Блокировать все порты, кроме необходимых
-
DasTieRR прав, первое правило пускает всех из LAN всюду.
По идее достаточно только разрешающего правила
Создаете в Firewall-Aliases-Ports
Алиас со списком разрешенных портов.
Создаете и делаете первым для LAN правило, указав в Destination port range этот АлиасА как выбрать алиас? Добавил кучу портов, а вот в графе port range в правиле FW нет моего алиаса.
-
А как выбрать алиас? Добавил кучу портов, а вот в графе port range в правиле FW нет моего алиаса.
вписать ручками
-
А как выбрать алиас? Добавил кучу портов, а вот в графе port range в правиле FW нет моего алиаса.
вписать ручками
Начать писать имя алиаса, pfsens его подставит сам.
В самом правиле при наведении на алиас будет открываться окошко с его содержимым.
-
Можно создать несколько алиасов, сгруппировав порты по назначению ( http, email и т.д.).
Да и кстати посмотрите на Proto (протоколы). Тот же ftp на 20,21 порту использует ТСР. Найдите в инете описания портов и что их использует. Исключите лишние протоколы.
В последнем (запрещающем) правиле в Proto можно поставить – any. Это запрет по всем протоколам, а не только TCP/UDP -
Можно создать несколько алиасов, сгруппировав порты по назначению ( http, email и т.д.).
Да и кстати посмотрите на Proto (протоколы). Тот же ftp на 20,21 порту использует ТСР. Найдите в инете описания портов и что их использует. Исключите лишние протоколы.
В последнем (запрещающем) правиле в Proto можно поставить – any. Это запрет по всем протоколам, а не только TCP/UDPНе надо в конце запрещающего правила! Дефолт полиси у пф - запрещено всё , что не разрешено явно.
-
Здравствуйте.
Можно вопрос:
А ели необходимо в сети определенным IP открыть ТОЛЬКО почту (порты 110 и 587). Чтобы наружу они никак не могли выйти и пользовались только почтой и сетевыми ресурсами? -
@Bansardo:
Здравствуйте.
Можно вопрос:
А ели необходимо в сети определенным IP открыть ТОЛЬКО почту (порты 110 и 587). Чтобы наружу они никак не могли выйти и пользовались только почтой и сетевыми ресурсами?\
Создать алиас из нужных IP.
Создать правило, разрешающее этому алиасу (source) доступ к нужным портам (destination)
Поставить это правило выше Default to any
Возможно в список разрешенных портов придется добавить порты DNS.
Порты тоже можно группировать в алиас. -
разве не нужно создать вместо дефолтного правила, правило с ip всех остальных ПК без тех, кому разрешаешь определенные порты? Иначе правило ниже разрешает все, а правило выше дублирует это разрешение только по нескольким портам?
-
Для указанных IP сработает это правило. Остальные IP будут обрабатываться тем(и) правилом\правилами, что расположены ниже, в вашем случае - тем, что разрешает все
-
Для указанных IP сработает это правило. Остальные IP будут обрабатываться тем(и) правилом\правилами, что расположены ниже, в вашем случае - тем, что разрешает все
Значит он сам исключит IP адреса, которым присвоены определенные правила, из всего списка. Я правильно понял?
-
@Bansardo:
Для указанных IP сработает это правило. Остальные IP будут обрабатываться тем(и) правилом\правилами, что расположены ниже, в вашем случае - тем, что разрешает все
Значит он сам исключит IP адреса, которым присвоены определенные правила, из всего списка. Я правильно понял?
Не совсем так. Для каждого пакета просматриваются правила сверху вниз. Если вышестоящее правило срабатывает, следующее\все остальные за ним для этого пакета вообще просто не рассматривается.
Т.е при создании правил порядок их расположения так же важен, как и правильность правил. -
@Bansardo:
Для указанных IP сработает это правило. Остальные IP будут обрабатываться тем(и) правилом\правилами, что расположены ниже, в вашем случае - тем, что разрешает все
Значит он сам исключит IP адреса, которым присвоены определенные правила, из всего списка. Я правильно понял?
Не совсем так. Для каждого пакета просматриваются правила сверху вниз. Если вышестоящее правило срабатывает, следующее\все остальные за ним для этого пакета вообще просто не рассматривается.
Т.е при создании правил порядок их расположения так же важен, как и правильность правил.Понятно, спасибо!
