gryu
дикий гусь | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
# Переменные.
pre_com="ipfw -q" # Прификс, указание что правило от IPFW Параметр -q уозначает "тихую" работу
ex_face="vlan327" # внешний сетевой интерфейс сервера
in_face="em1" # внутренний сетевой интерфейс сервера
ex_ip="*****" # ip-адрес внешнего интерфейса сервера
in_ip="192.168.100.254" # ip-адрес внутреннего интерфейса сервера
# для начала удаляем все существующие правила!
$pre_com -f flush
# разрешение трафика на петлевом интерфейсе . необходимо для работы ОС
# Операционная система UNIX использует интерфейс lo0 и IP-адрес
# 127.0.0.1 для внутренних нужд. Таким образом, firewall должен
# обеспечивать беспрепятственный обмен данными на указанных интерфейсе и
# IP-адресе.
$pre_com add 100 allow ip from any to any via lo0
# запрет ip трафика от любого источника на всю сеть loopback интерфейса
$pre_com add 200 deny ip from any to 127.0.0.0/8
# запрет ip трафика со всей сети loopback интерфейса на любой источник
$pre_com add 300 deny ip from 127.0.0.0/8 to any
# разрешаем беспрепятственному прохождению трафика внутри нашей локальной сети!!!
$pre_com add 400 allow all from any to any via $in_face
# открываем 22 на внешнем интерфейсе
$pre_com add 500 allow tcp from any to $ex_ip 22 via $ex_face
# открываем 21 на внешнем интерфейсе
$pre_com add 600 allow tcp from any to $ex_ip 21 via $ex_face
# включаем kernel NAT на интерфейсе em0 с параметрами
# сбрасывать таблицу соединений при смете ip-адреса сетевого интерфейса
# пытаться сохранить порты
# по-умолчанию запрещать входящие подключения
# Проброска портов. "\" понимается как продолжение строки. Т.е. все 3 строки читаются как одна слитная.
# $pre_com nat 1 config log if $ex_face reset same_ports deny_in \
redirect_port tcp 192.168.100.100:5900 5900 \
redirect_port tcp 192.168.100.101:5900 3351 \
redirect_port tcp 192.168.100.102:5900 3352
# все что проходит через внешний интерфейс перенаправляем в NAT
$pre_com add 1030 nat 1 ip from any to any via $ex_face
|
