Страница 1 из 2

задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 14:54:33
mayor
Хочу узнать всем, или нет очевиден ответ на такую задачку:
FreeBSD_gateway_(192.168.1.1)<--->LAN(192.168.1.0/24)
сеть одноранговая, половина машин имеет доступ, половина блокируетя по MAC адресам, на шлюзе работает samba есть вот такие правила IPFW для компа PC1 с даным мак адресом:

Код: Выделить всё

................
00400 allow 5 ip from any to me dst-port 445,139 keep-state
............................
02800 deny ip from any to any MAC any 00:50:da:4e:ba:63 via rl0 
..................

вопрос:
будет ли иметь доступ к шарам комп PC1 и почему? в случае:
1. добавления правила №02800 в набор правил и выполнения команды /etc/rc.d/ipfw restart (-f flush - есть в списке)
2. при уже имеющемся правиле №02800 и включении компа PC1

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 15:25:15
LizardOfOzz
Рискну предположить, что нужно правило from me to any + перенести deny в начало списка

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 15:26:01
mayor
LizardOfOzz писал(а):Рискну предположить, что нужно правило from me to any.
неправильно..=))

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 15:27:20
LizardOfOzz
upd: + перенести deny в начало списка

интересно, ipfw прогоняет каждый пакет по списку правил или запоминает решение где-то в себе?

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 15:34:19
Gloft
для SMB протокола нужны 137,138,139,445 порты насколько я помню из спецификации.
Хотя в определенной степени возможно некоторые клиенты будут работать и так, хоть с правилом 02800 хоть без него

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 15:38:17
LizardOfOzz
Gloft писал(а):для SMB протокола нужны 137,138,139,445 порты насколько я помню из спецификации.
Хотя в определенной степени возможно некоторые клиенты будут работать и так, хоть с правилом 02800 хоть без него
А насколько я помню - 445 - это netbios over tcp/ip. Т.е. какая-нить вин95 может обойтись только 137,138,139 =)

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 15:39:03
mayor
LizardOfOzz писал(а):upd: + перенести deny в начало списка

интересно, ipfw прогоняет каждый пакет по списку правил или запоминает решение где-то в себе?
смотрю в зеркало и начинаю думать что что-то я знаю :(
пакет проходя правило - уходит с фаера

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 15:39:55
mayor
Gloft писал(а):для SMB протокола нужны 137,138,139,445 порты насколько я помню из спецификации.
Хотя в определенной степени возможно некоторые клиенты будут работать и так, хоть с правилом 02800 хоть без него
на счет портов согласен но - неправильно

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 15:40:15
mayor
LizardOfOzz писал(а):
Gloft писал(а):для SMB протокола нужны 137,138,139,445 порты насколько я помню из спецификации.
Хотя в определенной степени возможно некоторые клиенты будут работать и так, хоть с правилом 02800 хоть без него
А насколько я помню - 445 - это netbios over tcp/ip. Т.е. какая-нить вин95 может обойтись только 137,138,139 =)
нет

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 15:40:50
LizardOfOzz
может я задачу неправильно понял... доступ к самбе нужен всем или только избранным?

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 15:42:35
mayor
LizardOfOzz писал(а):может я задачу неправильно понял... доступ к самбе нужен всем или только избранным?
будет ли иметь доступ к шарам комп PC1 и почему? в случае:
1. добавления правила №02800 в набор правил и выполнения команды /etc/rc.d/ipfw restart (-f flush - есть в списке)
2. при уже имеющемся правиле №02800 и включении компа PC1
MAC в листинге правил - 1 комп
нужен ответ на 1 и 2 вопрос и почему

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 15:55:49
LizardOfOzz
mayor писал(а):
LizardOfOzz писал(а):может я задачу неправильно понял... доступ к самбе нужен всем или только избранным?
будет ли иметь доступ к шарам комп PC1 и почему? в случае:
1. добавления правила №02800 в набор правил и выполнения команды /etc/rc.d/ipfw restart (-f flush - есть в списке)
2. при уже имеющемся правиле №02800 и включении компа PC1
MAC в листинге правил - 1 комп
нужен ответ на 1 и 2 вопрос и почему
Из-за keep-state
1. Будет доступ
2. Не будет доступа

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 16:04:33
mayor
LizardOfOzz писал(а):
mayor писал(а):
LizardOfOzz писал(а):может я задачу неправильно понял... доступ к самбе нужен всем или только избранным?
будет ли иметь доступ к шарам комп PC1 и почему? в случае:
1. добавления правила №02800 в набор правил и выполнения команды /etc/rc.d/ipfw restart (-f flush - есть в списке)
2. при уже имеющемся правиле №02800 и включении компа PC1
MAC в листинге правил - 1 комп
нужен ответ на 1 и 2 вопрос и почему
Из-за keep-state
1. Будет доступ
2. Не будет доступа
-f flush - есть в списке правил команда /etc/rc.d/ipfw restart - и keep-state нету... - ответ "почему" - неправильно

