IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
retex
рядовой
Сообщения: 15
Зарегистрирован: 2017-07-08 9:41:38

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение retex » 2017-07-08 10:19:19

FreeBSD 10.x

Вот что в ядре:

Код: Выделить всё

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100


Вот что в firewall.conf

Код: Выделить всё

#!/bin/sh

# Сброс всех правил перед началом работы скрипта.
ipfw -q -f flush

# На локальном хосте можно всё (127.0.0.1).
ipfw add allow all from any to any via lo0

# PING.
ipfw add allow icmp from any to any icmptypes 0,8,11

# DNS
...
...
...

# HTTP, HTTPS.
ipfw add allow all from any to any 80,443 via vr0
ipfw add allow all from any 80,443 to any via vr0

# FTP, FTPS (Комменты # стоят! Не закрывает порты! Почему? Дыра в системе?).
#ipfw add allow all from any to any 20,21,30000-30100 via vr0
#ipfw add allow all from any 20,21,30000-30100 to any via vr0

# DHCP (Server-Client).
ipfw add allow udp from any to any 67,68 via vr0
ipfw add allow udp from any 67,68 to any via vr0

# Clock.
ipfw add allow all from any to any 123 via vr0

ipfw add deny log all from any to any


В качестве FTP-сервера используется pure-ftpd, слушает этот IP: 94.154.39.70
Помогите разобратся.

Отправлено спустя 7 минут 24 секунды:
Дополнение.
firewall - по умолчанию всё закрыто.
Пытался соорудить аноним ftp-сервер и наткнулся на грабли. :(

Аватара пользователя
vadim64
майор
Сообщения: 2097
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение vadim64 » 2017-07-08 11:00:37

Этого не может быть.
Сделайте ipfw show (или как там?) и выложьте сюда
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

retex
рядовой
Сообщения: 15
Зарегистрирован: 2017-07-08 9:41:38

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение retex » 2017-07-08 11:18:43

Код: Выделить всё

ipfw list


Вот результат:

Код: Выделить всё

00100 allow ip from any to any via lo0
00200 allow icmp from any to any icmptypes 0,8,11
00300 deny ip from 192.168.0.0/16 to any in via vr0
00400 deny ip from 172.16.0.0/12 to any in via vr0
00500 deny ip from 127.0.0.0/8 to any in via vr0
00600 deny ip from 0.0.0.0/8 to any in via vr0
00700 deny ip from 169.254.0.0/16 to any in via vr0
00800 deny ip from 192.0.2.0/24 to any in via vr0
00900 deny ip from 204.152.64.0/23 to any in via vr0
01000 deny ip from 224.0.0.0/3 to any in via vr0
01100 allow udp from any to 10.255.255.253 dst-port 53 via vr0
01200 allow udp from 10.255.255.253 53 to any via vr0
01300 allow udp from any to 10.255.255.254 dst-port 53 via vr0
01400 allow udp from 10.255.255.254 53 to any via vr0
01500 allow ip from any to any dst-port 80,443 via vr0
01600 allow ip from any 80,443 to any via vr0
01700 deny ip from any to any dst-port 20,21,30000-30100 via vr0
01800 deny ip from any 20,21,30000-30100 to any via vr0
01900 allow udp from any to any dst-port 67,68 via vr0
02000 allow udp from any 67,68 to any via vr0
02100 allow ip from any to any dst-port 123 via vr0
02200 allow ip from any to any dst-port 7000,8080,8000 via vr0
02300 allow ip from any 7000,8080,8000 to any via vr0
02400 deny icmp from any to any icmptypes 3
02500 deny ip from any to any dst-port 137,138,139 via vr0
02600 deny ip from any 137,138,139 to any via vr0
02700 deny log logamount 100 ip from any to any
65535 deny ip from any to any


Отправлено спустя 58 секунд:
Дополнение.
Может меня взломали?

Правило: 65535 у меня firewall.conf - нет такого правила.

