- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Понадобилось разграничить доступ по ip для FTP.
Решил настроить правила ipfw по аналогии с работающей
конструкцией на другом сервере.
/etc/rc.conf
содержит строки в конце
/usr/local/etc/rc.firewall
имеет содержание
делаю
sh /usr/local/etc/rc.firewall
и получаю закрытый доступ ко всем сервисам.
Если оставляю строку в /usr/local/etc/rc.firewall
${fwcmd} add 00404 allow ip from any to any, то открываю доступ всему.
Вопросы
Требуется одна строка с правилом?
Где расположить правило?
Каким должно быть содержание правила?
Благодарю за ответ
Не когда не работал с ipfw, поэтому не уверен в работе правил, расположить в конце
Для активного режима FTP:
${fwcmd} add allow tcp from ВАШ_ИП to me 20-21А это для пассивного, возможно необходимо заменить диапазон 49152-65534 на тот, который указан в настройках FTP сервера:
${fwcmd} add allow tcp from ВАШ_ИП to me 49152-65534swank,
рабочее правило для ftp есть в указанных правилах.
Дело в том, что запуск скрипта перекрывает доступ по всем сервисам.
Я бы посоветовал сделать немного иначе.
Свои правила вынести в отдельный sh-скрипт и поместить его в /usr/local/etc/rc.d и там уже добавлять правила.
Свое правило поместить повыше, если фаервол настроен запретить все что не разрешено (что на мой взгляд лучше), сначала вы разрешаете прохождение пакетов согласно правил.
Для полного контроля можно написать так:
первое правило разрешает вход на ваш фтп, второе ответ от фтп
swank,
рабочее правило для ftp есть в указанных правилах.
Дело в том, что запуск скрипта перекрывает доступ по всем сервисам.
Покажите ipfw show
ipfw: DEPRECATED: 'sho' matched 'show' as a sub-string
00100 0 0 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00404 82 12806 allow ip from any to any
00408 0 0 allow ip from 130.180.0.0 to me dst-port 110
00500 0 0 deny ip from any to me dst-port 110
00610 0 0 allow ip from 88.198.0.0 to me dst-port 21
00700 0 0 deny ip from any to me dst-port 21
65535 91 6986 deny ip from any to any
Видимо, проблема в последнем правиле. Где оно прописано, не разобрался.
Во первых 88.198.0.0 это неправильно указано, если хотите указать подсеть с которой разрешается доступ то нужно указывать так 88.198.0.0/24 накпример. Если с конкретного ip то так 88.198.0.1 - например.
ipfw: DEPRECATED: 'sho' matched 'show' as a sub-string
Видимо, проблема в последнем правиле. Где оно прописано, не разобрался.
65535 91 6986 deny ip from any to any
Последнее правило добавляется от системы и оно верное на мой взгляд, то-есть то что не разрешено запрещено.
опишите правила что хотите разрешить на сервере.
И как оппонент soldercom подметил, если вы хотите дать доступ определенным под сетям то используйте маски (/24 к примеру).
Два нуля добавил, чтобы не показывать свой ip. Про маски знаю.
Согласен. Скорее всего, оно добавляется по умолчанию и в большинстве случаев необходимо.
Другое дело, что ipfw я поднимаю по аналогии с другим сервером,
где правила такие же, только нет
Видимо, это более новая версия.
ssh (свой порт), ftp, tcp (сайт недоступен, скорее всего порт nginx).
Два нуля добавил, чтобы не показывать свой ip. Про маски знаю.
Согласен. Скорее всего, оно добавляется по умолчанию и в большинстве случаев необходимо.
Другое дело, что ipfw я поднимаю по аналогии с другим сервером,
где правила такие же, только нет
Видимо, это более новая версия.
ssh (свой порт), ftp, tcp (сайт недоступен, скорее всего порт nginx).
Вы можете сделать так.
GOOD='xxx.xxx.xxx.xxx,xxx.xxx.xxx.xxx'
ipfw add allow tcp from ${GOOD} to any
ipfw add allow tcp from any to ${GOOD}
Этим самым вы разрешите все на сервере, в этом случае порты для цепочки GOOD можно не открывать, они будут доступны.
Или только определенные порты.
Добавьте такие правила к себе.
По умолчанию дефолтное (65535) правило в ipfw - deny.
Если пересобрать ядро с
то будет по-умолчанию allow.
Возможно, поэтому на одном сервере работает, а на другом нет.