настройка ipfw/начало/

[manefesto]

Занялся настройкой файрвола.
Делаю первые шаги

Интересует почему работает вот так:

Код: Выделить всё

${fw} add allow icmp from any to any icmptypes 0,8,11

но не работает вот так

Код: Выделить всё

${fw} add allow icmp from ${good_ip} to any icmptypes 0,8,11

Соответственно пока не могу разобраться с SSH

PS: Стоит политика по умолчанию deny

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

по перовму варианту ты разрешил пакеты в обе стороны, по второму тока в одну

[manefesto]

Спасибо, с этим я разобрался.
Но почему не работает ssh при следующем правиле:

Код: Выделить всё

${fw} add allow tcp from any to ${lan_ip} 22 via ${lan_eth}

и даже

Код: Выделить всё

${fw} add allow tcp from any to any 22 via ${lan_eth}

[Alex Keda]

та же причина ))

[hizel]

советую вдумчиво почитать

Код: Выделить всё

man ipfw

хоть и говорят, что во фре этот самый простой фаервол, но на основании моего опыта это далеко не так
особенно если хочешь странного

[manefesto]

читал тут http://www.lissyara.su/?id=1127

Пробую

Код: Выделить всё

${fw} add allow tcp from any to me 22 in via ${laneth}
${fw} add allow tcp from me to any 22 out via ${laneth}

и нифига

[manefesto]

блин...надо было заменить

Код: Выделить всё

 ${fw} add allow tcp from me to any 22 out via ${laneth} 

на

Код: Выделить всё

${fw} add allow tcp from me to any out via ${laneth}

То есть ${fw} add allow tcp from me to any 22 out via ${laneth} не сработало ни разу ???

[hizel]

Код: Выделить всё

${fw} add allow tcp from any to me 22 in via ${laneth}
${fw} add allow tcp from me 22 to any out via ${laneth}

спавни

[manefesto]

аа.....понял

[hizel]

ман почитай
подумай
перечитай ман
подумай
напиши пару правил, вруби tcpdump посмотри
подумай
почитай ман
.....

узнаешь много нового

[igyrus]

При просмотре результатов команды ipfw show заметил следующее:

...
11000 34539 3162478 deny ip from any to any
65535 6 687 deny ip from any to any

Правило 11000 добавлено руками, а 65535 - автоматически.

Кто может объяснить откуда взялись 6 пакетов в правиле 65535? Т.е что то просочилось через правило 11000?
Значит может и через правило 65535 пройти?


Пе пинайте если спросил глупость.

[hizel]

с момента отчистки правил и до внедрения деная успело пролететь немножко пакетиков
никаких чудес

[igyrus]

Понял. Спасибо. Не подумал об этом.

[Romeo]

Помогите пожалуйста советом. Не хочу новую бездарную тему создавать.

1) Как настраивать firewall и др. полезности для DHCP ???
Уже кучу статей перекопал - везде статика !!
2) Как просмотреть лог ipfw.

PS: Возможно вопрос повторится в других темах, так что просьба к админ-ции - не банить мя сразу, это не спам.
Спасибо. ^-^

[schizoid]

Помогите пожалуйста советом. Не хочу новую бездарную тему создавать.

1) Как настраивать firewall и др. полезности для DHCP ???
Уже кучу статей перекопал - везде статика !!
2) Как просмотреть лог ipfw.

PS: Возможно вопрос повторится в других темах, так что просьба к админ-ции - не банить мя сразу, это не спам.
Спасибо. ^-^

1) не совсем понятен вопрос. фаервол для дшсп не настраивается.
2) включить логирование в правилах (для этого нужно что б ядро было собрано с данной поддержкой), затем tail -f /var/log/security

[alex3]

ман почитай
подумай
перечитай ман
подумай
напиши пару правил, вруби tcpdump посмотри
подумай
почитай ман

Поздравляю господа - похоже, создана новая религия - ман-буддизм. Медитировать над манами - круто. Сорри за офтоп

[hizel]

я - пророк
никогда этого не скрывал

[Romeo]

Да, тут уже звучали речи на счет правильно задаваемых вопросов. Полностью согласен с ними.
Сейчас попробую всё паодробненько описать, если чо не так - вы меня поправьте.

Хочу настроить файл правил для IPFW. Делать это пытался по статье = IPFW - штатный файрволл FreeBSD.
На настраиваемом компе имею 2 сетевухи = 1) для внутренней сети - rl0; 2) для внешнего DHCP-шного инета.
Необходимо настроить что-то вроде 2-го варианта файрвола по статье (т.е. с изменением прав и скорости по времени суток).

В статье сетевухи имеют статические адреса (и в других статьях тоже рассматривается статика), а мне нужно динамические пользать.

Вопрос - как описывать динамо в файрволе ???
Как задавать диапазоны допустимых IP для входа по SSH ??

Спасибо.

[dikens3]

Хочу настроить файл правил для IPFW. Делать это пытался по статье = IPFW - штатный файрволл FreeBSD.
Как задавать диапазоны допустимых IP для входа по SSH ??

Если вы и читали фаервол, то только через строчку. К примеру в конфиге (из статьи)

Код: Выделить всё

${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}

172.16.0.0/12 это что? Если это не диапазон, тогда что по вашему диапазон.

P.S. Перестань заниматься кросспостингом (писать одинаковые сообщения в разные темы и не по теме)

[Romeo]

подумай
перечитай ман
подумай
напиши пару правил, вруби tcpdump посмотри
подумай
почитай ман

Да уж, маны это может и круто, но для тех, кто английский хорошо знает. А мне эта техническая инфа на английском не поддается пониманию.
Если бы маны на русском писались (ну в крайнем случае на языке наших славянских сосоедей), то я на форуме, может быть, и не задавался бы вопросами...
Так что помогите чем могите.

[Romeo]

P.S. Перестань заниматься кросспостингом (писать одинаковые сообщения в разные темы и не по теме)

Уже перестал, да и вопросы, вроде, немного по тематике отличались.
Хотел "зацепить" народ с разной точкой зрения на проблему.

По поводу логирования = в ядре всё включено как в статье описано.

...И что по поводу Динамического адреса "внешней" сетевухи ??

[dikens3]

1. С задачей определись сначала.
2. Документации по IPFW в интернете полно. Google знает ооооооооочень много.
3. Пытаешься сам реализовать задуманное в п.1 и что не получается пишешь на форум (лучше не сразу, а на след. день)

[Morty]

на всех конфах где ты видел меняешь статически забитый внешний
ип на "автоопределение" и юзаешь потом этот ип как переменную
---------
по дхцп когда ты получаешь у тебя точно первая цыфра не меняеться напрмер ты получаешь 65.х.х.х
пишешь в скрипт внешний ип как переменную

Код: Выделить всё

ifconfig | grep "inet 65" | awk '{print $2}'

значение этого дела будет полученный ип....пытаешься заюзать это дело в своем скрипте фаера......
ну и чтоб фаер не срубил что не нада когда ип смениться ставишь скрипт в крон...что фаер сам мог обновить
значения.
ЗЫ: это вариант решения той пробелмы как я понял , если правильно понял

[Dimon]

Не работает правило

Код: Выделить всё

ipfw add deny ip from any to table(1) via fxp0

Пишет Badly placed ()`s.

[zingel]

в скрипте ошибка