IPFW попытка взлома
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- ст. прапорщик
- Сообщения: 530
- Зарегистрирован: 2009-07-10 22:12:06
- Откуда: Ржев
- Контактная информация:
Re: IPFW попытка взлома
${fwcmd} add 330 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
выкинул ошибку
fin: Event not found.
это как? ему походу непонравились знаки восклицания
выкинул ошибку
fin: Event not found.
это как? ему походу непонравились знаки восклицания
... Да освятится имя твое и pасшиpение твое, Господи...
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- ст. прапорщик
- Сообщения: 559
- Зарегистрирован: 2008-08-03 19:58:13
- Откуда: Новосибирск
- Контактная информация:
Re: IPFW попытка взлома
Странно но у меня все скушал без проблеммRAGNAR писал(а): это как? ему походу непонравились знаки восклицания
-
- ст. прапорщик
- Сообщения: 530
- Зарегистрирован: 2009-07-10 22:12:06
- Откуда: Ржев
- Контактная информация:
Re: IPFW попытка взлома
Разесни правила некоторые и вот уже начелись траблы...
и к этому же ежли у мене реальный ip допустим a.b.c.d можно ли это прописать вместо "any"
что то я запутался
any to any это
ip внутренний to ip внешний так?

Код: Выделить всё
ну с этим всё понятно
${fwcmd} add 320 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
вот это непонятно и не задаеться
${fwcmd} add 330 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
Это какоето тсп соединение?
${fwcmd} add 340 reject tcp from any to any not established tcpflags fin
а вот с этим перестала работать самба, невозможно зайти в рабочую группу ( MSHOME )
${fwcmd} add 350 reject log ip from any to any not verrevpath in
что то я запутался
any to any это
ip внутренний to ip внешний так?
... Да освятится имя твое и pасшиpение твое, Господи...
-
- ст. прапорщик
- Сообщения: 559
- Зарегистрирован: 2008-08-03 19:58:13
- Откуда: Новосибирск
- Контактная информация:
Re: IPFW попытка взлома
add 1002 allow tcp from any to me setup limit src-addr 10 # Ограничение числа одновременных соединений
add 1003 reject tcp from any to any not established tcpflags fin # Запрет FIN-сканирования
add 1004 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg # Запрет X-сканирования
add 1004 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg # Запрет N-сканирования
add 1005 deny ip from any to any not verrevpath in # Защита от спуфинга
add 1005 deny ip from any to any not verrevpath in via rl0 где rl0 внешняя сетевуха
да и вот такое правило для начала непомешает
add 1001 drop log tcp from any to me 20,21,22,135-139,443,445,3000,3306,9090,9091 via rl0 - ну типа свои надо прописать порты
Кстати я гдето недавно прочитал что в одно правило нельзя прописывать больше 10 блокируемых портов но у меня както работает
add 1003 reject tcp from any to any not established tcpflags fin # Запрет FIN-сканирования
add 1004 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg # Запрет X-сканирования
add 1004 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg # Запрет N-сканирования
add 1005 deny ip from any to any not verrevpath in # Защита от спуфинга
add 1005 deny ip from any to any not verrevpath in via rl0 где rl0 внешняя сетевуха
да и вот такое правило для начала непомешает
add 1001 drop log tcp from any to me 20,21,22,135-139,443,445,3000,3306,9090,9091 via rl0 - ну типа свои надо прописать порты
Кстати я гдето недавно прочитал что в одно правило нельзя прописывать больше 10 блокируемых портов но у меня както работает

