Блокировать все порты, кроме необходимых



  • Могучие гуру, помогите разобраться с файерволом pfsense 2.1
    Необходимо запретить прохождение пакетов по всем портам во внешний мир. Разрешить только то, что необходимо для работы.
    Каким образом расставлять правила в списке? 1 Запрещающее правило и только потом уже то, что нужно?
    Если есть подробный мануал - поделитесь пожалуйста.
    Настраивал вот так:

    Не помогает.



  • @vetash:

    Могучие гуру, помогите разобраться с файерволом pfsense 2.1
    Необходимо запретить прохождение пакетов по всем портам во внешний мир. Разрешить только то, что необходимо для работы.
    Каким образом расставлять правила в списке? 1 Запрещающее правило и только потом уже то, что нужно?
    Если есть подробный мануал - поделитесь пожалуйста.
    Настраивал вот так:

    Не помогает.

    Первое правило всех уже "пустило" по всем портам. Насколько помню я, правила читаются сверху вниз.



  • @DasTieRR:

    Первое правило всех уже "пустило" по всем портам. Насколько помню я, правила читаются сверху вниз.

    Т.е. первым правилом нужно поставить "запретить все" ?



  • @vetash:

    Т.е. первым правилом нужно поставить "запретить все" ?

    правила работают сверху вниз.

    Как правило ПФ сам блокирует все неразрешенное вами последним правилом.



  • DasTieRR прав, первое правило пускает всех из LAN всюду.

    По идее достаточно только разрешающего правила

    Создаете в Firewall-Aliases-Ports

    Алиас со списком разрешенных портов.
    Создаете и делаете  первым для LAN правило, указав в  Destination port range этот Алиас



  • @pigbrother:

    DasTieRR прав, первое правило пускает всех из LAN всюду.

    По идее достаточно только разрешающего правила

    Создаете в Firewall-Aliases-Ports

    Алиас со списком разрешенных портов.
    Создаете и делаете  первым для LAN правило, указав в  Destination port range этот Алиас

    А как выбрать алиас? Добавил кучу портов, а вот в графе port range в правиле FW нет моего алиаса.



  • @vetash:

    А как выбрать алиас? Добавил кучу портов, а вот в графе port range в правиле FW нет моего алиаса.

    вписать ручками



  • @dr.gopher:

    @vetash:

    А как выбрать алиас? Добавил кучу портов, а вот в графе port range в правиле FW нет моего алиаса.

    вписать ручками

    Начать писать имя алиаса, pfsens его подставит сам.

    В самом правиле при наведении на алиас будет открываться окошко с его содержимым.



  • Можно создать несколько алиасов, сгруппировав порты по назначению ( http, email и т.д.).
    Да и кстати посмотрите на Proto (протоколы). Тот же ftp на 20,21 порту использует ТСР. Найдите в инете описания портов и что их использует. Исключите лишние протоколы.
    В последнем (запрещающем) правиле в Proto можно поставить – any. Это запрет по всем протоколам, а не только TCP/UDP



  • @gr0mW:

    Можно создать несколько алиасов, сгруппировав порты по назначению ( http, email и т.д.).
    Да и кстати посмотрите на Proto (протоколы). Тот же ftp на 20,21 порту использует ТСР. Найдите в инете описания портов и что их использует. Исключите лишние протоколы.
    В последнем (запрещающем) правиле в Proto можно поставить – any. Это запрет по всем протоколам, а не только TCP/UDP

    Не надо в конце запрещающего правила! Дефолт полиси у пф - запрещено всё , что не разрешено явно.



  • Здравствуйте.

    Можно вопрос:
    А ели необходимо в сети определенным IP открыть ТОЛЬКО почту (порты 110 и 587). Чтобы наружу они никак не могли выйти и пользовались только почтой и сетевыми ресурсами?



  • @Bansardo:

    Здравствуйте.

    Можно вопрос:
    А ели необходимо в сети определенным IP открыть ТОЛЬКО почту (порты 110 и 587). Чтобы наружу они никак не могли выйти и пользовались только почтой и сетевыми ресурсами?

    \

    Создать алиас из нужных IP.
    Создать правило, разрешающее этому алиасу (source) доступ к нужным портам (destination)
    Поставить это правило выше Default to any
    Возможно в список разрешенных портов придется добавить порты DNS.
    Порты тоже можно группировать в алиас.



  • разве не нужно создать вместо дефолтного правила, правило с ip всех остальных ПК без тех, кому разрешаешь определенные порты? Иначе правило ниже разрешает все, а правило выше дублирует это разрешение только по нескольким портам?



  • Для указанных IP сработает это правило. Остальные IP будут обрабатываться тем(и) правилом\правилами, что расположены ниже, в вашем случае - тем, что разрешает все



  • @pigbrother:

    Для указанных IP сработает это правило. Остальные IP будут обрабатываться тем(и) правилом\правилами, что расположены ниже, в вашем случае - тем, что разрешает все

    Значит он сам исключит IP адреса, которым присвоены определенные правила, из всего списка. Я правильно понял?



  • @Bansardo:

    @pigbrother:

    Для указанных IP сработает это правило. Остальные IP будут обрабатываться тем(и) правилом\правилами, что расположены ниже, в вашем случае - тем, что разрешает все

    Значит он сам исключит IP адреса, которым присвоены определенные правила, из всего списка. Я правильно понял?

    Не совсем так. Для каждого пакета просматриваются правила сверху вниз. Если вышестоящее правило срабатывает, следующее\все остальные за ним для этого пакета вообще просто не рассматривается.
    Т.е при создании правил порядок их расположения так же важен, как и правильность правил.



  • @pigbrother:

    @Bansardo:

    @pigbrother:

    Для указанных IP сработает это правило. Остальные IP будут обрабатываться тем(и) правилом\правилами, что расположены ниже, в вашем случае - тем, что разрешает все

    Значит он сам исключит IP адреса, которым присвоены определенные правила, из всего списка. Я правильно понял?

    Не совсем так. Для каждого пакета просматриваются правила сверху вниз. Если вышестоящее правило срабатывает, следующее\все остальные за ним для этого пакета вообще просто не рассматривается.
    Т.е при создании правил порядок их расположения так же важен, как и правильность правил.

    Понятно, спасибо!


Log in to reply