задачка - всем ли очевиден ответ?

[mayor]

Хочу узнать всем, или нет очевиден ответ на такую задачку:
FreeBSD_gateway_(192.168.1.1)<--->LAN(192.168.1.0/24)
сеть одноранговая, половина машин имеет доступ, половина блокируетя по MAC адресам, на шлюзе работает samba есть вот такие правила IPFW для компа PC1 с даным мак адресом:

Код: Выделить всё

................
00400 allow 5 ip from any to me dst-port 445,139 keep-state
............................
02800 deny ip from any to any MAC any 00:50:da:4e:ba:63 via rl0 
..................

вопрос:
будет ли иметь доступ к шарам комп PC1 и почему? в случае:
1. добавления правила №02800 в набор правил и выполнения команды /etc/rc.d/ipfw restart (-f flush - есть в списке)
2. при уже имеющемся правиле №02800 и включении компа PC1

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[LizardOfOzz]

Рискну предположить, что нужно правило from me to any + перенести deny в начало списка

[mayor]

Рискну предположить, что нужно правило from me to any.

неправильно..)

[LizardOfOzz]

upd: + перенести deny в начало списка

интересно, ipfw прогоняет каждый пакет по списку правил или запоминает решение где-то в себе?

[Gloft]

для SMB протокола нужны 137,138,139,445 порты насколько я помню из спецификации.
Хотя в определенной степени возможно некоторые клиенты будут работать и так, хоть с правилом 02800 хоть без него

[LizardOfOzz]

для SMB протокола нужны 137,138,139,445 порты насколько я помню из спецификации.
Хотя в определенной степени возможно некоторые клиенты будут работать и так, хоть с правилом 02800 хоть без него

А насколько я помню - 445 - это netbios over tcp/ip. Т.е. какая-нить вин95 может обойтись только 137,138,139 =)

[mayor]

upd: + перенести deny в начало списка

интересно, ipfw прогоняет каждый пакет по списку правил или запоминает решение где-то в себе?

смотрю в зеркало и начинаю думать что что-то я знаю
пакет проходя правило - уходит с фаера

[mayor]

для SMB протокола нужны 137,138,139,445 порты насколько я помню из спецификации.
Хотя в определенной степени возможно некоторые клиенты будут работать и так, хоть с правилом 02800 хоть без него

на счет портов согласен но - неправильно

[mayor]

для SMB протокола нужны 137,138,139,445 порты насколько я помню из спецификации.
Хотя в определенной степени возможно некоторые клиенты будут работать и так, хоть с правилом 02800 хоть без него

А насколько я помню - 445 - это netbios over tcp/ip. Т.е. какая-нить вин95 может обойтись только 137,138,139

нет

[LizardOfOzz]

может я задачу неправильно понял... доступ к самбе нужен всем или только избранным?

[mayor]

может я задачу неправильно понял... доступ к самбе нужен всем или только избранным?

будет ли иметь доступ к шарам комп PC1 и почему? в случае:
1. добавления правила №02800 в набор правил и выполнения команды /etc/rc.d/ipfw restart (-f flush - есть в списке)
2. при уже имеющемся правиле №02800 и включении компа PC1
MAC в листинге правил - 1 комп
нужен ответ на 1 и 2 вопрос и почему

[LizardOfOzz]

может я задачу неправильно понял... доступ к самбе нужен всем или только избранным?

будет ли иметь доступ к шарам комп PC1 и почему? в случае:
1. добавления правила №02800 в набор правил и выполнения команды /etc/rc.d/ipfw restart (-f flush - есть в списке)
2. при уже имеющемся правиле №02800 и включении компа PC1
MAC в листинге правил - 1 комп
нужен ответ на 1 и 2 вопрос и почему

Из-за keep-state
1. Будет доступ
2. Не будет доступа

[mayor]

может я задачу неправильно понял... доступ к самбе нужен всем или только избранным?

будет ли иметь доступ к шарам комп PC1 и почему? в случае:
1. добавления правила №02800 в набор правил и выполнения команды /etc/rc.d/ipfw restart (-f flush - есть в списке)
2. при уже имеющемся правиле №02800 и включении компа PC1
MAC в листинге правил - 1 комп
нужен ответ на 1 и 2 вопрос и почему

Из-за keep-state
1. Будет доступ
2. Не будет доступа

-f flush - есть в списке правил команда /etc/rc.d/ipfw restart - и keep-state нету... - ответ "почему" - неправильно

[atrium]

1. Доступа у компа PC1 к шарам не будет, так как первое правило разрешает доступ к портам самого PC1, а второе правило запрещает все исходящие соединения от всех и ко всем для MAC
2. Доступа не будет

[mayor]

