Skocz do zawartości
Desavil

CSF a kilka adresów IP

Polecane posty

Witam.

 

Przymierzam się do skonfigurowania własnego firewalla bazującego na CSF. Jak konfiguracja ta się ma w przypadku, gdy do serwera przydzielone jest kilka adresów IP? Rozumiem, że wszystkie wprowadzone opcje domyślnie tyczą się wszystkich adresów IP przypisanych do serwera.

 

Zastanawiam się w jaki sposób skonfigurować następujące opcje:

# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,2077,2078,2082,2083,2086,2087,2095,2096"

# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,37,43,53,80,110,113,443,587,873,2086,2087,2089,2703"

# Allow incoming UDP ports
UDP_IN = "20,21,53"

# Allow outgoing UDP ports
# To allow outgoing traceroute add 33434:33523 to this list 
UDP_OUT = "20,21,53,113,123,873,6277"

# Allow incoming PING
ICMP_IN = "1"

# Set the per IP address incoming ICMP packet rate
# To disable rate limiting set to "0"
ICMP_IN_RATE = "1/s"

# Allow outgoing PING
ICMP_OUT = "1"

Jest to domyślna konfiguracja. Dla przykładu rozumiem, że port TCP_IN - 20 będzie otwarty dla wszystkich adresów IP przypisanych do serwera?

 

Co chciałbym osiągnąć?

Dla przykładu mam adresy IP: 1.1.1.1, 2.2.2.2

Na adresie IP: 1.1.1.1 odblokowane porty: TCP_IN - 22, 53
Na adresie IP: 2.2.2.2 odblokowane porty: TCP_IN - 21, 80

 

Wiem, że tego typu reguły mogę przerobić z iptables pod CSF, ale co w tym przypadku z domyślną polityką jaka jest u góry pliku konfiguracyjnego CSF? Co tam wpisać. Wychodziłoby na to, aby to pole pozostawić puste, ale czy będzie to poprawne? Jeżeli chcę znów dla opcji TCP_OUT zezwolić na połączenia na wszystkie porty, na wszystkich adresach IP, to czy mogę tę opcję ustawić na TCP_OUT = "ALL"?

 

Kolejna sprawa to NAT/forward. Jak wygląda jego obsługa przez CSF, jaka jest domyślna polityka iptables w tym wypadku?

 

Czy CSF będzie współpracował z ipset?

 

Z góry dzięki za pomoc i odpowiedzi!

Edytowano przez Desavil (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×