Страница 1 из 1

помогите с фильтрами на внешнем интерфейсе

СообщениеДобавлено: 27 ноя 2003, 10:58
Юрий aka qwerty
На NW6SP2 стоит BM 37SP2 на сервере DNS первичный
в сервере 3 сет карты , 1 - LAN, 2 - LAN , 3 - инет
в фильтрах
1 карте : все на нее и с нее
2 карте : все на нее и с нее
3 карте : динамический фильтр 1024-65535, на днс провайдера днс/тсп, всем ДНС/УДП. всем SMTP.
это так (корявократко)

вот как они выглядят :
TCP/IP Packet Forwarding Filters
Status: Enabled
Action: Deny Packets in Filter List

Filters:

#1
Packet Type: <Any>

Source: <All Interfaces>
All Circuits
Any Address

Destination: <All Interfaces>
All Circuits
Any Address

Comment:


Exceptions:

#1
Packet Type: dynamic/udp-st

Source: RTSSRV_1
All Circuits
*.*.*.*

Destination: RTSSRV_1
All Circuits
Any Address

Comment:

#2
Packet Type: smtp

Source: RTSSRV_1
All Circuits
Any Address

Destination: RTSSRV_1
All Circuits
Any Address

Comment:

#3
Packet Type: domain/tcp

Source: RTSSRV_1
All Circuits
194.84.23.125

Destination: RTSSRV_1
All Circuits
*.*.*.*

Comment:

#4
Packet Type: domain/tcp

Source: RTSSRV_1
All Circuits
*.*.*.*

Destination: RTSSRV_1
All Circuits
194.84.23.125

Comment:

#5
Packet Type: domain/tcp

Source: RTSSRV_1
All Circuits
*.*.*.*

Destination: RTSSRV_1
All Circuits
193.232.88.17

Comment:

#6
Packet Type: domain/tcp

Source: RTSSRV_1
All Circuits
193.232.88.17

Destination: RTSSRV_1
All Circuits
*.*.*.*

Comment:

#7
Packet Type: domain

Source: RTSSRV_1
All Circuits
Any Address

Destination: RTSSRV_1
All Circuits
Any Address

Comment:

#8
Packet Type: dynamic/tcp-st

Source: RTSSRV_1
All Circuits
*.*.*.*

Destination: RTSSRV_1
All Circuits
Any Address

Comment:

#9
Packet Type: domain

Source: <All Interfaces>
All Circuits
Any Address

Destination: <All Interfaces>
All Circuits
Any Address

Comment:

#10
Packet Type: icmp

Source: <All Interfaces>
All Circuits
Any Address

Destination: <All Interfaces>
All Circuits
Any Address

Comment:

#11
Packet Type: <Any>

Source: <All Interfaces>
All Circuits
Any Address

Destination: <All Interfaces>
All Circuits
192.168.2.120

Comment:

#12
Packet Type: <Any>

Source: <All Interfaces>
All Circuits
192.168.2.120

Destination: <All Interfaces>
All Circuits
Any Address

Comment:

#13
Packet Type: <Any>

Source: <All Interfaces>
All Circuits
Any Address

Destination: <All Interfaces>
All Circuits
192.168.1.20

Comment:

#14
Packet Type: <Any>

Source: <All Interfaces>
All Circuits
192.168.1.20

Destination: <All Interfaces>
All Circuits
Any Address

Comment:

#15
Packet Type: smtp-st

Source: <All Interfaces>
All Circuits
Any Address

Destination: <All Interfaces>
All Circuits
Any Address

Comment:

#16
Packet Type: pop3-st

Source: <All Interfaces>
All Circuits
Any Address

Destination: <All Interfaces>
All Circuits
Any Address

Comment:

#17
Packet Type: ICQ-STF

Source: <All Interfaces>
All Circuits
Any Address

Destination: <All Interfaces>
All Circuits
Any Address

Comment:

#18
Packet Type: <Any>

Source: 3C980_5
All Circuits
Any Address

Destination: 3C980_5
All Circuits
Any Address

Comment:

#19
Packet Type: <Any>

Source: 3C980_4
All Circuits
Any Address

Destination: 3C980_4
All Circuits
Any Address

Comment:

Итого вопрос, какие нужны фильтр и что я сделал не правильно / и что нужно сделать чтобы нормально работал прокси.
П.С. без фильтров все работает.