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 17:25:30
atrium
1. Доступа у компа PC1 к шарам не будет, так как первое правило разрешает доступ к портам самого PC1, а второе правило запрещает все исходящие соединения от всех и ко всем для MAC
2. Доступа не будет

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 18:48:39
mayor
atrium писал(а):1. Доступа у компа PC1 к шарам не будет, так как первое правило разрешает доступ к портам самого PC1, а второе правило запрещает все исходящие соединения от всех и ко всем для MAC
2. Доступа не будет
почти правильно:
1. доступ будет так как в арп кеше (РС1) есть МАК адрес шлюза т.е. комп РС1 включен при (я писал) /etc/rc.d/ipfw restart, либо доступ при таких правилах можна получить добавив статическую запись МАК на РС1 командой:

Код: Выделить всё

arp -s 192.168.1.1  00-0e-2e-a9-6f-9e
2. доступа не будет, но можно получить зная МАК шлюза и добавив его статически.
так что не все сразу очевидно, никто сразу правильно не ответил, хотя с виду все просто, отакие грабли были не как не мог понять мочему-же всетаки доступ есть... :(

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 20:21:47
Gloft
Что то ты тут огород нагородил:
1. Фаервол обрабатывает правила с первого правила до последнего. Если правило срабатывает, то просмотр дальнейшийх правил прекращается. У тебя первое правило разрешающее и не важно что тыт там поставил после него запрето, сработает только оно. Для твоего варианта надо бало правило deny сатвить выше 400 номера. И все бы работало так как ты захотел (ограничил бы доступ РС1 по маку, разрешив всем остальным доступ).
2. Причем тут arp таблица на клиента? Даже если ты там статику пропишешь (статитечкую привязку ip - mac) это никак не повлияет на работу с фаерволом, т.к. или сервер ответит на arp запрос клиента или нет. Если прописать твое правило deny одним из первых то любой тарфик от сервера к клиенту будет блокироваться (с учетом того до него не было разрешающих правил).
3. Неважно когда ты перазагружал клиент сам фаервол, либо есть правила и они работают или их нет и они не работают.

Из тех данных что ты привел у тебя доступ к серверу клиент должен получать.
Насколько я помню синтаксис правил ipfw никаких номеров (цифр) в правиле между allow и ip быть не должно (кусок из твоенго правила: 00400 allow 5 ip ...). Проверь может ты ошибся в наборе правила ипри настройках фаервола. Может я чего то не знаю?

Обьяснить почему у тебя заработал запрет из того, что ты тут описал неполучится не зеная всех правил фаервола.

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 21:14:04
mayor
Gloft писал(а):Что то ты тут огород нагородил:
1. Фаервол обрабатывает правила с первого правила до последнего. Если правило срабатывает, то просмотр дальнейшийх правил прекращается. У тебя первое правило разрешающее и не важно что тыт там поставил после него запрето, сработает только оно. Для твоего варианта надо бало правило deny сатвить выше 400 номера. И все бы работало так как ты захотел (ограничил бы доступ РС1 по маку, разрешив всем остальным доступ).
2. Причем тут arp таблица на клиента? Даже если ты там статику пропишешь (статитечкую привязку ip - mac) это никак не повлияет на работу с фаерволом, т.к. или сервер ответит на arp запрос клиента или нет. Если прописать твое правило deny одним из первых то любой тарфик от сервера к клиенту будет блокироваться (с учетом того до него не было разрешающих правил).
3. Неважно когда ты перазагружал клиент сам фаервол, либо есть правила и они работают или их нет и они не работают.

Из тех данных что ты привел у тебя доступ к серверу клиент должен получать.
Насколько я помню синтаксис правил ipfw никаких номеров (цифр) в правиле между allow и ip быть не должно (кусок из твоенго правила: 00400 allow 5 ip ...). Проверь может ты ошибся в наборе правила ипри настройках фаервола. Может я чего то не знаю?

Обьяснить почему у тебя заработал запрет из того, что ты тут описал неполучится не зеная всех правил фаервола.
смотрю в зеркало и начинаю думать что что-то я знаю, еще больше.. :smile: :(

Код: Выделить всё

1. Фаервол обрабатывает правила с первого правила до последнего. Если правило срабатывает, то просмотр дальнейшийх правил прекращается. У тебя первое правило разрешающее и не важно что тыт там поставил после него запрето, сработает только оно. .
с логикой соглашусь но ты забыл про модель OSI,(L2 и L3 - работают одновременно и им по барабану твоя очередность правил.. :roll: ) не сомневайся правила и то что я написал проверены на практически много раз.

