ipfw ... какие фишки применить ? ещё не сталкивался.

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Mr Alter Ego
сержант
Сообщения: 238
Зарегистрирован: 2007-07-12 13:06:02
Откуда: Украина
Контактная информация:

ipfw ... какие фишки применить ? ещё не сталкивался.

Непрочитанное сообщение Mr Alter Ego » 2007-11-01 11:48:51

Уважаемые ...

ситуация такая. нужно открыть следующие порты

#20 ftp-data
#21 ftp
#22 ssh
#25 smtp
#53 dns (TCP and UDP)
#80 http
#106 poppassd (for localhost only)
#110 pop3
#113 auth
#143 imap
#443 https
#465 smtps
#990 ftps
#993 imaps
#995 pop3s
#3306 mysql
#5432 postgres

с некоторыми сервисами ясно. а с некоторыми, такими как ФТП - совсем не понятно ....

есть конктрукции потипу кипстейт ... как они работают ? как сделать правила этих сервсиов максимум .... защищенными ?
Best Regards

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: ipfw ... какие фишки применить ? ещё не сталкивался.

Непрочитанное сообщение dikens3 » 2007-11-01 12:31:10

Лично меня бесит FTP и его пассивный/Активный режимы. Я не умею его готовить, вот и бесит. Лучшая защита, закрыть нафиг. :-)

P.S. Максимальная защита, это очень ясное понимание работы протокола и сервиса.
К примеру DNS (UDP):

Каждый клиент имеет список DNS серверов. X1 и X2

Код: Выделить всё

Откроем наружу:
allow udp from MYLAN 1024-65535 to X1,X2 53 out via ВНЕШНИЙ_ИНТЕРФЕЙС

И возврат
allow udp from X1,X2 53 to MYLAN 1024-65535 in via ВНЕШНИЙ_ИНТЕРФЕЙС
Щас вирусы появились, на 53 порты udp лезут. Очень рекомендую указывать DNS сервера.

К примеру у меня ещё есть кэширующий DNS. Все клиенты настроены на него. А сам шлюз принимает ответы от DNS так: (Т.к. у него список большой, и меняется)

Код: Выделить всё

10600   14920    2662798 allow udp from any 53 to me in via fxp0 uid Gdnscache limit src-port 500

Код: Выделить всё

gateway# ipfw -ad list | grep 10600 | sed s/"IP"/"X.X.X.X"/g
10600   15137    2705177 allow udp from any 53 to me in via fxp0 uid Gdnscache limit src-port 500
10600       0          0 (6s) LIMIT udp 87.226.159.65 53 <-> X.X.X.X 65079
10600       0          0 (7s) LIMIT udp 194.67.2.108 53 <-> X.X.X.X 34062
10600       0          0 (5s) LIMIT udp 213.177.97.1 53 <-> X.X.X.X 62830
10600       0          0 (7s) LIMIT udp 168.143.101.18 53 <-> X.X.X.X 24397
10600       0          0 (7s) LIMIT udp 194.67.7.1 53 <-> X.X.X.X 23133
10600       0          0 (6s) LIMIT udp 192.228.79.201 53 <-> X.X.X.X 58255
10600       0          0 (6s) LIMIT udp 87.226.162.62 53 <-> X.X.X.X 1147
10600       0          0 (2s) PARENT 72 udp 0.0.0.0 53 <-> 0.0.0.0 0
10600       0          0 (5s) LIMIT udp 213.177.96.1 53 <-> X.X.X.X 24905
10600       0          0 (5s) LIMIT udp 192.134.0.49 53 <-> X.X.X.X 24580
10600       0          0 (6s) LIMIT udp 213.59.0.3 53 <-> X.X.X.X 21297
10600       0          0 (5s) LIMIT udp 213.177.97.1 53 <-> X.X.X.X 42027
10600       0          0 (6s) LIMIT udp 213.59.0.3 53 <-> X.X.X.X 64518
10600       0          0 (6s) LIMIT udp 194.85.252.62 53 <-> X.X.X.X 62920
10600       0          0 (6s) LIMIT udp 213.59.0.3 53 <-> X.X.X.X 43748
10600       0          0 (6s) LIMIT udp 195.161.112.12 53 <-> X.X.X.X 16879
10600       0          0 (4s) LIMIT udp 213.177.96.1 53 <-> X.X.X.X 62166
10600       0          0 (4s) LIMIT udp 193.0.0.195 53 <-> X.X.X.X 55056
10600       0          0 (6s) LIMIT udp 195.161.3.22 53 <-> X.X.X.X 62419
10600       0          0 (7s) LIMIT udp 194.67.2.109 53 <-> X.X.X.X 59822
10600       0          0 (6s) LIMIT udp 194.226.96.30 53 <-> X.X.X.X 65503
10600       0          0 (5s) LIMIT udp 202.12.28.140 53 <-> X.X.X.X 3148
10600       0          0 (4s) LIMIT udp 193.0.0.195 53 <-> X.X.X.X 33551
10600       0          0 (6s) LIMIT udp 213.59.0.3 53 <-> X.X.X.X 14000
10600       0          0 (4s) LIMIT udp 194.67.57.104 53 <-> X.X.X.X 61391
10600       0          0 (4s) LIMIT udp 213.177.96.1 53 <-> X.X.X.X 42392
10600       0          0 (5s) LIMIT udp 213.177.97.1 53 <-> X.X.X.X 48281
10600       0          0 (7s) LIMIT udp 192.36.125.2 53 <-> X.X.X.X 38028
10600       0          0 (4s) LIMIT udp 198.41.0.4 53 <-> X.X.X.X 10383
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Mr Alter Ego
сержант
Сообщения: 238
Зарегистрирован: 2007-07-12 13:06:02
Откуда: Украина
Контактная информация:

Re: ipfw ... какие фишки применить ? ещё не сталкивался.

Непрочитанное сообщение Mr Alter Ego » 2007-11-01 12:38:16

это хостинг сервер.

поэтому на нем поднят намед ... работающий для поддержки примари и секондари зон клиентов.

что значит закрыть фтп ? ;-) не шути так.
Best Regards