Прошу вашего внимания IPFW + NATD

[astros]

Приветствую ВСЕХ. Вопрос собственно вот в чём настроил IPFW +NATD хотелось бы узнать вашего мнения чем можно его ещё дополнить, а что убрать вот привожу ipfw list если нужно предоставлю всю инфу если нужно конечно.
Суть стоит маршрутизатор внутри локалка пока из 2 компов (самого роутера и рабочей станции), планируется ставить вебсервер и ещё кучу всякого.
ядро собрано вот как это пока для проверки позже будет пересобираться

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=5
options         IPFIREWALL_FORWARD
options         IPDIVERT
options         DUMMYNET
options         IPFIREWALL_DEFAULT_TO_ACCEPT

вот ipfw list

Код: Выделить всё

00099 allow ip from any to any via lo0
00099 deny ip from any to 127.0.0.0/8
00099 deny ip from 127.0.0.0/8 to any
10109 deny ip from 192.168.1.0/24 to any in via re0
10110 deny ip from 83.234.14.127 to any in via re0
10120 deny tcp from any to 83.234.14.127 in via re0 setup
10130 deny ip from any to 10.0.0.0/8 via re0
10131 deny ip from any to 172.16.0.0/12 via re0
10132 deny ip from any to 192.168.0.0/16 via re0
10140 deny ip from any to 0.0.0.0/8 via re0
10141 deny ip from any to 169.254.0.0/16 via re0
10142 deny ip from any to 192.0.2.0/24 via re0
10143 deny ip from any to 224.0.0.0/4 via re0
10144 deny ip from any to 240.0.0.0/4 via re0
10150 deny ip from any to 255.255.255.255 via re0
10151 deny ip from any to 224.0.0.0/24 in via re0
10152 deny ip from not 192.168.1.0/24 to any in recv re0
10160 deny icmp from any to any frag
10170 deny log logamount 5 icmp from any to 255.255.255.255 in via re0
10171 deny log logamount 5 icmp from any to 255.255.255.255 out via re0
11910 allow ip from 192.168.1.1 to 192.168.1.0/24 out via re1
11910 allow ip from 192.168.1.0/24 to 192.168.1.1 in via re1
11920 allow ip from any 5190 to any out via re1
11920 allow ip from any to any dst-port 5190 in via re1
11930 allow tcp from any 48616 to any out via re1
11930 allow tcp from any to any dst-port 48616 in via re1
11931 allow udp from any 48616 to any out via re1
11931 allow udp from any to any dst-port 48616 in via re1
11940 allow ip from any 80 to any out via re1
11940 allow ip from any to any dst-port 80 in via re1
11941 allow ip from any 443 to any out via re1
11941 allow ip from any to any dst-port 443 in via re1
11950 allow ip from any 110 to any out via re1
11950 allow ip from any to any dst-port 110 in via re1
11951 allow ip from any 25 to any out via re1
11951 allow ip from any to any dst-port 25 in via re1
11960 allow tcp from any 21 to any out via re1
11960 allow tcp from any to any dst-port 21 in via re1
11961 allow tcp from any 20 to any out via re1
11961 allow tcp from any to any dst-port 20 in via re1
11970 allow icmp from any to any icmptypes 0,8,11 out via re1
11980 allow tcp from any 3724,6112,6881-6999 to any out via re1
11980 allow tcp from any to any dst-port 3724,6112,6881-6999 in via re1
12501 divert 8668 ip from any to 83.234.14.127
12501 divert 8668 ip from 192.168.1.0/24 to any
65535 allow ip from any to any

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

вобщем то я к примеру диверты ставил вначале
но у меня другой подход к построению фаервола

у вас политика - открывает для каждого пакета по правилу
у меня - открываю все что комне и разрешаю токо то что надо от меня

совет
найдите и почитайте, где то о политиках построения фаревола
и сами поймете где там что можно убрать или дополнить
хотя можно и вообще переписать

[alex3]

Код: Выделить всё

00099 allow ip from any to any via lo0
00099 deny ip from any to 127.0.0.0/8
00099 deny ip from 127.0.0.0/8 to any

мне это нравится.... никакой предопределенности

[astros]

вобщем то я к примеру диверты ставил вначале
но у меня другой подход к построению фаервола

у вас политика - открывает для каждого пакета по правилу
у меня - открываю все что комне и разрешаю токо то что надо от меня

совет
найдите и почитайте, где то о политиках построения фаревола
и сами поймете где там что можно убрать или дополнить
хотя можно и вообще переписать

хотите я вам покажу какой у меня принцип действия IPFW потом думаю вы поймёте что и как.?