Код: Выделить всё

Для твоего варианта надо бало правило deny сатвить выше 400 номера. И все бы работало так как ты захотел (ограничил бы доступ РС1 по маку, разрешив всем остальным доступ)
это понятно, но я не просил о помощи в написании правил просто был такой косяк, хотел узнать очевиден он для других или нет, вижу что всетаки не очевиден

Код: Выделить всё

2. Причем тут arp таблица на клиента? Даже если ты там статику пропишешь (статитечкую привязку ip - mac) это никак не повлияет на работу с фаерволом,
в том то и дело что повлияет и доступ на шары будет, применительно к 2 правилам что я написал для РС1 нужно только знать МАК шлюза куда пакеты слать что и дает ему такую возможность арп запись

Код: Выделить всё

Неважно когда ты перазагружал клиент сам фаервол, либо есть правила и они работают или их нет и они не работают
как показала практика - неверное утверждение

Код: Выделить всё

Из тех данных что ты привел у тебя доступ к серверу клиент должен получать.
какой доступ в 1 и 2 случае я написал выше

Код: Выделить всё

Насколько я помню синтаксис правил ipfw никаких номеров (цифр) в правиле между allow и ip быть не должно (кусок из твоенго правила: 00400 allow 5 ip ...).
не знаеш - есть класная штука

Код: Выделить всё

ipfw set [disable number ...] [enable number ...]

Код: Выделить всё

Обьяснить почему у тебя заработал запрет из того, что ты тут описал неполучится не зеная всех правил фаервола.
не согласен

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 21:28:51
Gloft
с логикой соглашусь но ты забыл про модель OSI,(L2 и L3 - работают одновременно и им по барабану твоя очередность правил.. :roll: )
Изходя из этого фаервол вообще не нужен. Все пакеты попадают на фаервол и проходят проверку на совместимость правил.
в том то и дело что повлияет и доступ на шары будет, применительно к 2 правилам что я написал для РС1 нужно только знать МАК шлюза куда пакеты слать что и дает ему такую возможность арп запись
Допустим РС1 знает мак шлюза, но если на фаерволе фильтруются и отбрысываются все пакеты с маком клиента РС1 то он все рано не получит доступ к ресуру. Тогда спрашивается зачем ему этот мак если ничего не работает?
ipfw set [disable number ...] [enable number ...]
Применяется к номерам правил, это 400 и 2800 правила из твоего примера. Я так и не понял чило 5 в правиле это опечатка?

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 21:48:39
mayor

Код: Выделить всё

Изходя из этого фаервол вообще не нужен. Все пакеты попадают на фаервол и проходят проверку на совместимость правил. 
не понял

Код: Выделить всё

Допустим РС1 знает мак шлюза, но если на фаерволе фильтруются и отбрысываются все пакеты с маком клиента РС1 то он все рано не получит доступ к ресуру. Тогда спрашивается зачем ему этот мак если ничего не работает?
в это трудно поверить но оно работает, если есть мак шлюза - доступ к шарам есть

Код: Выделить всё

Применяется к номерам правил, это 400 и 2800 правила из твоего примера. Я так и не понял чило 5 в правиле это опечатка?
не применяется а включает выключает наборы правил всего 32 набора может быть 5 там просто из-за вывода ipfw list - если правило состоит в наборе правил №5 5-ка появляется в выводе ipfw list, млин нада было убрать ато путает..

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 22:11:40
Gloft
О наборах прочила в свежем мане, разобрался.
А вот о маке шлюза на клиенте.
Шлюзу всеравно как его мак получил клиент, если есть правило на запрет, то как пакет пройдет фаервол и будет пропущен?
Ведб пакет не может быть пущен в обход фаервола.

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 22:43:29
LizardOfOzz
Видимо у mayor'а блокировка работает по принципу запрета arp-ответов для каких-то определённых mac-ов. Тогда да, при помощи статических arp-записей можно обойти.

Если по маку режется весь трафик, это работать не должно. Я так считаю.

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 22:46:02
mayor
Gloft писал(а): А вот о маке шлюза на клиенте.
Шлюзу всеравно как его мак получил клиент, если есть правило на запрет, то как пакет пройдет фаервол и будет пропущен?
Ведб пакет не может быть пущен в обход фаервола.
вот и мне странно но пакеты идут, еще раз:
шлюз и РС1 включены, потом добавляю правило с дени по МАК адресу для РС1, делаю /etc/rc.d/ipfw restart, пакеты продолжают идти!, пока есть мак шлюза в кеше, как токо даю команду на винде:

Код: Выделить всё

arp -d 192.168.1.1  00-0e-2e-a9-6f-9e
пакеты перестают идти

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 22:47:04
mayor
LizardOfOzz писал(а):Видимо у mayor'а блокировка работает по принципу запрета arp-ответов для каких-то определённых mac-ов. Тогда да, при помощи статических arp-записей можно обойти.

Если по маку режется весь трафик, это работать не должно. Я так считаю.
блокирующее правило одно:

Код: Выделить всё

02800 deny ip from any to any MAC any 00:50:da:4e:ba:63 via rl0 

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 22:48:50
Gloft
Как может срабатывать deny правило если перед ним стоит правило с allow?

Re: задачка - всем ли очевиден ответ?

Добавлено: 2009-11-17 22:50:02
mayor
Gloft писал(а):Как может срабатывать deny правило если перед ним стоит правило с allow?
одно правило для L3 второе для L2