ipfw и бан клиен

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

ipfw и бан клиен

Непрочитанное сообщение Spook1680 » 2010-09-28 19:42:03

:smile: зятянул потуже фаэрвол.
Так на тебе,)) банк клиенты (что естественно) перестали работать.
Кто сталкивался! Я так понимаю без помощи оператора и службы потд. банка )) не разобраться (правда до них тяжко дозвонится),
Одно приложение работает с VPNnet видно оно организует транспорт между компом и банком.
Второй (на другой машине) работает с ключок (флэшка) отображате адрес 194.205.ххх.ххх

Схема сети стандартная, шлюз, нат, (прокси прозразный squid)
(конечно если собрать ipfw IPFIREWALL_DEFAULT_TO_ACCEPT) то тогда проблем не будет)) но уж больно не хото с форточками открытыми сидеть.
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw и бан клиен

Непрочитанное сообщение hizel » 2010-09-28 20:34:24

подождем телепатов
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: ipfw и бан клиен

Непрочитанное сообщение Laa » 2010-09-28 20:59:19

tcpdump в руки и вперед смотреть от кого куда пакеты не ходят! ;)
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: ipfw и бан клиен

Непрочитанное сообщение Spook1680 » 2010-09-28 21:55:29

ОК. я понял. Извините что так написано, писал из дома информации под руками небыло. Буду пробовать. tcpdump
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: ipfw и бан клиен

Непрочитанное сообщение Spook1680 » 2010-09-29 15:47:10

с банком общаюсь по адресу 194.186.2xx.xxx
Рекомендации от банка, типа все добро стучится в порты
87, 20, 21
oip - внеш ip
oif - интерфейс
после правил ната прописываю

Код: Выделить всё

${fwcmd} add 2210 allow ip from any to ${oip} 87 via ${oif}
${fwcmd} add 2220 allow ip from any to ${oip} 20 via ${oif}
${fwcmd} add 2230 allow ip from any to ${oip} 21 via ${oif}
tcpdump -i №интерф. (локальный)
дал только информацию что лок. адрес

Код: Выделить всё

192.168.0.44 по порту 1313 стучится на 194.186.2xx.xxx порт 87
и все.
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw и бан клиен

Непрочитанное сообщение hizel » 2010-09-29 16:53:19

еще немного умственного напряжения и заветный грааль у вас в лапах
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: ipfw и бан клиен

Непрочитанное сообщение Spook1680 » 2010-09-29 17:00:10

hizel писал(а):еще немного умственного напряжения и заветный грааль у вас в лапах
вы были правы надо подумать немного

Код: Выделить всё


${fwcmd} add 1325 allow udp from any 87 to any via ${oif}
${fwcmd} add 1350 allow udp from any to any 87 via ${oif}

"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: ipfw и бан клиен

Непрочитанное сообщение Laa » 2010-09-29 21:18:43

Для вашего случая ерундна, но на будущее лучше привыкать юзать не via ${oif}, а in recv ${oif}, дабы пакет проверялся этим правилом точно один раз, а не два. На больших нагрузках и громоздких файерволах это становится заметно.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: ipfw и бан клиен

Непрочитанное сообщение Spook1680 » 2010-10-08 16:45:27

Laa писал(а):Для вашего случая ерундна, но на будущее лучше привыкать юзать не via ${oif}, а in recv ${oif}, дабы пакет проверялся этим правилом точно один раз, а не два. На больших нагрузках и громоздких файерволах это становится заметно.
Поучатеся такой вариант менее нагружает машин?

Код: Выделить всё

${fwcmd} add 1325 allow udp from any 87 to any in recv ${oif}
${fwcmd} add 1350 allow udp from any to any 87 in recv ${oif}
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "