kvirtu 315 Опубликовано: 2009-02-27 17:55:47 Share Опубликовано: 2009-02-27 17:55:47 Помогите советом !!! Есть сервак-шлюз в инет на freebsd 6.4 Ядро собирал без опции: IPFIREWALL_DEFAULT_TO_ACCEPT Все работает , но есть сомнения в правильности всех правил ipfw (в плане безопастности): Вот конфиг: sbin/ipfw -f flush /sbin/ipfw add 100 check-state /sbin/ipfw add 200 allow ip from any to any via lo0 /sbin/ipfw add 300 divert natd ip from 10.10.10.0/24 to any via rl1 /sbin/ipfw add 400 divert natd ip from any to me via rl1 /sbin/ipfw add 500 allow ip from any to any На opennet.net - уже все облазил ...... туда плиз не посылать ..... Посоветуйте плиз конекреиными советами по моему конфигу ..... Ссылка на сообщение Поделиться на других сайтах
Sanito 129 Опубліковано: 2009-02-27 18:20:19 Share Опубліковано: 2009-02-27 18:20:19 Так а в чем проблема-то? Озвучь пожалуйста. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2009-02-27 20:11:12 Автор Share Опубліковано: 2009-02-27 20:11:12 Так а в чем проблема-то?Озвучь пожалуйста. Мне не нравиться правило /sbin/ipfw add 500 allow ip from any to any я им по сути все и всем на всех интерфейсах разрешаю, я без него ничего не пашет ...... Ссылка на сообщение Поделиться на других сайтах
911 140 Опубліковано: 2009-02-28 08:09:34 Share Опубліковано: 2009-02-28 08:09:34 Мне не нравиться правило /sbin/ipfw add 500 allow ip from any to any я им по сути все и всем на всех интерфейсах разрешаю, я без него ничего не пашет ...... ну а в чем проблема? какая задача стоит? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2009-02-28 08:19:29 Автор Share Опубліковано: 2009-02-28 08:19:29 Не являеться ли такая конфигурация фаера "дырявой" ??? Сервак имеет реальный IP-шник и смотрит в инет ......, просто сколько читал доков в нете, там везде: вот мы закрываем это и это от злобных хакеров, это окрываем, это прикрываем ....... а у меня просто nat и все ..... Вот немного видоизменил конфиг фаера, номера правил с 104 по 199 зарезервировал под динамические правила пайпов и добавил 201-е запрещающее sbin/ipfw -f flush sbin/ipfw -f pipe flush /sbin/ipfw add 100 check-state /sbin/ipfw add 101 allow ip from any to any via lo0 /sbin/ipfw add 102 divert natd ip from 10.10.10.0/24 to any via rl1 /sbin/ipfw add 103 divert natd ip from any to me via rl1 /sbin/ipfw add 200 allow ip from any to any /sbin/ipfw add 201 deny ip from any to any Ядро собрано, что все по умолчанию запрещено. Ссылка на сообщение Поделиться на других сайтах
911 140 Опубліковано: 2009-02-28 09:24:02 Share Опубліковано: 2009-02-28 09:24:02 Не являеться ли такая конфигурация фаера "дырявой" ???Сервак имеет реальный IP-шник и смотрит в инет ......, просто сколько читал доков в нете, там везде: вот мы закрываем это и это от злобных хакеров, это окрываем, это прикрываем ....... а у меня просто nat и все ..... Вот немного видоизменил конфиг фаера, номера правил с 104 по 199 зарезервировал под динамические правила пайпов и добавил 201-е запрещающее sbin/ipfw -f flush sbin/ipfw -f pipe flush /sbin/ipfw add 100 check-state /sbin/ipfw add 101 allow ip from any to any via lo0 /sbin/ipfw add 102 divert natd ip from 10.10.10.0/24 to any via rl1 /sbin/ipfw add 103 divert natd ip from any to me via rl1 /sbin/ipfw add 200 allow ip from any to any /sbin/ipfw add 201 deny ip from any to any Ядро собрано, что все по умолчанию запрещено. гы если ты посмотришь ipfw show, то увидишь, что ни один пакет не попадет в правило 201 все пакеты закончатся на правиле 200 Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2009-02-28 