Аватара пользователя
vadim64
майор
Сообщения: 2097
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение vadim64 » 2017-07-08 11:24:18

Ваши порты 0,21,30000-30100 закрыты. Правила 01700 и 01800 избыточны
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

retex
рядовой
Сообщения: 15
Зарегистрирован: 2017-07-08 9:41:38

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение retex » 2017-07-08 11:27:01

Пробывал закрывать 80 порт - получается его закрыть/открыть.

Насчет правил 01700 и 01800 - я их убрал (проблема таже).

Аватара пользователя
vadim64
майор
Сообщения: 2097
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение vadim64 » 2017-07-08 12:01:50

Код: Выделить всё

root@v1:~# nmap 94.154.39.70

Starting Nmap 6.47 ( http://nmap.org ) at 2017-07-08 12:00 MSK
Nmap scan report for 94.154.39.70
Host is up (0.020s latency).
Not shown: 995 filtered ports
PORT     STATE  SERVICE
80/tcp   closed http
443/tcp  closed https
7000/tcp closed afs3-fileserver
8000/tcp closed http-alt
8080/tcp closed http-proxy

Nmap done: 1 IP address (1 host up) scanned in 14.37 seconds
root@v1:~#

Ваши порты 0,21,30000-30100 закрыты
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

retex
рядовой
Сообщения: 15
Зарегистрирован: 2017-07-08 9:41:38

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение retex » 2017-07-08 13:07:13

Вадим! Странно...
Я у себя через FileZilla, midnight commander (через ftp-клиент) захожу к себе на ftp-сервер введя ftp://94.154.39.70!
Почему? Почему? Почему?

Ещё раз можно nmap по 94.154.39.70.
И попробуйте зайти ко мне на ftp-сервер.

Отправлено спустя 4 минуты 58 секунд:
Дополнение.
Чтобы увидеть русские буквы в midnight commander - нажмите esc+e. Далее выбрать 1251.

ыть
проходил мимо

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение ыть » 2017-07-08 15:42:55

retex писал(а):IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

глупости какие
с чего решили?
retex писал(а):Правило: 65535 у меня firewall.conf - нет такого правила.

это политика по умолчанию в ядре
сами же говорите
retex писал(а):firewall - по умолчанию всё закрыто.

так и есть

tcpdump в руки и смотрите..
видимо с внутреннего интерфейса пускает, снаруже всё глухо

retex
рядовой
Сообщения: 15
Зарегистрирован: 2017-07-08 9:41:38

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение retex » 2017-07-08 17:35:45

Я никогда не пользовался tcpdump.
Нужно мысль (логика). Подскажите.

Код: Выделить всё

tcpdump -i vr0

злой ыть
проходил мимо

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение злой ыть » 2017-07-09 8:16:28

retex писал(а):Я никогда не пользовался tcpdump.

а чем пользовались? ойпадом, ойфоном, вендой.. сусуальными ситями конечно же? да?

==
на сегодняшний день проблема деградации и наркомании абсолютно очевидна.. :(
научитесь понимать что такое IP-сеть (не путать с сусуальной сетью), модели OSI,
где и как идет разделение внутреннего периметра сети от внешних..

после этого можно приступить к чтению:
man ifconfig
man netstat
man sockstat
man route
man traceroute
man telnet
man tcpdump

ыть
проходил мимо

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение ыть » 2017-07-09 8:28:06

вот я дурачина :bn:
похоже это бот

retex
рядовой
Сообщения: 15
Зарегистрирован: 2017-07-08 9:41:38

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение retex » 2017-07-09 12:41:28

Я любитель wine, плюс устанавливал кучу ПО на PHP.

