Правила firewall не работают



  • Такое правило на порт 1723
    http://screenshot.su/show.php?img=2f59d006ed36195abff1675792d6f69d.jpg
    при этом порт все равно открыт.
    Как его можно запретить подключение с определенных ip?



  • А Вы уверены в протоколе? Может вместо TCP поставить * ?



  • надо закрыть доступ с определенных ip конкретно к pptp серверу



  • @ironman:

    надо закрыть доступ с определенных ip конкретно к pptp серверу

    За это отвечает опция Source IP



  • @dvserg:

    @ironman:

    надо закрыть доступ с определенных ip конкретно к pptp серверу

    За это отвечает опция Source IP

    прописывание любых правил на доступ к pptp серверу pfsense не дает никакого результата, т.е. сейчас по логике порт 1723 должен быть закрыт для всех, но он виден сканером и к нему можно подключится



  • @ironman:

    @dvserg:

    @ironman:

    надо закрыть доступ с определенных ip конкретно к pptp серверу

    За это отвечает опция Source IP

    прописывание любых правил на доступ к pptp серверу pfsense не дает никакого результата, т.е. сейчас по логике порт 1723 должен быть закрыт для всех, но он виден сканером и к нему можно подключится

    Мой пост № 1 пробовали? Смените протокол TCP в вашем правиле на ANY.
    Что означает Любые правила? На скриншоте вижу только то, что вижу.



  • разобрались, надо поставить галочку как на скриншоте

    SYSTEM->ADVANCED

    http://screenshot.su/show.php?img=d3b27970c90d28fbae1015d3a2cbcdec.jpg



  • у меня такие правила не работают pfsense 2.0 RC1 (i386) built on Wed Mar 16 17:04:38 EDT 2011
    хочу разрешить доступ к интернету и аське




  • На LAN разрешить исходящие в любом направлении
    pass TCP/UDP LAN Subnet * * * *

    На WAN разрешайте сервисы
    pass TCP/UDL LAN Subnet * * <порт аськи> *
    pass TCP/UDL LAN Subnet * * <порт мирки> *
    pass TCP/UDL LAN Subnet * * <порт http> *
    pass TCP/UDL LAN Subnet * * <порт https> *

    Вы не должны указывать в правилах SRC порт! - он динамический.

    PS Для своих проблем создавайте собственные топики. По решению ставьте Решено



  • я извиняюсь..
    но не заработало…

    
    #System aliases
    
    loopback = "{ lo0 }"
    WAN = "{ msk0 }"
    LAN = "{ nfe0 }"
    
    #SSH Lockout Table
    table <sshlockout>persist
    table <webconfiguratorlockout>persist
    #pfSnortSam tables
    table <snort2c>table <pfsnortsamout>table <pfsnortsamin>table <virusprot># User Aliases 
    
    # Gateways
    GWWAN = " route-to ( msk0 192.168.0.1 ) "
    
    set loginterface nfe0
    set optimization normal
    set limit states 97000
    set limit src-nodes 97000
    
    set skip on pfsync0
    
    scrub in on $WAN all    fragment reassemble
    scrub in on $LAN all    fragment reassemble
    
    nat-anchor "natearly/*"
    nat-anchor "natrules/*"
    
    # Outbound NAT rules
    nat on $WAN  from 192.168.1.0/24 to any port 500 -> 192.168.0.57/32  static-port
    nat on $WAN  from 192.168.1.0/24 to any -> 192.168.0.57/32 port 1024:65535  
    
    # Load balancing anchor
    rdr-anchor "relayd/*"
    # TFTP proxy
    rdr-anchor "tftp-proxy/*"
    table <direct_networks>{ 192.168.0.0/24 192.168.1.0/24 }
    # UPnPd rdr anchor
    rdr-anchor "miniupnpd"
    
    anchor "relayd/*"
    #---------------------------------------------------------------------------
    # default deny rules
    #---------------------------------------------------------------------------
    block in log all label "Default deny rule"
    block out log all label "Default deny rule"
    
