wipfw

[dikens3]

Вспомнил замечательный проект. Оказалось что развивается. Есть русская документация по wipfw.(Аналог ipfw во FreeBSD)

http://wipfw.sourceforge.net/doc-ru.html

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Tah]

очень приятная весч для извращенцев но сейчас вполне хватает стандартного виндового

[dikens3]

очень приятная весч для извращенцев но сейчас вполне хватает стандартного виндового

Только вот знающих ipfw и работающих под Windows пользователей единицы. Меньше головной боли, если у пользователей делать и с помощью wipfw ограничивать что-нибудь.

[Tah]

Скажу так, в wipfw я более уверен чем в стандартном виндовом фаере и не потому что я не знаю как он работает, а совсем наоборот, потому как знаю

С другой стороны, если машина в домене wipfw даже нет смысла ставить, один только вред.

[dikens3]

Скажу так, в wipfw я более уверен чем в стандартном виндовом фаере и не потому что я не знаю как он работает, а совсем наоборот, потому как знаю

С другой стороны, если машина в домене wipfw даже нет смысла ставить, один только вред.

Ну не у всех всё в домене. У меня вот была такая работа где он на 100% делал то что ему нужно.(блокировал выход в инет пользователю, кроме опред. сайтов) А т.к. пользователь был ну очень умный(в сервисах он не понимал правда и что можно wipfw там прибить) очень пригодился вобщем.

[AFEN]

_
_
_

[alkov]

Привет.
Использую wIPFW v0.2.8 под управлением WinXP SP3 со следующим конфигом:

Код: Выделить всё

# First flush the firewall rules
-f flush

# Разрешаем всё в пределах lo*, тоесть локалхосту (127.0.0.1/8)
add 100 allow all from any to any via lo*

# Предотвращаем локальный спуфинг
add 110 deny log all from any to 127.0.0.0/8 in
add 110 deny log all from 127.0.0.0/8 to any in

# Служебное правило для проверки динамических правил:
add 120 check-state

# Запрещаем фрагментированные пакеты и пакеты с флагом established:
add drop all from any to any fragment
add drop tcp from any to any established

# Перекрываем порты NetBIOS etc:
add drop tcp from any to any 135,137,138,139,445,1110,19780
add drop udp from any to any 135,137,138,139,445,1110,19780

# Запрет X-сканирования:
add reject log tcp from any to any tcpflags fin,syn,rst,psh,ack,urg

# Запрет N-сканирования:
add reject log tcp from any to any tcpflags !fin,!syn,!rst,!psh,!ack,!urg

# Запрет FIN-сканирования:
add drop tcp from any to any tcpflags fin

# DHCP
add allow udp from any 68 to any 67 out keep-state
add allow udp from 10.62.224.1 67 to any in keep-state

# DNS
add allow udp from me to ${dns1} 53 out keep-state
add allow udp from me to ${dns2} 53 out keep-state
add allow udp from me to ${dns3} 53 out keep-state
add allow udp from me to ${dns4} 53 out keep-state

# VPN 
add allow tcp from me to ${some_ip} 1723 out keep-state setup
add allow tcp from me to ${some_ip} 1723 out keep-state setup
add allow tcp from me to ${some_ip} 1723 out keep-state setup

# GRE
add allow gre from me to ${some_ip} keep-state out
add allow gre from me to ${some_ip} keep-state out
add allow gre from me to ${some_ip} keep-state out
add allow gre from me to ${some_ip} keep-state out

# HTTP, HTTPS
add allow tcp from me to any 80 out keep-state setup
add allow tcp from me to any 443 out keep-state setup

# FTP
add allow tcp from me to any 21 out keep-state setup

# MAIL
add allow tcp from me to any 25 out keep-state setup
add allow tcp from me to any 110 out keep-state setup
add allow tcp from me to any 995 out keep-state setup

# NTPd
add allow udp from me 123 to ${some_ip} keep-state
add drop udp from any to me 123

# ICMP. Мы пинговать можем, а нас - нет. +tracert
add deny icmp from any to any in icmptypes 8
add allow icmp from any to any out icmptypes 8
add allow icmp from any to any in icmptypes 0,11

# eMule (uploads):
add allow tcp from any to me 4662 keep-state setup limit src-addr 2 via eth1

# eMule (downloads), ICQ (3128 or 5190), Radio (8000) & etc:
add allow tcp from me 1030-65535 to any 1030-65535 out keep-state setup via eth1

add count log all from any to any

### EOF ###

Появилось несколько вопросов:
1. При использовании nmap -O имя_локального_хоста получаю в логах

Код: Выделить всё

0000000211 2011.11.23 12:05:56.312	ipfw: 3520 Count ICMP:3.1 10.52.246.93 10.62.247.130 in via eth1
0000000212 2011.11.23 12:05:56.312	ipfw: 3520 Count ICMP:3.1 10.52.246.93 10.62.247.130 in via eth1
0000000213 2011.11.23 12:05:56.312	ipfw: 3520 Count ICMP:3.1 10.52.246.93 10.62.247.130 in via eth1
0000000214 2011.11.23 12:05:57.906	ipfw: 3520 Count ICMP:3.1 10.52.246.93 10.62.247.130 in via eth1
0000000215 2011.11.23 12:05:57.906	ipfw: 3520 Count ICMP:3.1 10.52.246.93 10.62.247.130 in via eth1
0000000216 2011.11.23 12:05:57.906	ipfw: 3520 Count ICMP:3.1 10.52.246.93 10.62.247.130 in via eth1
0000000217 2011.11.23 12:07:32.078	ipfw: 3520 Count ICMP:3.1 10.52.246.93 10.62.247.130 in via eth1
0000000218 2011.11.23 12:07:32.078	ipfw: 3520 Count ICMP:3.1 10.52.246.93 10.62.247.130 in via eth1
0000000219 2011.11.23 12:07:32.078	ipfw: 3520 Count ICMP:3.1 10.52.246.93 10.62.247.130 in via eth1
0000000220 2011.11.23 12:07:33.687	ipfw: 3520 Count ICMP:3.1 10.52.246.93 10.62.247.130 in via eth1
0000000221 2011.11.23 12:07:33.687	ipfw: 3520 Count ICMP:3.1 10.52.246.93 10.62.247.130 in via eth1
0000000222 2011.11.23 12:07:33.687	ipfw: 3520 Count ICMP:3.1 10.52.246.93 10.62.247.130 in via eth1

собсно вопрос: Что такое icmp 3.1? Зачем оно нужно, нужно ли его разрешать в конфиге и как это сделать? Прочитал wiki по этому поводу, но так и не понял нужно ли оно (=

2. Можно ли как-то улучшить этот конфиг?

Заранее спасибо.