IPFW попытка взлома

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
RAGNAR
ст. прапорщик
Сообщения: 530
Зарегистрирован: 2009-07-10 22:12:06
Откуда: Ржев
Контактная информация:

Re: IPFW попытка взлома

Непрочитанное сообщение RAGNAR » 2009-10-11 17:00:33

${fwcmd} add 330 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg

выкинул ошибку
fin: Event not found.
это как? ему походу непонравились знаки восклицания
... Да освятится имя твое и pасшиpение твое, Господи...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: IPFW попытка взлома

Непрочитанное сообщение arkan » 2009-10-11 17:29:50

RAGNAR писал(а): это как? ему походу непонравились знаки восклицания
Странно но у меня все скушал без проблемм

RAGNAR
ст. прапорщик
Сообщения: 530
Зарегистрирован: 2009-07-10 22:12:06
Откуда: Ржев
Контактная информация:

Re: IPFW попытка взлома

Непрочитанное сообщение RAGNAR » 2009-10-11 17:44:30

Разесни правила некоторые и вот уже начелись траблы... :)

Код: Выделить всё

ну с этим всё понятно
${fwcmd} add 320 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
вот это непонятно и не задаеться
${fwcmd} add 330 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
Это какоето тсп соединение?
${fwcmd} add 340 reject tcp from any to any not established tcpflags fin
а вот с этим перестала работать самба,  невозможно зайти в рабочую группу ( MSHOME )
${fwcmd} add 350 reject log ip from any to any not verrevpath in
и к этому же ежли у мене реальный ip допустим a.b.c.d можно ли это прописать вместо "any"
что то я запутался
any to any это
ip внутренний to ip внешний так?
... Да освятится имя твое и pасшиpение твое, Господи...

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: IPFW попытка взлома

Непрочитанное сообщение arkan » 2009-10-11 18:56:39

add 1002 allow tcp from any to me setup limit src-addr 10 # Ограничение числа одновременных соединений
add 1003 reject tcp from any to any not established tcpflags fin # Запрет FIN-сканирования
add 1004 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg # Запрет X-сканирования
add 1004 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg # Запрет N-сканирования
add 1005 deny ip from any to any not verrevpath in # Защита от спуфинга

add 1005 deny ip from any to any not verrevpath in via rl0 где rl0 внешняя сетевуха

да и вот такое правило для начала непомешает
add 1001 drop log tcp from any to me 20,21,22,135-139,443,445,3000,3306,9090,9091 via rl0 - ну типа свои надо прописать порты
Кстати я гдето недавно прочитал что в одно правило нельзя прописывать больше 10 блокируемых портов но у меня както работает :smile:

RAGNAR
ст. прапорщик
Сообщения: 530
Зарегистрирован: 2009-07-10 22:12:06
Откуда: Ржев
Контактная информация:

Re: IPFW попытка взлома

Непрочитанное сообщение RAGNAR » 2009-10-11 19:54:32

В моем случае на сетевухе допустим ( rl0 ) ip адрес не присвоен, а в правилах ipfw и ipnat используеться интерфейс tun0: нечего страшного если я буду применять на правилах tun0?

Код: Выделить всё

add 1002 allow tcp from any to me setup limit src-addr 1 # если только я один конектюсь по ssh и
                                                                                        только по локалке а не из вне, может нужно добавить интерфейс?
... Да освятится имя твое и pасшиpение твое, Господи...

RAGNAR
ст. прапорщик
Сообщения: 530
Зарегистрирован: 2009-07-10 22:12:06
Откуда: Ржев
Контактная информация:

Re: IPFW попытка взлома

Непрочитанное сообщение RAGNAR » 2009-10-11 19:57:34

а есть смысел в использовании reject или лучше использовать deny и трафика меньше?
... Да освятится имя твое и pасшиpение твое, Господи...