Код: Выделить всё

tcpdump -i lo0 port 21


Результат:

12:37:08.271014 IP 94.154.39.70.20432 > 94.154.39.70.ftp: Flags [F.], seq 1997674415, ack 460114517, win 1275, options [nop,nop,TS val 2858401 ecr 2037783417], length 0
12:37:08.271126 IP 94.154.39.70.ftp > 94.154.39.70.20432: Flags [.], ack 1, win 1275, options [nop,nop,TS val 2037831993 ecr 2858401], length 0
12:37:08.398253 IP 94.154.39.70.18490 > 94.154.39.70.ftp: Flags [S], seq 4192397736, win 65535, options [mss 16344,nop,wscale 6,sackOK,TS val 2858528 ecr 0], length 0
12:37:08.398335 IP 94.154.39.70.ftp > 94.154.39.70.18490: Flags [S.], seq 3931465244, ack 4192397737, win 65535, options [mss 16344,nop,wscale 6,sackOK,TS val 554267367 ecr 2858528], length 0
12:37:08.398420 IP 94.154.39.70.18490 > 94.154.39.70.ftp: Flags [.], ack 1, win 1275, options [nop,nop,TS val 2858529 ecr 554267367], length 0
12:37:08.408870 IP 94.154.39.70.ftp > 94.154.39.70.18490: Flags [P.], seq 1:254, ack 1, win 1275, options [nop,nop,TS val 554267378 ecr 2858529], length 253
12:37:08.411187 IP 94.154.39.70.18490 > 94.154.39.70.ftp: Flags [P.], seq 1:11, ack 254, win 1275, options [nop,nop,TS val 2858541 ecr 554267378], length 10
12:37:08.411584 IP 94.154.39.70.ftp > 94.154.39.70.18490: Flags [P.], seq 254:299, ack 11, win 1275, options [nop,nop,TS val 554267381 ecr 2858541], length 45
12:37:08.414479 IP 94.154.39.70.18490 > 94.154.39.70.ftp: Flags [P.], seq 11:21, ack 299, win 1275, options [nop,nop,TS val 2858545 ecr 554267381], length 10
12:37:08.414750 IP 94.154.39.70.ftp > 94.154.39.70.18490: Flags [P.], seq 299:344, ack 21, win 1275, options [nop,nop,TS val 554267384 ecr 2858545], length 45
12:37:08.418148 IP 94.154.39.70.18490 > 94.154.39.70.ftp: Flags [P.], seq 21:37, ack 344, win 1275, options [nop,nop,TS val 2858548 ecr 554267384], length 16
12:37:08.429046 IP 94.154.39.70.ftp > 94.154.39.70.18490: Flags [P.], seq 344:414, ack 37, win 1275, options [nop,nop,TS val 554267398 ecr 2858548], length 70
12:37:08.429631 IP 94.154.39.70.18490 > 94.154.39.70.ftp: Flags [P.], seq 37:51, ack 414, win 1275, options [nop,nop,TS val 2858560 ecr 554267398], length 14
12:37:08.529397 IP 94.154.39.70.ftp > 94.154.39.70.18490: Flags [.], ack 51, win 1275, options [nop,nop,TS val 554267499 ecr 2858560], length 0
12:37:08.530353 IP 94.154.39.70.ftp > 94.154.39.70.20432: Flags [P.], seq 1:14, ack 1, win 1275, options [nop,nop,TS val 2037832252 ecr 2858401], length 13
12:37:08.530438 IP 94.154.39.70.20432 > 94.154.39.70.ftp: Flags [R], seq 1997674416, win 0, length 0
12:37:08.530630 IP 94.154.39.70.ftp > 94.154.39.70.18490: Flags [P.], seq 414:437, ack 51, win 1275, options [nop,nop,TS val 554267500 ecr 2858560], length 23
12:37:08.533330 IP 94.154.39.70.18490 > 94.154.39.70.ftp: Flags [P.], seq 51:56, ack 437, win 1275, options [nop,nop,TS val 2858663 ecr 554267500], length 5
12:37:08.553599 IP 94.154.39.70.ftp > 94.154.39.70.18490: Flags [P.], seq 437:471, ack 56, win 1275, options [nop,nop,TS val 554267523 ecr 2858663], length 34
12:37:08.653397 IP 94.154.39.70.18490 > 94.154.39.70.ftp: Flags [.], ack 471, win 1275, options [nop,nop,TS val 2858784 ecr 554267523], length 0


Похоже ipfw сошёл сума.

