forum.lissyara.su

Добавлено: **2007-06-27 11:55:23**

Блин, ребят, я все понимаю, но дайте высказаться!

Короче, вот что меня офигительно не радует в FreeBSD (и остальных) это одно - ни фига, ни в каком handbook не раскрываются особенности сетевого взаимодействия служб.

Простой пример - sendmail. Настройки ipfw взяты у lissyara, за что ему отдельное спасибо, кристально понятны и ясны, но вот незадача - не работал sendmail. Просмотр maillog, пинание очереди и применение netstat дало понять, что мой сервер пробует присоединяться к другому на порт 25, но потом - полная тишина.

Ну хоть бы один умный человек в handbook написал отдельный пункт, что, мол, "при соединении с чужим сервером sendmail будет пытаться открывать непривилегированные порты, поэтому, чувак, ты их открой, и оставь"! А то же логика нормального админа - НИЧЕГО просто так открытым не оставлять. Еще раз подчеркну, НЕ ОСТАВЛЯТЬ открытым порт, если он не нужен для работы системы.

И в ipfw, блин, нет возможности создавать правила не просто для всех программ, а только для отдельных. Взял бы я sendmail и сказал бы ipfw, что sendmail, на какой-бы порт он не ломанулся из непривилегированных, - можно. А вот остальным - нельзя, ну никак.

В Виндоус (простите меня, не хочу начинать священную войну) это делается любым (практически, говорю, в основном, про вкусный AtGuard) нормальным фаером. А тут - теперь мне приходится держать открытыми часть портов, от этого у меня не то, чтобы волосы встают дыбом, но непривычно.

Спасибо тем, кто прочитал. Просто реально хотелось пожаловаться.

Добавлено: **2007-06-27 12:13:10**

${fwcmd} add pass udp from any 53 to me in via ${ifout} uid Gdnscache

Если вам говорит эта строка что-нибудь, то я за Вас рад.
Вообще есть конечно такое, соглашусь. Но если это root. (А такие сервисы есть), тогда увы. Придётся измудряться.(т.е. прочитать что такое TCP/IP и включить мозг)

Для Windows (домохозяек) это делается нажатием кнопки(галки) и всё. Во FreeBSD мозг нужен. В твоём примере знание TCP/IP. (кстати, ты не знаешь откуда берутся крутые парни, что они всё знают и всегда меряются чем нибудь? Правильно, он поставил галку в фаере Windows и мнит себя великим хакером/админом. Абсолютно непонимая как это работает и работает ли вообще?)

Везде есть свои плюсы и минусы. В частности цена, количество багов, вирусов, сроками исправления критических уязвимостей и т.д. и т.д.

P.S. Только мне кажется, что нас отучают думать и превращают в стадо баранов? Которым что покажут, то и будет удобным и правильным?

Добавлено: **2007-06-27 12:39:04**

согласен с Дикенсом.
если ты непонмаешь как работает TCP в общем и SMTP в частности - зачем ты полез настраивать файрволл?
========
и кстати - в обоих примерах такие соединения разрешены.
Может быть надо было задуматься - почему?

Добавлено: **2007-06-27 12:54:44**

dikens3 писал(а):Если вам говорит эта строка что-нибудь, то я за Вас рад.
Вообще есть конечно такое, соглашусь. Но если это root. (А такие сервисы есть), тогда увы. Придётся измудряться.(т.е. прочитать что такое TCP/IP и включить мозг)

Теперь - говорит, спасибо

dikens3 писал(а):Для Windows (домохозяек) это делается нажатием кнопки(галки) и всё. Во FreeBSD мозг нужен. В твоём примере знание TCP/IP.

Ну, не надо пенять на то, что его у меня нет - я и HTTP сервер писал под Windows и так далее. То есть, знание TCP/IP присутствует.

Вот знания SMTP протокола - нет. Но! Я не думаю, что оно критично в данном случае. Любой пользователь может работать с программой, как с "черным ящиком". Нужно только этот самый черный ящик нормально описать. А в данном случае - фиг чего. И даже на OpenNet примеры не учитывают того, что непривилегированные порты используются. Там как раз ребята уровня "поставил галку" по чужим мануалам зачастую пишут свои статьи. В итоге, поскольку их решения никто на себе не проверяет, а читателям лениво порой вдумчиво читать, получается так, что нигде не найти толком нормальной инфы.

dikens3 писал(а):Везде есть свои плюсы и минусы. В частности цена, количество багов, вирусов, сроками исправления критических уязвимостей и т.д. и т.д.

