kvirtu 315 Posted 2009-02-27 17:55:47 Share Posted 2009-02-27 17:55:47 Помогите советом !!! Есть сервак-шлюз в инет на freebsd 6.4 Ядро собирал без опции: IPFIREWALL_DEFAULT_TO_ACCEPT Все работает , но есть сомнения в правильности всех правил ipfw (в плане безопастности): Вот конфиг: sbin/ipfw -f flush /sbin/ipfw add 100 check-state /sbin/ipfw add 200 allow ip from any to any via lo0 /sbin/ipfw add 300 divert natd ip from 10.10.10.0/24 to any via rl1 /sbin/ipfw add 400 divert natd ip from any to me via rl1 /sbin/ipfw add 500 allow ip from any to any На opennet.net - уже все облазил ...... туда плиз не посылать ..... Посоветуйте плиз конекреиными советами по моему конфигу ..... Link to post Share on other sites
Sanito 129 Posted 2009-02-27 18:20:19 Share Posted 2009-02-27 18:20:19 Так а в чем проблема-то? Озвучь пожалуйста. Link to post Share on other sites
kvirtu 315 Posted 2009-02-27 20:11:12 Author Share Posted 2009-02-27 20:11:12 Так а в чем проблема-то?Озвучь пожалуйста. Мне не нравиться правило /sbin/ipfw add 500 allow ip from any to any я им по сути все и всем на всех интерфейсах разрешаю, я без него ничего не пашет ...... Link to post Share on other sites
911 140 Posted 2009-02-28 08:09:34 Share Posted 2009-02-28 08:09:34 Мне не нравиться правило /sbin/ipfw add 500 allow ip from any to any я им по сути все и всем на всех интерфейсах разрешаю, я без него ничего не пашет ...... ну а в чем проблема? какая задача стоит? Link to post Share on other sites
kvirtu 315 Posted 2009-02-28 08:19:29 Author Share Posted 2009-02-28 08:19:29 Не являеться ли такая конфигурация фаера "дырявой" ??? Сервак имеет реальный IP-шник и смотрит в инет ......, просто сколько читал доков в нете, там везде: вот мы закрываем это и это от злобных хакеров, это окрываем, это прикрываем ....... а у меня просто nat и все ..... Вот немного видоизменил конфиг фаера, номера правил с 104 по 199 зарезервировал под динамические правила пайпов и добавил 201-е запрещающее sbin/ipfw -f flush sbin/ipfw -f pipe flush /sbin/ipfw add 100 check-state /sbin/ipfw add 101 allow ip from any to any via lo0 /sbin/ipfw add 102 divert natd ip from 10.10.10.0/24 to any via rl1 /sbin/ipfw add 103 divert natd ip from any to me via rl1 /sbin/ipfw add 200 allow ip from any to any /sbin/ipfw add 201 deny ip from any to any Ядро собрано, что все по умолчанию запрещено. Link to post Share on other sites
911 140 Posted 2009-02-28 09:24:02 Share Posted 2009-02-28 09:24:02 Не являеться ли такая конфигурация фаера "дырявой" ???Сервак имеет реальный IP-шник и смотрит в инет ......, просто сколько читал доков в нете, там везде: вот мы закрываем это и это от злобных хакеров, это окрываем, это прикрываем ....... а у меня просто nat и все ..... Вот немного видоизменил конфиг фаера, номера правил с 104 по 199 зарезервировал под динамические правила пайпов и добавил 201-е запрещающее sbin/ipfw -f flush sbin/ipfw -f pipe flush /sbin/ipfw add 100 check-state /sbin/ipfw add 101 allow ip from any to any via lo0 /sbin/ipfw add 102 divert natd ip from 10.10.10.0/24 to any via rl1 /sbin/ipfw add 103 divert natd ip from any to me via rl1 /sbin/ipfw add 200 allow ip from any to any /sbin/ipfw add 201 deny ip from any to any Ядро собрано, что все по умолчанию запрещено. гы если ты посмотришь ipfw show, то увидишь, что ни один пакет не попадет в правило 201 все пакеты закончатся на правиле 200 Link to post Share on other sites