[astros]

Код: Выделить всё

00099 allow ip from any to any via lo0
00099 deny ip from any to 127.0.0.0/8
00099 deny ip from 127.0.0.0/8 to any

мне это нравится.... никакой предопределенности

А что собственно не нравиться почти везде во всех фаерволах эта тема есть думаю без неё не обойтись тоже

[paradox]

хотите я вам покажу какой у меня принцип действия IPFW потом думаю вы поймёте что и как.?

та я впринципе и так вижу

[astros]

хотите я вам покажу какой у меня принцип действия IPFW потом думаю вы поймёте что и как.?

та я впринципе и так вижу

Хм конечно видите разве кто спорит но он устроен не так и вам кажеться что диверт находиться в низу а на самом деле оно не так

[paradox]

Хм конечно видите разве кто спорит но он устроен не так и вам кажеться что диверт находиться в низу а на самом деле оно не так

я ж говорю все зависит от построения
я не говороил что в вашем случае нужно обязательно поставить вверх

А что собственно не нравиться почти везде во всех фаерволах эта тема есть думаю без неё не обойтись тоже

он имел ввиду что те пару правил составлены грамотно и однозначно) (еще бы базово в системе)

[astros]

Хм конечно видите разве кто спорит но он устроен не так и вам кажеться что диверт находиться в низу а на самом деле оно не так

я ж говорю все зависит от построения
я не говороил что в вашем случае нужно обязательно поставить вверх

А что собственно не нравиться почти везде во всех фаерволах эта тема есть думаю без неё не обойтись тоже

он имел ввиду что те пару правил составлены грамотно и однозначно) (еще бы базово в системе)

вот собственно я и хотел что бы вы посмотрели и сказали так или не так что бы убедиться мне самому что я иду в правильном направлении или же нужно направление изменить и т.д. Вылаживаю сам IPFW

Код: Выделить всё

#!/bin/sh

#разрешаем задать путь к ipfw
if [ -n "${2}" ]; then
  fwcmd=${2}
else

  fwcmd="/sbin/ipfw"
fi

workDir="/etc/firewall/"

# удаляем все правила, пайпы, очереди
 ${fwcmd} -f flush
 ${fwcmd} -f pipe flush
 ${fwcmd} -f queue flush

 ${fwcmd} add 99 pass all from any to any via lo0
 ${fwcmd} add 99 deny all from any to 127.0.0.0/8
 ${fwcmd} add 99 deny ip from 127.0.0.0/8 to any

# Интерфейс re0 (смотрит на провайдера) имеет нумерацию на 10000, поэтому num = 10
 num=10
 . $workDir/f_re0
# Интерфейс re1 (смотрит в локаль) имеет нумерацию на 11000, поэтому num = 11
 num=11
 . $workDir/f_re1
# Интерфейс tun0 имеет нумерацию на 12000, поэтому num = 12
 num=12
 . $workDir/f_tun0

# Статистика перезапуска файрвола
echo `date` >> /etc/reboot

вот скрипт f_re0

Код: Выделить всё

#!/bin/sh

iface="re0"

#хх101 - хх199 блокируем весь нежелательный трафик здесь.
# Stop spoofing
 ${fwcmd} add ${num}109 deny all from 192.168.1.0/24 to any in via ${iface}
 ${fwcmd} add ${num}110 deny all from ххх.ххх.ххх.ххх to any in via ${iface}
# Незнаю как это назвать но пусть будет
 ${fwcmd} add ${num}120 deny tcp from any to ххх.ххх.ххх.ххх in via ${iface} tcpflags syn,!ack
# Stop RFC1918 nets on the outside interface
 ${fwcmd} add ${num}130 deny all from any to 10.0.0.0/8 via ${iface}
 ${fwcmd} add ${num}131 deny all from any to 172.16.0.0/12 via ${iface}
 ${fwcmd} add ${num}132 deny all from any to 192.168.0.0/16 via ${iface}
# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E), on the outside interface
 ${fwcmd} add ${num}140 deny all from any to 0.0.0.0/8 via ${iface}
 ${fwcmd} add ${num}141 deny all from any to 169.254.0.0/16 via ${iface}
 ${fwcmd} add ${num}142 deny all from any to 192.0.2.0/24 via ${iface}
 ${fwcmd} add ${num}143 deny all from any to 224.0.0.0/4 via ${iface}
 ${fwcmd} add ${num}144 deny all from any to 240.0.0.0/4 via ${iface}
# Broadcasts and muticasts
 ${fwcmd} add ${num}150 deny ip from any to 255.255.255.255 via ${iface}
 ${fwcmd} add ${num}151 deny ip from any to 224.0.0.0/24 in via ${iface}
# Если не наша четь всё дропаем без исключения
 ${fwcmd} add ${num}152 deny ip from not 192.168.1.0/24 to any in recv ${iface}
# Запрещаем прохождение фрагментированных пакетов
 ${fwcmd} add ${num}160 deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
 ${fwcmd} add ${num}170 deny log icmp from any to 255.255.255.255 in via ${iface}
 ${fwcmd} add ${num}171 deny log icmp from any to 255.255.255.255 out via ${iface}

вот скрипт f_re1

Код: Выделить всё

#!/bin/sh

iface="re1"

# Разрешаем весь траффик внутри локалки (на внутреннем интерфейсе)
 ${fwcmd} add ${num}910 allow ip from 192.168.1.1 to 192.168.1.0/24 out via ${iface}
 ${fwcmd} add ${num}910 allow ip from 192.168.1.0/24 to 192.168.1.1 in via ${iface}
# Разрешаем ICQ.
 ${fwcmd} add ${num}920 pass ip from any 5190 to any out via ${iface}
 ${fwcmd} add ${num}920 pass ip from any to any 5190 in via ${iface}
# Разрешаем mTorrent.
 ${fwcmd} add ${num}930 pass tcp from any 48616 to any out via ${iface}
 ${fwcmd} add ${num}930 pass tcp from any to any 48616 in via ${iface}
 ${fwcmd} add ${num}931 pass udp from any 48616 to any out via ${iface}
 ${fwcmd} add ${num}931 pass udp from any to any 48616 in via ${iface}
# Разрешаем http,https
 ${fwcmd} add ${num}940 allow ip from any 80 to any out via ${iface}
 ${fwcmd} add ${num}940 allow ip from any to any 80 in via ${iface}
 ${fwcmd} add ${num}941 allow ip from any 443 to any out via ${iface}
 ${fwcmd} add ${num}941 allow ip from any to any 443 in via ${iface}
# Разрешаем mail
 ${fwcmd} add ${num}950 allow ip from any 110 to any out via ${iface}
 ${fwcmd} add ${num}950 allow ip from any to any 110 in via ${iface}
 ${fwcmd} add ${num}951 allow ip from any 25 to any out via ${iface}
 ${fwcmd} add ${num}951 allow ip from any to any 25 in via ${iface}
# Разрешаем FTP
# Разрешаем работу с FTP серверами. Обратите внимание что 20 порт протокола TCP используется для передачи данных, помимо 21 порта.
 ${fwcmd} add ${num}960 pass tcp from any 21 to any out via ${iface}
 ${fwcmd} add ${num}960 pass tcp from any to any 21 in via ${iface}
 ${fwcmd} add ${num}961 pass tcp from any 20 to any out via ${iface}
 ${fwcmd} add ${num}961 pass tcp from any to any 20 in via ${iface}
# разрешаем некоторые типы ICMP траффика - эхо-запрос.Эхо-ответ и время жизни пакета истекло
 ${fwcmd} add ${num}970 allow icmp from any to any icmptypes 0,8,11 out via ${iface}
# Разрешаем WOW
 ${fwcmd} add ${num}980 allow tcp from any 3724,6112,6881-6999 to any out via ${iface}
 ${fwcmd} add ${num}980 allow tcp from any to any 3724,6112,6881-6999 in via ${iface}