09:40:57 Автор Share Опубліковано: 2009-02-28 09:40:57 гы если ты посмотришь ipfw show, то увидишь, что ни один пакет не попадет в правило 201 все пакеты закончатся на правиле 200 да в 201 не попадают, но попадают в 65535 00100 0 0 check-state 00101 472 53422 allow ip from any to any via lo0 00102 5737 1993055 divert 8668 ip from 10.10.10.0/24 to any via rl1 00103 9067 8452766 divert 8668 ip from any to me via rl1 00105 2324 486954 pipe 105 ip from any to any via tun0 in 00106 3021 2907182 pipe 106 ip from any to any via tun0 out 00200 2004510 2706197173 allow ip from any to any 65535 47 63732 deny ip from any to any Вот и хочу что бы фаер был грамотно настроеным, своих знаний пока не хватает ... ......... ...... Ссылка на сообщение Поделиться на других сайтах
911 140 Опубліковано: 2009-02-28 09:58:28 Share Опубліковано: 2009-02-28 09:58:28 да в 201 не попадают, но попадают в 65535 не попадут и туда пакеты попадут под действие первого же правила (с меньшим номером), под критерии которого подходит пакет Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2009-02-28 10:14:12 Автор Share Опубліковано: 2009-02-28 10:14:12 не попадут и тудапакеты попадут под действие первого же правила (с меньшим номером), под критерии которого подходит пакет согласен, и как быть ? как грамотно изменить фаер ? Ссылка на сообщение Поделиться на других сайтах
911 140 Опубліковано: 2009-02-28 10:36:31 Share Опубліковано: 2009-02-28 10:36:31 согласен, и как быть ? как грамотно изменить фаер ? а что ты хочешь получить в итоге? p.s. natd - не самый лучший способ натить Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2009-02-28 10:40:45 Автор Share Опубліковано: 2009-02-28 10:40:45 а что ты хочешь получить в итоге? p.s. natd - не самый лучший способ натить хочу иметь защищенный сервак от внешних атак ....... Ссылка на сообщение Поделиться на других сайтах
Lambert 5 Опубліковано: 2009-02-28 13:27:08 Share Опубліковано: 2009-02-28 13:27:08 p.s. natd - не самый лучший способ натить Что есть лучше под фрю, по-твоему ? Ссылка на сообщение Поделиться на других сайтах
911 140 Опубліковано: 2009-02-28 13:31:31 Share Опубліковано: 2009-02-28 13:31:31 Что есть лучше под фрю, по-твоему ? у 7-ки появился kernel nat у 6-ки можно pf nat использовать а natd работает в юзерленде, поэтому кушает ресурсы хорошо Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2009-03-01 19:22:25 Автор Share Опубліковано: 2009-03-01 19:22:25 у 7-ки появился kernel natу 6-ки можно pf nat использовать а natd работает в юзерленде, поэтому кушает ресурсы хорошо У меня стоит фря 6.4 с биллингом абилс, где идет шейпрование клиентов через пайпы ipfw. Ссылка на сообщение Поделиться на других сайтах
Amasis 0 Опубліковано: 2009-03-02 02:11:25 Share Опубліковано: 2009-03-02 02:11:25 по идее биллинг должен формировать правила фаервола , да и в документации к биллингу должно хоть немного описано построение правил фаервола ( какое правило и для чего) natd -лучше убери и посмотри в сторону pf_nat , работает гораздо быстрее Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2009-03-02 08:29:56 Автор Share Опубліковано: 2009-03-02 08:29:56 по идее биллинг должен формировать правила фаервола , да и в документации к биллингу должно хоть немного описано построение правил фаервола ( какое правило и для чего) natd -лучше убери и посмотри в сторону pf_nat , работает гораздо быстрее Биллинг форимрует только правила пайпов, перейти на pf немогу билинг привязан к ipfw. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас