IPFW попытка взлома

[RAGNAR]

${fwcmd} add 330 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg

выкинул ошибку
fin: Event not found.
это как? ему походу непонравились знаки восклицания

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[arkan]

это как? ему походу непонравились знаки восклицания

Странно но у меня все скушал без проблемм

[RAGNAR]

Разесни правила некоторые и вот уже начелись траблы...

Код: Выделить всё

ну с этим всё понятно
${fwcmd} add 320 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
вот это непонятно и не задаеться
${fwcmd} add 330 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
Это какоето тсп соединение?
${fwcmd} add 340 reject tcp from any to any not established tcpflags fin
а вот с этим перестала работать самба,  невозможно зайти в рабочую группу ( MSHOME )
${fwcmd} add 350 reject log ip from any to any not verrevpath in

и к этому же ежли у мене реальный ip допустим a.b.c.d можно ли это прописать вместо "any"
что то я запутался
any to any это
ip внутренний to ip внешний так?

[arkan]

add 1002 allow tcp from any to me setup limit src-addr 10 # Ограничение числа одновременных соединений
add 1003 reject tcp from any to any not established tcpflags fin # Запрет FIN-сканирования
add 1004 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg # Запрет X-сканирования
add 1004 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg # Запрет N-сканирования
add 1005 deny ip from any to any not verrevpath in # Защита от спуфинга

add 1005 deny ip from any to any not verrevpath in via rl0 где rl0 внешняя сетевуха

да и вот такое правило для начала непомешает
add 1001 drop log tcp from any to me 20,21,22,135-139,443,445,3000,3306,9090,9091 via rl0 - ну типа свои надо прописать порты
Кстати я гдето недавно прочитал что в одно правило нельзя прописывать больше 10 блокируемых портов но у меня както работает

[RAGNAR]

В моем случае на сетевухе допустим ( rl0 ) ip адрес не присвоен, а в правилах ipfw и ipnat используеться интерфейс tun0: нечего страшного если я буду применять на правилах tun0?

Код: Выделить всё

add 1002 allow tcp from any to me setup limit src-addr 1 # если только я один конектюсь по ssh и
                                                                                        только по локалке а не из вне, может нужно добавить интерфейс?

[RAGNAR]

а есть смысел в использовании reject или лучше использовать deny и трафика меньше?

[RAGNAR]

вот такой вопрос по dns , у меня стоит кэширующий днс мне нужны 4 пралила или 2( named перенаправляет запросы ежли сам незнает)?

# DNS - 4 правила. (если на машине есть DNS сервер - иначе надо всего два)
${FwCMD} add allow udp from any to ${IpOut} 53 in via ${LanOut}
${FwCMD} add allow udp from ${IpOut} 53 to any out via ${LanOut}
${FwCMD} add allow udp from any 53 to ${IpOut} in via ${LanOut}
${FwCMD} add allow udp from ${IpOut} to any 53 out via ${LanOut}

и все к темже вопросам по reject и deny

Код: Выделить всё

add 1003 reject tcp from any to any not established tcpflags fin 
add 1004 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg # Запрет X-сканирования
add 1001 drop log tcp from any to me 20,21,22,135-139,443,445 via rl0

# тоесть имеет смысел прописать реальный внешний ip в этих правилах, как думаете?

add 1003 deny tcp from any to ${a.b.c.d} not established tcpflags fin 
add 1004 deny tcp from any to ${a.b.c.d} tcpflags fin, syn, rst, psh, ack, urg # Запрет X-сканирования
add 1001 deny log ip from any to ${a.b.c.d} 20,21,22,135-139,443,445 via rl0

раскажите для чего это как?
Запрет X-сканирования
Запрет N-сканирования, а это всё таки не вводиться....

[paradox]

как я обычно говорю там и двух правил хватило бы pass all и divert если nat используеться
а вы ерундой страдаете

если не знаете как в точности работает протокол tcp и какие бывают ситуации лучше вообще флаги не трогайте

[RAGNAR]

Вначале некто незнал

[mediamag]

я привел пример правил по которым за пол года у меня хотя бы пробежали пакеты))...reject это почти тоже самое что и deny но в reject пакет как то хитро отбрасывается (не помню уже)

[paradox]

если я правильно помню дени отправляет icmp ответы
а reject молча мочат

[arkan]

как я обычно говорю там и двух правил хватило бы pass all и divert если nat используеться

В том то и дело что надо разрешить только то что разрешено а остальное дропить нафиг надо обязательно

Несколько раз наблюдал такую картину:
Стоит прокся сквид без какого либо ната (тоесть нат вообще даже не включен), стандартно две сетевухи,
но так или иначе если сидеть и мониторить trafshow внешний интерфейс то какието пакетики всеравно както непонятно как светятся на внешнем интерфейсе
Как такое происходит я так до сих пор понять и немогу так как на десктопах в момент эксперимента вообще небыла прокся указанна
Дропить то что незнаем надо обязательно

[paradox]

Дропить то что незнаем надо обязательно

при правильно настроеном фаерволе все работает красиво
а извращения ввиде

давайте сначала кучу флагов всяких будет рубить

потом запутаемся в количестве правил
и в итоге прийдем на форум с вопросом

почему у меня в тридцать пятом правиле ничего не работает

- это путь в никуда ......

флаги рубяться на всяких скрытых стелс роутерах и прочих хакерсих штучках
а не на роутере для десятка компов домашней сети

получили белый айпи
значит отвечайте за этот белый айпи
не нравиться левый трафик
берите у провайдера серый айпи

[ADRE]

а я не понял, нахера нат если юзают только прокси? думаете не будет работать прокси без ната?

[arkan]

думаете не будет работать прокси без ната?

Работает, и еще даже как
да вроде и никто неговорил что для прокси нужно нат включать

[ADRE]

[Nickuz]

получили белый айпи
значит отвечайте за этот белый айпи
не нравиться левый трафик
берите у провайдера серый айпи

Все равно, даже если вы флаги порежете - провайдер трафик посчитает, так что +1.

[RAGNAR]

и пусть считает у мене анлим...

[RAGNAR]

вопрос какая временная зависимость от каличества правил?
тоесть 10 правил = ms?

[paradox]

какой смысл тогда чтото блочить если у вас анлим?

[RAGNAR]

так он не резиновый

[paradox]

для супер спама или ддоса есть специалные IDS
а прикручиванияем флагов я чтото сомневаюсь что вы чего то добьетесь

[RAGNAR]

за 3 дня неодин пакет пока такой не пришол... подожду недельку, не будит положительного результата выкину из ipfw

[arkan]

за 3 дня неодин пакет пока такой не пришол... подожду недельку, не будит положительного результата выкину из ipfw

Зато потом когда на выходных будешь отдыхать и пить пиво твоему серваку может очень неповести - а админ то далеко и еще не скоро увидет логи
Мне както поровну и эти лишние какбы правила кушать не просят и не мешают и все работает

[RAGNAR]

значит советуешь не принебригать безопасностью!
вот что то некто не говарит сколько времени фаервол тратит на одно правило...