RAGNAR
ст. прапорщик
Сообщения: 530
Зарегистрирован: 2009-07-10 22:12:06
Откуда: Ржев
Контактная информация:

Re: IPFW попытка взлома

Непрочитанное сообщение RAGNAR » 2009-10-11 20:36:06

вот такой вопрос по dns , у меня стоит кэширующий днс мне нужны 4 пралила или 2( named перенаправляет запросы ежли сам незнает)?
# DNS - 4 правила. (если на машине есть DNS сервер - иначе надо всего два)
${FwCMD} add allow udp from any to ${IpOut} 53 in via ${LanOut}
${FwCMD} add allow udp from ${IpOut} 53 to any out via ${LanOut}
${FwCMD} add allow udp from any 53 to ${IpOut} in via ${LanOut}
${FwCMD} add allow udp from ${IpOut} to any 53 out via ${LanOut}
и все к темже вопросам по reject и deny

Код: Выделить всё

add 1003 reject tcp from any to any not established tcpflags fin 
add 1004 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg # Запрет X-сканирования
add 1001 drop log tcp from any to me 20,21,22,135-139,443,445 via rl0

# тоесть имеет смысел прописать реальный внешний ip в этих правилах, как думаете?

add 1003 deny tcp from any to ${a.b.c.d} not established tcpflags fin 
add 1004 deny tcp from any to ${a.b.c.d} tcpflags fin, syn, rst, psh, ack, urg # Запрет X-сканирования
add 1001 deny log ip from any to ${a.b.c.d} 20,21,22,135-139,443,445 via rl0
раскажите для чего это как?
Запрет X-сканирования
Запрет N-сканирования, а это всё таки не вводиться.... :(
... Да освятится имя твое и pасшиpение твое, Господи...

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: IPFW попытка взлома

Непрочитанное сообщение paradox » 2009-10-11 22:15:51

как я обычно говорю там и двух правил хватило бы pass all и divert если nat используеться
а вы ерундой страдаете

если не знаете как в точности работает протокол tcp и какие бывают ситуации лучше вообще флаги не трогайте

RAGNAR
ст. прапорщик
Сообщения: 530
Зарегистрирован: 2009-07-10 22:12:06
Откуда: Ржев
Контактная информация:

Re: IPFW попытка взлома

Непрочитанное сообщение RAGNAR » 2009-10-11 22:24:36

Вначале некто незнал
... Да освятится имя твое и pасшиpение твое, Господи...

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: IPFW попытка взлома

Непрочитанное сообщение mediamag » 2009-10-11 23:24:59

я привел пример правил по которым за пол года у меня хотя бы пробежали пакеты))...reject это почти тоже самое что и deny но в reject пакет как то хитро отбрасывается (не помню уже)

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: IPFW попытка взлома

Непрочитанное сообщение paradox » 2009-10-11 23:26:58

если я правильно помню дени отправляет icmp ответы
а reject молча мочат

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: IPFW попытка взлома

Непрочитанное сообщение arkan » 2009-10-12 2:54:58

paradox писал(а):как я обычно говорю там и двух правил хватило бы pass all и divert если nat используеться
В том то и дело что надо разрешить только то что разрешено а остальное дропить нафиг надо обязательно

Несколько раз наблюдал такую картину:
Стоит прокся сквид без какого либо ната (тоесть нат вообще даже не включен), стандартно две сетевухи,
но так или иначе если сидеть и мониторить trafshow внешний интерфейс то какието пакетики всеравно както непонятно как светятся на внешнем интерфейсе
Как такое происходит я так до сих пор понять и немогу так как на десктопах в момент эксперимента вообще небыла прокся указанна
Дропить то что незнаем надо обязательно

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: IPFW попытка взлома

Непрочитанное сообщение paradox » 2009-10-12 3:26:09

Дропить то что незнаем надо обязательно
при правильно настроеном фаерволе все работает красиво
а извращения ввиде
давайте сначала кучу флагов всяких будет рубить
потом запутаемся в количестве правил
и в итоге прийдем на форум с вопросом
почему у меня в тридцать пятом правиле ничего не работает
- это путь в никуда ......

