Ipfw и ssh - FreeBSD - Ответ 6591088

@borkhalenko · 09.09.2014, 21:32 **[ТС]**

Сообщение от outl4w

Как у Вас 192.168.10.201 и 192.168.10.105 разные сетевые интерфейсы? С 25 маской что ли?
ifconfig, будьте добры.

Более подробного материала о принципах работы ipfw ещё не встречал, поэтому советую:
1) Схема прохождения пакета через ядро и ipfw во FreeBSD
2) IPFW(8) - FreeBSD Man Pages
3) IPFW - FreeBSD Handbook

Да, извините, не предоставил инфу с интерфейсами:

Bash

wan: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC>
        ether 00:0e:0c:3e:52:4d
        inet 192.168.10.105 netmask 0xffffff00 broadcast 192.168.10.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lan: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=82808<VLAN_MTU,WOL_UCAST,WOL_MAGIC,LINKSTATE>
        ether 00:19:5b:31:f0:2b
        inet 192.168.10.201 netmask 0xffffff00 broadcast 192.168.10.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
adm: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=82008<VLAN_MTU,WOL_MAGIC,LINKSTATE>
        ether 10:bf:48:e7:85:09
        inet 192.168.10.202 netmask 0xffffff00 broadcast 192.168.10.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        inet 127.0.0.1 netmask 0xff000000

Вроде с проблемой разобрался, правда не до конца уверен, что правильно. Прошу специалистов прокоментировать (полный конфиг с правилами):

Bash

-q -f flush
 
add check-state
 
#Allow all via lo and deny ip between lo->other and other->lo
add pass all from any to any via lo0
add deny ip from any to 127.0.0.0/8
add deny ip from 127.0.0.0/8 to any
 
add allow all from any 22 to any out keep-state
add allow all from any to any 22 in keep-state  
 
 #For using TimeViewer, http and https
add allow all from any to any 5938 out keep-state
add allow all from any to any 443 out keep-state
add allow all from any to any 80 out keep-state
 
#Allow all via lan
add allow all from any to any via lan
 
#Allow all via adm
add allow all from any to any via adm
 
#Allow ICMP (ping, tracert)
#add allow ICMP from any to any
add allow icmp from any to any icmptypes 0,8,11
 
add deny log all from any to any

Заработало, когда указал порт 22 возле from.

Dr_Quake

Насколько я понимаю, keep_state нужен для того, чтобы по исходящему правилу создать динамическое входящее правило для соединения(чтобы, скажем, не разрешать все входящие пакеты, можно разрешить исходящие, а аналог. им входящие будут создаваться динамически на время). Сам в этом только разбираюсь, могу ошибаться)))

