Наезд на ipfw
Модератор: vadim64
- maniaque
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2007-06-27 11:46:55
Наезд на ipfw
Блин, ребят, я все понимаю, но дайте высказаться!
Короче, вот что меня офигительно не радует в FreeBSD (и остальных) это одно - ни фига, ни в каком handbook не раскрываются особенности сетевого взаимодействия служб.
Простой пример - sendmail. Настройки ipfw взяты у lissyara, за что ему отдельное спасибо, кристально понятны и ясны, но вот незадача - не работал sendmail. Просмотр maillog, пинание очереди и применение netstat дало понять, что мой сервер пробует присоединяться к другому на порт 25, но потом - полная тишина.
Ну хоть бы один умный человек в handbook написал отдельный пункт, что, мол, "при соединении с чужим сервером sendmail будет пытаться открывать непривилегированные порты, поэтому, чувак, ты их открой, и оставь"! А то же логика нормального админа - НИЧЕГО просто так открытым не оставлять. Еще раз подчеркну, НЕ ОСТАВЛЯТЬ открытым порт, если он не нужен для работы системы.
И в ipfw, блин, нет возможности создавать правила не просто для всех программ, а только для отдельных. Взял бы я sendmail и сказал бы ipfw, что sendmail, на какой-бы порт он не ломанулся из непривилегированных, - можно. А вот остальным - нельзя, ну никак.
В Виндоус (простите меня, не хочу начинать священную войну) это делается любым (практически, говорю, в основном, про вкусный AtGuard) нормальным фаером. А тут - теперь мне приходится держать открытыми часть портов, от этого у меня не то, чтобы волосы встают дыбом, но непривычно.
Спасибо тем, кто прочитал. Просто реально хотелось пожаловаться.
Короче, вот что меня офигительно не радует в FreeBSD (и остальных) это одно - ни фига, ни в каком handbook не раскрываются особенности сетевого взаимодействия служб.
Простой пример - sendmail. Настройки ipfw взяты у lissyara, за что ему отдельное спасибо, кристально понятны и ясны, но вот незадача - не работал sendmail. Просмотр maillog, пинание очереди и применение netstat дало понять, что мой сервер пробует присоединяться к другому на порт 25, но потом - полная тишина.
Ну хоть бы один умный человек в handbook написал отдельный пункт, что, мол, "при соединении с чужим сервером sendmail будет пытаться открывать непривилегированные порты, поэтому, чувак, ты их открой, и оставь"! А то же логика нормального админа - НИЧЕГО просто так открытым не оставлять. Еще раз подчеркну, НЕ ОСТАВЛЯТЬ открытым порт, если он не нужен для работы системы.
И в ipfw, блин, нет возможности создавать правила не просто для всех программ, а только для отдельных. Взял бы я sendmail и сказал бы ipfw, что sendmail, на какой-бы порт он не ломанулся из непривилегированных, - можно. А вот остальным - нельзя, ну никак.
В Виндоус (простите меня, не хочу начинать священную войну) это делается любым (практически, говорю, в основном, про вкусный AtGuard) нормальным фаером. А тут - теперь мне приходится держать открытыми часть портов, от этого у меня не то, чтобы волосы встают дыбом, но непривычно.
Спасибо тем, кто прочитал. Просто реально хотелось пожаловаться.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Если вам говорит эта строка что-нибудь, то я за Вас рад.${fwcmd} add pass udp from any 53 to me in via ${ifout} uid Gdnscache
Вообще есть конечно такое, соглашусь. Но если это root. (А такие сервисы есть), тогда увы. Придётся измудряться.(т.е. прочитать что такое TCP/IP и включить мозг)
Для Windows (домохозяек) это делается нажатием кнопки(галки) и всё. Во FreeBSD мозг нужен. В твоём примере знание TCP/IP. (кстати, ты не знаешь откуда берутся крутые парни, что они всё знают и всегда меряются чем нибудь? Правильно, он поставил галку в фаере Windows и мнит себя великим хакером/админом. Абсолютно непонимая как это работает и работает ли вообще?)
Везде есть свои плюсы и минусы. В частности цена, количество багов, вирусов, сроками исправления критических уязвимостей и т.д. и т.д.
P.S. Только мне кажется, что нас отучают думать и превращают в стадо баранов? Которым что покажут, то и будет удобным и правильным?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
- maniaque
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2007-06-27 11:46:55
Теперь - говорит, спасибоdikens3 писал(а):Если вам говорит эта строка что-нибудь, то я за Вас рад.
