IPFW для критики

[princeps]

ядро собрано с опцией DENY )

Так а зачем тогда все открываешь?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[FireWall]

нат обычно работает одним правилом divert via интерфейс в инет
а дальше все без всяких скипту отстраиваеться

Например? Не могу представить

исключение составляют балансировки и ассимитричный инет
где одним дивертом не обойдешься

Кое где реализовано )

[FireWall]

ядро собрано с опцией DENY )

Так а зачем тогда все открываешь?

чтобы потом закрыть ))

[paradox]

Например? Не могу представить

пример диверта?

Код: Выделить всё

add 10 divert natd all from any to any via ng0

[Kos]

ядро собрано с опцией DENY )

Так а зачем тогда все открываешь?

чтобы потом закрыть ))

и много пакетов попадает в это "потом"? Вы ipfw с pf не путаете?

[princeps]

и много пакетов попадает в это "потом"? Вы ipfw с pf не путаете?

ага, пакеты попадают под allow и не доходят до deny.

via in via out нужных сетей на нужном интерфейсе
и после этого я не представляю как спуфингом человек вообще выйдет через этот интерфейс

А пример не приведешь? С via out все понятно - внутри всего одна сеть, разрешать только ее. а снаружи как? Все равно придется для каждой частной сети свое правило писать, ну или таблицу делать.

[paradox]

а чем снаружи отличаеться от внутри?
хотя я конечно не представляю примеров спуфинга снаружи
это типа провайдер захочет попасть к тебе в dmz ?))

[princeps]

а чем снаружи отличаеться от внутри?

Тем, что изнутри можно разрешить только тому, что у тебя внутри, например, 192.168.0.0/24. Остальным по дефолту запрещено.
А снаружи - один хрен придется запрещать всем, кого оттуда не должно быть. То есть перечислять их всех. Или как?

хотя я конечно не представляю примеров спуфинга снаружи
это типа провайдер захочет попасть к тебе в dmz ?))

хрен знает кто хочет, но я же говорю, видел своими глазами в логах пакеты из публичной сети. К тому же оно висит себе, есть не просит, чем плохо?

[paradox]

А снаружи - один хрен придется запрещать всем, кого оттуда не должно быть. То есть перечислять их всех. Или как?

спуфинг можно сделать (в теории) токо когда у тебя сетевка в одной сети с хакером
у тебя что боооольшой хаб? в ктором пять тысяч компов?
врядли)
а остальные пусть стучатся

[princeps]

ну зачем-то же люди пишут защиту от спуфинга на фаерволах? Вон, в статьях у лиса, например...

[paradox]

ну незнаю
нравиться людям писать) кот и пишут
где то в мануале по pf antispoof есть пример во что это правило разворачиваеться
там помоему не больше 3 строк
аналогично эти же правила и для ipfw можно применить

[buryanov]

наверное желателно закрыть еще публичные сети...

имеет смысл токо если ты админишь у провайдеров укоторых есть своя AS
когда ты клинет у провайдера
то блочить эти сети нет смысла

Знакомая контора находится в офисном здании какогото НИИ(здание государственное и нии тоже). Администрация никого из провайдеров не пускает(ни телефония, ни инет) и всем занимается сама. В общемто арендаторы не жалуются на качество. Перенатраивал в офисе сеть, посмотрел tcpdump'ом - ужаснулся, на входящем интерфейсе присутствуют все частные подсети и не просто arp запросы, а идут полноценные пакеты.

[paradox]

присутствуют все частные подсети и не просто arp запросы, а идут полноценные пакеты.

говоит о том что там все построено на хабах

[MASiK]

А я как-то наблюдал спуфинг на своем внешнем интерфейсе, хотя не провайдер.
я бы вот здесь

Код: Выделить всё

${fwcmd} add 65000 allow ip from any to any

сделал бы наоборот, deny

ядро собрано с опцией DENY )

Так одну минуточку...

На сколько я помню если ядро собирать с опцией DENY потом из мне перезагрузить фаэрвол не сможешь, так как после

Код: Выделить всё

ipfw flush

Автоматом вылетит

Код: Выделить всё

deny from any to any

И конфиг тупо не до грузиться так как тебя выкинет из консоли и обработка конфиг-файла остановится

Или я что-то путаю?...

