Настройка FreeBSD как Relay сервера |
Здравствуйте, гость ( Вход | Регистрация )
Настройка FreeBSD как Relay сервера |
try |
18.09.2003 - 15:09
Сообщение
#1
|
Member Группа: Пoльзователь Сообщений: 27 Регистрация: 18.09.2003 Пользователь №: 15972 |
Хочу настройть FreeBSD как Realy сервер с одним сетевыйм интерфесом. free поднял sendmail настройл(спасибо статье SergeyKa).
И вот вопрос как правильно настроить файрвол для Relay сервера с одним(1) сетевым интерфесом. прошу не осуждать за вопрос так знаком с free только 2-й день ). |
SergeyKa |
18.09.2003 - 15:51
Сообщение
#2
|
The NetWork Assistant Группа: Старейшины Сообщений: 342 Регистрация: 18.02.2003 Пользователь №: 6704 |
try
Непонятно почему Relay если интерфейс 1... Всегда думал что Relay - перенаправлять... Всетаки стоит углубится в изучение материала... Конечно радует, что с помощью того, что писал можно поднять такую непростую штуку как FreeBSD за два дня при начальном отсутствии инфы, но хуже всего то, что при незнании работы таких важных служб как Firewall - компьютер становится абсолютно незащищен. Предлагаю изучить Статью Кузмича => http://www.hub.ru/modules.php?name=Section...artid=24&page=4=>http://www.hub.ru/modules.php?name=Sections&sop=viewarticle&artid=24&page=4 И кой какие особенности работы писал тут => http://www.sergeyka.h10.ru/fw_io.html В разработке статья о совмесном использовании ipfw+natd, а так же различном микшировании служб маскарадинга и пакетных фильтров. Если есть какие то конкретные вопросы - спроси, всегда рады помочь. |
try |
18.09.2003 - 16:15
Сообщение
#3
|
Member Группа: Пoльзователь Сообщений: 27 Регистрация: 18.09.2003 Пользователь №: 15972 |
Спасибо что сразу откликнулись ! )
Насчет Realy - есть один сет.интерфес в внеш ip.(локалного нет). в sendmail настройках access.db стоит RELAY с моего внеш IP ( у меня и много )) и почто пересылатьтся через инет(траффик не нормирован :-)) ) на Free а тот уже в свою очередь пересылает далее . потому и назвал Relay )). и вот хотол бы настроить firewall что бы он мого прпускать пакеты на 25 и пересылать на 25 ))) и что бы SSH работал ( спасибо еще раз статья здорова помогла ). |
try |
18.09.2003 - 16:25
Сообщение
#4
|
Member Группа: Пoльзователь Сообщений: 27 Регистрация: 18.09.2003 Пользователь №: 15972 |
у меня просто получаеться что In и Out интерфейс в одном интерфейсе )).
в статье более менее понятно смущает вот что Цитата здесть поятно LanOut="rl0" IPOut="195.195.95.5" NetOut="24" MaskOut="255.255.255.0" ------------------ а вот здесь ? мне нужно то же что и в Out писать или вообще это не писать . LanIn="rl1" IPIn="192.168.10.1" NetInIP="192.168.10.0" NetInMask="24" MaskIn="255.255.255.0" |
SergeyKa |
18.09.2003 - 16:54
Сообщение
#5
|
The NetWork Assistant Группа: Старейшины Сообщений: 342 Регистрация: 18.02.2003 Пользователь №: 6704 |
try
