Перейти до

Ipfw Help !!!


Рекомендованные сообщения

Помогите советом !!!

Есть сервак-шлюз в инет на freebsd 6.4

Ядро собирал без опции: IPFIREWALL_DEFAULT_TO_ACCEPT

Все работает , но есть сомнения в правильности всех правил ipfw (в плане безопастности):

Вот конфиг:

 

sbin/ipfw -f flush

/sbin/ipfw add 100 check-state

/sbin/ipfw add 200 allow ip from any to any via lo0

/sbin/ipfw add 300 divert natd ip from 10.10.10.0/24 to any via rl1

/sbin/ipfw add 400 divert natd ip from any to me via rl1

/sbin/ipfw add 500 allow ip from any to any

 

На opennet.net - уже все облазил ...... туда плиз не посылать .....

Посоветуйте плиз конекреиными советами по моему конфигу .....

Ссылка на сообщение
Поделиться на других сайтах
Так а в чем проблема-то?

Озвучь пожалуйста.

Мне не нравиться правило

/sbin/ipfw add 500 allow ip from any to any

я им по сути все и всем на всех интерфейсах разрешаю, я без него ничего не пашет ......

Ссылка на сообщение
Поделиться на других сайтах
Мне не нравиться правило

/sbin/ipfw add 500 allow ip from any to any

я им по сути все и всем на всех интерфейсах разрешаю, я без него ничего не пашет ......

ну а в чем проблема?

какая задача стоит?

Ссылка на сообщение
Поделиться на других сайтах

Не являеться ли такая конфигурация фаера "дырявой" ???

Сервак имеет реальный IP-шник и смотрит в инет ......,

просто сколько читал доков в нете, там везде:

вот мы закрываем это и это от злобных хакеров, это окрываем, это прикрываем .......

а у меня просто nat и все .....

Вот немного видоизменил конфиг фаера, номера правил с 104 по 199 зарезервировал под динамические правила пайпов и добавил 201-е запрещающее

sbin/ipfw -f flush

sbin/ipfw -f pipe flush

/sbin/ipfw add 100 check-state

/sbin/ipfw add 101 allow ip from any to any via lo0

/sbin/ipfw add 102 divert natd ip from 10.10.10.0/24 to any via rl1

/sbin/ipfw add 103 divert natd ip from any to me via rl1

/sbin/ipfw add 200 allow ip from any to any

/sbin/ipfw add 201 deny ip from any to any

 

Ядро собрано, что все по умолчанию запрещено.

Ссылка на сообщение
Поделиться на других сайтах
Не являеться ли такая конфигурация фаера "дырявой" ???

Сервак имеет реальный IP-шник и смотрит в инет ......,

просто сколько читал доков в нете, там везде:

вот мы закрываем это и это от злобных хакеров, это окрываем, это прикрываем .......

а у меня просто nat и все .....

Вот немного видоизменил конфиг фаера, номера правил с 104 по 199 зарезервировал под динамические правила пайпов и добавил 201-е запрещающее

sbin/ipfw -f flush

sbin/ipfw -f pipe flush

/sbin/ipfw add 100 check-state

/sbin/ipfw add 101 allow ip from any to any via lo0

/sbin/ipfw add 102 divert natd ip from 10.10.10.0/24 to any via rl1

/sbin/ipfw add 103 divert natd ip from any to me via rl1

/sbin/ipfw add 200 allow ip from any to any

/sbin/ipfw add 201 deny ip from any to any

 

Ядро собрано, что все по умолчанию запрещено.

гы

 

если ты посмотришь ipfw show, то увидишь, что ни один пакет не попадет в правило 201

все пакеты закончатся на правиле 200

Ссылка на сообщение
Поделиться на других сайтах
гы

 

если ты посмотришь ipfw show, то увидишь, что ни один пакет не попадет в правило 201

все пакеты закончатся на правиле 200

да в 201 не попадают, но попадают в 65535

00100 0 0 check-state

00101 472 53422 allow ip from any to any via lo0

00102 5737 1993055 divert 8668 ip from 10.10.10.0/24 to any via rl1

00103 9067 8452766 divert 8668 ip from any to me via rl1

00105 2324 486954 pipe 105 ip from any to any via tun0 in

00106 3021 2907182 pipe 106 ip from any to any via tun0 out

00200 2004510 2706197173 allow ip from any to any

65535 47 63732 deny ip from any to any

 

Вот и хочу что бы фаер был грамотно настроеным, своих знаний пока не хватает ... ......... ......

Ссылка на сообщение
Поделиться на других сайтах
да в 201 не попадают, но попадают в 65535

не попадут и туда

пакеты попадут под действие первого же правила (с меньшим номером), под критерии которого подходит пакет

Ссылка на сообщение
Поделиться на других сайтах
не попадут и туда

пакеты попадут под действие первого же правила (с меньшим номером), под критерии которого подходит пакет

согласен, и как быть ? как грамотно изменить фаер ?

Ссылка на сообщение
Поделиться на других сайтах
а что ты хочешь получить в итоге?

 

p.s. natd - не самый лучший способ натить ;)

хочу иметь защищенный сервак от внешних атак .......

Ссылка на сообщение
Поделиться на других сайтах
Что есть лучше под фрю, по-твоему ?

у 7-ки появился kernel nat

у 6-ки можно pf nat использовать

а natd работает в юзерленде, поэтому кушает ресурсы хорошо

Ссылка на сообщение
Поделиться на других сайтах
у 7-ки появился kernel nat

у 6-ки можно pf nat использовать

а natd работает в юзерленде, поэтому кушает ресурсы хорошо

У меня стоит фря 6.4 с биллингом абилс, где идет шейпрование клиентов через пайпы ipfw.

Ссылка на сообщение
Поделиться на других сайтах

по идее биллинг должен формировать правила фаервола , да и в документации к биллингу должно хоть немного описано построение правил фаервола ( какое правило и для чего)

natd -лучше убери и посмотри в сторону pf_nat , работает гораздо быстрее

Ссылка на сообщение
Поделиться на других сайтах
по идее биллинг должен формировать правила фаервола , да и в документации к биллингу должно хоть немного описано построение правил фаервола ( какое правило и для чего)

natd -лучше убери и посмотри в сторону pf_nat , работает гораздо быстрее

Биллинг форимрует только правила пайпов, перейти на pf немогу билинг привязан к ipfw.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...