Наезд на ipfw

[maniaque]

Блин, ребят, я все понимаю, но дайте высказаться!

Короче, вот что меня офигительно не радует в FreeBSD (и остальных) это одно - ни фига, ни в каком handbook не раскрываются особенности сетевого взаимодействия служб.

Простой пример - sendmail. Настройки ipfw взяты у lissyara, за что ему отдельное спасибо, кристально понятны и ясны, но вот незадача - не работал sendmail. Просмотр maillog, пинание очереди и применение netstat дало понять, что мой сервер пробует присоединяться к другому на порт 25, но потом - полная тишина.

Ну хоть бы один умный человек в handbook написал отдельный пункт, что, мол, "при соединении с чужим сервером sendmail будет пытаться открывать непривилегированные порты, поэтому, чувак, ты их открой, и оставь"! А то же логика нормального админа - НИЧЕГО просто так открытым не оставлять. Еще раз подчеркну, НЕ ОСТАВЛЯТЬ открытым порт, если он не нужен для работы системы.

И в ipfw, блин, нет возможности создавать правила не просто для всех программ, а только для отдельных. Взял бы я sendmail и сказал бы ipfw, что sendmail, на какой-бы порт он не ломанулся из непривилегированных, - можно. А вот остальным - нельзя, ну никак.

В Виндоус (простите меня, не хочу начинать священную войну) это делается любым (практически, говорю, в основном, про вкусный AtGuard) нормальным фаером. А тут - теперь мне приходится держать открытыми часть портов, от этого у меня не то, чтобы волосы встают дыбом, но непривычно.

Спасибо тем, кто прочитал. Просто реально хотелось пожаловаться.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dikens3]

${fwcmd} add pass udp from any 53 to me in via ${ifout} uid Gdnscache

Если вам говорит эта строка что-нибудь, то я за Вас рад.
Вообще есть конечно такое, соглашусь. Но если это root. (А такие сервисы есть), тогда увы. Придётся измудряться.(т.е. прочитать что такое TCP/IP и включить мозг)

Для Windows (домохозяек) это делается нажатием кнопки(галки) и всё. Во FreeBSD мозг нужен. В твоём примере знание TCP/IP. (кстати, ты не знаешь откуда берутся крутые парни, что они всё знают и всегда меряются чем нибудь? Правильно, он поставил галку в фаере Windows и мнит себя великим хакером/админом. Абсолютно непонимая как это работает и работает ли вообще?)

Везде есть свои плюсы и минусы. В частности цена, количество багов, вирусов, сроками исправления критических уязвимостей и т.д. и т.д.

P.S. Только мне кажется, что нас отучают думать и превращают в стадо баранов? Которым что покажут, то и будет удобным и правильным?

[Alex Keda]

согласен с Дикенсом.
если ты непонмаешь как работает TCP в общем и SMTP в частности - зачем ты полез настраивать файрволл?
========
и кстати - в обоих примерах такие соединения разрешены.
Может быть надо было задуматься - почему?

[maniaque]

Если вам говорит эта строка что-нибудь, то я за Вас рад.
Вообще есть конечно такое, соглашусь. Но если это root. (А такие сервисы есть), тогда увы. Придётся измудряться.(т.е. прочитать что такое TCP/IP и включить мозг)

Теперь - говорит, спасибо

Для Windows (домохозяек) это делается нажатием кнопки(галки) и всё. Во FreeBSD мозг нужен. В твоём примере знание TCP/IP.

Ну, не надо пенять на то, что его у меня нет - я и HTTP сервер писал под Windows и так далее. То есть, знание TCP/IP присутствует.

Вот знания SMTP протокола - нет. Но! Я не думаю, что оно критично в данном случае. Любой пользователь может работать с программой, как с "черным ящиком". Нужно только этот самый черный ящик нормально описать. А в данном случае - фиг чего. И даже на OpenNet примеры не учитывают того, что непривилегированные порты используются. Там как раз ребята уровня "поставил галку" по чужим мануалам зачастую пишут свои статьи. В итоге, поскольку их решения никто на себе не проверяет, а читателям лениво порой вдумчиво читать, получается так, что нигде не найти толком нормальной инфы.

