1 (04-09-2017 06:07:55 отредактировано ingvar)

Тема: Не работает правило IPFW

Господа форумчане,доброго дня! Очень нужна ваша помощь. На шлюзе с Freebsd 9 включен ipfw и nat.Тип ipfw open.
firewall_enable="YES"
firewall_type="OPEN"
firewall_nat_enable="YES"
firewall_nat_interface="rl0"

Проблема такая: сделал недавно проброс портов на внутренний сервак с помощью rinet и сразу присосались боты-брутфорсеры.
Пытался ограничить доступ с помощью таблиц. Добавил нужные мне внешние адреса
ipfw table 10 add ххх.ххх.ххх.ххх

добавил правило, блокирующее доступ к порту
ipfw -q add deny tcp from not table\(10\) to me 3393

и не помогает sad , брутфорс продолжается

листинг ipfw
uad# ipfw show
00050 58886904 40714039900 nat 123 ip4 from any to any via rl0
00100      928      780146 allow ip from any to any via lo0
00200        0           0 deny ip from any to 127.0.0.0/8
00300        0           0 deny ip from 127.0.0.0/8 to any
00400        0           0 deny ip from any to ::1
00500        0           0 deny ip from ::1 to any
00600        0           0 allow ipv6-icmp from :: to ff02::/16
00700        0           0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800        0           0 allow ipv6-icmp from fe80::/10 to ff02::/16
00900        0           0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000        0           0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
01100        0           0 deny tcp from not table(10) to me dst-port 3393
01120        0           0 deny tcp from not table(10) to me dst-port 8015
01130        0           0 deny tcp from not table(10) to me dst-port 5908
01140        0           0 deny tcp from not table(10) to me dst-port 40861
01150        0           0 deny tcp from not table(10) to me dst-port 25111
01160        0           0 deny tcp from not table(10) to me dst-port 25112
65000 35087668 25803546344 allow ip from any to any
65535        6         432 deny ip from any to any

Что я делаю не так?

2

Re: Не работает правило IPFW

в чем вопрос то?

3

Re: Не работает правило IPFW

crash пишет:

в чем вопрос то?

ingvar пишет:

Что я делаю не так?

Неверное размещение правил. НАТ поставить после всех deny.

4

Re: Не работает правило IPFW

смысл использовать ipfw OPEN и там что-то блокировать? Может стоило сменить тип и настроить под себя? А стандартные правила оставить как есть, для быстрого перехода между ними

5

Re: Не работает правило IPFW

да,спасибо,уже понял,что НАТ должен быть после deny