И на счёт mysql что его взломают или ещё что, его не обязательно вешать на *:3306 можно и localhost:3306 обойтись в полне, или на Сокет вешать

и на счёт скорости то что тебе выдаёт пров 10мбит а скорость скачки 1мбит 10 000\8=1250, это так, а по вообще дело не только в скорости, есть такое как задержки, оброботки, и всё в этом духе, допустим скорость отклика и соединения, не ровняй скорость работы КАНАЛА и скачку

[princeps]

И конфиг тупо не до грузиться так как тебя выкинет из консоли и обработка конфиг-файла остановится

Или я что-то путаю?...

Путаешь. У него конфиг фаера грузится при загрузке сервера, а там есть разрешающие правила. Мы с ним говорили о том, что у него последним правилом в кониге разрешается все и всем, хотя обычно делают наоборот.

[MASiK]

Так да при загрузке сервера это конечно понятно

А я про перезагрузку правил через удалёнку без перезагрузки машины

[princeps]

и что, если сразу за flush идет конфиг правил, в том числе и разрешающих, то в чем проблема-то?

[MASiK]

и что, если сразу за flush идет конфиг правил, в том числе и разрешающих, то в чем проблема-то?

Проблема в том что если ты просто выполнишь скрипт ipfw то после отработки команды flush тебя резко выкинет, и не какие разрешающие правила не успеют записаться, есть конечно выход делать

Код: Выделить всё

/etc/ipfw.sh &

или

Код: Выделить всё

/etc/rc.d/ipfw reload

А если просто выполнить

Код: Выделить всё

/etc/ipfw.sh

Тебя выкинет нафиг после правила flush и отработка sh скрипта прекратиться на этом, отсанется только одно правило дефолтное deny

Вот я о чём

[princeps]

все зависит от таймаута ssh, меня с дефолтными настройками putty никогда еще не выкидывало.

[FireWall]

на одном из серверов, маленьком

Код: Выделить всё

[root@uu /usr/home/firewall]# ipfw show
00090  268908   12633066 allow ip from 127.0.0.1 to 127.0.0.1
00190    4960    6747066 skipto 1000 tcp from 192.168.2.0/29 to 195.206.51.138 dst-port 25
00900       0          0 reset log logamount 200 tcp from 10.0.0.0/8 to any dst-port 25 out xmit ng0
00901       0          0 reset log logamount 200 tcp from 172.0.0.0/8 to any dst-port 25 out xmit ng0
00902       0          0 reset log logamount 200 tcp from 192.0.0.0/8 to any dst-port 25 out xmit ng0
01000     257      12864 reset log logamount 200 tcp from any to me dst-port 3128,1080 in via ng0
01021   52654   37605805 skipto 1940 ip from 192.168.2.0/29 to 192.168.2.254
01022   72204    8316324 skipto 1941 ip from 192.168.2.254 to 192.168.2.0/29
01030      75       3600 deny log logamount 200 tcp from any to me dst-port 3128,1080
01031       0          0 deny log logamount 200 udp from any to me dst-port 3128,1080
01032       0          0 deny tcp from 192.168.0.0/16 to any dst-port 1080,2080
03000     243      11728 deny log logamount 200 ip from 192.168.0.0/16 to any in recv ng0
03040       0          0 deny log logamount 200 ip from 224.0.0.0/8 to any in recv ng0
03050       0          0 deny log logamount 200 ip from any to any frag
03060       0          0 deny log logamount 200 icmp from any to any in via ng0 icmptypes 5,9,13,14,15,16,17
03505  120098   17505412 allow tcp from any to me dst-port 22,21,1,11,15,69,79,111 via ng0 limit dst-addr 20
03520      45      15256 allow tcp from me 22,21 to any via ng0
03530    6632     506036 allow ip from any to me dst-port 53
04000 1617876  254845027 divert 8668 ip from any to 92.124.208.43 in recv ng0
06000  204425   74735379 skipto 6500 tcp from any to me
06100   30202    2358282 fwd 127.0.0.1,3128 tcp from 192.168.2.0/24 to any dst-port 80,81,82,88,3128,8080,8101,21,443 out xmit ng0
06500       0          0 check-state
06510   13120     662880 deny log logamount 200 tcp from any to me dst-port 113,135,137,138,139,445 in via ng0
06520      17       1326 deny log logamount 200 udp from any to me dst-port 113,135,137,138,139,445 in via ng0
06550    1945     115620 deny log logamount 200 tcp from any to me dst-port 1-1023 in via ng0
06560       2        136 deny log logamount 200 udp from any to me dst-port 1-1023 in via ng0
06570     231      11128 deny log logamount 200 tcp from any to me dst-port 3306 in via ng0
06580 2025920  252571119 skipto 6600 ip from 192.168.2.0/29 to any in via fxp0
06585       0          0 skipto 6600 ip from 0.0.0.0 to 255.255.255.255 in via fxp0
06586      41       3198 deny log logamount 200 ip from 192.168.0.0/16 to any in via fxp0
06590       0          0 deny log logamount 200 ip from any to any in via fxp0
08001 3727013  365887470 skipto 9000 ip from 192.168.2.0/29 to 195.206.51.138
08002   63225    3583038 skipto 9000 ip from 192.168.2.0/29 to any dst-port 5190
08900  169011   47964950 skipto 10000 ip from 192.168.0.0/16 to any
09000 1896781  184864596 divert 8668 ip from 192.168.2.0/29 to any out xmit ng0
10000       0          0 deny ip from 10.0.0.0/8 to any out xmit ng0
10010       0          0 deny ip from 172.0.0.0/8 to any out xmit ng0
10020     267      42993 deny ip from 192.168.0.0/16 to any out xmit ng0
65000 7210941 1016593965 allow ip from any to any
65535       1        229 deny ip from any to any
[root@uu /usr/home/firewall]#

