Пример настройки FIREWALL

[Наблюдатель]

Уважаемые, не мог бы кто из вас написать в качестве примера настройки IPFW под FreeBSD для следующей конфигурации сервера:

1. Интерфейс em0, подключен к инет-провайдеру с адресом XX.XX.XX.XX/32
2. Интерфейс em1, подключен к локальной сети с адресом 10.0.0.1/16

Требуется:

1. разрешить NAT, который могут использовать только клиенты локальной сети 10.0.0.0/16
2. разрешить все подключения клиентов из локальной сети
3. запретить все входящие подключения из инета, кроме порта 80 (чтобы из инета можно было бы статистику смотреть)

Документацию уже до дыр прочитал А вот реальный конф бы увидеть...

[redmoon]

#!/bin/sh
/sbin/ipfw -f flush
/sbin/ipfw add 10 allow ip from any to any via lo0
/sbin/ipfw add 11 allow ip from me to me via rl1
/sbin/ipfw add 12 allow ip from me to me via rl0
/sbin/ipfw add 20 deny ip from any to 127.0.0.0/8
/sbin/ipfw add 30 deny ip from 127.0.0.0/8 to any

#LOCAL NAT
/sbin/ipfw add 60 divert 8668 ip from 192.168.0.0/24 to any out xmit rl0
/sbin/ipfw add 70 divert 8668 ip from any to <ISP_IP/32> in recv rl0

/sbin/ipfw add 71 allow ip from any to any via rl1
/sbin/ipfw add 80 allow icmp from any to any
/sbin/ipfw add 90 allow tcp from any to any established
/sbin/ipfw add 100 allow ip from any to any frag
/sbin/ipfw add 101 check-state

/sbin/ipfw add 120 allow udp from <ISP_IP> to any keep-state
/sbin/ipfw add 130 allow tcp from <ISP_IP> to any

#PEMIT ALL LOCAL CONNECTIONS
/sbin/ipfw add 140 allow ip from any to 192.168.0.0/24 in recv rl0

#PERMIT WEB PORT
/sbin/ipfw add 65530 allow tcp from any to <ISP_IP> 80 via rl0 setup
/sbin/ipfw add 65532 deny log tcp from any to any in recv rl0
/sbin/ipfw add 65533 deny log udp from any to any in recv rl0
/sbin/ipfw add 65534 deny ip from any to any
ПОМОЕМУ все просто тривиально.

[redmoon]

#!/bin/sh
/sbin/ipfw -f flush
/sbin/ipfw add 10 allow ip from any to any via lo0
/sbin/ipfw add 11 allow ip from me to me via rl1
/sbin/ipfw add 12 allow ip from me to me via rl0
/sbin/ipfw add 20 deny ip from any to 127.0.0.0/8
/sbin/ipfw add 30 deny ip from 127.0.0.0/8 to any

#LOCAL NAT
/sbin/ipfw add 60 divert 8668 ip from 192.168.0.0/24 to any out xmit rl0
/sbin/ipfw add 70 divert 8668 ip from any to <ISP_IP/32> in recv rl0

/sbin/ipfw add 71 allow ip from any to any via rl1
/sbin/ipfw add 80 allow icmp from any to any
/sbin/ipfw add 90 allow tcp from any to any established
/sbin/ipfw add 100 allow ip from any to any frag
/sbin/ipfw add 101 check-state

/sbin/ipfw add 120 allow udp from <ISP_IP> to any keep-state
/sbin/ipfw add 130 allow tcp from <ISP_IP> to any

#PEMIT ALL LOCAL CONNECTIONS
/sbin/ipfw add 140 allow ip from any to 192.168.0.0/24 in recv rl0

#PERMIT WEB PORT
/sbin/ipfw add 65530 allow tcp from any to <ISP_IP> 80 via rl0 setup
/sbin/ipfw add 65532 deny log tcp from any to any in recv rl0
/sbin/ipfw add 65533 deny log udp from any to any in recv rl0
/sbin/ipfw add 65534 deny ip from any to any
ПОМОЕМУ все просто тривиально.

[redmoon]

понятно что rl0 - сетевуха провайдера
rl1 сетевуха локалки.

[Наблюдатель]

redmoon, спасибо!