СообщениеДобавлено: 27 ноя 2003, 11:39
Владимир Горяев
Попробуй 3 то же саму на себя все.

СообщениеДобавлено: 27 ноя 2003, 13:08
stas
вот для сравнения мое
INSIDE - внутр. карта
BONE - внешняя



TCP/IP Packet Forwarding Filters
Status: Enabled
Action: Permit Packets in Filter List # по моему лучше делать список разрешенных фильтров, а уж в них делать исключения, по моему это дает больше возможностей для администрирования
Filters:
#1
Packet Type: <ANY>
Source: INSIDE
All Circuits
Any Address
Destination: INSIDE
All Circuits
Any Address
Comment:
#2
Packet Type: icmp
Source: <All Interfaces>
All Circuits
Any Address
Destination: <All Interfaces>
All Circuits
Any Address
Comment:
#3
Packet Type: www-http-st
Source: BONE
All Circuits
Any Address
Destination: <All Interfaces>
All Circuits
Any Address
Comment:
#4
Packet Type: smtp-st
Source: <All Interfaces>
All Circuits
Any Address
Destination: <All Interfaces>
All Circuits
Any Address
Comment:
#5
Packet Type: domain
Source: <All Interfaces>
All Circuits
Any Address
Destination: <All Interfaces>
All Circuits
Any Address
Comment:
#6
Packet Type: domain/tcp
Source: <All Interfaces>
All Circuits
Any Address
Destination: <All Interfaces>
All Circuits
Any Address
Comment:
#11
Packet Type: gate_tcp # это кому-то что то персонально надо (аська, там иль ssh )
Source: INSIDE
All Circuits
xx.xx.xx.xx/xx.xx.xx.xx
Destination: BONE
All Circuits
xx.xx.xx.xx
Comment:
#12
Packet Type: gate_tcp_2# аналогично в ою сторону
Source: BONE
All Circuits
xx.xx.xx.xx
Destination: INSIDE
All Circuits
xx.xx.xx.xx/xx.xx.xx.xx
Comment:
#19
Packet Type: nettimep
Source: <All Interfaces>
All Circuits
Any Address
Destination: <All Interfaces>
All Circuits
Any Address
Comment:

Exceptions:

<none>


Владимир Горяев писал(а):Попробуй 3 то же саму на себя все.

не уверен что так правильно...

СообщениеДобавлено: 27 ноя 2003, 13:39
Владимир Горяев
не уверен что так правильно...
Обоснуй.
по моему лучше делать список разрешенных фильтров, а уж в них делать исключения, по моему это дает больше возможностей для администрирования
ИМХО, наоборот. Все запретить и в исключениях нужное разрешить.

СообщениеДобавлено: 27 ноя 2003, 14:42
stas
Владимир Горяев писал(а):
не уверен что так правильно...
Обоснуй.
по моему лучше делать список разрешенных фильтров, а уж в них делать исключения, по моему это дает больше возможностей для администрирования
ИМХО, наоборот. Все запретить и в исключениях нужное разрешить.


Permit Packets in Filter List - это уже значит что все запрещено. или я не прав? и тогда в списке фильтров ты разрешаешь только то что нужно. а исключения дают дополнительный маневр. например разрешил подсети лезть куды-нить а одному адресу из этой подстеки закрыл.

а по поводу обоснуй - если ты внешнюю карту саму на себя открываешь это значит что и доступ к серверу открыт на все порты, дальше сервера не пройдет конечно, но над серваком можно уже издеваться - не уверен конечно что я прав, а поэкперементировать пока некогда, хотя надо - может кто делал? или носом меня в какую нить доку опять.....

СообщениеДобавлено: 27 ноя 2003, 18:55
Владимир Горяев
Permit Packets in Filter List - это уже значит что все запрещено. или я не прав? и тогда в списке фильтров ты разрешаешь только то что нужно. а исключения дают дополнительный маневр. например разрешил подсети лезть куды-нить а одному адресу из этой подстеки закрыл.
Наступал на грабли когда ето криво работало, возможно модуль фильтрации был тогда кривой, потому ИМХО.

Акцент на слове Попробуй. На внешнем интерфейсе совсем необязательно светить все сервисы, да и NCP можно зарубить. А если не пролностью интерфейс открывать, то доп к тем что есть фильтрам открыть и www еще.
Были шаблоны для ВМ35 http://support.novell.com/cgi-bin/searc ... 015011.htm Полезная информация.