флаги рубяться на всяких скрытых стелс роутерах и прочих хакерсих штучках
а не на роутере для десятка компов домашней сети

получили белый айпи
значит отвечайте за этот белый айпи
не нравиться левый трафик
берите у провайдера серый айпи

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: IPFW попытка взлома

Непрочитанное сообщение ADRE » 2009-10-12 5:50:29

а я не понял, нахера нат если юзают только прокси? думаете не будет работать прокси без ната? =)
//del

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: IPFW попытка взлома

Непрочитанное сообщение arkan » 2009-10-12 8:42:33

ADRE писал(а):думаете не будет работать прокси без ната? =)
Работает, и еще даже как
да вроде и никто неговорил что для прокси нужно нат включать

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: IPFW попытка взлома

Непрочитанное сообщение ADRE » 2009-10-12 8:45:02

:st:
//del

Nickuz
рядовой
Сообщения: 28
Зарегистрирован: 2009-09-22 11:48:31

Re: IPFW попытка взлома

Непрочитанное сообщение Nickuz » 2009-10-12 8:47:56

paradox писал(а): получили белый айпи
значит отвечайте за этот белый айпи
не нравиться левый трафик
берите у провайдера серый айпи
Все равно, даже если вы флаги порежете - провайдер трафик посчитает, так что +1.

RAGNAR
ст. прапорщик
Сообщения: 530
Зарегистрирован: 2009-07-10 22:12:06
Откуда: Ржев
Контактная информация:

Re: IPFW попытка взлома

Непрочитанное сообщение RAGNAR » 2009-10-12 19:17:27

и пусть считает у мене анлим...
... Да освятится имя твое и pасшиpение твое, Господи...

RAGNAR
ст. прапорщик
Сообщения: 530
Зарегистрирован: 2009-07-10 22:12:06
Откуда: Ржев
Контактная информация:

Re: IPFW попытка взлома

Непрочитанное сообщение RAGNAR » 2009-10-12 19:19:18

вопрос какая временная зависимость от каличества правил?
тоесть 10 правил = ms?
... Да освятится имя твое и pасшиpение твое, Господи...

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: IPFW попытка взлома

Непрочитанное сообщение paradox » 2009-10-12 19:20:06

какой смысл тогда чтото блочить если у вас анлим?

RAGNAR
ст. прапорщик
Сообщения: 530
Зарегистрирован: 2009-07-10 22:12:06
Откуда: Ржев
Контактная информация:

Re: IPFW попытка взлома

Непрочитанное сообщение RAGNAR » 2009-10-12 22:00:46

так он не резиновый
... Да освятится имя твое и pасшиpение твое, Господи...

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: IPFW попытка взлома

Непрочитанное сообщение paradox » 2009-10-12 22:17:52

для супер спама или ддоса есть специалные IDS
а прикручиванияем флагов я чтото сомневаюсь что вы чего то добьетесь

RAGNAR
ст. прапорщик
Сообщения: 530
Зарегистрирован: 2009-07-10 22:12:06
Откуда: Ржев
Контактная информация:

Re: IPFW попытка взлома

Непрочитанное сообщение RAGNAR » 2009-10-13 18:37:06

за 3 дня неодин пакет пока такой не пришол... подожду недельку, не будит положительного результата выкину из ipfw
... Да освятится имя твое и pасшиpение твое, Господи...

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: IPFW попытка взлома

Непрочитанное сообщение arkan » 2009-10-13 18:51:24

RAGNAR писал(а):за 3 дня неодин пакет пока такой не пришол... подожду недельку, не будит положительного результата выкину из ipfw
Зато потом когда на выходных будешь отдыхать и пить пиво твоему серваку может очень неповести - а админ то далеко и еще не скоро увидет логи
Мне както поровну и эти лишние какбы правила кушать не просят и не мешают и все работает

RAGNAR
ст. прапорщик
Сообщения: 530
Зарегистрирован: 2009-07-10 22:12:06
Откуда: Ржев
Контактная информация:

Re: IPFW попытка взлома

Непрочитанное сообщение RAGNAR » 2009-10-13 20:53:50

значит советуешь не принебригать безопасностью!
вот что то некто не говарит сколько времени фаервол тратит на одно правило... :(
... Да освятится имя твое и pасшиpение твое, Господи...