Вот скрипт f_tun0

Код: Выделить всё

#!/bin/sh

iface="tun0"

#хх501 - хх599 дивертим входящий/исходящий трафик тут.
 ${fwcmd} add ${num}501 divert natd ip from any to ххх.ххх.ххх.ххх
 ${fwcmd} add ${num}501 divert natd ip from 192.168.1.0/24 to any

[alex3]

А что собственно не нравиться почти везде во всех фаерволах эта тема есть думаю без неё не обойтись тоже

мне не нравятся одинаковые номера у правил

[Гость]

А что собственно не нравиться почти везде во всех фаерволах эта тема есть думаю без неё не обойтись тоже

мне не нравятся одинаковые номера у правил

А я что то не заметил одинаковые правила помоему там есть различие. Поконкретней желательно с доводами, а то мне тоже много чего не нравиться я же не говорю

[paradox]

номера у них одинаковые 99

[astros]

номера у них одинаковые 99

не ну это не проблема это же можно исправить я же спрашиваю не про это. Если нужно будет позже исправлю номера сделаю разные. Я имею ввиду что ещё нужно добавить или убрать и тому подобное.

[paradox]

я бы все поупрощал
я уже сказал
есть такая политика
все что к нам по всем интерфейсам разрешаем
а делаем правила токо на то что уходит от нас

фаерволу будет легче отработать при больших нагрузках

что касаеться досатак(если будут вопросы почему открываем все к нам)
то это уже другая история

[astros]

я бы все поупрощал
я уже сказал
есть такая политика
все что к нам по всем интерфейсам разрешаем
а делаем правила токо на то что уходит от нас

фаерволу будет легче отработать при больших нагрузках

что касаеться досатак(если будут вопросы почему открываем все к нам)
то это уже другая история

Если можно поподробней на эту тему

[astros]

Покажи на примере если можно

[paradox]

ты делаешь по два правила на входящий пакет и на исходящий
смысл?

открываешь все что приходит к тебе по интерфейсам
и оставляешь правила токо на исходящие пакеты

[astros]

ты делаешь по два правила на входящий пакет и на исходящий
смысл?

открываешь все что приходит к тебе по интерфейсам
и оставляешь правила токо на исходящие пакеты

Извени но не могу понять пример напишу если что поправишь
Как было

Код: Выделить всё

# Разрешаем весь траффик внутри локалки (на внутреннем интерфейсе)
 ${fwcmd} add ${num}910 allow ip from 192.168.1.1 to 192.168.1.0/24 out via ${iface}
 ${fwcmd} add ${num}910 allow ip from 192.168.1.0/24 to 192.168.1.1 in via ${iface}
# Разрешаем ICQ.
 ${fwcmd} add ${num}920 pass ip from any 5190 to any out via ${iface}
 ${fwcmd} add ${num}920 pass ip from any to any 5190 in via ${iface}

Напиши как должно быть если не трудно

[paradox]

Код: Выделить всё

${fwcmd} add ${num}910 allow ip from 192.168.1.1 to 192.168.1.0/24 out via ${iface}
//какой смысл разрешать входящий пакет?
-${fwcmd} add ${num}910 allow ip from 192.168.1.0/24 to 192.168.1.1 in via ${iface}

${fwcmd} add ${num}920 pass ip from any 5190 to any out via ${iface}
//какой смысл разрешать входящий пакет?
-${fwcmd} add ${num}920 pass ip from any to any 5190 in via ${iface} 

