Архив форумов ЦИТФорума

[Patric]

Есть шлюз в интернет на FreeBSD 4.10, через который пользователи в интернет выходят, соответственно на этом шлюзе есть natd, squid, поднят VPN-канал в сторону провайдера, теперь надо поставить фаервол. Так вот, подскажите плиз, какие порты надо закрыть, чтоб максимально обезопасить локальную сеть? Может пользователям оставить один 80 порт открытый, а все остальное закрыть, но ...
В общем столько но, что в голове каша сплошная , хочется сделать как лучше, а как, представить не могу

[butcher]

Если у вас локальная сеть стоит за НАТ'ом и за проксёй, что вам беспокоится, основная задача в вашем случае, ИМХО, прикрыть сам сервер. А тут уж, чтобы не навредить пользователям сами смотрите что нужно закрыть.
_________________
Нет ничего невозможного...

[qwery]

естественно одного 80 порта мало... dns запрос по воздуху ходить будет что ли?
лично мне очень понравилась статейка, я исходя из неё и настраивал свой шлюз.
http://www.hub.ru/modules.php?name=Sections&sop=viewarticle&artid=24&page=4

[Patric]

Предположим оставить 53 и 80, а остальное закрыть. хотя для VPN оставить что-нибудь надо, этого достаточно будет?

[Unit]

а рулишь сервак ты сам???? локально?????? в принципе можно еще и SSH как бы оставить для удаленного руления......

[a-m-d]

Для pptp, например, надо открыть порт tcp 1723 и разрешить протокол gre. См. /etc/protocols и /etc/services

А вообще, надо закрыть все, а по мере надобности открывать потихонечку недостающее. С http и dns ты уже определился. А выяснить чего тебе для счастья не хватает можно таким нехитрым способом: в строке файервола (ipfw используешь же?), которая в конце-концов deny from any to any, укажи записывать пакеты в лог. Потом /var/log/security анализируй.

[Patric]

Все, спасибо большое, будем внедрять
Если еще, что добавить можно, то с нетерпением жду

[Patric]

Вот такая проблема возникла: при добавление правила

add divert natd all from any to any

фаервол выдает ошибку, мол что не может добавить данное правило в общий список правил, почему не подскажите?

[a-m-d]

А natd точно стартовал без ошибок и в настоящий момент работает?

Если да, то полностью (за исключением реальных адресов) строку файервола и сообщение об ошибке в студию.
_________________
Век живи - век учись!.. Дураком помрёшь.

[TechNoir]

Насчет открытия портов:

Если у тебя squid поднят, то зачем тебе тогда 80-ый порт открывать.
Ходи на Web-сайты через прокси. Открываешь 3128 или 8080 , смотря на каком-порту прокси сидит.

Если кому нужна почта (E-mail клиента юзают) открываешь специально для них 25 и 110 порты.
_________________
Vive la Russie!

[gooamoko]

А нету такого, что трафик со статусом RELATED,ESTABLISHED проходит, а новые подключения блокируются?
Например, в Linux, в iptables можно так указать:
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Так вот: Можно ли так сделать в BSD системах на ipf, ipfw
_________________
Что один сделал, другой завсегда сломать сможет

[crash]

[Гость]

Спасибо. Хоть что-то хорошее за сегодня.