gryu
дикий гусь | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору # Переменные. pre_com="ipfw -q" # Прификс, указание что правило от IPFW Параметр -q уозначает "тихую" работу ex_face="em0" # внешний сетевой интерфейс сервера in_face="em1" # внутренний сетевой интерфейс сервера ex_ip="172.20.47.1" # ip-адрес внешнего интерфейса сервера in_ip="192.168.100.254" # ip-адрес внутреннего интерфейса сервера # для начала удаляем все существующие правила! $pre_com -f flush # разрешение трафика на петлевом интерфейсе . необходимо для работы ОС # Операционная система UNIX использует интерфейс lo0 и IP-адрес # 127.0.0.1 для внутренних нужд. Таким образом, firewall должен # обеспечивать беспрепятственный обмен данными на указанных интерфейсе и # IP-адресе. $pre_com add 100 allow ip from any to any via lo0 # запрет ip трафика от любого источника на всю сеть loopback интерфейса #$pre_com add 200 deny ip from any to 127.0.0.0/8 # запрет ip трафика со всей сети loopback интерфейса на любой источник #$pre_com add 300 deny ip from 127.0.0.0/8 to any # разрешаем беспрепятственному прохождению трафика внутри нашей локальной сети!!! $pre_com add 400 allow log all from any to any via $in_face # открываем 21 на внешнем интерфейсе $pre_com add 500 allow tcp from any to $ex_ip 21 via $ex_face $pre_com add 550 allow tcp from $ex_ip to any 21 via $ex_face # открываем 22 на внешнем интерфейсе $pre_com add 600 allow tcp from any to $ex_ip 22 via $ex_face $pre_com add 600 allow tcp from $ex_ip to any 22 via $ex_face # включаем kernel NAT на интерфейсе em0 с параметрами # сбрасывать таблицу соединений при смете ip-адреса сетевого интерфейса # пытаться сохранить порты # по-умолчанию запрещать входящие подключения # Проброска портов. "\" понимается как продолжение строки. Т.е. все 3 строки читаются как одна слитная. $pre_com nat 1 config log if $ex_face reset same_ports deny_in \ redirect_port tcp 192.168.100.100:5900 3350 \ redirect_port tcp 192.168.100.100:5900 5900 \ redirect_port tcp 192.168.100.101:5900 3351 \ redirect_port tcp 192.168.100.200:5900 3352 # все что проходит через внешний интерфейс перенаправляем в NAT $pre_com add 1030 nat 1 ip from any to any via $ex_face # !!!! разрешаем всё всем !!! (ОТКЛЮЧАЕМ фаервол) $pre_com add 65000 allow log all from any to any |