kvirtu 315 Posted 2009-02-28 09:40:57 Author Share Posted 2009-02-28 09:40:57 гы если ты посмотришь ipfw show, то увидишь, что ни один пакет не попадет в правило 201 все пакеты закончатся на правиле 200 да в 201 не попадают, но попадают в 65535 00100 0 0 check-state 00101 472 53422 allow ip from any to any via lo0 00102 5737 1993055 divert 8668 ip from 10.10.10.0/24 to any via rl1 00103 9067 8452766 divert 8668 ip from any to me via rl1 00105 2324 486954 pipe 105 ip from any to any via tun0 in 00106 3021 2907182 pipe 106 ip from any to any via tun0 out 00200 2004510 2706197173 allow ip from any to any 65535 47 63732 deny ip from any to any Вот и хочу что бы фаер был грамотно настроеным, своих знаний пока не хватает ... ......... ...... Link to post Share on other sites
911 140 Posted 2009-02-28 09:58:28 Share Posted 2009-02-28 09:58:28 да в 201 не попадают, но попадают в 65535 не попадут и туда пакеты попадут под действие первого же правила (с меньшим номером), под критерии которого подходит пакет Link to post Share on other sites
kvirtu 315 Posted 2009-02-28 10:14:12 Author Share Posted 2009-02-28 10:14:12 не попадут и тудапакеты попадут под действие первого же правила (с меньшим номером), под критерии которого подходит пакет согласен, и как быть ? как грамотно изменить фаер ? Link to post Share on other sites
911 140 Posted 2009-02-28 10:36:31 Share Posted 2009-02-28 10:36:31 согласен, и как быть ? как грамотно изменить фаер ? а что ты хочешь получить в итоге? p.s. natd - не самый лучший способ натить Link to post Share on other sites
kvirtu 315 Posted 2009-02-28 10:40:45 Author Share Posted 2009-02-28 10:40:45 а что ты хочешь получить в итоге? p.s. natd - не самый лучший способ натить хочу иметь защищенный сервак от внешних атак ....... Link to post Share on other sites
Lambert 5 Posted 2009-02-28 13:27:08 Share Posted 2009-02-28 13:27:08 p.s. natd - не самый лучший способ натить Что есть лучше под фрю, по-твоему ? Link to post Share on other sites
911 140 Posted 2009-02-28 13:31:31 Share Posted 2009-02-28 13:31:31 Что есть лучше под фрю, по-твоему ? у 7-ки появился kernel nat у 6-ки можно pf nat использовать а natd работает в юзерленде, поэтому кушает ресурсы хорошо Link to post Share on other sites
kvirtu 315 Posted 2009-03-01 19:22:25 Author Share Posted 2009-03-01 19:22:25 у 7-ки появился kernel natу 6-ки можно pf nat использовать а natd работает в юзерленде, поэтому кушает ресурсы хорошо У меня стоит фря 6.4 с биллингом абилс, где идет шейпрование клиентов через пайпы ipfw. Link to post Share on other sites
Amasis 0 Posted 2009-03-02 02:11:25 Share Posted 2009-03-02 02:11:25 по идее биллинг должен формировать правила фаервола , да и в документации к биллингу должно хоть немного описано построение правил фаервола ( какое правило и для чего) natd -лучше убери и посмотри в сторону pf_nat , работает гораздо быстрее Link to post Share on other sites
kvirtu 315 Posted 2009-03-02 08:29:56 Author Share Posted 2009-03-02 08:29:56 по идее биллинг должен формировать правила фаервола , да и в документации к биллингу должно хоть немного описано построение правил фаервола ( какое правило и для чего) natd -лучше убери и посмотри в сторону pf_nat , работает гораздо быстрее Биллинг форимрует только правила пайпов, перейти на pf немогу билинг привязан к ipfw. Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now