Может мир пересобрать?

guest
проходил мимо

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение guest » 2017-07-09 18:24:31

# man ipfw
# man rc.conf

Kernel = GENERIC, by default -> IPFIREWALL defaults to a policy of "deny ip from any to any"
see: /sys/conf/NOTES

First do next, edit /etc/rc.conf:

firewall_enable="YES"
firewall_type="OPEN"
firewall_logging="YES"

than see:

# ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000 allow ip from any to any
65535 deny ip from any to any
#

now try to disable ftp:

# ipfw add 1001 deny tcp from any to my.ip.add.ress 21
or
# ipfw add 1001 deny tcp from any to me 21

# ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
01001 deny tcp from any to me dst-port 21
65000 allow ip from any to any
65535 deny ip from any to any

from another host do
# nmap -p21 yourhost
...
PORT STATE SERVICE
21/tcp filtered ftp
...

if this worked, then problem at /dev/hands

retex
рядовой
Сообщения: 15
Зарегистрирован: 2017-07-08 9:41:38

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение retex » 2017-07-09 20:38:11

Спасибо. Завтра после обеда попробую...

retex
рядовой
Сообщения: 15
Зарегистрирован: 2017-07-08 9:41:38

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение retex » 2017-07-11 10:56:50

Пробывал. Не работает это... :( :( :(

guest
проходил мимо

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение guest » 2017-07-11 14:16:57

retex писал(а):Пробывал. Не работает это... :( :( :(


it's so sadly.

/dev/hands + /dev/intellect + hard work:

- handbook
- man ipfw

http://ipfw.ism.kiev.ua/
http://nuclight.livejournal.com/124348.html

snorlov
подполковник
Сообщения: 3565
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение snorlov » 2017-07-11 15:58:07

retex писал(а):Пробывал. Не работает это... :( :( :(

Покажите ка лучше /etc/rc.conf, содержимое каталога /usr/local/etc/rc.d, надеюсь дефолтные вы ничего не меняли...

retex
рядовой
Сообщения: 15
Зарегистрирован: 2017-07-08 9:41:38

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение retex » 2017-07-11 16:58:01

Вот /etc/rc.conf

Код: Выделить всё

hostname="qwerty"

ifconfig_vr0="SYNCDHCP"
defaultrouter="94.154.32.1"

#
moused_enable="YES"

#
dbus_enable="YES"
hald_enable="YES"

#
sshd_enable="NO"

#
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_msp_queue_enable="NO"
sendmail_outbound_enable="NO"

# IPFW.
firewall_enable="YES"
firewall_script="/etc/firewall.conf"

# Time.
ntpdate_enable="YES"
ntpdate_flags="-u ntp.time.in.ua ntp2.time.in.ua"

#
mysql_enable="NO"

#
apache24_enable="NO"

# Fetchmail.
#fetchmail_enable="NO"

# Fusefs-ntfs.
fusefs_enable="NO"

# Pure-FTPd.
pureftpd_enable="YES"

# Inetd
inetd_enable="NO"


Вот содержимое /usr/local/etc/rc.d (Ой! Ой! Может здесь есть хрень?)

