any 0 secure both both l=no f=yes t=0 > > deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp any 0 any 0 secure both outbound l=yes f=yes t=0 > deny 0.0.0.0 0.0.0.0 255.255.255.255 255.255.255.255 udp any 0 any 0 secure local inbound l=no f=yes t=0 > deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp any 0 any 0 secure both both l=no f=yes t=0 > > deny 194.109.21.230 255.255.255.255 out_ip 255.255.255.255 all any 0 any 0 both both both l=no f=yes t=0 > > deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all any 0 any 0 both both both l=yes f=yes t=0 > > > > > ----------------- > > > ;убираем паразитный траффик от виндовых машинок, чтобы в логах deny не мешал > deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp any 0 eq 137 secure both inbound l=no f=yes t=0 > deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp any 0 eq 138 secure both inbound l=no f=yes t=0 > > ;разрешаем весь трафик на локальном (secure) интерфейсе > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all any 0 any 0 secure both both l=no f=yes t=0 > > ;разрешаем доступ к внешним ftp > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 21 non-secure both outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 21 any 0 non-secure both inbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 ge 40000 non-secure both outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack ge 40000 any 0 non-secure both inbound l=no f=yes t=0 > > ;разрешаем доступ к внешним www серверам > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 80 non-secure both outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 80 any 0 non-secure both inbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 443 non-secure both outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 443 any 0 non-secure both inbound l=no f=yes t=0 > > ;разрешаем доступ к DNS серверам провайдера > permit 0.0.0.0 0.0.0.0 10.106.255.199 255.255.255.255 udp any 0 eq 53 non-secure both outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 10.102.45.199 255.255.255.255 udp any 0 eq 53 non-secure both outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 10.100.18.199 255.255.255.255 udp any 0 eq 53 non-secure both outbound l=no f=yes t=0 > permit 10.106.255.199 255.255.255.255 0.0.0.0 0.0.0.0 udp eq 53 any 0 non-secure both inbound l=no f=yes t=0 > permit 10.102.45.199 255.255.255.255 0.0.0.0 0.0.0.0 udp eq 53 any 0 non-secure both inbound l=no f=yes t=0 > permit 10.100.18.199 255.255.255.255 0.0.0.0 0.0.0.0 udp eq 53 any 0 non-secure both inbound l=no f=yes t=0 > > ;разрешаем доступ к внешним ssh серверам > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 22 non-secure both outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 22 any 0 non-secure both inbound l=no f=yes t=0 > > ;jabber > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 5222 non-secure both outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 5222 any 0 non-secure both inbound l=no f=yes t=0 > > ;IRC > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 6667 non-secure both outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 6667 any 0 non-secure both inbound l=no f=yes t=0 > > ;почта на SMTP и POP > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 110 non-secure both outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 110 any 0 non-secure both inbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 25 non-secure both outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all eq 25 any 0 non-secure both inbound l=no f=yes t=0 > > ;NEWS сервера > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 119 non-secure both outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 119 any 0 non-secure both inbound l=no f=yes t=0 > > ;служба времени > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp any 0 eq 123 non-secure both outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp eq 123 any 0 non-secure both inbound l=no f=yes t=0 > > ;Citrix ICA > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 1494 non-secure both outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 1494 any 0 non-secure both inbound l=no f=yes t=0 > > ;VNC > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 5900 non-secure both outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 5900 any 0 non-secure both inbound l=no f=yes t=0 > > ;Windows RDP > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 3389 non-secure both outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 3389 any 0 non-secure both inbound l=no f=yes t=0 > > ;тоже зачем-то был нужен (Citrix, что-ли) > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 8422 non-secure both outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 8422 any 0 non-secure both inbound l=no f=yes t=0 > > ;IDENT сервер у меня > permit 0.0.0.0 0.0.0.0 85.30.194.227 255.255.255.255 tcp any 0 eq 113 non-secure local inbound l=no f=yes t=0 > permit 85.30.194.227 255.255.255.255 0.0.0.0 0.0.0.0 tcp/ack eq 113 any 0 non-secure local outbound l=no f=yes t=0 > > ;ftp сервер у меня > permit 0.0.0.0 0.0.0.0 85.30.194.227 255.255.255.255 tcp any 0 eq 21 non-secure local inbound l=no f=yes t=0 > permit 85.30.194.227 255.255.255.255 0.0.0.0 0.0.0.0 tcp/ack eq 21 any 0 non-secure local outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 85.30.194.227 255.255.255.255 tcp any 0 ge 40000 non-secure local inbound l=no f=yes t=0 > permit 85.30.194.227 255.255.255.255 0.0.0.0 0.0.0.0 tcp/ack ge 40000 any 0 non-secure local outbound l=no f=yes t=0 > > ;ssh сервер у меня > permit 0.0.0.0 0.0.0.0 85.30.194.227 255.255.255.255 tcp any 0 eq 22 non-secure local inbound l=no f=yes t=0 > permit 85.30.194.227 255.255.255.255 0.0.0.0 0.0.0.0 tcp/ack eq 22 any 0 non-secure local outbound l=no f=yes t=0 > > ;исходящие ping > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 icmp eq 8 any 0 non-secure both outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 icmp eq 0 any 0 both both inbound l=no f=yes t=0 > > ;OS/2 tracerte > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp any 0 ge 33438 non-secure both outbound l=no f=yes t=0 > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 icmp eq 11 any 0 non-secure both inbound l=no f=yes t=0 > > ;запрещаем весь остальной входящий и исходящий траффик на non-secure (внешнем) интерфейсе > deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all any 0 any 0 non-secure both inbound l=no f=yes t=0 > deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all any 0 any 0 non-secure both outbound l=yes f=yes t=0 > ------- cut here ---------
_, __, _, __,
/_\ |_) /_\ |_)
| | | | | | \
~ ~ ~ ~ ~ ~ ~
Programmed by
Dmitri Maximovich
,
Dmitry I. Platonoff
,
Eugen Kuleshov
.
25.09.99 (c) 1999,
RU/2
. All rights reserved.
Rewritten by
Dmitry Ban
. All rights ignored.