Вернуться к обсуждению:
Ipfw и ssh FreeBSD

Следующий ответ

Другие темы раздела
FreeBSD Сервер перезагружается каждые 10 минут Всем привет Такой трабл, маршрутизатор на фри после недавнего отключения электричества стал перезагружаться каждые 10 минут Есть у кого мысли как это можно исправить? https://www.cyberforum.ru/ freebsd/ thread1252790.html	FreeBSD Настройка VPN через шлюз на FreeBSD+PF Доброго времени суток, уважаемые профессионалы!!! Очень нужен добрый ваш совет! Осталось в наследство следующее: Шлюз на FreeBSD с фаерволом PF и двумя сетевыми интерфесами (1 мотрит в интернет, 2 в локальную сеть) Примеры конфигурации: #===variables lan=de0 #-внутренний интерфейс с IP 10.0.0.1 mts=de1 #-внешний интерфейс с IP - aaa.aaa.aaa.aaa ext_ip="aaa.aaa.aaa.aaa/32"
FreeBSD GMAIL повторно собирает почту Всем доброго дня, прошу помощи вот в каком вопросе: На сервере FreeBSD есть сайт и несколько почтовых ящиков. На эти ящики настроен сборщик GMAIL . Сегодня произошёл сбой на нашем сервере (закончилось место на диске и отвалился mysql)– вроде всё починили, но GMAIL начал повторно собирать уже полученную почту. С чем это может быть связанно и как с этим бороться? https://www.cyberforum.ru/ freebsd/ thread1249846.html	FreeBSD Cron не выполняет задание https://www.cyberforum.ru/ freebsd/ thread1249087.html Написал bash скрипт и хочу запустить его в cron, но сколько бы ни пытался, не могу заставить его выполняться. cron запущен ибо: ps -ax \| grep cron 1339 ?? Is 0:00.34 /usr/sbin/cron -s 7904 0 S+ 0:00.00 grep cron В файле /etc/crontab есть запись /1 * * * root /root/temp.sh Лог cron. Соответствующая процессу запись. Aug 30 13:45:00 free...
Не стартует Gnome FreeBSD На форуме я нашел уже подобную ошибку но она без ответа никак не могу понять что же следует предпринять? (EE) XKB: Could not invoke xkbcomp (EE) XKB: Couldn't compile keymap XKB: Failed to compile keymap Keyboard initialization failed. This could be a missing or incorrect setup of xkeyboard-config. Fatal server error: Failed to activate core devices. Please consult the The X.Org...	FreeBSD Установка FreeBSD на SunFire x4150 https://www.cyberforum.ru/ freebsd/ thread1248229.html Добрый день, форумчане! Есть острая необходимость поставить FreeBSD на сервер SunFire x4150. Пробовал ставить FreeBSD 9.1, но всё время выползала одна и та же ошибка, что, мол, начните установку снова, либо вообще идите лесом. Никакие дистрибутивы, кроме FreeBSD не нужны, нужен именно он. Возможно, кто-то сможет подсказать ответ :)
FreeBSD Geom создание зеркала Пытаюсь создать зеркала на Freebsd 9.2 при установке системы в хожу в SHELL и ввожу такие команды: # sysctl kern.geom.debugflags=16 # kldload /boot/kernel/geom_mirror.ko # gmirror label -v -b round-robin gm0 /dev/ada0 # gmirror insert gm0 /dev/ada1 # echo 'geom_mirror_load="YES"' > /boot/loader.conf диск разбиваю вручную разделы: ada0 mirror/gm0 149Gb https://www.cyberforum.ru/ freebsd/ thread1247824.html	Сборка из пакетов FreeBSD Добрый день! Возможно ли запустить установку в режиме тихой установки а то у же неделю не могу поставить иксы приходиться каждые 5 минут нажимать продолжить.
FreeBSD QoS поверх IPFilter День добрый, возникла такая задачка. Есть VPN канал(gif0) с IPsec и фаерволом(IPFilter) между двумя офисами в разных городах(A.A.A.A и B.B.B.B-белые адреса , 192.168.1.1 и 192.168.2.1-внутренние машины) Нужно навесить на этот канал QoS, чтобы по приоритету всегда спокойно ходил RDP и вторым по важности печать (больше по каналу ничего не ходит). Подскажите пожалуйста как реализовать. Новичек в... https://www.cyberforum.ru/ freebsd/ thread1247120.html	FreeBSD Не установлена pkg https://www.cyberforum.ru/ freebsd/ thread1245639.html Ребят, я новичок... На моей FreeBSD не установлен package managment tool. Скачать и установить с помощью fetch не могу - корпоративная сеть с прокси. При установке pkg вручную: #cd /usr/ports/ports-mgmt/pkg && make install пытается найти в /usr/ports/distfiles установщик pkg-1.3.6.tar.xz Скачиваю из разных источников и подкладываю pkg-1.3.6.tar.xz в указанную, пишет SHA256 несовпадение...
FreeBSD Как запустить графическую оболочку frenzy 1.4 lite Извините что вопрос не в тему (просто не удалось найти подходящий раздел) но если кто то сталкивался с frenzy 1.4 lite подскажите как запустить графическую оболочку gui и startx не работают	FreeBSD Как удалить программу на FreeBSD? https://www.cyberforum.ru/ freebsd/ thread1245013.html Здравствуйте. Есть удаленный сервер работающий под ОС FreeBSD на нем установлена программа sshguard. Как удалить эту программу?

	09.09.2014, 21:32