Код: Выделить всё

total 132
drwxr-xr-x   2 root  wheel  1024 11 июл 16:49 .
drwxr-xr-x  49 root  wheel  2560  7 июл 20:54 ..
-r-xr-xr-x   1 root  wheel  6280  8 июл  2016 apache24
-r-xr-xr-x   1 root  wheel   881 22 июн  2016 avahi-daemon
-r-xr-xr-x   1 root  wheel  1129 22 июн  2016 avahi-dnsconfd
-r-xr-xr-x   1 root  wheel  1026 11 май 20:04 clamav-clamd
-r-xr-xr-x   1 root  wheel   722 11 май 20:04 clamav-freshclam
-r-xr-xr-x   1 root  wheel   793 20 июн  2016 dbus
-r-xr-xr-x   1 root  wheel  1819 30 июн  2016 deluge_web
-r-xr-xr-x   1 root  wheel  1858 30 июн  2016 deluged
-r-xr-xr-x   1 root  wheel   502 22 июн  2016 ffserver
-r-xr-xr-x   1 root  wheel   496  7 июл  2016 ffserver0
-r-xr-xr-x   1 root  wheel  2664 23 июн  2016 hald
-r-xr-xr-x   1 root  wheel  1838  8 июл  2016 htcacheclean
-r-xr-xr-x   1 root  wheel   383 20 июн  2016 mdnsd
-r-xr-xr-x   1 root  wheel   499 20 июн  2016 mdnsresponderposix
-r-xr-xr-x   1 root  wheel  2187  3 июл  2016 mysql-server
-r-xr-xr-x   1 root  wheel   377 21 июн  2016 oss
-r-xr-xr-x   1 root  wheel  1050 26 авг  2016 php-fpm
-r-xr-xr-x   1 root  wheel  2951 16 июн 17:36 pure-ftpd
-r-xr-xr-x   1 root  wheel   474  4 июл  2016 slpd
-r-xr-xr-x   1 root  wheel   835 20 июн  2016 tcsd
-r-xr-xr-x   1 root  wheel   689 21 июн  2016 uuidd
-r-xr-xr-x   1 root  wheel  1417 10 май 18:54 vboxguest
-r-xr-xr-x   1 root  wheel  4469 27 апр 12:08 vboxheadless
-r-xr-xr-x   1 root  wheel  1396 26 апр 15:19 vboxnet
-r-xr-xr-x   1 root  wheel   585 10 май 18:54 vboxservice
-r-xr-xr-x   1 root  wheel  1324 27 апр 12:08 vboxwatchdog
-r-xr-xr-x   1 root  wheel  1182 27 апр 12:08 vboxwebsrv
-r-xr-xr-x   1 root  wheel  7186  5 июл  2016 webcamd


Отправлено спустя 2 минуты 57 секунд:
Дополнения.
Блин! Блин! Я не устанавливал никакую webcamd? ОЙ :\

Отправлено спустя 2 минуты 36 секунд:
Так мысли в слух.
Нельзя совмещать рабочую станцию и сервер!

snorlov
подполковник
Сообщения: 3565
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение snorlov » 2017-07-11 17:13:00

У вас одна единственная карточка, выставленная в инет, и ftp юзает обычно 20,21, 49152-65534 порты, если хочется себя защитить, то используйте from any to me, ну и keepstate естественно, а вообще учите матчасть, на этом сайте есть очень хорошая статья, и юзайте ядро generic...

retex
рядовой
Сообщения: 15
Зарегистрирован: 2017-07-08 9:41:38

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение retex » 2017-07-11 17:41:04

Так что? Неправильно настроен ipfw? Или?

Отправлено спустя 3 минуты 39 секунд:
...на этом сайте есть очень хорошая статья...

Ссылку пожалуйста (если можно)...

snorlov
подполковник
Сообщения: 3565
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение snorlov » 2017-07-11 17:47:44

retex писал(а):Или?

именно или, вообще-то файер вопрос очень тонкий, я обычно ничего не советую, кроме шевелений извилин, чтением литературы и использованием дефолтных настроек, и только после того как поняв как они работают изменять/добавлять/убирать правила...
Возьмите дефолтный rc.firewall и разберите его...
Поищите в https://www.lissyara.su/articles/freebsd/tuning/

retex
рядовой
Сообщения: 15
Зарегистрирован: 2017-07-08 9:41:38

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение retex » 2017-07-11 17:57:53

Вот это или попасть на комп могло только через php (функция exec, по умолчанию в php должна быть отключена) или wine.

Отправлено спустя 4 минуты 26 секунд:

Уже листал. Спасибо.

guest
проходил мимо

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение guest » 2017-07-11 18:25:33

retex писал(а):Так что? Неправильно настроен ipfw? Или?

Отправлено спустя 3 минуты 39 секунд:
...на этом сайте есть очень хорошая статья...

Ссылку пожалуйста (если можно)...


уже были, две самые правильные ссылки.