Согласен на все сто. Я готов пойти на минусы такого уровня во имя стабильности FreeBSD, просто, к примеру, если бы не знакомый товарищ, у которого, правда, непривилегированные порты напрочь открыты, я бы фиг справился быстро. Конечно, можно было бы добавлять в ipfw правила и глядеть, но тут вопрос скорости.

dikens3 писал(а):P.S. Только мне кажется, что нас отучают думать и превращают в стадо баранов? Которым что покажут, то и будет удобным и правильным?

Гм, так и получается, чаще всего, в FreeBSD, простите. Софта не так много, как кажется, в результате и кревет

Пользуемся тем, что лучше описано, поскольку самому читать/вникать/и т.д. времени просто нет. А это, в свою очередь, вызывает виток того, что софт не развивается, конкуренции толком нет.

dikens3 писал(а):Правильно, он поставил галку в фаере Windows и мнит себя великим хакером/админом.

А таких много и на FreeBSD. Благодаря lissyara, у меня парочка знакомых мнит себя мега-админами на FreeBSD. Они один раз все настроили (с моей помощью и кучей головняков), зато пальцы потом веером.

Добавлено: **2007-06-27 13:10:19**

от спасибо

Добавлено: **2007-06-27 13:26:58**

lissyara писал(а):от спасибо

Ты не подумай ничего плохого, у меня к тебе огромный респект и уважуха. Без прикрас и сарказма.

Всегда импонирует то, что человек умеет делать не только сам, но и делится с другими.

Добавлено: **2007-06-27 14:38:21**

maniaque писал(а):Блин, ребят, я все понимаю, но дайте высказаться!
А то же логика нормального админа - НИЧЕГО просто так открытым не оставлять. Еще раз подчеркну, НЕ ОСТАВЛЯТЬ открытым порт, если он не нужен для работы системы.

Я знал. Я чуствовал! Что ненормальный. Закрываю исключительно бяки.

Добавлено: **2007-06-27 14:41:21**

я тоже. я ничё не закрываю.
достаточно грамотно настроить сервисы
(касается серверов а не шлзов - шлюзы защищают не себя - юзеров)

Добавлено: **2007-06-27 14:53:10**

abanamat писал(а):Я знал. Я чуствовал! Что ненормальный. Закрываю исключительно бяки.

Неее, ребят, у вас, видимо, небольшой бэкграунд с Windows, не сочтите за наезд

После msblast - паранойя по полной. Все закрыть!

)

Добавлено: **2007-06-27 15:06:48**

maniaque писал(а):
abanamat писал(а):Я знал. Я чуствовал! Что ненормальный. Закрываю исключительно бяки.
Неее, ребят, у вас, видимо, небольшой бэкграунд с Windows, не сочтите за наезд После msblast - паранойя по полной. Все закрыть! )

бэк.. чиво? паранойа - это болезнь. Лечится дозами информации.

Добавлено: **2007-06-27 21:29:00**

кстати, кто что думает:

у меня есть шлюз в инет, с двумя сетевуахами, на нем стоит ipfw, все лишнее закрыто, а все серваки что в локалке они без фаерволов. это номрально? в принципе каков смысл в фаере в локалке?

Добавлено: **2007-06-27 22:07:29**

на сервере где сайт - файрволла нет
есть - но с двумя правилами - на лимит конекто в содного IP и на разрешение всем и всего

Добавлено: **2007-06-27 22:25:18**

offtop:
А никому не попадалась ссылка на мануал по тюнингу ssh? Задолбали пароли подбирать. Или иное решение этого. Вобщем-то пароль надежный, но все равно неприятно

Добавлено: **2007-06-27 22:27:32**

в портах масса подобного...
можешь так и поискать по ключу....

Добавлено: **2007-06-27 22:39:15**

serge писал(а):offtop:
А никому не попадалась ссылка на мануал по тюнингу ssh? Задолбали пароли подбирать. Или иное решение этого. Вобщем-то пароль надежный, но все равно неприятно

На другой порт повесь, 99.9% переборов отпадут сразу.

Добавлено: **2007-06-28 13:54:26**

serge писал(а): Задолбали пароли подбирать.

/etc/ssh/sshd_config

Код: Выделить всё

MaxStartups 3:50:6

После 3х неправильных попыток ввода пароля отвергать 50% новых подключений, и после 6 попыток не отвечать совсем...

Добавлено: **2007-06-29 11:02:01**

Вот статья, Защита от bruteforce атак на SSH в BSD.

Добавлено: **2007-06-29 20:12:22**

Alucard писал(а):После 3х неправильных попыток ввода пароля отвергать 50% новых подключений, и после 6 попыток не отвечать совсем...

А это применительно к конкретному IP или ко всем? Если ко всем то как я сам-то попаду туда после этого???

forum.lissyara.su

Наезд на ipfw

Наезд на ipfw

Re: Наезд на ipfw

Re: Наезд на ipfw

Re: Наезд на ipfw