Desavil 88 Zgłoś post Napisano Luty 10, 2014 (edytowany) Witam. Przymierzam się do skonfigurowania własnego firewalla bazującego na CSF. Jak konfiguracja ta się ma w przypadku, gdy do serwera przydzielone jest kilka adresów IP? Rozumiem, że wszystkie wprowadzone opcje domyślnie tyczą się wszystkich adresów IP przypisanych do serwera. Zastanawiam się w jaki sposób skonfigurować następujące opcje: # Allow incoming TCP ports TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,2077,2078,2082,2083,2086,2087,2095,2096" # Allow outgoing TCP ports TCP_OUT = "20,21,22,25,37,43,53,80,110,113,443,587,873,2086,2087,2089,2703" # Allow incoming UDP ports UDP_IN = "20,21,53" # Allow outgoing UDP ports # To allow outgoing traceroute add 33434:33523 to this list UDP_OUT = "20,21,53,113,123,873,6277" # Allow incoming PING ICMP_IN = "1" # Set the per IP address incoming ICMP packet rate # To disable rate limiting set to "0" ICMP_IN_RATE = "1/s" # Allow outgoing PING ICMP_OUT = "1" Jest to domyślna konfiguracja. Dla przykładu rozumiem, że port TCP_IN - 20 będzie otwarty dla wszystkich adresów IP przypisanych do serwera? Co chciałbym osiągnąć? Dla przykładu mam adresy IP: 1.1.1.1, 2.2.2.2 Na adresie IP: 1.1.1.1 odblokowane porty: TCP_IN - 22, 53Na adresie IP: 2.2.2.2 odblokowane porty: TCP_IN - 21, 80 Wiem, że tego typu reguły mogę przerobić z iptables pod CSF, ale co w tym przypadku z domyślną polityką jaka jest u góry pliku konfiguracyjnego CSF? Co tam wpisać. Wychodziłoby na to, aby to pole pozostawić puste, ale czy będzie to poprawne? Jeżeli chcę znów dla opcji TCP_OUT zezwolić na połączenia na wszystkie porty, na wszystkich adresach IP, to czy mogę tę opcję ustawić na TCP_OUT = "ALL"? Kolejna sprawa to NAT/forward. Jak wygląda jego obsługa przez CSF, jaka jest domyślna polityka iptables w tym wypadku? Czy CSF będzie współpracował z ipset? Z góry dzięki za pomoc i odpowiedzi! Edytowano Luty 10, 2014 przez Desavil (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Miłosz 2311 Zgłoś post Napisano Luty 10, 2014 Musiałbyś zastosować jakieś custom rules: http://tecadmin.net/add-custom-iptables-rules-with-csf/# Dodasz sobie masquerade do np csfpre.sh i powinno grać W sysctl włącz jeszcze ip_forward Udostępnij ten post Link to postu Udostępnij na innych stronach
