Правила firewall не работают
-
Такое правило на порт 1723
http://screenshot.su/show.php?img=2f59d006ed36195abff1675792d6f69d.jpg
при этом порт все равно открыт.
Как его можно запретить подключение с определенных ip? -
А Вы уверены в протоколе? Может вместо TCP поставить * ?
-
надо закрыть доступ с определенных ip конкретно к pptp серверу
-
надо закрыть доступ с определенных ip конкретно к pptp серверу
За это отвечает опция Source IP
-
надо закрыть доступ с определенных ip конкретно к pptp серверу
За это отвечает опция Source IP
прописывание любых правил на доступ к pptp серверу pfsense не дает никакого результата, т.е. сейчас по логике порт 1723 должен быть закрыт для всех, но он виден сканером и к нему можно подключится
-
надо закрыть доступ с определенных ip конкретно к pptp серверу
За это отвечает опция Source IP
прописывание любых правил на доступ к pptp серверу pfsense не дает никакого результата, т.е. сейчас по логике порт 1723 должен быть закрыт для всех, но он виден сканером и к нему можно подключится
Мой пост № 1 пробовали? Смените протокол TCP в вашем правиле на ANY.
Что означает Любые правила? На скриншоте вижу только то, что вижу. -
разобрались, надо поставить галочку как на скриншоте
SYSTEM->ADVANCED
http://screenshot.su/show.php?img=d3b27970c90d28fbae1015d3a2cbcdec.jpg
-
-
На LAN разрешить исходящие в любом направлении
pass TCP/UDP LAN Subnet * * * *На WAN разрешайте сервисы
pass TCP/UDL LAN Subnet * * <порт аськи> *
pass TCP/UDL LAN Subnet * * <порт мирки> *
pass TCP/UDL LAN Subnet * * <порт http> *
pass TCP/UDL LAN Subnet * * <порт https> *Вы не должны указывать в правилах SRC порт! - он динамический.
PS Для своих проблем создавайте собственные топики. По решению ставьте Решено
-
я извиняюсь..
но не заработало…#System aliases loopback = "{ lo0 }" WAN = "{ msk0 }" LAN = "{ nfe0 }" #SSH Lockout Table table <sshlockout>persist table <webconfiguratorlockout>persist #pfSnortSam tables table <snort2c>table <pfsnortsamout>table <pfsnortsamin>table <virusprot># User Aliases # Gateways GWWAN = " route-to ( msk0 192.168.0.1 ) " set loginterface nfe0 set optimization normal set limit states 97000 set limit src-nodes 97000 set skip on pfsync0 scrub in on $WAN all fragment reassemble scrub in on $LAN all fragment reassemble nat-anchor "natearly/*" nat-anchor "natrules/*" # Outbound NAT rules nat on $WAN from 192.168.1.0/24 to any port 500 -> 192.168.0.57/32 static-port nat on $WAN from 192.168.1.0/24 to any -> 192.168.0.57/32 port 1024:65535 # Load balancing anchor rdr-anchor "relayd/*" # TFTP proxy rdr-anchor "tftp-proxy/*" table <direct_networks>{ 192.168.0.0/24 192.168.1.0/24 } # UPnPd rdr anchor rdr-anchor "miniupnpd" anchor "relayd/*" #--------------------------------------------------------------------------- # default deny rules #--------------------------------------------------------------------------- block in log all label "Default deny rule" block out log all label "Default deny rule" # We use the mighty pf, we cannot be fooled. block quick proto { tcp, udp } from any port = 0 to any block quick proto { tcp, udp } from any to any port = 0 # Block all IPv6 block in quick inet6 all block out quick inet6 all # pfSnortSam block quick from <snort2c>to any label "Block snort2c hosts" block quick from any to <snort2c>label "Block snort2c hosts" block quick from <pfsnortsamout>to any label "Block pfSnortSamOut hosts" block quick from any to <pfsnortsamin>label "Block pfSnortSamIn hosts" # SSH lockout block in log quick proto tcp from <sshlockout>to any port 222 label "sshlockout" # webConfigurator lockout block in log quick proto tcp from <webconfiguratorlockout>to any port 443 label "webConfiguratorlockout" block in quick from <virusprot>to any label "virusprot overload table" table <bogons>persist file "/etc/bogons" # block bogon networks # http://www.cymru.com/Documents/bogon-bn-nonagg.txt block in log quick on $WAN from <bogons>to any label "block bogon networks from WAN" antispoof for msk0 # block anything from private networks on interfaces with the option set antispoof for $WAN block in log quick on $WAN from 10.0.0.0/8 to any label "block private networks from wan block 10/8" block in log quick on $WAN from 127.0.0.0/8 to any label "block private networks from wan block 127/8" block in log quick on $WAN from 172.16.0.0/12 to any label "block private networks from wan block 172.16/12" block in log quick on $WAN from 192.168.0.0/16 to any label "block private networks from wan block 192.168/16" # allow our DHCP client out to the WAN pass in on $WAN proto udp from any port = 67 to any port = 68 label "allow dhcp client out WAN" pass out on $WAN proto udp from any port = 68 to any port = 67 label "allow dhcp client out WAN" # Not installing DHCP server firewall rules for WAN which is configured for DHCP. antispoof for nfe0 # allow access to DHCP server on LAN pass in on $LAN proto udp from any port = 68 to 255.255.255.255 port = 67 label "allow access to DHCP server" pass in on $LAN proto udp from any port = 68 to 192.168.1.1 port = 67 label "allow access to DHCP server" pass out on $LAN proto udp from 192.168.1.1 port = 67 to any port = 68 label "allow access to DHCP server" # loopback pass in on $loopback all label "pass loopback" pass out on $loopback all label "pass loopback" # let out anything from the firewall host itself and decrypted IPsec traffic pass out all keep state allow-opts label "let out anything from firewall host itself" pass out route-to ( msk0 192.168.0.1 ) from 192.168.0.57 to !192.168.0.0/24 keep state allow-opts label "let out anything from firewall host itself" # make sure the user cannot lock himself out of the webConfigurator or SSH pass in quick on nfe0 proto tcp from any to (nfe0) port { 80 443 222 } keep state label "anti-lockout rule" # User-defined rules follow pass in quick on $LAN from 192.168.1.0/24 to any keep state label "USER_RULE: Default allow LAN to any rule" # VPN Rules anchor "tftp-proxy/*"</bogons></bogons></virusprot></webconfiguratorlockout></sshlockout></pfsnortsamin></pfsnortsamout></snort2c></snort2c></direct_networks></virusprot></pfsnortsamin></pfsnortsamout></snort2c></webconfiguratorlockout></sshlockout>
-
я извиняюсь..
но не заработало…Нужны скриншоты новых правил. Можно крепить прямо к сообщению (Additional Options)