Код: Выделить всё

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:80:48:31:74:d6
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>
        ether 00:07:e9:f4:bf:32
        inet 192.168.2.254 netmask 0xffffff00 broadcast 192.168.2.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1460
        inet 92.124.208.43 --> 213.228.116.196 netmask 0xffffffff

[FireWall]

Про спуфинг согласен, тоже встречал у себя на внешнем интерфесе "локальные" сети.

Так одну минуточку...

На сколько я помню если ядро собирать с опцией DENY потом из мне перезагрузить фаэрвол не сможешь, так как после

Все нормально будет, и загрузиться. Если вас не затруднит. Посмтотрите внимательно мой список правил.

На внешнем ифейсе у меня запрещено ПОСЛЕ того как разрешено

Код: Выделить всё

06511      437       21024 deny log logamount 200 tcp from any to me dst-port 113,135,137,138,139,445 in via ng0
06521        8         624 deny log logamount 200 udp from any to me dst-port 113,135,137,138,139,445 in via ng0
06551      160        9204 deny log logamount 200 tcp from any to me dst-port 1-1023 in via ng0
06561       14        6300 deny log logamount 200 udp from any to me dst-port 1-1023 in via ng0
06571       15         720 deny log logamount 200 tcp from any to me dst-port 3306 in via ng0

[FireWall]

да и уважаемые гуру, поясните пожалуйста вот этот момент

Код: Выделить всё

65000 7210941 1016593965 allow ip from any to any
65535       1        229 deny ip from any to any

Все таки что-то попадет под deny после allow ?

[FireWall]

все зависит от таймаута ssh, меня с дефолтными настройками putty никогда еще не выкидывало.

Ну клиент то все-таки тут не при чем )) если сервер не пустит

[princeps]

один какой-то пьяный заблудившийся пакет

[Orator]

А если просто выполнить

Код: Выделить всё

/etc/ipfw.sh

Тебя выкинет нафиг после правила flush и отработка sh скрипта прекратиться на этом, отсанется только одно правило дефолтное deny
Вот я о чём.

Согласен, если в sshd будет включена опция

Код: Выделить всё

rt18/admin/p1/17:21 [/sys/i386/conf]# cat /etc/ssh/sshd_config | grep TCP
TCPKeepAlive yes

выбьет наверняка, но кто мешает использовать конструкцию

Код: Выделить всё

rt18/admin/p1/17:22 [/sys/i386/conf]# sudo /etc/frw.sh > /dev/null &

.
У меня для ssh правила отдельно в самом начале идут, отлично срабатывает.