Ahoj, mam nasledujici situaci: DALSIBSDSTROJE<->iGW(NAT)<->BSDSTROJ.
- Na iGW je presmerovana verejna IP na BSDSTROJ (redirect_address). - Na BSDSTROJ se pres stejne rozhrani pristupuje i z lokalni site (DALSIBSDSTROJE). - Na BSDSTROJ mi bezi spousta sitovych veci, u nekterych nechci, aby byly zjistitelne/dostupne z internetu, ale fungovali pouze v lokalni siti. Nektere deamony jsem pomoci optionu prinutil naslouchat jen na nekterych rozhranich/IP, ale u nekterych to neumim (NFS a dalsi). Nechci zakazovat konkretni sluzby, pride mi cistejsi zakazat defaultne vse a povolit jen vybrane (az pribyde nejaka nova sitova sluzba, aby byla preventivne deny). Takze jsem si udelal nasledujici pravidlo: add deny all from not 10.0.0.0/8 to me not dst-port ftp\\-data,ftp,ssh,smtp,domain,http,pop3,imap,https,3306,ircd To to omezi skvele, ale v tu chvili mi prestava fungovat pristup na FTP (z internetu; pasivni). Spojeni se navaze, ale selze na prikazu LIST (nenacte obsah adresare). Jeste podstatna informace, provoz z BSDSTROJ ven neni nijak blokovan. Jestli jsem to spravne pochopil, tak ftp sice otevira nahodne porty, ale pouze smerem ven, takze prichozi by meli stacit 20+21? Cely vecer jsem si pak hral se stavovym firewallem (check-state apod.), ale zadneho funkcniho reseni jsem nedosahl. Tak bych se chtel zeptat, jak takovou situaci nejlepe resit. Diky. Milan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
