Настройка FreeBSD как Relay сервера Опции

[try]

Хочу настройть FreeBSD как Realy сервер с одним сетевыйм интерфесом. free поднял sendmail настройл(спасибо статье SergeyKa).
И вот вопрос как правильно настроить файрвол для Relay сервера с одним(1) сетевым интерфесом. прошу не осуждать за вопрос так знаком с free только 2-й день ).

[SergeyKa]

try

Непонятно почему Relay если интерфейс 1...
Всегда думал что Relay - перенаправлять...

Всетаки стоит углубится в изучение материала...
Конечно радует, что с помощью того, что писал можно поднять такую непростую штуку как FreeBSD за два дня при начальном отсутствии инфы, но хуже всего то, что при незнании работы таких важных служб как Firewall - компьютер становится абсолютно незащищен.

Предлагаю изучить
Статью Кузмича => http://www.hub.ru/modules.php?name=Section...artid=24&page=4=>http://www.hub.ru/modules.php?name=Sections&sop=viewarticle&artid=24&page=4
И кой какие особенности работы писал тут => http://www.sergeyka.h10.ru/fw_io.html

В разработке статья о совмесном использовании ipfw+natd, а так же различном микшировании служб маскарадинга и пакетных фильтров.

Если есть какие то конкретные вопросы - спроси, всегда рады помочь.

[try]

Спасибо что сразу откликнулись ! )
Насчет Realy - есть один сет.интерфес в внеш ip.(локалного нет). в sendmail настройках access.db стоит RELAY с моего внеш IP ( у меня и много )) и почто пересылатьтся через инет(траффик не нормирован :-)) ) на Free а тот уже в свою очередь пересылает далее . потому и назвал Relay )).
и вот хотол бы настроить firewall что бы он мого прпускать пакеты на 25 и пересылать на 25 ))) и что бы SSH работал ( спасибо еще раз статья здорова помогла ).

[try]

у меня просто получаеться что In и Out интерфейс в одном интерфейсе )).
в статье более менее понятно смущает вот что

здесть поятно
LanOut="rl0"
IPOut="195.195.95.5"
NetOut="24"
MaskOut="255.255.255.0"
------------------
а вот здесь ?
мне нужно то же что и в Out писать или вообще это не писать .
LanIn="rl1"
IPIn="192.168.10.1"
NetInIP="192.168.10.0"
NetInMask="24"
MaskIn="255.255.255.0"

[SergeyKa]

try

Вот тебе лекарство на все случаи жизни

Только УМОЛЯЮ!!! Почитай сначала работу протокола TCP/IP, а потом правила фильтрации пакетов

fwcmd="/sbin/ipfw"

LanOut="rl0"
IPOut="195.195.95.5"
NetOut="24"
MaskOut="255.255.255.0"

dns1="192.168.10.1"
dns2="195.195.95.50"
dns3="195.190.90.9"

${fwcmd} -q -f flush

#
${fwcmd} -q add pass all from any to any via lo0

# Пропускаем все соединения с установленным битом RST или ACK
${fwcmd} -q add pass tcp from any to any established
# Разрешаем все пакеты выходящие из внешнего интерфейса с внешнего IP
${fwcmd} -q add pass ip from ${IPOut} to any out xmit ${LanOut}

# Stop private networks (RFC1918) from entering the outside interface.
${fwcmd} -q add deny ip from 192.168.0.0/16 to any in via ${LanOut}
${fwcmd} -q add deny ip from 172.16.0.0/12 to any in via ${LanOut}
${fwcmd} -q add deny ip from 10.0.0.0/8 to any in via ${LanOut}

# Запрещаем - FTP, терминал, Squid - снаружи (сюда можно впехнуть любые порты которые не нравятся)
${fwcmd} -q add deny tcp from any to any 20,21,22,23,3128 in via ${LanOut}


# Разрешаем почту, DNS
${fwcmd} -q add pass tcp from any to any 25,110 via ${LanOut}
${fwcmd} -q add pass tcp from any 25,110 to any via ${LanOut}
${fwcmd} -q add pass udp from any to any 53 via ${LanOut}
${fwcmd} -q add pass udp from any 53 to any via ${LanOut}

# Эту секцию оставляешь если свой сервер http типа apache будет работать
${fwcmd} -q add pass tcp from ${IPOut} http,https to any via ${LanOut}
${fwcmd} -q add pass tcp from any to ${IPOut} http,https via ${LanOut}


#ICMP - сразу не скажу - надо проверять - попробуй так.
${fwcmd} -q add allow icmp from any to ${IPOut} in  via ${LanOut} icmptype 0,3,4,11,12
${fwcmd} -q add allow icmp from ${IPOut} to any out via ${LanOut} icmptype 3,8,12
${fwcmd} -q add allow icmp from ${IPOut} to any out via ${LanOut} frag
${fwcmd} -q add deny   log icmp from any to any in  via ${LanOut}
${fwcmd} -q add reject log icmp from any to any out via ${LanOut}

${fwcmd} -q add deny log all from any to any

Не проверял - но должно заработать.

Не забывай что почта работает по двум портам 25,110
Прием передача.

[try]

Огромное спаибо )
буду пробывать .
110 не нуже пока будет только отправка.
меня только смутила эта цитата из статьи Kuzmich -а

Внимание! После перезагрузки все добавленные в файрвол правила, и добавленные в таблицу роутинга маршруты будут забыты, поэтому хакер опять сможет получить доступ к Вашей машине до первой попытки сделать что-либо запрещенное. Если Ваш сервер перезагружется достаточно часто - напишите собственный скрипт, который будет не только вносить правило в firewall, но и приписывать его к файлу настройки firewall, исполняемому при загруке системы.

Тоесть получаеться при каждой перезагрузке машины нужно все заново писать ?

[SergeyKa]

try

Просто ты невнимательно читал. Похоже он пишет про работу PortSentry. Она динамически добавляет к рабочей таблице правила файрвола.

а /etc/rc.firewall - это и есть простой shell скрипт, который всегда можно запустить sh /etc/rc.firewall

[try]

да дествительно ))
Проши прощения .
Пробую о результатах расскажу .
еще раз спасибо.

[try]

Все заработало ! ) Спасибо ! )