-
- ст. прапорщик
- Сообщения: 530
- Зарегистрирован: 2009-07-10 22:12:06
- Откуда: Ржев
- Контактная информация:
Re: IPFW попытка взлома
В моем случае на сетевухе допустим ( rl0 ) ip адрес не присвоен, а в правилах ipfw и ipnat используеться интерфейс tun0: нечего страшного если я буду применять на правилах tun0?
Код: Выделить всё
add 1002 allow tcp from any to me setup limit src-addr 1 # если только я один конектюсь по ssh и
только по локалке а не из вне, может нужно добавить интерфейс?
... Да освятится имя твое и pасшиpение твое, Господи...
-
- ст. прапорщик
- Сообщения: 530
- Зарегистрирован: 2009-07-10 22:12:06
- Откуда: Ржев
- Контактная информация:
Re: IPFW попытка взлома
а есть смысел в использовании reject или лучше использовать deny и трафика меньше?
... Да освятится имя твое и pасшиpение твое, Господи...
-
- ст. прапорщик
- Сообщения: 530
- Зарегистрирован: 2009-07-10 22:12:06
- Откуда: Ржев
- Контактная информация:
Re: IPFW попытка взлома
вот такой вопрос по dns , у меня стоит кэширующий днс мне нужны 4 пралила или 2( named перенаправляет запросы ежли сам незнает)?
раскажите для чего это как?
Запрет X-сканирования
Запрет N-сканирования, а это всё таки не вводиться....
и все к темже вопросам по reject и deny# DNS - 4 правила. (если на машине есть DNS сервер - иначе надо всего два)
${FwCMD} add allow udp from any to ${IpOut} 53 in via ${LanOut}
${FwCMD} add allow udp from ${IpOut} 53 to any out via ${LanOut}
${FwCMD} add allow udp from any 53 to ${IpOut} in via ${LanOut}
${FwCMD} add allow udp from ${IpOut} to any 53 out via ${LanOut}
Код: Выделить всё
add 1003 reject tcp from any to any not established tcpflags fin
add 1004 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg # Запрет X-сканирования
add 1001 drop log tcp from any to me 20,21,22,135-139,443,445 via rl0
# тоесть имеет смысел прописать реальный внешний ip в этих правилах, как думаете?
add 1003 deny tcp from any to ${a.b.c.d} not established tcpflags fin
add 1004 deny tcp from any to ${a.b.c.d} tcpflags fin, syn, rst, psh, ack, urg # Запрет X-сканирования
add 1001 deny log ip from any to ${a.b.c.d} 20,21,22,135-139,443,445 via rl0
Запрет X-сканирования
Запрет N-сканирования, а это всё таки не вводиться....

... Да освятится имя твое и pасшиpение твое, Господи...
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: IPFW попытка взлома
как я обычно говорю там и двух правил хватило бы pass all и divert если nat используеться
а вы ерундой страдаете
если не знаете как в точности работает протокол tcp и какие бывают ситуации лучше вообще флаги не трогайте
а вы ерундой страдаете
если не знаете как в точности работает протокол tcp и какие бывают ситуации лучше вообще флаги не трогайте
-
- ст. прапорщик
- Сообщения: 530
- Зарегистрирован: 2009-07-10 22:12:06
- Откуда: Ржев
- Контактная информация:
Re: IPFW попытка взлома
Вначале некто незнал
... Да освятится имя твое и pасшиpение твое, Господи...
-
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
Re: IPFW попытка взлома
я привел пример правил по которым за пол года у меня хотя бы пробежали пакеты))...reject это почти тоже самое что и deny но в reject пакет как то хитро отбрасывается (не помню уже)
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: IPFW попытка взлома
если я правильно помню дени отправляет icmp ответы
а reject молча мочат
а reject молча мочат
-
- ст. прапорщик
- Сообщения: 559
- Зарегистрирован: 2008-08-03 19:58:13
- Откуда: Новосибирск
- Контактная информация:
Re: IPFW попытка взлома
В том то и дело что надо разрешить только то что разрешено а остальное дропить нафиг надо обязательноparadox писал(а):как я обычно говорю там и двух правил хватило бы pass all и divert если nat используеться
Несколько раз наблюдал такую картину:
Стоит прокся сквид без какого либо ната (тоесть нат вообще даже не включен), стандартно две сетевухи,
но так или иначе если сидеть и мониторить trafshow внешний интерфейс то какието пакетики всеравно както непонятно как светятся на внешнем интерфейсе
Как такое происходит я так до сих пор понять и немогу так как на десктопах в момент эксперимента вообще небыла прокся указанна
Дропить то что незнаем надо обязательно
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: IPFW попытка взлома
при правильно настроеном фаерволе все работает красивоДропить то что незнаем надо обязательно
а извращения ввиде
потом запутаемся в количестве правилдавайте сначала кучу флагов всяких будет рубить
и в итоге прийдем на форум с вопросом
- это путь в никуда ......почему у меня в тридцать пятом правиле ничего не работает
флаги рубяться на всяких скрытых стелс роутерах и прочих хакерсих штучках
а не на роутере для десятка компов домашней сети
получили белый айпи
значит отвечайте за этот белый айпи
не нравиться левый трафик
берите у провайдера серый айпи
- ADRE
- майор
- Сообщения: 2641
- Зарегистрирован: 2007-07-26 8:53:49
- Контактная информация:
Re: IPFW попытка взлома
а я не понял, нахера нат если юзают только прокси? думаете не будет работать прокси без ната? 