Вообще есть конечно такое, соглашусь. Но если это root. (А такие сервисы есть), тогда увы. Придётся измудряться.(т.е. прочитать что такое TCP/IP и включить мозг)
Ну, не надо пенять на то, что его у меня нет - я и HTTP сервер писал под Windows и так далее. То есть, знание TCP/IP присутствует.dikens3 писал(а):Для Windows (домохозяек) это делается нажатием кнопки(галки) и всё. Во FreeBSD мозг нужен. В твоём примере знание TCP/IP.
Вот знания SMTP протокола - нет. Но! Я не думаю, что оно критично в данном случае. Любой пользователь может работать с программой, как с "черным ящиком". Нужно только этот самый черный ящик нормально описать. А в данном случае - фиг чего. И даже на OpenNet примеры не учитывают того, что непривилегированные порты используются. Там как раз ребята уровня "поставил галку" по чужим мануалам зачастую пишут свои статьи. В итоге, поскольку их решения никто на себе не проверяет, а читателям лениво порой вдумчиво читать, получается так, что нигде не найти толком нормальной инфы.
Согласен на все сто. Я готов пойти на минусы такого уровня во имя стабильности FreeBSD, просто, к примеру, если бы не знакомый товарищ, у которого, правда, непривилегированные порты напрочь открыты, я бы фиг справился быстро. Конечно, можно было бы добавлять в ipfw правила и глядеть, но тут вопрос скорости.dikens3 писал(а):Везде есть свои плюсы и минусы. В частности цена, количество багов, вирусов, сроками исправления критических уязвимостей и т.д. и т.д.
Гм, так и получается, чаще всего, в FreeBSD, простите. Софта не так много, как кажется, в результате и кревет Пользуемся тем, что лучше описано, поскольку самому читать/вникать/и т.д. времени просто нет. А это, в свою очередь, вызывает виток того, что софт не развивается, конкуренции толком нет.dikens3 писал(а):P.S. Только мне кажется, что нас отучают думать и превращают в стадо баранов? Которым что покажут, то и будет удобным и правильным?
А таких много и на FreeBSD. Благодаря lissyara, у меня парочка знакомых мнит себя мега-админами на FreeBSD. Они один раз все настроили (с моей помощью и кучей головняков), зато пальцы потом веером.dikens3 писал(а):Правильно, он поставил галку в фаере Windows и мнит себя великим хакером/админом.
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
- maniaque
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2007-06-27 11:46:55
- abanamat
- сержант
- Сообщения: 255
- Зарегистрирован: 2007-03-15 11:24:26
- Откуда: Питер
- Контактная информация:
Re: Наезд на ipfw
Я знал. Я чуствовал! Что ненормальный. Закрываю исключительно бяки.maniaque писал(а):Блин, ребят, я все понимаю, но дайте высказаться!
А то же логика нормального админа - НИЧЕГО просто так открытым не оставлять. Еще раз подчеркну, НЕ ОСТАВЛЯТЬ открытым порт, если он не нужен для работы системы.
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
- maniaque
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2007-06-27 11:46:55
Re: Наезд на ipfw
Неее, ребят, у вас, видимо, небольшой бэкграунд с Windows, не сочтите за наезд После msblast - паранойя по полной. Все закрыть! )abanamat писал(а):Я знал. Я чуствовал! Что ненормальный. Закрываю исключительно бяки.
- abanamat
- сержант
- Сообщения: 255
- Зарегистрирован: 2007-03-15 11:24:26
- Откуда: Питер
- Контактная информация:
Re: Наезд на ipfw
бэк.. чиво? паранойа - это болезнь. Лечится дозами информации.maniaque писал(а):Неее, ребят, у вас, видимо, небольшой бэкграунд с Windows, не сочтите за наезд После msblast - паранойя по полной. Все закрыть! )abanamat писал(а):Я знал. Я чуствовал! Что ненормальный. Закрываю исключительно бяки.
- f0s
- ст. лейтенант
- Сообщения: 1082
- Зарегистрирован: 2007-03-13 18:43:31
- Откуда: Санкт-Петербург
- Контактная информация:
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
- serge
- майор
- Сообщения: 2133
- Зарегистрирован: 2006-07-30 15:34:14
- Откуда: Саратов
- Контактная информация:
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
На другой порт повесь, 99.9% переборов отпадут сразу.serge писал(а):offtop:
А никому не попадалась ссылка на мануал по тюнингу ssh? Задолбали пароли подбирать. Или иное решение этого. Вобщем-то пароль надежный, но все равно неприятно
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- Alucard
- ефрейтор
- Сообщения: 54
- Зарегистрирован: 2007-05-08 21:34:14
- Контактная информация:
/etc/ssh/sshd_configserge писал(а): Задолбали пароли подбирать.
Код: Выделить всё
MaxStartups 3:50:6
- serge
- майор
- Сообщения: 2133
- Зарегистрирован: 2006-07-30 15:34:14
- Откуда: Саратов
- Контактная информация: