Назад | Перейти на главную страницу

Разрешение доступа к порту диапазона UDP в ipfw / FreeBSD

Я подготовил следующую конфигурацию:

# cat /etc/firewall.conf 
add 1000 count udp from any to me 10000
add 1001 count udp from any to me 10001
add 1002 count udp from any to me 10002
add 65000 allow ip from any to any

Это результат ipfw:

# ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any icmp6types 1
01000 allow ipv6-icmp from any to any icmp6types 2,135,136
01000 count udp from any to me 10000
01001 count udp from any to me 10001
01002 count udp from any to me 10002
65000 allow ip from any to any
65535 deny ip from any to any

У меня есть два вопроса:

  1. Какая команда разрешила бы UDP трафик из IP 203.0.113.1 к UDP port range 20500-20750? Будет ли приведенное ниже правило правильным?

    add 2000 allow udp from 203.0.113.1 to me 20500-20750

  2. Могу ли я гарантировать, что при указанной выше конфигурации разрешен весь трафик?

add 2000 allow udp from 203.0.113.1 to me 20500-20750

Хорошо, это сработает.

Могу ли я гарантировать, что при указанной выше конфигурации разрешен весь трафик?

Это зависит от того, что вы имели в виду под «всем трафиком». Правило 65000 allow ip from any to any эффективно разрешает весь трафик, поэтому, кроме правил 200-500, нет смысла удерживать другие в один и тот же момент.
Однако без правила 65000 не хватает многих важных правил: ssh-доступа к самому серверу и, что самое забавное, любого исходящего трафика с него.
Поэтому я бы рекомендовал прочитать многочисленные руководства по настройке брандмауэра.
Еще одна полезная вещь - использовать ipfw вход в правила конец.
Посмотрите отличный справочник по FreeBSD: https://www.freebsd.org/doc/handbook/firewalls-ipfw.html