firewall

[RAGNAR]

Может кто посоветует как можно запретить доступ к серверу из вне по telnet
может кто подскажет, консоль выдает что fxp0 дублирует vr0 можно ли что небудь дополнить.

интересно мнение по правилам firewall ....

Код: Выделить всё

#!/bin/sh	
ipfw="/sbin/ipfw"
LanOut="tun0"
NetOut="0/32"
IpOut=""
LanIn1="vr0"
LanIn2="fxp0"
LanBR="bridge0"
NetIn="192.168.1.0/24"


${ipfw} -f flush
${ipfw} add 10  check-state

${ipfw} add 100 allow mac-type arp

${ipfw} add 200 allow ip from any to any via lo0
${ipfw} add 210 deny ip from any to 127.0.0.0/8
${ipfw} add 220 deny ip from 127.0.0.0/8 to any


${ipfw} add 300 deny ip from ${NetIn} to any in via ${LanOut}  # "tun0"

${ipfw} add 310 deny ip from ${NetOut} to any in via ${LanIn1}  # "vr0"
${ipfw} add 320 deny ip from ${NetOut} to any in via ${LanIn2}  # "fxp0"

${ipfw} add 700 allow icmp from any to any icmptypes 0,8,11

${ipfw} add 800 allow ip from any to any via vr0
${ipfw} add 810 allow ip from any to any via fxp0
${ipfw} add 830 allow ip from 192.168.1.0/24 to 192.168.1.0/24 via bridge0

${ipfw} add 1000 allow tcp from any to any established

${ipfw} add 65535 deny ip from any to any

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[RAGNAR]

забыл дополнить

tun0 поднят через fxp1 , в конфеге файрвола не обозначена так как ее не присвоен адрес и пакеты через нее не ходят.
выход в сеть идет через ipnat

Код: Выделить всё

map tun0 192.168.1.15/24 -> 0/32 port map auto
map tun0 192.168.1.15/24 -> 0/32 auto

[RAGNAR]

проблема с telnet неактуальна была решена так

Код: Выделить всё

ipfw add 20 deny tcp from any to any 23 via tun0 setup

у всех совсем нет слов оконфеге FW ?

[schizoid]

у тебя был запущен telnet сервер?
если нет, то нет смысла так извращаться..

[RAGNAR]

с ssh немогу разобраться... да telnet запущен

[cloudsv]

${ipfw} add deny ip from ${NetOut} to me 23 via ${LanOut}

у меня все попроще

Код: Выделить всё

[root][/home/cloudsv/]#cat /etc/rc.firewall_ppp                                            
#!/bin/sh                                                                                  
                                                                                           
fwcmd="/sbin/ipfw -q"                                                                      
                                                                                           
${fwcmd} -f flush                                                                          
${fwcmd} -f pipe flush                                                                     
${fwcmd} -f queue flush                                                                    
${fwcmd} add check-state                                                                   
                                                                                           
${fwcmd} add allow ip from any to any via lo0                                              
${fwcmd} add deny ip from any to 127.0.0.0/8                                               
${fwcmd} add deny ip from 127.0.0.0/8 to any                                               
                                                                                           
#для входящего потока проввайдера gre for vpn                                                                               
#${fwcmd} add allow gre from 10.200.200.1 to 10.200.236.138 in via nfe0                    
                                                                                           
#Входящий поток данных от друзей
#GAV                                                                                       
${fwcmd} add allow all from 10.200.236.213 to 10.200.236.138 in via nfe0                   
#GEK
${fwcmd} add allow all from 10.200.200.7 to 10.200.236.138 in via nfe0
#fzeety
${fwcmd} add allow all from 10.128.64.194 to 10.200.236.138 in via nfe0

#Внутрення локалка
${fwcmd} add allow all from any to any via fxp0

#VPN
${fwcmd} pipe 1 config bw 512Kbit/s queue 20
${fwcmd} queue 1 config pipe 1 weight 50 queue 20
${fwcmd} add queue 1 all from any to any via ng1


#NAT
${fwcmd} nat 1 config if nfe0 reset deny_in same_ports
${fwcmd} add nat 1 all from any to any via nfe0
${fwcmd} nat 2 config if ng0 reset deny_in same_ports
${fwcmd} add nat 2 all from any to any via ng0

${fwcmd} add deny all from any to any

[RAGNAR]

тоесть мое правило не совсем коректно для ограничения входящих соединений?