Вот тебе лекарство на все случаи жизни Только УМОЛЯЮ!!! Почитай сначала работу протокола TCP/IP, а потом правила фильтрации пакетов Цитата fwcmd="/sbin/ipfw" LanOut="rl0" IPOut="195.195.95.5" NetOut="24" MaskOut="255.255.255.0" dns1="192.168.10.1" dns2="195.195.95.50" dns3="195.190.90.9" ${fwcmd} -q -f flush # ${fwcmd} -q add pass all from any to any via lo0 # Пропускаем все соединения с установленным битом RST или ACK ${fwcmd} -q add pass tcp from any to any established # Разрешаем все пакеты выходящие из внешнего интерфейса с внешнего IP ${fwcmd} -q add pass ip from ${IPOut} to any out xmit ${LanOut} # Stop private networks (RFC1918) from entering the outside interface. ${fwcmd} -q add deny ip from 192.168.0.0/16 to any in via ${LanOut} ${fwcmd} -q add deny ip from 172.16.0.0/12 to any in via ${LanOut} ${fwcmd} -q add deny ip from 10.0.0.0/8 to any in via ${LanOut} # Запрещаем - FTP, терминал, Squid - снаружи (сюда можно впехнуть любые порты которые не нравятся) ${fwcmd} -q add deny tcp from any to any 20,21,22,23,3128 in via ${LanOut} # Разрешаем почту, DNS ${fwcmd} -q add pass tcp from any to any 25,110 via ${LanOut} ${fwcmd} -q add pass tcp from any 25,110 to any via ${LanOut} ${fwcmd} -q add pass udp from any to any 53 via ${LanOut} ${fwcmd} -q add pass udp from any 53 to any via ${LanOut} # Эту секцию оставляешь если свой сервер http типа apache будет работать ${fwcmd} -q add pass tcp from ${IPOut} http,https to any via ${LanOut} ${fwcmd} -q add pass tcp from any to ${IPOut} http,https via ${LanOut} #ICMP - сразу не скажу - надо проверять - попробуй так. ${fwcmd} -q add allow icmp from any to ${IPOut} in via ${LanOut} icmptype 0,3,4,11,12 ${fwcmd} -q add allow icmp from ${IPOut} to any out via ${LanOut} icmptype 3,8,12 ${fwcmd} -q add allow icmp from ${IPOut} to any out via ${LanOut} frag ${fwcmd} -q add deny log icmp from any to any in via ${LanOut} ${fwcmd} -q add reject log icmp from any to any out via ${LanOut} ${fwcmd} -q add deny log all from any to any Не проверял - но должно заработать. Не забывай что почта работает по двум портам 25,110 Прием передача. |
try |
18.09.2003 - 17:05
Сообщение
#6
|
Member Группа: Пoльзователь Сообщений: 27 Регистрация: 18.09.2003 Пользователь №: 15972 |
Огромное спаибо )
буду пробывать . 110 не нуже пока будет только отправка. меня только смутила эта цитата из статьи Kuzmich -а Цитата Внимание! После перезагрузки все добавленные в файрвол правила, и добавленные в таблицу роутинга маршруты будут забыты, поэтому хакер опять сможет получить доступ к Вашей машине до первой попытки сделать что-либо запрещенное. Если Ваш сервер перезагружется достаточно часто - напишите собственный скрипт, который будет не только вносить правило в firewall, но и приписывать его к файлу настройки firewall, исполняемому при загруке системы. Тоесть получаеться при каждой перезагрузке машины нужно все заново писать ? |
SergeyKa |
18.09.2003 - 17:15
Сообщение
#7
|
The NetWork Assistant Группа: Старейшины Сообщений: 342 Регистрация: 18.02.2003 Пользователь №: 6704 |
try
Просто ты невнимательно читал. Похоже он пишет про работу PortSentry. Она динамически добавляет к рабочей таблице правила файрвола. а /etc/rc.firewall - это и есть простой shell скрипт, который всегда можно запустить sh /etc/rc.firewall |
try |
18.09.2003 - 18:09
Сообщение
#8
|
Member Группа: Пoльзователь Сообщений: 27 Регистрация: 18.09.2003 Пользователь №: 15972 |
да дествительно ))
Проши прощения . Пробую о результатах расскажу . еще раз спасибо. |
try |
19.09.2003 - 11:25
Сообщение
#9
|
Member Группа: Пoльзователь Сообщений: 27 Регистрация: 18.09.2003 Пользователь №: 15972 |
Все заработало ! ) Спасибо ! )
|
Реклама
|
|
|
|
|
|
Текстовая версия | Сейчас: 19.04.2024 - 22:59 |
|