![]() |
Модераторы: powerfox, ZeeLax |
![]() ![]() ![]() |
|
izOne |
|
|||
![]() Бывалый ![]() Профиль Группа: Участник Сообщений: 232 Регистрация: 22.8.2003 Где: Украина, Киев Репутация: нет Всего: 4 |
Долго мучился и получилось следующее:
Задачи следующие: 1) Максимально защитетить сервер от внешнего мира 2) Разрешить пользователям сети только определенные сервисы 3) Каждому ip в сети дать скорость 16K на входящий и 4K на исходящий трафик Буду благодарен если поможете! --------------------
Успех ждет каждого, но иногда всю жизнь. |
|||
|
||||
DENNN |
|
||||||||||
Эксперт ![]() ![]() ![]() ![]() Профиль Группа: Участник Клуба Сообщений: 3878 Регистрация: 27.3.2002 Где: Москва Репутация: 3 Всего: 43 |
Во первых, как правильно было сказано на форуме опеннет: совсем не нужно дайвертить все на нат, что проходит через внешний интерфейс.
Правила на loopback интерфейс не случайно всегда помещают САМЫМИ первыми - хождение пакетов внутри системы должно быть максимально быстрым.
Очень опрометчивое решение закоментировать deny - можно с твоим сервером сотворить нехорошие вещи, навроде отправить echo пакет c обратным адрессом 127.0.0.1.
Обычно доступ ко всяким ssh удобно иметь из любой точки интернета. А получить доступ к службам, которые не запущены все равно нельзя. Поэтому каждый решает вопрос как ему кажется более правильно. Обычно есть несколько правил, встречающихся всегда: 1) deny на различные типы icmp (запрос на маску подсети, маршрут, ...) 2) reject на весь NetBIOS 3) deny на внешнем интерфейсе на все неанонсируемые подсети 4) deny на доступ к порту MySQL и других демонов, работающих как сетевые сервисы (например закрыть доступ к внутреннему днс из вне).
${fwcmd} pipe 1 config bw 16Kbit/s ${fwcmd} queue 1 config pipe 1 weight 50 mask dst-ip 0x000000ff ${fwcmd} pipe 2 config bw 4Kbit/s ${fwcmd} queue 2 config pipe 2 weight 50 mask src-ip 0x000000ff ${fwcmd} add queue 1 ip from not $subnet to $subnet via $iif ${fwcmd} add queue 2 ip from $subnet to not $subnet via $iif Примерно так, может надо что подправить - думаю найдешь где.
тогда неплохо бы в конце иметь инструкцию deny all from any to any А вообщ, смаи порты сервисов ты открыл, а вот клиентские (1024-65535) будут в твоей схеме закрыты. Естественно, коннекта не будет. Добавлено @ 11:30 Только что заметил:
Дурацкое правило, ты что думаешь, что такими методами можно разрешить или запретить широковещательные запросы? твой шлюз врядли должен отвечать на такие запросы, но сделать это лучше через sysctl |
||||||||||
|
|||||||||||
![]() ![]() ![]() |
Правила форума "Linux/UNIX: Oбщие вопросы" | |
|
В тему здесь вопросы общие - не привязанные к определенному ПО или дистрибутиву BSD/Linux/UNIX.
За интересные статьи, находки, решения, программы и просто реальную помощь будут ставиться + в репу). В данный момент этот раздел модерируют nerezus, nickless, powerfox, pythonwin, Imple и ZeeLax. Если вы хотите помочь нам, пишите в ПМ и мы обсудим. Спасибо. И use UNIX or die; С уважением, nerezus, nickless, powerfox, pythonwin, Imple, ZeeLax. |
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) | |
0 Пользователей: | |
« Предыдущая тема | *NIX системы: Общие вопросы | Следующая тема » |
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |