Наезд на ipfw

Разговоры ни о чём

Модератор: vadim64

Аватара пользователя
maniaque
проходил мимо
Сообщения: 9
Зарегистрирован: 2007-06-27 11:46:55

Наезд на ipfw

Непрочитанное сообщение maniaque » 2007-06-27 11:55:23

Блин, ребят, я все понимаю, но дайте высказаться! :)

Короче, вот что меня офигительно не радует в FreeBSD (и остальных) это одно - ни фига, ни в каком handbook не раскрываются особенности сетевого взаимодействия служб.

Простой пример - sendmail. Настройки ipfw взяты у lissyara, за что ему отдельное спасибо, кристально понятны и ясны, но вот незадача - не работал sendmail. Просмотр maillog, пинание очереди и применение netstat дало понять, что мой сервер пробует присоединяться к другому на порт 25, но потом - полная тишина.

Ну хоть бы один умный человек в handbook написал отдельный пункт, что, мол, "при соединении с чужим сервером sendmail будет пытаться открывать непривилегированные порты, поэтому, чувак, ты их открой, и оставь"! А то же логика нормального админа - НИЧЕГО просто так открытым не оставлять. Еще раз подчеркну, НЕ ОСТАВЛЯТЬ открытым порт, если он не нужен для работы системы.

И в ipfw, блин, нет возможности создавать правила не просто для всех программ, а только для отдельных. Взял бы я sendmail и сказал бы ipfw, что sendmail, на какой-бы порт он не ломанулся из непривилегированных, - можно. А вот остальным - нельзя, ну никак.

В Виндоус (простите меня, не хочу начинать священную войну) это делается любым (практически, говорю, в основном, про вкусный AtGuard) нормальным фаером. А тут - теперь мне приходится держать открытыми часть портов, от этого у меня не то, чтобы волосы встают дыбом, но непривычно.

Спасибо тем, кто прочитал. Просто реально хотелось пожаловаться.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-06-27 12:13:10

${fwcmd} add pass udp from any 53 to me in via ${ifout} uid Gdnscache
Если вам говорит эта строка что-нибудь, то я за Вас рад.
Вообще есть конечно такое, соглашусь. Но если это root. (А такие сервисы есть), тогда увы. Придётся измудряться.(т.е. прочитать что такое TCP/IP и включить мозг)

Для Windows (домохозяек) это делается нажатием кнопки(галки) и всё. Во FreeBSD мозг нужен. В твоём примере знание TCP/IP. (кстати, ты не знаешь откуда берутся крутые парни, что они всё знают и всегда меряются чем нибудь? Правильно, он поставил галку в фаере Windows и мнит себя великим хакером/админом. Абсолютно непонимая как это работает и работает ли вообще?)

Везде есть свои плюсы и минусы. В частности цена, количество багов, вирусов, сроками исправления критических уязвимостей и т.д. и т.д.

P.S. Только мне кажется, что нас отучают думать и превращают в стадо баранов? Которым что покажут, то и будет удобным и правильным?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35159
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-06-27 12:39:04

согласен с Дикенсом.
если ты непонмаешь как работает TCP в общем и SMTP в частности - зачем ты полез настраивать файрволл?
========
и кстати - в обоих примерах такие соединения разрешены.
Может быть надо было задуматься - почему?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
maniaque
проходил мимо
Сообщения: 9
Зарегистрирован: 2007-06-27 11:46:55

Непрочитанное сообщение maniaque » 2007-06-27 12:54:44

dikens3 писал(а):Если вам говорит эта строка что-нибудь, то я за Вас рад.
Вообще есть конечно такое, соглашусь. Но если это root. (А такие сервисы есть), тогда увы. Придётся измудряться.(т.е. прочитать что такое TCP/IP и включить мозг)
Теперь - говорит, спасибо :)
dikens3 писал(а):Для Windows (домохозяек) это делается нажатием кнопки(галки) и всё. Во FreeBSD мозг нужен. В твоём примере знание TCP/IP.
Ну, не надо пенять на то, что его у меня нет - я и HTTP сервер писал под Windows и так далее. То есть, знание TCP/IP присутствует.

Вот знания SMTP протокола - нет. Но! Я не думаю, что оно критично в данном случае. Любой пользователь может работать с программой, как с "черным ящиком". Нужно только этот самый черный ящик нормально описать. А в данном случае - фиг чего. И даже на OpenNet примеры не учитывают того, что непривилегированные порты используются. Там как раз ребята уровня "поставил галку" по чужим мануалам зачастую пишут свои статьи. В итоге, поскольку их решения никто на себе не проверяет, а читателям лениво порой вдумчиво читать, получается так, что нигде не найти толком нормальной инфы.
dikens3 писал(а):Везде есть свои плюсы и минусы. В частности цена, количество багов, вирусов, сроками исправления критических уязвимостей и т.д. и т.д.
Согласен на все сто. Я готов пойти на минусы такого уровня во имя стабильности FreeBSD, просто, к примеру, если бы не знакомый товарищ, у которого, правда, непривилегированные порты напрочь открыты, я бы фиг справился быстро. Конечно, можно было бы добавлять в ipfw правила и глядеть, но тут вопрос скорости.
dikens3 писал(а):P.S. Только мне кажется, что нас отучают думать и превращают в стадо баранов? Которым что покажут, то и будет удобным и правильным?
Гм, так и получается, чаще всего, в FreeBSD, простите. Софта не так много, как кажется, в результате и кревет :) Пользуемся тем, что лучше описано, поскольку самому читать/вникать/и т.д. времени просто нет. А это, в свою очередь, вызывает виток того, что софт не развивается, конкуренции толком нет.
dikens3 писал(а):Правильно, он поставил галку в фаере Windows и мнит себя великим хакером/админом.
А таких много и на FreeBSD. Благодаря lissyara, у меня парочка знакомых мнит себя мега-админами на FreeBSD. Они один раз все настроили (с моей помощью и кучей головняков), зато пальцы потом веером.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35159
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-06-27 13:10:19

от спасибо :lol:
Убей их всех! Бог потом рассортирует...

Аватара пользователя
maniaque
проходил мимо
Сообщения: 9
Зарегистрирован: 2007-06-27 11:46:55

Непрочитанное сообщение maniaque » 2007-06-27 13:26:58

lissyara писал(а):от спасибо :lol:
Ты не подумай ничего плохого, у меня к тебе огромный респект и уважуха. Без прикрас и сарказма.

Всегда импонирует то, что человек умеет делать не только сам, но и делится с другими.

Аватара пользователя
abanamat
сержант
Сообщения: 255
Зарегистрирован: 2007-03-15 11:24:26
Откуда: Питер
Контактная информация:

Re: Наезд на ipfw

Непрочитанное сообщение abanamat » 2007-06-27 14:38:21

maniaque писал(а):Блин, ребят, я все понимаю, но дайте высказаться! :)
А то же логика нормального админа - НИЧЕГО просто так открытым не оставлять. Еще раз подчеркну, НЕ ОСТАВЛЯТЬ открытым порт, если он не нужен для работы системы.
Я знал. Я чуствовал! Что ненормальный. Закрываю исключительно бяки.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35159
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-06-27 14:41:21

я тоже. я ничё не закрываю.
достаточно грамотно настроить сервисы
(касается серверов а не шлзов - шлюзы защищают не себя - юзеров)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
maniaque
проходил мимо
Сообщения: 9
Зарегистрирован: 2007-06-27 11:46:55

Re: Наезд на ipfw

Непрочитанное сообщение maniaque » 2007-06-27 14:53:10

abanamat писал(а):Я знал. Я чуствовал! Что ненормальный. Закрываю исключительно бяки.
Неее, ребят, у вас, видимо, небольшой бэкграунд с Windows, не сочтите за наезд ;) После msblast - паранойя по полной. Все закрыть! :))

Аватара пользователя
abanamat
сержант
Сообщения: 255
Зарегистрирован: 2007-03-15 11:24:26
Откуда: Питер
Контактная информация:

Re: Наезд на ipfw

Непрочитанное сообщение abanamat » 2007-06-27 15:06:48

maniaque писал(а):
abanamat писал(а):Я знал. Я чуствовал! Что ненормальный. Закрываю исключительно бяки.
Неее, ребят, у вас, видимо, небольшой бэкграунд с Windows, не сочтите за наезд ;) После msblast - паранойя по полной. Все закрыть! :))
бэк.. чиво? паранойа - это болезнь. Лечится дозами информации.

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Непрочитанное сообщение f0s » 2007-06-27 21:29:00

кстати, кто что думает:

у меня есть шлюз в инет, с двумя сетевуахами, на нем стоит ipfw, все лишнее закрыто, а все серваки что в локалке они без фаерволов. это номрально? в принципе каков смысл в фаере в локалке?
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35159
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-06-27 22:07:29

на сервере где сайт - файрволла нет
есть - но с двумя правилами - на лимит конекто в содного IP и на разрешение всем и всего
Убей их всех! Бог потом рассортирует...

Аватара пользователя
serge
майор
Сообщения: 2132
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Непрочитанное сообщение serge » 2007-06-27 22:25:18

offtop:
А никому не попадалась ссылка на мануал по тюнингу ssh? Задолбали пароли подбирать. Или иное решение этого. Вобщем-то пароль надежный, но все равно неприятно :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35159
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-06-27 22:27:32

в портах масса подобного...
можешь так и поискать по ключу....
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-06-27 22:39:15

serge писал(а):offtop:
А никому не попадалась ссылка на мануал по тюнингу ssh? Задолбали пароли подбирать. Или иное решение этого. Вобщем-то пароль надежный, но все равно неприятно :)
На другой порт повесь, 99.9% переборов отпадут сразу.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Alucard
ефрейтор
Сообщения: 54
Зарегистрирован: 2007-05-08 21:34:14
Контактная информация:

Непрочитанное сообщение Alucard » 2007-06-28 13:54:26

serge писал(а): Задолбали пароли подбирать.
/etc/ssh/sshd_config

Код: Выделить всё

MaxStartups 3:50:6
После 3х неправильных попыток ввода пароля отвергать 50% новых подключений, и после 6 попыток не отвечать совсем...

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Непрочитанное сообщение Andy » 2007-06-29 11:02:01

Вот статья, Защита от bruteforce атак на SSH в BSD.

Аватара пользователя
serge
майор
Сообщения: 2132
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Непрочитанное сообщение serge » 2007-06-29 20:12:22

Alucard писал(а):После 3х неправильных попыток ввода пароля отвергать 50% новых подключений, и после 6 попыток не отвечать совсем...
А это применительно к конкретному IP или ко всем? Если ко всем то как я сам-то попаду туда после этого???