Везде есть свои плюсы и минусы. В частности цена, количество багов, вирусов, сроками исправления критических уязвимостей и т.д. и т.д.

Согласен на все сто. Я готов пойти на минусы такого уровня во имя стабильности FreeBSD, просто, к примеру, если бы не знакомый товарищ, у которого, правда, непривилегированные порты напрочь открыты, я бы фиг справился быстро. Конечно, можно было бы добавлять в ipfw правила и глядеть, но тут вопрос скорости.

P.S. Только мне кажется, что нас отучают думать и превращают в стадо баранов? Которым что покажут, то и будет удобным и правильным?

Гм, так и получается, чаще всего, в FreeBSD, простите. Софта не так много, как кажется, в результате и кревет Пользуемся тем, что лучше описано, поскольку самому читать/вникать/и т.д. времени просто нет. А это, в свою очередь, вызывает виток того, что софт не развивается, конкуренции толком нет.

Правильно, он поставил галку в фаере Windows и мнит себя великим хакером/админом.

А таких много и на FreeBSD. Благодаря lissyara, у меня парочка знакомых мнит себя мега-админами на FreeBSD. Они один раз все настроили (с моей помощью и кучей головняков), зато пальцы потом веером.

[Alex Keda]

от спасибо

[maniaque]

от спасибо

Ты не подумай ничего плохого, у меня к тебе огромный респект и уважуха. Без прикрас и сарказма.

Всегда импонирует то, что человек умеет делать не только сам, но и делится с другими.

[abanamat]

Блин, ребят, я все понимаю, но дайте высказаться!
А то же логика нормального админа - НИЧЕГО просто так открытым не оставлять. Еще раз подчеркну, НЕ ОСТАВЛЯТЬ открытым порт, если он не нужен для работы системы.

Я знал. Я чуствовал! Что ненормальный. Закрываю исключительно бяки.

[Alex Keda]

я тоже. я ничё не закрываю.
достаточно грамотно настроить сервисы
(касается серверов а не шлзов - шлюзы защищают не себя - юзеров)

[maniaque]

Я знал. Я чуствовал! Что ненормальный. Закрываю исключительно бяки.

Неее, ребят, у вас, видимо, небольшой бэкграунд с Windows, не сочтите за наезд После msblast - паранойя по полной. Все закрыть! )

[abanamat]

Я знал. Я чуствовал! Что ненормальный. Закрываю исключительно бяки.

Неее, ребят, у вас, видимо, небольшой бэкграунд с Windows, не сочтите за наезд После msblast - паранойя по полной. Все закрыть! )

бэк.. чиво? паранойа - это болезнь. Лечится дозами информации.

[f0s]

кстати, кто что думает:

у меня есть шлюз в инет, с двумя сетевуахами, на нем стоит ipfw, все лишнее закрыто, а все серваки что в локалке они без фаерволов. это номрально? в принципе каков смысл в фаере в локалке?

[Alex Keda]

на сервере где сайт - файрволла нет
есть - но с двумя правилами - на лимит конекто в содного IP и на разрешение всем и всего

[serge]

offtop:
А никому не попадалась ссылка на мануал по тюнингу ssh? Задолбали пароли подбирать. Или иное решение этого. Вобщем-то пароль надежный, но все равно неприятно

[Alex Keda]

в портах масса подобного...
можешь так и поискать по ключу....

[dikens3]

offtop:
А никому не попадалась ссылка на мануал по тюнингу ssh? Задолбали пароли подбирать. Или иное решение этого. Вобщем-то пароль надежный, но все равно неприятно

На другой порт повесь, 99.9% переборов отпадут сразу.

[Alucard]

Задолбали пароли подбирать.

/etc/ssh/sshd_config

Код: Выделить всё

MaxStartups 3:50:6

После 3х неправильных попыток ввода пароля отвергать 50% новых подключений, и после 6 попыток не отвечать совсем...

[Andy]

Вот статья, Защита от bruteforce атак на SSH в BSD.

[serge]

После 3х неправильных попыток ввода пароля отвергать 50% новых подключений, и после 6 попыток не отвечать совсем...

А это применительно к конкретному IP или ко всем? Если ко всем то как я сам-то попаду туда после этого???