Так а зачем тогда все открываешь?FireWall писал(а): ядро собрано с опцией DENY )
IPFW для критики
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: IPFW для критики
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- ефрейтор
- Сообщения: 58
- Зарегистрирован: 2007-09-04 8:59:50
Re: IPFW для критики
Например? Не могу представитьparadox писал(а):нат обычно работает одним правилом divert via интерфейс в инет
а дальше все без всяких скипту отстраиваеться
Кое где реализовано )исключение составляют балансировки и ассимитричный инет
где одним дивертом не обойдешься
-
- ефрейтор
- Сообщения: 58
- Зарегистрирован: 2007-09-04 8:59:50
Re: IPFW для критики
чтобы потом закрыть ))princeps писал(а):Так а зачем тогда все открываешь?FireWall писал(а): ядро собрано с опцией DENY )
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: IPFW для критики
пример диверта?Например? Не могу представить
Код: Выделить всё
add 10 divert natd all from any to any via ng0
-
- мл. сержант
- Сообщения: 118
- Зарегистрирован: 2009-01-19 23:15:49
Re: IPFW для критики
и много пакетов попадает в это "потом"? Вы ipfw с pf не путаете?FireWall писал(а):чтобы потом закрыть ))princeps писал(а):Так а зачем тогда все открываешь?FireWall писал(а): ядро собрано с опцией DENY )
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: IPFW для критики
ага, пакеты попадают под allow и не доходят до deny.Kos писал(а):и много пакетов попадает в это "потом"? Вы ipfw с pf не путаете?
А пример не приведешь? С via out все понятно - внутри всего одна сеть, разрешать только ее. а снаружи как? Все равно придется для каждой частной сети свое правило писать, ну или таблицу делать.paradox писал(а):via in via out нужных сетей на нужном интерфейсе
и после этого я не представляю как спуфингом человек вообще выйдет через этот интерфейс
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: IPFW для критики
а чем снаружи отличаеться от внутри?
хотя я конечно не представляю примеров спуфинга снаружи
это типа провайдер захочет попасть к тебе в dmz ?))
хотя я конечно не представляю примеров спуфинга снаружи
это типа провайдер захочет попасть к тебе в dmz ?))
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: IPFW для критики
Тем, что изнутри можно разрешить только тому, что у тебя внутри, например, 192.168.0.0/24. Остальным по дефолту запрещено.paradox писал(а):а чем снаружи отличаеться от внутри?
А снаружи - один хрен придется запрещать всем, кого оттуда не должно быть. То есть перечислять их всех. Или как?
хрен знает кто хочет, но я же говорю, видел своими глазами в логах пакеты из публичной сети. К тому же оно висит себе, есть не просит, чем плохо?paradox писал(а):хотя я конечно не представляю примеров спуфинга снаружи
это типа провайдер захочет попасть к тебе в dmz ?))
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: IPFW для критики
спуфинг можно сделать (в теории) токо когда у тебя сетевка в одной сети с хакеромА снаружи - один хрен придется запрещать всем, кого оттуда не должно быть. То есть перечислять их всех. Или как?
у тебя что боооольшой хаб? в ктором пять тысяч компов?
врядли)
а остальные пусть стучатся
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: IPFW для критики
ну зачем-то же люди пишут защиту от спуфинга на фаерволах? Вон, в статьях у лиса, например...
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: IPFW для критики
ну незнаю
нравиться людям писать) кот и пишут
где то в мануале по pf antispoof есть пример во что это правило разворачиваеться
там помоему не больше 3 строк
аналогично эти же правила и для ipfw можно применить
нравиться людям писать) кот и пишут
где то в мануале по pf antispoof есть пример во что это правило разворачиваеться
там помоему не больше 3 строк
аналогично эти же правила и для ipfw можно применить
- buryanov
- ст. сержант
- Сообщения: 311
- Зарегистрирован: 2008-04-29 13:41:48
- Откуда: Харьков
- Контактная информация:
Re: IPFW для критики
Знакомая контора находится в офисном здании какогото НИИ(здание государственное и нии тоже). Администрация никого из провайдеров не пускает(ни телефония, ни инет) и всем занимается сама. В общемто арендаторы не жалуются на качество. Перенатраивал в офисе сеть, посмотрел tcpdump'ом - ужаснулся, на входящем интерфейсе присутствуют все частные подсети и не просто arp запросы, а идут полноценные пакеты.paradox писал(а):имеет смысл токо если ты админишь у провайдеров укоторых есть своя ASнаверное желателно закрыть еще публичные сети...
когда ты клинет у провайдера
то блочить эти сети нет смысла
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov
buryanov*ukr.net
icq# 118639660; skype: buryanov
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: IPFW для критики
говоит о том что там все построено на хабахприсутствуют все частные подсети и не просто arp запросы, а идут полноценные пакеты.