1. Доступа у компа PC1 к шарам не будет, так как первое правило разрешает доступ к портам самого PC1, а второе правило запрещает все исходящие соединения от всех и ко всем для MAC
2. Доступа не будет

почти правильно:
1. доступ будет так как в арп кеше (РС1) есть МАК адрес шлюза т.е. комп РС1 включен при (я писал) /etc/rc.d/ipfw restart, либо доступ при таких правилах можна получить добавив статическую запись МАК на РС1 командой:

Код: Выделить всё

arp -s 192.168.1.1  00-0e-2e-a9-6f-9e

2. доступа не будет, но можно получить зная МАК шлюза и добавив его статически.
так что не все сразу очевидно, никто сразу правильно не ответил, хотя с виду все просто, отакие грабли были не как не мог понять мочему-же всетаки доступ есть...

[Gloft]

Что то ты тут огород нагородил:
1. Фаервол обрабатывает правила с первого правила до последнего. Если правило срабатывает, то просмотр дальнейшийх правил прекращается. У тебя первое правило разрешающее и не важно что тыт там поставил после него запрето, сработает только оно. Для твоего варианта надо бало правило deny сатвить выше 400 номера. И все бы работало так как ты захотел (ограничил бы доступ РС1 по маку, разрешив всем остальным доступ).
2. Причем тут arp таблица на клиента? Даже если ты там статику пропишешь (статитечкую привязку ip - mac) это никак не повлияет на работу с фаерволом, т.к. или сервер ответит на arp запрос клиента или нет. Если прописать твое правило deny одним из первых то любой тарфик от сервера к клиенту будет блокироваться (с учетом того до него не было разрешающих правил).
3. Неважно когда ты перазагружал клиент сам фаервол, либо есть правила и они работают или их нет и они не работают.

Из тех данных что ты привел у тебя доступ к серверу клиент должен получать.
Насколько я помню синтаксис правил ipfw никаких номеров (цифр) в правиле между allow и ip быть не должно (кусок из твоенго правила: 00400 allow 5 ip ...). Проверь может ты ошибся в наборе правила ипри настройках фаервола. Может я чего то не знаю?

Обьяснить почему у тебя заработал запрет из того, что ты тут описал неполучится не зеная всех правил фаервола.

[mayor]

Что то ты тут огород нагородил:
1. Фаервол обрабатывает правила с первого правила до последнего. Если правило срабатывает, то просмотр дальнейшийх правил прекращается. У тебя первое правило разрешающее и не важно что тыт там поставил после него запрето, сработает только оно. Для твоего варианта надо бало правило deny сатвить выше 400 номера. И все бы работало так как ты захотел (ограничил бы доступ РС1 по маку, разрешив всем остальным доступ).
2. Причем тут arp таблица на клиента? Даже если ты там статику пропишешь (статитечкую привязку ip - mac) это никак не повлияет на работу с фаерволом, т.к. или сервер ответит на arp запрос клиента или нет. Если прописать твое правило deny одним из первых то любой тарфик от сервера к клиенту будет блокироваться (с учетом того до него не было разрешающих правил).
3. Неважно когда ты перазагружал клиент сам фаервол, либо есть правила и они работают или их нет и они не работают.

Из тех данных что ты привел у тебя доступ к серверу клиент должен получать.
Насколько я помню синтаксис правил ipfw никаких номеров (цифр) в правиле между allow и ip быть не должно (кусок из твоенго правила: 00400 allow 5 ip ...). Проверь может ты ошибся в наборе правила ипри настройках фаервола. Может я чего то не знаю?

Обьяснить почему у тебя заработал запрет из того, что ты тут описал неполучится не зеная всех правил фаервола.

смотрю в зеркало и начинаю думать что что-то я знаю, еще больше..

Код: Выделить всё

1. Фаервол обрабатывает правила с первого правила до последнего. Если правило срабатывает, то просмотр дальнейшийх правил прекращается. У тебя первое правило разрешающее и не важно что тыт там поставил после него запрето, сработает только оно. .

с логикой соглашусь но ты забыл про модель OSI,(L2 и L3 - работают одновременно и им по барабану твоя очередность правил.. ) не сомневайся правила и то что я написал проверены на практически много раз.