//del
-
- ст. прапорщик
- Сообщения: 559
- Зарегистрирован: 2008-08-03 19:58:13
- Откуда: Новосибирск
- Контактная информация:
Re: IPFW попытка взлома
Работает, и еще даже какADRE писал(а):думаете не будет работать прокси без ната?
да вроде и никто неговорил что для прокси нужно нат включать
- ADRE
- майор
- Сообщения: 2641
- Зарегистрирован: 2007-07-26 8:53:49
- Контактная информация:
-
- рядовой
- Сообщения: 28
- Зарегистрирован: 2009-09-22 11:48:31
Re: IPFW попытка взлома
Все равно, даже если вы флаги порежете - провайдер трафик посчитает, так что +1.paradox писал(а): получили белый айпи
значит отвечайте за этот белый айпи
не нравиться левый трафик
берите у провайдера серый айпи
-
- ст. прапорщик
- Сообщения: 530
- Зарегистрирован: 2009-07-10 22:12:06
- Откуда: Ржев
- Контактная информация:
Re: IPFW попытка взлома
и пусть считает у мене анлим...
... Да освятится имя твое и pасшиpение твое, Господи...
-
- ст. прапорщик
- Сообщения: 530
- Зарегистрирован: 2009-07-10 22:12:06
- Откуда: Ржев
- Контактная информация:
Re: IPFW попытка взлома
вопрос какая временная зависимость от каличества правил?
тоесть 10 правил = ms?
тоесть 10 правил = ms?
... Да освятится имя твое и pасшиpение твое, Господи...
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: IPFW попытка взлома
какой смысл тогда чтото блочить если у вас анлим?
-
- ст. прапорщик
- Сообщения: 530
- Зарегистрирован: 2009-07-10 22:12:06
- Откуда: Ржев
- Контактная информация:
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: IPFW попытка взлома
для супер спама или ддоса есть специалные IDS
а прикручиванияем флагов я чтото сомневаюсь что вы чего то добьетесь
а прикручиванияем флагов я чтото сомневаюсь что вы чего то добьетесь
-
- ст. прапорщик
- Сообщения: 530
- Зарегистрирован: 2009-07-10 22:12:06
- Откуда: Ржев
- Контактная информация:
Re: IPFW попытка взлома
за 3 дня неодин пакет пока такой не пришол... подожду недельку, не будит положительного результата выкину из ipfw
... Да освятится имя твое и pасшиpение твое, Господи...
-
- ст. прапорщик
- Сообщения: 559
- Зарегистрирован: 2008-08-03 19:58:13
- Откуда: Новосибирск
- Контактная информация:
Re: IPFW попытка взлома
Зато потом когда на выходных будешь отдыхать и пить пиво твоему серваку может очень неповести - а админ то далеко и еще не скоро увидет логиRAGNAR писал(а):за 3 дня неодин пакет пока такой не пришол... подожду недельку, не будит положительного результата выкину из ipfw
Мне както поровну и эти лишние какбы правила кушать не просят и не мешают и все работает
-
- ст. прапорщик
- Сообщения: 530
- Зарегистрирован: 2009-07-10 22:12:06
- Откуда: Ржев
- Контактная информация:
Re: IPFW попытка взлома
значит советуешь не принебригать безопасностью!
вот что то некто не говарит сколько времени фаервол тратит на одно правило...
вот что то некто не говарит сколько времени фаервол тратит на одно правило...

... Да освятится имя твое и pасшиpение твое, Господи...