- MASiK
- лейтенант
- Сообщения: 625
- Зарегистрирован: 2008-09-19 20:09:41
- Откуда: Оттуда
- Контактная информация:
Re: IPFW для критики
Так одну минуточку...FireWall писал(а):ядро собрано с опцией DENY )princeps писал(а):А я как-то наблюдал спуфинг на своем внешнем интерфейсе, хотя не провайдер.
я бы вот здесьсделал бы наоборот, denyКод: Выделить всё
${fwcmd} add 65000 allow ip from any to any
На сколько я помню если ядро собирать с опцией DENY потом из мне перезагрузить фаэрвол не сможешь, так как после
Код: Выделить всё
ipfw flush
Код: Выделить всё
deny from any to any
Или я что-то путаю?...
И на счёт mysql что его взломают или ещё что, его не обязательно вешать на *:3306 можно и localhost:3306 обойтись в полне, или на Сокет вешать
и на счёт скорости то что тебе выдаёт пров 10мбит а скорость скачки 1мбит 10 000\8=1250, это так, а по вообще дело не только в скорости, есть такое как задержки, оброботки, и всё в этом духе, допустим скорость отклика и соединения, не ровняй скорость работы КАНАЛА и скачку
Самурай
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: IPFW для критики
Путаешь. У него конфиг фаера грузится при загрузке сервера, а там есть разрешающие правила. Мы с ним говорили о том, что у него последним правилом в кониге разрешается все и всем, хотя обычно делают наоборот.MASiK писал(а):И конфиг тупо не до грузиться так как тебя выкинет из консоли и обработка конфиг-файла остановится
Или я что-то путаю?...
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
- MASiK
- лейтенант
- Сообщения: 625
- Зарегистрирован: 2008-09-19 20:09:41
- Откуда: Оттуда
- Контактная информация:
Re: IPFW для критики
Так да при загрузке сервера это конечно понятно
А я про перезагрузку правил через удалёнку без перезагрузки машины
А я про перезагрузку правил через удалёнку без перезагрузки машины
Самурай
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: IPFW для критики
и что, если сразу за flush идет конфиг правил, в том числе и разрешающих, то в чем проблема-то?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
- MASiK
- лейтенант
- Сообщения: 625
- Зарегистрирован: 2008-09-19 20:09:41
- Откуда: Оттуда
- Контактная информация:
Re: IPFW для критики
Проблема в том что если ты просто выполнишь скрипт ipfw то после отработки команды flush тебя резко выкинет, и не какие разрешающие правила не успеют записаться, есть конечно выход делатьprinceps писал(а):и что, если сразу за flush идет конфиг правил, в том числе и разрешающих, то в чем проблема-то?
Код: Выделить всё
/etc/ipfw.sh &
Код: Выделить всё
/etc/rc.d/ipfw reload
Код: Выделить всё
/etc/ipfw.sh
Вот я о чём
Самурай
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: IPFW для критики
все зависит от таймаута ssh, меня с дефолтными настройками putty никогда еще не выкидывало.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- ефрейтор
- Сообщения: 58
- Зарегистрирован: 2007-09-04 8:59:50
Re: IPFW для критики
на одном из серверов, маленьком
Код: Выделить всё
[root@uu /usr/home/firewall]# ipfw show
00090 268908 12633066 allow ip from 127.0.0.1 to 127.0.0.1
00190 4960 6747066 skipto 1000 tcp from 192.168.2.0/29 to 195.206.51.138 dst-port 25
00900 0 0 reset log logamount 200 tcp from 10.0.0.0/8 to any dst-port 25 out xmit ng0
00901 0 0 reset log logamount 200 tcp from 172.0.0.0/8 to any dst-port 25 out xmit ng0
00902 0 0 reset log logamount 200 tcp from 192.0.0.0/8 to any dst-port 25 out xmit ng0
01000 257 12864 reset log logamount 200 tcp from any to me dst-port 3128,1080 in via ng0
01021 52654 37605805 skipto 1940 ip from 192.168.2.0/29 to 192.168.2.254
01022 72204 8316324 skipto 1941 ip from 192.168.2.254 to 192.168.2.0/29
01030 75 3600 deny log logamount 200 tcp from any to me dst-port 3128,1080
01031 0 0 deny log logamount 200 udp from any to me dst-port 3128,1080
01032 0 0 deny tcp from 192.168.0.0/16 to any dst-port 1080,2080
03000 243 11728 deny log logamount 200 ip from 192.168.0.0/16 to any in recv ng0
03040 0 0 deny log logamount 200 ip from 224.0.0.0/8 to any in recv ng0
03050 0 0 deny log logamount 200 ip from any to any frag
03060 0 0 deny log logamount 200 icmp from any to any in via ng0 icmptypes 5,9,13,14,15,16,17
03505 120098 17505412 allow tcp from any to me dst-port 22,21,1,11,15,69,79,111 via ng0 limit dst-addr 20
03520 45 15256 allow tcp from me 22,21 to any via ng0