Вы просто не хотите учиться и думать.
Вам чистый пример показали, Вы не смогли его повторить ибо:

# man ipfw

Код: Выделить всё

     A ruleset always includes a default rule (numbered 65535) which cannot be
     modified or deleted, and matches all packets.  The action associated with
     the default rule can be either deny or allow depending on how the kernel
     is configured.
 ...
 LOADER TUNABLES
     Tunables can be set in loader(8) prompt, loader.conf(5) or kenv(1) before
     ipfw module gets loaded.

     net.inet.ip.fw.default_to_accept: 0
             Defines ipfw last rule behavior.  This value overrides options
             IPFW_DEFAULT_TO_(ACCEPT|DENY) from kernel configuration file.



- by default ipfw -> default to deny:
65535 deny ip from any to any

если хотите -> default to accept:
в ядро:
options IPFIREWALL_DEFAULT_TO_ACCEPT

суть, взаисимости от того с каким default для IPFW у Вас загружается система,
Вы имеете:
- в последнем правиле все запрещено
либо
- в последнем правиле все разрешно

последнее правило присутствует всегда, его нельзя удалить и оно определяет
default'ное состояние firewall, каждый выбирает это состояние под свою
политику и практику. Скажем, половина администриторов, считает, что
default accept надежней в случае удаленной настройки, если промахнулся.

Исходя из этого, Вы строите свой набор правил.

В примере, было показано для ядра GENERIC, в rc.conf настройка
firewall_enable="YES"
firewall_type="OPEN"
firewall_logging="YES"

после чего показан список правил и добавлено ОДНО правило
закрывающее командный порт ftp: 21/tcp

ipfw add 1001 deny tcp from any to me 21

прежде чем городить огород из правил которые НЕ ПОНИМАЕТЕ, нужно мало-мало почитать,
оределиться что и как Вы будете "строить" и потом
вручную, добавлять правила и проверять, в помощь ipfw list и ipfw show.
В итоге, пазл сложится и тогда составите свой набор правил для firewall_script или firewall_coscripts (man rc.conf)

# grep firewall /etc/defaults/rc.conf

а в помощь:
# less /etc/rc.firewall
где найдете шаблоны и общие правила для lo0/ipv6:

Код: Выделить всё

############
# Define the firewall type in /etc/rc.conf.  Valid values are:
#   open        - will allow anyone in
#   client      - will try to protect just this machine
#   simple      - will try to protect a whole network
#   closed      - totally disables IP services except via lo0 interface
#   workstation - will try to protect just this machine using stateful
#                 firewalling. See below for rc.conf variables used
#   UNKNOWN     - disables the loading of firewall rules.
#   filename    - will load the rules in the given filename (full path required)
#
# For ``client'' and ``simple'' the entries below should be customized
# appropriately.


Далее приступить к динамическим правилам, man ipfw -> DYNAMIC RULES -> STATEFUL FIREWALL
ну и тд и тп.

чтиво: handbook, man ipfw и чтение по ссылкам.

guest
проходил мимо

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение guest » 2017-07-11 18:27:54

retex писал(а):

Уже листал. Спасибо.


ключевое слово "листал", отсюда и итог работы firewall'а и "или".

retex
рядовой
Сообщения: 15
Зарегистрирован: 2017-07-08 9:41:38

IPFW не закрывает порты FTP-сервера (FreeBSD 10.x).

Непрочитанное сообщение retex » 2017-07-11 18:53:41

Здесь есть вопросик.
В примере, было показано для ядра GENERIC, в rc.conf настройка
firewall_enable="YES"
firewall_type="OPEN"
firewall_logging="YES"


Блин, я пробывал для своего ядра (ошибка получилась).
Так что? Может убрать следующии строки из своего ядра (и попробывать ещё раз):

Код: Выделить всё

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100

Суть этих проб?

Теперь сам вопросик.
Причём здесь ipv6? У меня ipv4! Значит IPV6 не нужен?

Макимум что могли стырить у меня с компа это недописаный файловый архив на php.
На данный момент работы приостановлены (там работ ещё на год)...

Совмещение рабочий станции и сервера - украинская бедность.
Вложения
ScreenShot 2.png
ScreenShot 1.png


Вернуться в «FreeBSD»

Кто сейчас на конференции

Сейчас этот форум просматривают: Bing [Bot] и 1 гость