Зарегистрирован: 10.11.2008
Пользователь #: 73,094
Сообщения: 31Репутация: 5.9Репутация: 5.9Репутация: 5.9Репутация: 5.9Репутация: 5.9 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен
СообщениеДобавлено: Пт 17 Апр, 2009 21:32 Заголовок сообщения: Настройка WIPFW блокируется весь проходящий траффик Ответить с цитатой
Хотелось настроить фаерволл под винду на базе портированного из Фри WIPFW. Большинство настроек схожи с фри, поэтому написал в этот раздел.
На компьютере установлены две сетевые карты, одна смотрит в интернет (eth0), другая во внутреннюю сеть(eth1). Нужно разрешить работу всем сервисам на этом компьютере, которые буду работать в интернет (открыть соотвествующие порты) все остальное запретить.
Открыть все порты из внутренней сети на этот компютер (eth1) и пропускать пакеты, которые будут предназначены для посылки в интернет.
При запуске фаервола все порты закрыты.
Написал такой файл правил, но, к сожалению, пакеты все отклоняются, что видно в логах.
В чем грабли не могу понять. Просьба посоветовать что можно сделать.
Мой файл конфига такой:
Код:
# First flush the firewall rules
-f flush
add check-state
#add count log ip from any to any via eth0
# Interface rules
add pass all from any to any via lo0
add deny ip from any to 127.0.0.0/8
add deny ip from 127.0.0.0/8 to any
add pass all from any to any via eth1
# Testing rules, to find ports used by services if we aren't sure. These rules allow ALL traffic to pass through the firewall, disabling any subsequent rules
#add 140 allow log logamount 500 tcp from any to any
#add 150 allow log logamount 500 udp from any to any
# Allow all ports from me to any
add allow ip from me to any out via eth0
# DHCP
#add pass udp from any 68 to any 67 via eth0
#add pass udp from any 67 to any 68 via eth0
# DNS
add allow udp from any 1024-65535 to any 53 out via eth0
add allow udp from any 53 to any 1024-65535 in via eth0
# FTP incoming traffic
add allow tcp from any to any 20,21 in via eth0
# SSH incoming traffic
add allow tcp from any to any 22 in via eth0
# SMTP incoming traffic
add allow tcp from any to any 25 in via eth0
# POP3 incoming traffic
add allow tcp from any to any 110 in via eth0
# HTTP incoming traffic
add allow tcp from any to any 80 in via eth0
# HTTPS incoming traffic
add allow tcp from any to any 443 in via eth0
# Emule incoming traffic
add allow tcp from any to any 4661 in via eth0
add allow udp from any to any 4671 in via eth0
# Skype-udp incoming traffic
add allow udp from any to any 63991 in via eth0
# utorrent
add allow tcp from any to any 18909 in via eth0
add allow udp from any to any 18909 in via eth0
# ICMP (ping) allow or deny
add allow icmp from any to any icmptypes 0,3,4,8,11 via eth1
# VPN (1194)
add allow tcp from me 1024-65535 to any 1194 keep-state via eth1
add allow gre from me to any keep-state via eth1
# Deny rules+write to log
add deny log tcp from any to any in via eth0
# Disable traffic for all
add deny ip from any to any
Логи работы:
Код:
--- begin ---
0000000001 2009.04.17 00:02:55.265 ipfw: 2300 Deny TCP 217.199.212.101:80 192.168.1.11:3651 in via eth0
0000000002 2009.04.17 00:02:58.968 ipfw: 2300 Deny TCP 217.199.212.101:80 192.168.1.11:3651 in via eth0
--- end ---
--- begin ---
0000000001 2009.04.17 00:03:56.875 ipfw: 2300 Deny TCP 88.212.196.66:80 192.168.1.11:3655 in via eth0
0000000002 2009.04.17 00:03:56.890 ipfw: 2300 Deny TCP 94.100.178.214:80 192.168.1.11:3656 in via eth0
0000000003 2009.04.17 00:03:57.062 ipfw: 2300 Deny TCP 94.100.178.220:80 192.168.1.11:3658 in via eth0
0000000004 2009.04.17 00:03:57.125 ipfw: 2300 Deny TCP 74.125.39.138:80 192.168.1.11:3657 in via eth0
--- end ---
Заранее спасибо за помощь
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
(ok) on 17-Апр-09, 21:59 
