[closed]Запретить входящие соединения из внешней сети

dangerr

Проблема следующая: при простейших правилах:
add divert natd ip from any to any via rl0

add allow from any to any

Ясное дело, что кто-нибудь из внешней сети, прописав роут на 192.168.0.0/24 через мой шлюз сможет установить соединение с внутренним хостом. Поэтому я между этими строками вписал
add deny from any to 192.168.0.0/24 in via rl0

где 192.168.0.0/24 - моя внутренняя сеть, rl0 - внешний интерфейс
Но после этого из внутренней сети стало невозможным выход во внешнюю... :confused:
С такими правилами тоже не стало работать:
add divert natd ip from any to any via rl0

add allow ip from 192.168.0.0/24 to 192.168.0.0/24 via rl1

add allow ip from 172.16.xx.yyy to any out via rl0

add allow ip from any to 172.16.xx.yyy in via rl0

add allow ip from 192.168.0.0/24 to any in via rl1

add allow ip from 192.168.0.0/24 to any out via rl0

add allow ip from any to 192.168.0.0/24 out via rl1

add deny ip from any to any

где rl1 - внутренний сетевой интерфейс
172.16.xx.yyy - IP внешнего интерфейса
Причем если к последнему конфигу добавить крайне нежелаемую мной запись
add allow ip from any to 192.168.0.0/24 in via rl0
все начинает работать как при "allow ip from any to any"
Подскажите пожалуйста кто-нибудь как настроить, ведь должно быть элементарно..... :(

AlexV769

Это называется "надевать рубашку через жопу".
напиши нормальные правила для divert и не будет у тебя 2стороннего ната.

dangerr

ну там не 2-х сторонний НАТ. Если кто-нить заходит из внешней сети, то компы из внутренней видят его IP а не шлюза....
Подскажи плз, как нужно divert правильно написать?

AlexV769

deny ip from any to not $alias_addr in via rl0
divert natd ip from 'table(1)' to any out via rl0
divert natd ip from any to $alias_addr in via rl0
как-нить так.

janlynn

смотрим man natd.
видим:
-deny_incoming | -d
Do not pass incoming packets that have no entry in the inter-
nal translation table.
If this option is not used, then such a packet will be
altered using the rules in -target_address below, and the
entry will be made in the internal translation table.

dangerr

тебе конечно же мегареспект! Так работать отказалось, зато заработало как мне нужно после 1-й строчки
deny ip from any to not $alias_addr in via rl0
и оставления divert как у меня было до этого

dangerr

И таким образом тоже заработало! :)
Как я и думал - все элементарно!

BondarAndrey

Я всегда был согласен с мнением, что бсдишники - латентные виндузятники. :grin:
Оставить комментарий
Имя или ник:
Комментарий: