Уважаемые ...
ситуация такая. нужно открыть следующие порты
#20 ftp-data
#21 ftp
#22 ssh
#25 smtp
#53 dns (TCP and UDP)
#80 http
#106 poppassd (for localhost only)
#110 pop3
#113 auth
#143 imap
#443 https
#465 smtps
#990 ftps
#993 imaps
#995 pop3s
#3306 mysql
#5432 postgres
с некоторыми сервисами ясно. а с некоторыми, такими как ФТП - совсем не понятно ....
есть конктрукции потипу кипстейт ... как они работают ? как сделать правила этих сервсиов максимум .... защищенными ?
ipfw ... какие фишки применить ? ещё не сталкивался.
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
Mr Alter Ego
- сержант
- Сообщения: 238
- Зарегистрирован: 2007-07-12 13:06:02
- Откуда: Украина
- Контактная информация:
ipfw ... какие фишки применить ? ещё не сталкивался.
Best Regards
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: ipfw ... какие фишки применить ? ещё не сталкивался.
Лично меня бесит FTP и его пассивный/Активный режимы. Я не умею его готовить, вот и бесит. Лучшая защита, закрыть нафиг. :-)
P.S. Максимальная защита, это очень ясное понимание работы протокола и сервиса.
К примеру DNS (UDP):
Каждый клиент имеет список DNS серверов. X1 и X2Щас вирусы появились, на 53 порты udp лезут. Очень рекомендую указывать DNS сервера.
К примеру у меня ещё есть кэширующий DNS. Все клиенты настроены на него. А сам шлюз принимает ответы от DNS так: (Т.к. у него список большой, и меняется)
P.S. Максимальная защита, это очень ясное понимание работы протокола и сервиса.
К примеру DNS (UDP):
Каждый клиент имеет список DNS серверов. X1 и X2
Код: Выделить всё
Откроем наружу:
allow udp from MYLAN 1024-65535 to X1,X2 53 out via ВНЕШНИЙ_ИНТЕРФЕЙС
И возврат
allow udp from X1,X2 53 to MYLAN 1024-65535 in via ВНЕШНИЙ_ИНТЕРФЕЙСК примеру у меня ещё есть кэширующий DNS. Все клиенты настроены на него. А сам шлюз принимает ответы от DNS так: (Т.к. у него список большой, и меняется)
Код: Выделить всё
10600 14920 2662798 allow udp from any 53 to me in via fxp0 uid Gdnscache limit src-port 500Код: Выделить всё
gateway# ipfw -ad list | grep 10600 | sed s/"IP"/"X.X.X.X"/g
10600 15137 2705177 allow udp from any 53 to me in via fxp0 uid Gdnscache limit src-port 500
10600 0 0 (6s) LIMIT udp 87.226.159.65 53 <-> X.X.X.X 65079
10600 0 0 (7s) LIMIT udp 194.67.2.108 53 <-> X.X.X.X 34062
10600 0 0 (5s) LIMIT udp 213.177.97.1 53 <-> X.X.X.X 62830
10600 0 0 (7s) LIMIT udp 168.143.101.18 53 <-> X.X.X.X 24397
10600 0 0 (7s) LIMIT udp 194.67.7.1 53 <-> X.X.X.X 23133
10600 0 0 (6s) LIMIT udp 192.228.79.201 53 <-> X.X.X.X 58255
10600 0 0 (6s) LIMIT udp 87.226.162.62 53 <-> X.X.X.X 1147
10600 0 0 (2s) PARENT 72 udp 0.0.0.0 53 <-> 0.0.0.0 0
10600 0 0 (5s) LIMIT udp 213.177.96.1 53 <-> X.X.X.X 24905
10600 0 0 (5s) LIMIT udp 192.134.0.49 53 <-> X.X.X.X 24580
10600 0 0 (6s) LIMIT udp 213.59.0.3 53 <-> X.X.X.X 21297
10600 0 0 (5s) LIMIT udp 213.177.97.1 53 <-> X.X.X.X 42027
10600 0 0 (6s) LIMIT udp 213.59.0.3 53 <-> X.X.X.X 64518
10600 0 0 (6s) LIMIT udp 194.85.252.62 53 <-> X.X.X.X 62920
10600 0 0 (6s) LIMIT udp 213.59.0.3 53 <-> X.X.X.X 43748
10600 0 0 (6s) LIMIT udp 195.161.112.12 53 <-> X.X.X.X 16879
10600 0 0 (4s) LIMIT udp 213.177.96.1 53 <-> X.X.X.X 62166
10600 0 0 (4s) LIMIT udp 193.0.0.195 53 <-> X.X.X.X 55056
10600 0 0 (6s) LIMIT udp 195.161.3.22 53 <-> X.X.X.X 62419
10600 0 0 (7s) LIMIT udp 194.67.2.109 53 <-> X.X.X.X 59822
10600 0 0 (6s) LIMIT udp 194.226.96.30 53 <-> X.X.X.X 65503
10600 0 0 (5s) LIMIT udp 202.12.28.140 53 <-> X.X.X.X 3148
10600 0 0 (4s) LIMIT udp 193.0.0.195 53 <-> X.X.X.X 33551
10600 0 0 (6s) LIMIT udp 213.59.0.3 53 <-> X.X.X.X 14000
10600 0 0 (4s) LIMIT udp 194.67.57.104 53 <-> X.X.X.X 61391
10600 0 0 (4s) LIMIT udp 213.177.96.1 53 <-> X.X.X.X 42392
10600 0 0 (5s) LIMIT udp 213.177.97.1 53 <-> X.X.X.X 48281
10600 0 0 (7s) LIMIT udp 192.36.125.2 53 <-> X.X.X.X 38028
10600 0 0 (4s) LIMIT udp 198.41.0.4 53 <-> X.X.X.X 10383Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
-
Mr Alter Ego
- сержант
- Сообщения: 238
- Зарегистрирован: 2007-07-12 13:06:02
- Откуда: Украина
- Контактная информация:
Re: ipfw ... какие фишки применить ? ещё не сталкивался.
это хостинг сервер.
поэтому на нем поднят намед ... работающий для поддержки примари и секондари зон клиентов.
что значит закрыть фтп ?
не шути так.
поэтому на нем поднят намед ... работающий для поддержки примари и секондари зон клиентов.
что значит закрыть фтп ?
не шути так.Best Regards