Obmedzenie portu 3306 cez firewall PF

Frantisek Hennel frantisek.hennel at gmail.com
Sun Jun 6 11:57:13 CEST 2021

Previous message (by thread): Obmedzenie portu 3306 cez firewall PF
Next message (by thread): Obmedzenie portu 3306 cez firewall PF
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Dakujem za pomoc, ale nefunguje mi to.

table <blockedips> persist file "/etc/pf.blocked.ip.conf"
ext_if="em0" # interface connected to internet
block drop in log (all) quick on $ext_if from <blockedips> to any
pass in quick on $ext_if from 10.1.1.0/24 to ($ext_if) port 3306
block drop in log (all) quick on $ext_if from any to ($ext_if) port 3306

Reloading pf rules.
/etc/pf.conf:4: port only applies to tcp/udp
/etc/pf.conf:4: skipping rule due to errors
/etc/pf.conf:4: rule expands to no valid combination
/etc/pf.conf:5: port only applies to tcp/udp
/etc/pf.conf:5: skipping rule due to errors
/etc/pf.conf:5: rule expands to no valid combination

Frantisek

ne 6. 6. 2021 o 10:16 Marián Černý <majo-users-l at cerny.sk> napísal(a):

> Frantisek Hennel wrote:
> > Potreboval by som zablokovat pristup na mysql server (port
> > 3306), aby nebol pristupny do internetu a povolit by som chcel
> > tento port iba pre konkretne IP adresy, pripadne konkretne
> > subnety. Vsetky ostatne porty chcem ponechat normalne
> > otvorene, len ten jeden port 3306 chcem takto zablokovat.
> >
> > moj pf.conf vyzera nasledovne:
> >
> > table <blockedips> persist file "/etc/pf.blocked.ip.conf"
> > ext_if="em0" # interface connected to internet
> > block drop in log (all) quick on $ext_if from <blockedips> to any
>
> Na základe Tvojho konfigu by som to rozšíril takto:
>
> pass in quick on $ext_if from 10.1.1.0/24 to ($ext_if) port 3306
> block drop in log (all) quick on $ext_if from any to ($ext_if) port 3306
>
> pass povolí pakety.
> quick ukončí spracovanie pri zhode (takže pre subnet 10.1.1.0/24 sa už
> nebude pokračovať ďalším pravidlom)
> ($ext_if) vezme IP adresu/y na rozhraní. Zátvorky spôsobia update IP
> adresy v prípade zmeny IP adresy (v prípade používania DHCP na rozhraní).
> Zátvorky je možné odobrať, alebo tam dať konkrétnu IP adresu.
> block pravidlo zakáže všetkým ostatným prístup na port 3306. Je potreba,
> pretože maš default allow.
>
> PF nepoužívam primárne, ale keďže je ta otázka taká jednoduchá, tak som si
> dovolil odpovedať. Keď tak ešte počkaj na odpoveď niekoho viacej
> skúsenejšieho (s PF). Môže sa stať, že tam mám nejakú drobnú chybku. Ale
> myslím, že to takto v pohode pobeží.
>
> > Prosim o usmernenie aj v pripade, ak nie je mozne na tento
> > ucel pouzit firewall PF, aj ked urcite uprednostnujem prave
> > riesenie cez PF, kedze ho uz dlhsie pouzivam.
>
> Na tieto triviálne veci môžeš použiť ľubovoľný firewall. PF to samozrejme
> musí zvládať tiež.
>
> Marián
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
>

Previous message (by thread): Obmedzenie portu 3306 cez firewall PF
Next message (by thread): Obmedzenie portu 3306 cez firewall PF
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list