Ipfw Help !!!

kvirtu · 27 лютого, 2009

Помогите советом !!!

Есть сервак-шлюз в инет на freebsd 6.4

Ядро собирал без опции: IPFIREWALL_DEFAULT_TO_ACCEPT

Все работает , но есть сомнения в правильности всех правил ipfw (в плане безопастности):

Вот конфиг:

sbin/ipfw -f flush

/sbin/ipfw add 100 check-state

/sbin/ipfw add 200 allow ip from any to any via lo0

/sbin/ipfw add 300 divert natd ip from 10.10.10.0/24 to any via rl1

/sbin/ipfw add 400 divert natd ip from any to me via rl1

/sbin/ipfw add 500 allow ip from any to any

На opennet.net - уже все облазил ...... туда плиз не посылать .....

Посоветуйте плиз конекреиными советами по моему конфигу .....

Sanito · 27 лютого, 2009

Так а в чем проблема-то?

Озвучь пожалуйста.

kvirtu · 27 лютого, 2009

Так а в чем проблема-то?
Озвучь пожалуйста.

Мне не нравиться правило

/sbin/ipfw add 500 allow ip from any to any

я им по сути все и всем на всех интерфейсах разрешаю, я без него ничего не пашет ......

2,2k · 28 лютого, 2009

Мне не нравиться правило
/sbin/ipfw add 500 allow ip from any to any

я им по сути все и всем на всех интерфейсах разрешаю, я без него ничего не пашет ......

ну а в чем проблема?

какая задача стоит?

kvirtu · 28 лютого, 2009

Не являеться ли такая конфигурация фаера "дырявой" ???

Сервак имеет реальный IP-шник и смотрит в инет ......,

просто сколько читал доков в нете, там везде:

вот мы закрываем это и это от злобных хакеров, это окрываем, это прикрываем .......

а у меня просто nat и все .....

Вот немного видоизменил конфиг фаера, номера правил с 104 по 199 зарезервировал под динамические правила пайпов и добавил 201-е запрещающее

sbin/ipfw -f flush

sbin/ipfw -f pipe flush

/sbin/ipfw add 100 check-state

/sbin/ipfw add 101 allow ip from any to any via lo0

/sbin/ipfw add 102 divert natd ip from 10.10.10.0/24 to any via rl1

/sbin/ipfw add 103 divert natd ip from any to me via rl1

/sbin/ipfw add 200 allow ip from any to any

/sbin/ipfw add 201 deny ip from any to any

Ядро собрано, что все по умолчанию запрещено.

2,2k · 28 лютого, 2009

Не являеться ли такая конфигурация фаера "дырявой" ???
Сервак имеет реальный IP-шник и смотрит в инет ......,

просто сколько читал доков в нете, там везде:

вот мы закрываем это и это от злобных хакеров, это окрываем, это прикрываем .......

а у меня просто nat и все .....

Вот немного видоизменил конфиг фаера, номера правил с 104 по 199 зарезервировал под динамические правила пайпов и добавил 201-е запрещающее

sbin/ipfw -f flush

sbin/ipfw -f pipe flush

/sbin/ipfw add 100 check-state

/sbin/ipfw add 101 allow ip from any to any via lo0

/sbin/ipfw add 102 divert natd ip from 10.10.10.0/24 to any via rl1

/sbin/ipfw add 103 divert natd ip from any to me via rl1

/sbin/ipfw add 200 allow ip from any to any

/sbin/ipfw add 201 deny ip from any to any

Ядро собрано, что все по умолчанию запрещено.

гы

если ты посмотришь ipfw show, то увидишь, что ни один пакет не попадет в правило 201

все пакеты закончатся на правиле 200

kvirtu · 28 лютого, 2009

гы

если ты посмотришь ipfw show, то увидишь, что ни один пакет не попадет в правило 201

все пакеты закончатся на правиле 200

да в 201 не попадают, но попадают в 65535

00100 0 0 check-state

00101 472 53422 allow ip from any to any via lo0

00102 5737 1993055 divert 8668 ip from 10.10.10.0/24 to any via rl1

00103 9067 8452766 divert 8668 ip from any to me via rl1

00105 2324 486954 pipe 105 ip from any to any via tun0 in

00106 3021 2907182 pipe 106 ip from any to any via tun0 out

00200 2004510 2706197173 allow ip from any to any

65535 47 63732 deny ip from any to any

Вот и хочу что бы фаер был грамотно настроеным, своих знаний пока не хватает ... ......... ......

2,2k · 28 лютого, 2009

да в 201 не попадают, но попадают в 65535

не попадут и туда

пакеты попадут под действие первого же правила (с меньшим номером), под критерии которого подходит пакет

kvirtu · 28 лютого, 2009

не попадут и туда
пакеты попадут под действие первого же правила (с меньшим номером), под критерии которого подходит пакет

согласен, и как быть ? как грамотно изменить фаер ?

2,2k · 28 лютого, 2009

согласен, и как быть ? как грамотно изменить фаер ?

а что ты хочешь получить в итоге?

p.s. natd - не самый лучший способ натить

kvirtu · 28 лютого, 2009

а что ты хочешь получить в итоге?

p.s. natd - не самый лучший способ натить

хочу иметь защищенный сервак от внешних атак .......

Lambert · 28 лютого, 2009

p.s. natd - не самый лучший способ натить

Что есть лучше под фрю, по-твоему ?

2,2k · 28 лютого, 2009

Что есть лучше под фрю, по-твоему ?

у 7-ки появился kernel nat

у 6-ки можно pf nat использовать

а natd работает в юзерленде, поэтому кушает ресурсы хорошо

kvirtu · 1 березня, 2009

у 7-ки появился kernel nat
у 6-ки можно pf nat использовать

а natd работает в юзерленде, поэтому кушает ресурсы хорошо

У меня стоит фря 6.4 с биллингом абилс, где идет шейпрование клиентов через пайпы ipfw.

Amasis · 2 березня, 2009

по идее биллинг должен формировать правила фаервола , да и в документации к биллингу должно хоть немного описано построение правил фаервола ( какое правило и для чего)

natd -лучше убери и посмотри в сторону pf_nat , работает гораздо быстрее

kvirtu · 2 березня, 2009

по идее биллинг должен формировать правила фаервола , да и в документации к биллингу должно хоть немного описано построение правил фаервола ( какое правило и для чего)
natd -лучше убери и посмотри в сторону pf_nat , работает гораздо быстрее

Биллинг форимрует только правила пайпов, перейти на pf немогу билинг привязан к ipfw.

Увійти

Ipfw Help !!!

Рекомендованные сообщения

kvirtu

Sanito

kvirtu

911

kvirtu

911

kvirtu

911

kvirtu

911

kvirtu

Lambert

911

kvirtu

Amasis

kvirtu

Создайте аккаунт или войдите в него для комментирования

Создать аккаунт

Вхід

Зараз на сторінці 0 користувачів

Спільнота

Активність