//если можно разрешить все входящие пакеты ибо все равно сессия установиться когда мы разрешим пакет от нас
// а пакеты от нас это 910 920
+${fwcmd} add ${num}930 pass ip from any to any  in via ${iface}

грубо говоря так
но общий смысл такой что нужно переделывать весь фаервол

если
ты неможешь понять мою идею
я немогу тебе ее обьяснить)
попробуй понять сам

когда эту концепцию поймешь
можно будет еще больше упросить заюзав check-state/keep-state

[astros]

Код: Выделить всё

${fwcmd} add ${num}910 allow ip from 192.168.1.1 to 192.168.1.0/24 out via ${iface}
//какой смысл разрешать входящий пакет?
-${fwcmd} add ${num}910 allow ip from 192.168.1.0/24 to 192.168.1.1 in via ${iface}

${fwcmd} add ${num}920 pass ip from any 5190 to any out via ${iface}
//какой смысл разрешать входящий пакет?
-${fwcmd} add ${num}920 pass ip from any to any 5190 in via ${iface} 

//если можно разрешить все входящие пакеты ибо все равно сессия установиться когда мы разрешим пакет от нас
// а пакеты от нас это 910 920
+${fwcmd} add ${num}930 pass ip from any to any  in via ${iface}

грубо говоря так
но общий смысл такой что нужно переделывать весь фаервол

если
ты неможешь понять мою идею
я немогу тебе ее обьяснить)
попробуй понять сам

когда эту концепцию поймешь
можно будет еще больше упросить заюзав check-state/keep-state

Мне понятно что хотишь ты до меня донести ясно тогда будем перелопачивать фаер не беда. Спасибо

[paradox]

правила которые обычно не меняються с момента написания фаера
это разрешения всех входящих(то что обговорили выше)
диверты и прочее
ставят вначале

а то что будет добавляться меняться соответсвенно под конец фаера
предпоследнее правило перед deny all
это logamount 0
что бы видеть в логе все пакеты что отбиваються итд
лог лучше заротейтить сразу в правильный период(выставить в сислог сонф)

что бы вслучае его
знать что можно еще разрешить на исход от тебя

[astros]

правила которые обычно не меняються с момента написания фаера
это разрешения всех входящих(то что обговорили выше)
диверты и прочее
ставят вначале

а то что будет добавляться меняться соответсвенно под конец фаера
предпоследнее правило перед deny all
это logamount 0
что бы видеть в логе все пакеты что отбиваються итд
лог лучше заротейтить сразу в правильный период(выставить в сислог сонф)

что бы вслучае его
знать что можно еще разрешить на исход от тебя

Спасибо сейчас и займусь эти проверю как ты говоришь, позже отпишусь что и как. Но вот вопрос мне сейчас нужно ядро пересорать что бы было deny all или это лучше сделать уже после настройки самого фаера?

[paradox]

Код: Выделить всё

options         IPFIREWALL_DEFAULT_TO_ACCEPT

я бы оставил
так делают все админы которые админять удаленные сервера

[astros]

Код: Выделить всё

options         IPFIREWALL_DEFAULT_TO_ACCEPT

я бы оставил
так делают все админы которые админять удаленные сервера

Ок ладно ещё раз спасибо сча переделаем.

[astros]

правила которые обычно не меняються с момента написания фаера
это разрешения всех входящих(то что обговорили выше)
диверты и прочее
ставят вначале

а то что будет добавляться меняться соответсвенно под конец фаера
предпоследнее правило перед deny all
это logamount 0
что бы видеть в логе все пакеты что отбиваються итд
лог лучше заротейтить сразу в правильный период(выставить в сислог сонф)

что бы вслучае его
знать что можно еще разрешить на исход от тебя

Спасибо сейчас и займусь эти проверю как ты говоришь, позже отпишусь что и как. Но вот вопрос мне сейчас нужно ядро пересорать что бы было deny all или это лучше сделать уже после настройки самого фаера?

Нашёл статейку и думаю как раз про это очем ты говорил или я ошибаюсь http://www.freebsd-howto.com/HOWTO/old/ ... O.20020718