レス数が1000を超えています。残念ながら全部は表示しません。

初心者もＯＫ！ FreeBSD質問スレッド その５

136 ：名無しさん＠お腹いっぱい。 ：2001/08/06(月) 10:36

>>87

現状の -STABLE ってそもそも stable じゃないから、
4.4-PRERELEASE になる少し前の方がいいかもよ
先週月曜日位とか

漏れは毎日自動的に更新されているから、
気づいたら 4.4-PRERELEASE になってたけど


>>133
内向けに cvsupd も立てておくと
cvsup が楽かも

と思ったけど、内側のクライアントは Windows 系だから
要らないか

うちではクライアントも FreeBSD だから、
cvsup を高速にやるために入れてるけど

IPv4 だけしか使わないだろうから、

add 1000 deny log all from 127.0.0.1 to any recv (out I/F)
add 1010 deny log all from 192.168.0.0/24 to any recv (out I/F)

add 2000 allow tcp from any to any established
add 2010 allow all from me to any keep-state
add 2020 allow all from 192.168.0.0/24 to me
add 2030 allow all from 192.168.0.0/24 to any keep-state
add 2040 allow all from 192.168.0.0/24 to 192.168.0.0/24

add 3000 allow log tcp all from me ssh

add 4000 allow icmp from 192.168.0.0/24 to any
add 4010 allow icmp from any to any icmptype 0,3,8,11

add 4000 check-state

add 10000 deny log all from any to any

とか適当に書いてみたり

IPv6 通すなら、1011 〜 1999 の 間辺りで ipv6, ipv6-route, ipv6-frag,
ipv6-icmp, ipv6-nonxt, ipv6-opts などをすべてを通過させて ip6fw で
引っ掛けて落とす、と

3000 のルールで log 取ってるのは、入ってきた場所を特定するため

MYKERNEL の設定に
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPDIVERT
……この辺りを追加かな?

options IPFIREWALL_FORWARD
options IPSTEALTH
はお好みに合わせてどうぞ

read.cgi ver5.26+ (01/10/21-)