    # We use the mighty pf, we cannot be fooled.
    block quick proto { tcp, udp } from any port = 0 to any
    block quick proto { tcp, udp } from any to any port = 0
    
    # Block all IPv6
    block in quick inet6 all
    block out quick inet6 all
    
    # pfSnortSam
    block quick from <snort2c>to any label "Block snort2c hosts"
    block quick from any to <snort2c>label "Block snort2c hosts"
    block quick from <pfsnortsamout>to any label "Block pfSnortSamOut hosts"
    block quick from any to <pfsnortsamin>label "Block pfSnortSamIn hosts"
    
    # SSH lockout
    block in log quick proto tcp from <sshlockout>to any port 222 label "sshlockout"
    
    # webConfigurator lockout
    block in log quick proto tcp from <webconfiguratorlockout>to any port 443 label "webConfiguratorlockout"
    block in quick from <virusprot>to any label "virusprot overload table"
    table <bogons>persist file "/etc/bogons"
    # block bogon networks
    # http://www.cymru.com/Documents/bogon-bn-nonagg.txt
    block in log quick on $WAN from <bogons>to any label "block bogon networks from WAN"
    antispoof for msk0
    # block anything from private networks on interfaces with the option set
    antispoof for $WAN
    block in log quick on $WAN from 10.0.0.0/8 to any label "block private networks from wan block 10/8"
    block in log quick on $WAN from 127.0.0.0/8 to any label "block private networks from wan block 127/8"
    block in log quick on $WAN from 172.16.0.0/12 to any label "block private networks from wan block 172.16/12"
    block in log quick on $WAN from 192.168.0.0/16 to any label "block private networks from wan block 192.168/16"
    # allow our DHCP client out to the WAN
    pass in on $WAN proto udp from any port = 67 to any port = 68 label "allow dhcp client out WAN"
    pass out on $WAN proto udp from any port = 68 to any port = 67 label "allow dhcp client out WAN"
    # Not installing DHCP server firewall rules for WAN which is configured for DHCP.
    antispoof for nfe0
    # allow access to DHCP server on LAN
    pass in on $LAN proto udp from any port = 68 to 255.255.255.255 port = 67 label "allow access to DHCP server"
    pass in on $LAN proto udp from any port = 68 to 192.168.1.1 port = 67 label "allow access to DHCP server"
    pass out on $LAN proto udp from 192.168.1.1 port = 67 to any port = 68 label "allow access to DHCP server"
    
    # loopback
    pass in on $loopback all label "pass loopback"
    pass out on $loopback all label "pass loopback"
    # let out anything from the firewall host itself and decrypted IPsec traffic
    pass out all keep state allow-opts label "let out anything from firewall host itself"
    pass out route-to ( msk0 192.168.0.1 ) from 192.168.0.57 to !192.168.0.0/24 keep state allow-opts label "let out anything from firewall host itself"
    # make sure the user cannot lock himself out of the webConfigurator or SSH
    pass in quick on nfe0 proto tcp from any to (nfe0) port { 80 443  222 } keep state label "anti-lockout rule"
    
    # User-defined rules follow
    pass  in  quick  on $LAN  from 192.168.1.0/24 to any keep state  label "USER_RULE: Default allow LAN to any rule"
    
    # VPN Rules
    anchor "tftp-proxy/*"</bogons></bogons></virusprot></webconfiguratorlockout></sshlockout></pfsnortsamin></pfsnortsamout></snort2c></snort2c></direct_networks></virusprot></pfsnortsamin></pfsnortsamout></snort2c></webconfiguratorlockout></sshlockout> 
    


  • @grinnZ:

    я извиняюсь..
    но не заработало…

    Нужны скриншоты новых правил. Можно крепить прямо к сообщению (Additional Options)


Log in to reply