Код: Выделить всё

Для твоего варианта надо бало правило deny сатвить выше 400 номера. И все бы работало так как ты захотел (ограничил бы доступ РС1 по маку, разрешив всем остальным доступ)

это понятно, но я не просил о помощи в написании правил просто был такой косяк, хотел узнать очевиден он для других или нет, вижу что всетаки не очевиден

Код: Выделить всё

2. Причем тут arp таблица на клиента? Даже если ты там статику пропишешь (статитечкую привязку ip - mac) это никак не повлияет на работу с фаерволом,

в том то и дело что повлияет и доступ на шары будет, применительно к 2 правилам что я написал для РС1 нужно только знать МАК шлюза куда пакеты слать что и дает ему такую возможность арп запись

Код: Выделить всё

Неважно когда ты перазагружал клиент сам фаервол, либо есть правила и они работают или их нет и они не работают

как показала практика - неверное утверждение

Код: Выделить всё

Из тех данных что ты привел у тебя доступ к серверу клиент должен получать.

какой доступ в 1 и 2 случае я написал выше

Код: Выделить всё

Насколько я помню синтаксис правил ipfw никаких номеров (цифр) в правиле между allow и ip быть не должно (кусок из твоенго правила: 00400 allow 5 ip ...).

не знаеш - есть класная штука

Код: Выделить всё

ipfw set [disable number ...] [enable number ...]

Код: Выделить всё

Обьяснить почему у тебя заработал запрет из того, что ты тут описал неполучится не зеная всех правил фаервола.

не согласен

[Gloft]

с логикой соглашусь но ты забыл про модель OSI,(L2 и L3 - работают одновременно и им по барабану твоя очередность правил.. )

Изходя из этого фаервол вообще не нужен. Все пакеты попадают на фаервол и проходят проверку на совместимость правил.

в том то и дело что повлияет и доступ на шары будет, применительно к 2 правилам что я написал для РС1 нужно только знать МАК шлюза куда пакеты слать что и дает ему такую возможность арп запись

Допустим РС1 знает мак шлюза, но если на фаерволе фильтруются и отбрысываются все пакеты с маком клиента РС1 то он все рано не получит доступ к ресуру. Тогда спрашивается зачем ему этот мак если ничего не работает?

ipfw set [disable number ...] [enable number ...]

Применяется к номерам правил, это 400 и 2800 правила из твоего примера. Я так и не понял чило 5 в правиле это опечатка?

[mayor]

Код: Выделить всё

Изходя из этого фаервол вообще не нужен. Все пакеты попадают на фаервол и проходят проверку на совместимость правил. 

не понял

Код: Выделить всё

Допустим РС1 знает мак шлюза, но если на фаерволе фильтруются и отбрысываются все пакеты с маком клиента РС1 то он все рано не получит доступ к ресуру. Тогда спрашивается зачем ему этот мак если ничего не работает?

в это трудно поверить но оно работает, если есть мак шлюза - доступ к шарам есть

Код: Выделить всё

Применяется к номерам правил, это 400 и 2800 правила из твоего примера. Я так и не понял чило 5 в правиле это опечатка?

не применяется а включает выключает наборы правил всего 32 набора может быть 5 там просто из-за вывода ipfw list - если правило состоит в наборе правил №5 5-ка появляется в выводе ipfw list, млин нада было убрать ато путает..

[Gloft]

О наборах прочила в свежем мане, разобрался.
А вот о маке шлюза на клиенте.
Шлюзу всеравно как его мак получил клиент, если есть правило на запрет, то как пакет пройдет фаервол и будет пропущен?
Ведб пакет не может быть пущен в обход фаервола.

[LizardOfOzz]

Видимо у mayor'а блокировка работает по принципу запрета arp-ответов для каких-то определённых mac-ов. Тогда да, при помощи статических arp-записей можно обойти.

Если по маку режется весь трафик, это работать не должно. Я так считаю.

[mayor]

А вот о маке шлюза на клиенте.
Шлюзу всеравно как его мак получил клиент, если есть правило на запрет, то как пакет пройдет фаервол и будет пропущен?
Ведб пакет не может быть пущен в обход фаервола.

вот и мне странно но пакеты идут, еще раз:
шлюз и РС1 включены, потом добавляю правило с дени по МАК адресу для РС1, делаю /etc/rc.d/ipfw restart, пакеты продолжают идти!, пока есть мак шлюза в кеше, как токо даю команду на винде:

Код: Выделить всё

arp -d 192.168.1.1  00-0e-2e-a9-6f-9e

пакеты перестают идти

[mayor]

Видимо у mayor'а блокировка работает по принципу запрета arp-ответов для каких-то определённых mac-ов. Тогда да, при помощи статических arp-записей можно обойти.

Если по маку режется весь трафик, это работать не должно. Я так считаю.

блокирующее правило одно:

Код: Выделить всё

02800 deny ip from any to any MAC any 00:50:da:4e:ba:63 via rl0 

[Gloft]

Как может срабатывать deny правило если перед ним стоит правило с allow?

[mayor]

Как может срабатывать deny правило если перед ним стоит правило с allow?

одно правило для L3 второе для L2