Benutzer-Werkzeuge

Webseiten-Werkzeuge

A PCRE internal error occured. This might be caused by a faulty plugin

os4_bsd_freebsd_misc_etc_rc_firewall_2

#!/bin/sh # 2. Beispiel fuer Paketfiler-Firewall-Regeln # ######## Variablen werden definiert ########################################### netdev="fxp0" # Netzwerk-Device auf der Internet-Seite (nach draussen) bueronet="200.123.99.0/24" # Internes Netz localip="200.123.99.137" # IP-Adresse auf der Internet-Seite (nach draussen) dhcpip="200.123.99.233" # DHCP - Server name1ip="200.77.111.24" # 1. DNS name2ip="200.77.222.1" # 2. DNS ntpip="200.77.100.18" # Network-Time-Protokoll - Server ############################################################################### # ######## Alle Rgeln werden geloescht (RESET) ################################## ipfw -f flush ############################################################################### # ######## Nicht-Routingfaehige IP's werden verboten (Faelschung) ############### ipfw add 1 deny log all from 127.0.0.0/8 to any in via "${netdev}" ipfw add 2 deny log all from 192.168.0.0/16 to any in via "${netdev}" ipfw add 3 deny log all from 172.16.0.0/12 to any in via "${netdev}" ipfw add 4 deny log all from 10.0.0.0/8 to any in via "${netdev}" ipfw add 5 deny log all from $bueronet to any in via "${netdev}" ############################################################################### # ######## Loopback erlauben #################################################### ipfw add 5 allow all from any to any via lo0 ipfw add 6 allow all from any to 127.0.0.0/8 ############################################################################### # ######## Das verwenden von "keep-state" wird ermoeglicht ###################### ipfw add 7 check-state ############################################################################### # ######## ermoeglicht die Einwahl per SSH von ueberall ######################### ipfw add 10 allow tcp from any to any 22 keep-state ############################################################################### # ######## unterdrueckt jeden Ping von draussen. ################################ ipfw add 20 deny icmp from any to any icmptypes 8 in via "${netdev}" ############################################################################### # ######## unterdruecken bestimmten ICMP-Typen. ################################# ipfw add 40 deny icmp from $localip to any icmptypes 3 ipfw add 41 deny icmp from any to any icmptypes 5 ipfw add 42 deny icmp from any to any icmptypes 15 ipfw add 43 deny icmp from any to any icmptypes 30 ############################################################################### # ######## der restlichen icmp-Verkehr wird erlaubt ############################# ipfw add 100 allow log icmp from any to any ############################################################################### # ######## Der Zugriff in das Bueronetz wird erlaubt ########################### ipfw add 1000 allow all from $localip to $bueronet keep-state ############################################################################### # ######## NAMESERVER-Anfragen - erlauben ####################################### ######## Alle Rechner im Netz muessen die selben DNS eingetragen haben! ####### ipfw add 1100 allow tcp from any to $name1ip 53 keep-state ipfw add 1150 allow udp from any to $name1ip 53 keep-state ipfw add 1200 allow tcp from any to $name2ip 53 keep-state ipfw add 1250 allow udp from any to $name2ip 53 keep-state ############################################################################### # ############################################################################### # Alle Ports, die zum serven wichtig sein koennten. # # Port 20 (tcp) FTP # FTP - Datenkanal # Port 21 (tcp) FTP # FTP - Verbindungsaufbau # Port 22 (tcp) SSH # SSH ist oben general frei gemacht # # Port 25 (tcp) SMTP # Server fuer raus gehende Mails # Port 53 (tcp/udp) DNS # Domain-Name-Services # Port 67 (udp) DHCPS # Server # Port 68 (udp) DHCPC # Client # Port 80 (tcp) HTTP # unverschluesselte Verbindung ins Web # Port 110 (tcp) POP # Server fuer rein kommende Mails # Port 123 (udp) NTP # NTP-Server siehe Regeln 11 und 12 # # Port 443 (tcp) HTTPS # verschluesselte Verbindung ins Web # Port 8080 (tcp/udp) Proxy # ############################################################################### # ######## DHCP - Zugriffe werden hier erlaubt ################################## ipfw add 12001 allow udp from $dhcpip to any 67,68 ipfw add 12002 allow udp from any to $dhcpip 67,68 ############################################################################### # ######## aktualisieren der Uhrzeit mittels Network-Time-Protocol ############## ipfw add 12003 allow udp from any to $ntpip 123 keep-state ############################################################################### # ######## fuer HTTPS erforderlich ############################################## ipfw add 12005 allow tcp from any to any 443 keep-state ############################################################################### # # # ######## Der Zugriff in das Internet wird erlaubt ############################# ######## Ist fuer einen Desktop-Rechner gedacht. ############################## ipfw add 13000 allow tcp from $localip to any 21,25,80,110 keep-state ipfw add 13500 allow tcp from any to $localip 25 keep-state ############################################################################### # ######## Der Zugriff aus dem Internet wird erlaubt ############################ ######## Ist fuer einen Web-Server gedacht. ################################### #ipfw add 15000 allow tcp from any to $localip 21,25,80,110 keep-state #ipfw add 15500 allow tcp from $localip to any 25 keep-state ############################################################################### # # # ######## Der Rest wird verboten ############################################### ipfw add 20000 deny all from any to any ###############################################################################

os4_bsd_freebsd_misc_etc_rc_firewall_2.txt · Zuletzt geändert: 2016/04/13 00:50 (Externe Bearbeitung)