IPFW для критики

Kos · Непрочитанное сообщение **Kos** » 2009-08-03 21:18:42

FireWall писал(а):да и уважаемые гуру, поясните пожалуйста вот этот момент
Код: Выделить всё
65000 7210941 1016593965 allow ip from any to any
65535       1        229 deny ip from any to any
Все таки что-то попадет под deny после allow ?

это происходит ДО того как загрузится правило 65000.

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

MASiK · Непрочитанное сообщение **MASiK** » 2009-08-03 21:24:14

Orator писал(а):
А если просто выполнить
Код: Выделить всё
/etc/ipfw.sh
Тебя выкинет нафиг после правила flush и отработка sh скрипта прекратиться на этом, отсанется только одно правило дефолтное deny
Вот я о чём.
Согласен, если в sshd будет включена опция
Код: Выделить всё
rt18/admin/p1/17:21 [/sys/i386/conf]# cat /etc/ssh/sshd_config | grep TCP
TCPKeepAlive yes
выбьет наверняка, но кто мешает использовать конструкцию
Код: Выделить всё
rt18/admin/p1/17:22 [/sys/i386/conf]# sudo /etc/frw.sh > /dev/null &
.
У меня для ssh правила отдельно в самом начале идут, отлично срабатывает.

Почитай что я писал...
Я уже говорил что если запускать в БекГраунд то прокатит

FireWall · Непрочитанное сообщение **FireWall** » 2009-08-04 2:17:45

Люди, мы тут вроде ipfw обсуждаем, а не ssh -)

MASiK · Непрочитанное сообщение **MASiK** » 2009-08-04 2:36:32

FireWall писал(а):Люди, мы тут вроде ipfw обсуждаем, а не ssh -)

Ну мы почти и не отошли от ipfw
мы обсуждаем компиляцию ядра с дефолтным deny

FireWall · Непрочитанное сообщение **FireWall** » 2009-08-04 3:26:20

Ради эксперемента, закомментировал allow from any to any

после /etc/rc.d/ipfw restart

ssh отвалился:

Код: Выделить всё

10011 deny ip from 172.0.0.0/8 to any out xmit ng0
10021 deny ip from 192.168.0.0/16 to any out xmit ng0
Firewall rules loaded.
Firewall logging enabled.
net.inet.ip.fw.enable: 0

MASiK · Непрочитанное сообщение **MASiK** » 2009-08-04 4:11:13

Дык ещё бы ёмаё )))
открой порт-то 22ой )

Код: Выделить всё

ipfw add tcp from any to me 22

FireWall · Непрочитанное сообщение **FireWall** » 2009-08-04 4:18:32

MASiK писал(а):Дык ещё бы ёмаё )))
открой порт-то 22ой )
Код: Выделить всё
ipfw add tcp from any to me 22

дак открыто

03500 allow tcp from any to me dst-port 22,995,110,80,21,1,11,15,69,79,111 via rl0 limit dst-addr 20

princeps · Непрочитанное сообщение **princeps** » 2009-08-04 8:35:31

у меня не отваливается никогда с дефолтным ssh

FireWall · Непрочитанное сообщение **FireWall** » 2009-08-04 8:54:19

princeps писал(а):у меня не отваливается никогда с дефолтным ssh

ну сей факт в общем имеет место быть )

Kos · Непрочитанное сообщение **Kos** » 2009-08-04 9:35:24

FireWall писал(а):
MASiK писал(а):Дык ещё бы ёмаё )))
открой порт-то 22ой )
Код: Выделить всё
ipfw add tcp from any to me 22
дак открыто

03500 allow tcp from any to me dst-port 22,995,110,80,21,1,11,15,69,79,111 via rl0 limit dst-addr 20

дак может количество подключений к серверу перевалило за 20. не проще ссш вывести отдельным разрешающим правилом? Да, и очень рекомендую повесить ссш на другой порт

FireWall

наврятли )) сразу после ребута столько коннектов...вижу каждый день, что кто то ломится на ssh, ну и пусть ))

forum.lissyara.su

IPFW для критики

Re: IPFW для критики

Услуги хостинговой компании Host-Food.ru

Re: IPFW для критики

Re: IPFW для критики

Re: IPFW для критики

Re: IPFW для критики

Re: IPFW для критики

Re: IPFW для критики

Re: IPFW для критики

Re: IPFW для критики

Re: IPFW для критики

Re: IPFW для критики