03530 6632 506036 allow ip from any to me dst-port 53
04000 1617876 254845027 divert 8668 ip from any to 92.124.208.43 in recv ng0
06000 204425 74735379 skipto 6500 tcp from any to me
06100 30202 2358282 fwd 127.0.0.1,3128 tcp from 192.168.2.0/24 to any dst-port 80,81,82,88,3128,8080,8101,21,443 out xmit ng0
06500 0 0 check-state
06510 13120 662880 deny log logamount 200 tcp from any to me dst-port 113,135,137,138,139,445 in via ng0
06520 17 1326 deny log logamount 200 udp from any to me dst-port 113,135,137,138,139,445 in via ng0
06550 1945 115620 deny log logamount 200 tcp from any to me dst-port 1-1023 in via ng0
06560 2 136 deny log logamount 200 udp from any to me dst-port 1-1023 in via ng0
06570 231 11128 deny log logamount 200 tcp from any to me dst-port 3306 in via ng0
06580 2025920 252571119 skipto 6600 ip from 192.168.2.0/29 to any in via fxp0
06585 0 0 skipto 6600 ip from 0.0.0.0 to 255.255.255.255 in via fxp0
06586 41 3198 deny log logamount 200 ip from 192.168.0.0/16 to any in via fxp0
06590 0 0 deny log logamount 200 ip from any to any in via fxp0
08001 3727013 365887470 skipto 9000 ip from 192.168.2.0/29 to 195.206.51.138
08002 63225 3583038 skipto 9000 ip from 192.168.2.0/29 to any dst-port 5190
08900 169011 47964950 skipto 10000 ip from 192.168.0.0/16 to any
09000 1896781 184864596 divert 8668 ip from 192.168.2.0/29 to any out xmit ng0
10000 0 0 deny ip from 10.0.0.0/8 to any out xmit ng0
10010 0 0 deny ip from 172.0.0.0/8 to any out xmit ng0
10020 267 42993 deny ip from 192.168.0.0/16 to any out xmit ng0
65000 7210941 1016593965 allow ip from any to any
65535 1 229 deny ip from any to any
[root@uu /usr/home/firewall]#
Код: Выделить всё
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:80:48:31:74:d6
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>
ether 00:07:e9:f4:bf:32
inet 192.168.2.254 netmask 0xffffff00 broadcast 192.168.2.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1460
inet 92.124.208.43 --> 213.228.116.196 netmask 0xffffffff
-
- ефрейтор
- Сообщения: 58
- Зарегистрирован: 2007-09-04 8:59:50
Re: IPFW для критики
Про спуфинг согласен, тоже встречал у себя на внешнем интерфесе "локальные" сети.
На внешнем ифейсе у меня запрещено ПОСЛЕ того как разрешено
Все нормально будет, и загрузиться. Если вас не затруднит. Посмтотрите внимательно мой список правил.Так одну минуточку...
На сколько я помню если ядро собирать с опцией DENY потом из мне перезагрузить фаэрвол не сможешь, так как после
На внешнем ифейсе у меня запрещено ПОСЛЕ того как разрешено
Код: Выделить всё
06511 437 21024 deny log logamount 200 tcp from any to me dst-port 113,135,137,138,139,445 in via ng0
06521 8 624 deny log logamount 200 udp from any to me dst-port 113,135,137,138,139,445 in via ng0
06551 160 9204 deny log logamount 200 tcp from any to me dst-port 1-1023 in via ng0
06561 14 6300 deny log logamount 200 udp from any to me dst-port 1-1023 in via ng0
06571 15 720 deny log logamount 200 tcp from any to me dst-port 3306 in via ng0
-
- ефрейтор
- Сообщения: 58
- Зарегистрирован: 2007-09-04 8:59:50
Re: IPFW для критики
да и уважаемые гуру, поясните пожалуйста вот этот момент
Все таки что-то попадет под deny после allow ?
Код: Выделить всё
65000 7210941 1016593965 allow ip from any to any
65535 1 229 deny ip from any to any
-
- ефрейтор
- Сообщения: 58
- Зарегистрирован: 2007-09-04 8:59:50
Re: IPFW для критики
Ну клиент то все-таки тут не при чем )) если сервер не пуститprinceps писал(а):все зависит от таймаута ssh, меня с дефолтными настройками putty никогда еще не выкидывало.
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: IPFW для критики
один какой-то пьяный заблудившийся пакет
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- рядовой
- Сообщения: 36
- Зарегистрирован: 2008-07-16 11:21:58
Re: IPFW для критики
А если просто выполнитьТебя выкинет нафиг после правила flush и отработка sh скрипта прекратиться на этом, отсанется только одно правило дефолтное denyКод: Выделить всё
/etc/ipfw.sh
Вот я о чём.
Согласен, если в sshd будет включена опция
Код: Выделить всё
rt18/admin/p1/17:21 [/sys/i386/conf]# cat /etc/ssh/sshd_config | grep TCP
TCPKeepAlive yes
Код: Выделить всё
rt18/admin/p1/17:22 [/sys/i386/conf]# sudo /etc/frw.sh > /dev/null &
У меня для ssh правила отдельно в самом начале идут, отлично срабатывает.