Блокировать все порты, кроме необходимых

DasTieRR

@vetash:

Могучие гуру, помогите разобраться с файерволом pfsense 2.1
Необходимо запретить прохождение пакетов по всем портам во внешний мир. Разрешить только то, что необходимо для работы.
Каким образом расставлять правила в списке? 1 Запрещающее правило и только потом уже то, что нужно?
Если есть подробный мануал - поделитесь пожалуйста.
Настраивал вот так:

Не помогает.

Первое правило всех уже "пустило" по всем портам. Насколько помню я, правила читаются сверху вниз.

vetash

@DasTieRR:

Первое правило всех уже "пустило" по всем портам. Насколько помню я, правила читаются сверху вниз.

Т.е. первым правилом нужно поставить "запретить все" ?

dr.gopher

@vetash:

Т.е. первым правилом нужно поставить "запретить все" ?

правила работают сверху вниз.

Как правило ПФ сам блокирует все неразрешенное вами последним правилом.

pigbrother

DasTieRR прав, первое правило пускает всех из LAN всюду.

По идее достаточно только разрешающего правила

Создаете в Firewall-Aliases-Ports

Алиас со списком разрешенных портов.
Создаете и делаете  первым для LAN правило, указав в  Destination port range этот Алиас

vetash

@pigbrother:

DasTieRR прав, первое правило пускает всех из LAN всюду.

По идее достаточно только разрешающего правила

Создаете в Firewall-Aliases-Ports

Алиас со списком разрешенных портов.
Создаете и делаете  первым для LAN правило, указав в  Destination port range этот Алиас

А как выбрать алиас? Добавил кучу портов, а вот в графе port range в правиле FW нет моего алиаса.

dr.gopher

@vetash:

А как выбрать алиас? Добавил кучу портов, а вот в графе port range в правиле FW нет моего алиаса.

вписать ручками

pigbrother

@dr.gopher:

@vetash:

А как выбрать алиас? Добавил кучу портов, а вот в графе port range в правиле FW нет моего алиаса.

вписать ручками

Начать писать имя алиаса, pfsens его подставит сам.

В самом правиле при наведении на алиас будет открываться окошко с его содержимым.

gr0mW

Можно создать несколько алиасов, сгруппировав порты по назначению ( http, email и т.д.).
Да и кстати посмотрите на Proto (протоколы). Тот же ftp на 20,21 порту использует ТСР. Найдите в инете описания портов и что их использует. Исключите лишние протоколы.
В последнем (запрещающем) правиле в Proto можно поставить – any. Это запрет по всем протоколам, а не только TCP/UDP

werter

@gr0mW:

Можно создать несколько алиасов, сгруппировав порты по назначению ( http, email и т.д.).
Да и кстати посмотрите на Proto (протоколы). Тот же ftp на 20,21 порту использует ТСР. Найдите в инете описания портов и что их использует. Исключите лишние протоколы.
В последнем (запрещающем) правиле в Proto можно поставить – any. Это запрет по всем протоколам, а не только TCP/UDP

Не надо в конце запрещающего правила! Дефолт полиси у пф - запрещено всё , что не разрешено явно.

A Former User

Здравствуйте.

Можно вопрос:
А ели необходимо в сети определенным IP открыть ТОЛЬКО почту (порты 110 и 587). Чтобы наружу они никак не могли выйти и пользовались только почтой и сетевыми ресурсами?

pigbrother

@Bansardo:

Здравствуйте.

Можно вопрос:
А ели необходимо в сети определенным IP открыть ТОЛЬКО почту (порты 110 и 587). Чтобы наружу они никак не могли выйти и пользовались только почтой и сетевыми ресурсами?

\

Создать алиас из нужных IP.
Создать правило, разрешающее этому алиасу (source) доступ к нужным портам (destination)
Поставить это правило выше Default to any
Возможно в список разрешенных портов придется добавить порты DNS.
Порты тоже можно группировать в алиас.

A Former User

разве не нужно создать вместо дефолтного правила, правило с ip всех остальных ПК без тех, кому разрешаешь определенные порты? Иначе правило ниже разрешает все, а правило выше дублирует это разрешение только по нескольким портам?

pigbrother

Для указанных IP сработает это правило. Остальные IP будут обрабатываться тем(и) правилом\правилами, что расположены ниже, в вашем случае - тем, что разрешает все

A Former User

@pigbrother:

Для указанных IP сработает это правило. Остальные IP будут обрабатываться тем(и) правилом\правилами, что расположены ниже, в вашем случае - тем, что разрешает все

Значит он сам исключит IP адреса, которым присвоены определенные правила, из всего списка. Я правильно понял?

pigbrother

@Bansardo:

@pigbrother:

Для указанных IP сработает это правило. Остальные IP будут обрабатываться тем(и) правилом\правилами, что расположены ниже, в вашем случае - тем, что разрешает все

Значит он сам исключит IP адреса, которым присвоены определенные правила, из всего списка. Я правильно понял?

Не совсем так. Для каждого пакета просматриваются правила сверху вниз. Если вышестоящее правило срабатывает, следующее\все остальные за ним для этого пакета вообще просто не рассматривается.
Т.е при создании правил порядок их расположения так же важен, как и правильность правил.

A Former User

@pigbrother:

@Bansardo:

@pigbrother:

Для указанных IP сработает это правило. Остальные IP будут обрабатываться тем(и) правилом\правилами, что расположены ниже, в вашем случае - тем, что разрешает все

Значит он сам исключит IP адреса, которым присвоены определенные правила, из всего списка. Я правильно понял?

Не совсем так. Для каждого пакета просматриваются правила сверху вниз. Если вышестоящее правило срабатывает, следующее\все остальные за ним для этого пакета вообще просто не рассматривается.
Т.е при создании правил порядок их расположения так же важен, как и правильность правил.

Понятно, спасибо!