Код: Выделить всё

${ipfw} add deny tcp from any to any 23 via ${LanOut} setup

#  так будит правельней, можно обеснить?

${ipfw} add deny ip from ${NetOut} to me 23 via ${LanOut}

а на счет nad, мне больше нравиться ipnat и правила не смешиваються в конфеге ipfw

[cloudsv]

в принципе одно и то же.
${ipfw} add deny tcp from any to any 23 via ${LanOut} setup
Здесь ты рубишь все запросы о начале соединения протокола tcp на 23 порт на интерфейсе LanOut

${ipfw} add deny ip from ${NetOut} to me 23 via ${LanOut}
Здесь рубятся любые соединения из сети NetOut к твоему компу на 23 порт на интерфейсе LanOut

[RAGNAR]

ну не скажи, второй правило лучше всетаки...

[RAGNAR]

а как прописаит ${NetOut} если мне выдают динамический ip изх адресов 94.241.xxx.xxx что указывать тот?
вот когда выдадут фиксированый тогда все понятно, заявку то я уже как полтора месяца назад дал...

[zingel]

скриптом

[cloudsv]

а как прописаит ${NetOut} если мне выдают динамический ip изх адресов 94.241.xxx.xxx что указывать тот?
вот когда выдадут фиксированый тогда все понятно, заявку то я уже как полтора месяца назад дал...

Можешь использовать 94.241.0.0/16
Под него попадают IP адреса 94.241.0.1 - 94.241.255.254

[RAGNAR]

Благодарю за ценный совет! так и поступлю.

можно ответить еще на один вопрос для уточнения моих познаний.
сетевая макса
192.168.0.0/24 перекрывает одну подсеть, например 192.168.0.1-192.168.0.254 , верно
192.168.0.0/16 перекрывает одну подсеть, например 192.168.0.1-192.168.255.254 , верно

192.168.0.0/32 а так что перекрывает или это не корректно?

[RAGNAR]

вот такой еще вопрос с точки зрения безопасности или правельности как , правельнее сделать.
есть mpd или pppd впринцепе не важно.
вопрос

Код: Выделить всё

Lan ---> xl1(192.168.3.1/24) [ server ] xl0 ---> ADSL modem

нужно назначать ip xl0 , если тунель поднимаеться и без адреса, а перенаправлением пакетов занемаеться ipnat?
или лучше назначить адрес и прописать правила ipfw?

[cloudsv]

192.168.0.0/16 перекрывает одну подсеть, например 192.168.0.1-192.168.255.254 , верно
192.168.0.0/32 а так что перекрывает или это не корректно?

192.168.0.0/16 перекрывает 256 подсетей
ну 32 это маска 255.255.255.255 = 32 (11111111.11111111.11111111.11111111 ) поидее это только один хост

вот такой еще вопрос с точки зрения безопасности или правельности как , правельнее сделать.
есть mpd или pppd впринцепе не важно.
вопрос

Код: Выделить всё

Lan ---> xl1(192.168.3.1/24) [ server ] xl0 ---> ADSL modem

нужно назначать ip xl0 , если тунель поднимаеться и без адреса, а перенаправлением пакетов занемаеться ipnat?
или лучше назначить адрес и прописать правила ipfw?

с этим не ко мне, не особо понял вопрос.

[paradox]

если тунель поднимаеться и без адреса

чего чего????

[RAGNAR]

всмысле на сетевухе xl0 ip адрес не привсоин. а в конфиге ppp.conf указан инерфейс через который конектиться
tun0 поднимаеться, ip мне выдаеться , кароче инет работает.
если что не так описал, спросите по конкретние.

[RAGNAR]

могу выложить конфиги

[paradox]

всмысле на сетевухе xl0 ip адрес не привсоин. а в конфиге ppp.conf указан инерфейс через который конектиться
tun0 поднимаеться, ip мне выдаеться , кароче инет работает.
если что не так описал, спросите по конкретние.

так в чем собственно проблема?
вы более подробно постарайтесь изложить суть вопроса/проблемы
а то не понятно что вы спрашиваете

[arkan]

Разрешайте правилами только то что знаете и это разрешено а остальное дропить обязятельно

[RAGNAR]

суть вопроса: нужно присваивать xl0 ip адрес или нет? как вы считаете?

Код: Выделить всё

Lan ---> xl1(192.168.3.1/24) [ server ] xl0 ---> ADSL modem

на данный мамент он у меня (xl0) без ip

[paradox]

вопрос а зачем там айпи?
если он вам нужен то ставте
если не нужен то не ставте

[RAGNAR]

мне он там не нужен, а что ты думаешь о этом?

[paradox]

дак сервант то твой) ты должен думать

1) если вдруг там будет айпи и тебя через него взломают или нагонят лишнего траффика о отвечать будешь ты
2) если когда понадобиться поставить там айпи а добратся до сервака нельзя будет физически и достучаться по каким либо причинам удаленно то опять же виноват будешь ты
)

[RAGNAR]

можно в кратце обресовать эти два пункта на примерах. для чего нужен и для чего айпи адрес там?