xy
ХУдератор | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Zmey Цитата: ой, спасибо, а то я с натдом знаком весьма и весьма посредственно - видать в нём грабли Добавлено Цитата: И посмотрел бы работает или не работает, а потом бы уже написал в этот топик | ну ясное дело, что так не работало, потому и написал:) Добавлено Давайте по порядку: xl1- external interface xl0 - internal 1. natd: add divert natd all from any to any via xl1 2. ICMP add allow icmp from any to any in via xl1 icmptype 0, 3, 4, 11, 12 add allow icmp from any to any out via xl1 icmptype 3, 8, 12 add allow icmp from any to any out via xl1 frag add deny log icmp from any to any in via xl1 3. SMTP add allow tcp from any to any smtp add allow tcp from any smtp to any я хочу, чтобы смтп могли отправлять авторизованные пользователи извне, плюс моя внутренняя сеть также не ограничивалась местным смтп, хотя возможно правила стоит ужесточить? 4. HTTP add allow tcp from any to any http add allow tcp from any http to any 5. HTTPS add allow tcp from any to any https add allow tcp from any https to any стоит ли в 4 и 5 ограничивать in/out трафик, если да, то как правильно изменить правила? 6. DNS add allow udp from any to any domain add allow udp from any domain to any аналогичный вопрос 7. ПОП3ССЛь add allow udp from any to any pop3s add allow udp from any pop3s to any позиция такая же как в 3, хотя просто поп3 для внешних серверов наверное нужно разрешить, стоит ли? 8. ФТП add allow tcp from any to any ftp add allow tcp from any ftp to any add allow tcp from any to any 20 add allow tcp from any 20 to any алиас ftp-data оно не отрабатывает, видимо из-за "-", но не суть аналогично 4-5-6 вопрос 9. ШШ add allow tcp from any to any ssh add allow tcp from any ssh to any тут позиция как в 3 последние правила: # Разрешаем трафик только в пределах локальной сети add allow all from any to any via xl0 # Разрешаем трафик по local интерфейсу add allow all from any to any via lo0 нужно ли это менять? например как-то глушить трафик по внутреннему интерфейсу (хотя толку от этого ИМХО не будет, ведь не всё через сервер внутри сети ходит) еще надо бы аську открыть.. стандартный порт или обычно как-то иначе открывают? если открыть только для login.icq.com, могут ли быть проблемы еще будет необходимость для некоторых серверов открывать некоторые порты (всякие хитрожопые хостсервис по хитрожопым портам доступа) - их надо вставлять вначале сразу после натд? как лучше открывать для обмена, чтобы не писать allow all from any hzport to any hzport.. + почему пишут пары правил, а не просто типа: allow tcp from any http to any http?
---------- Счастливые мысли приводят к счастливой клеточной биохимии |
|