URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 53661
[ Назад ]

Исходное сообщение
"Какие порты лучше всего закрыть."

Отправлено aborigen , 19-Фев-05 10:36 
У меня стоит FREEBSD какие порты лучше в сего закрыть, и как это написать в фаерволе, как должна выглядить сторока?

Содержание

Сообщения в этом обсуждении
"Какие порты лучше всего закрыть."
Отправлено netstat , 19-Фев-05 11:03 
>У меня стоит FREEBSD какие порты лучше в сего закрыть

Те, которые не нужны.
netstat -na
less /etc/services

>и как это написать в фаерволе, как должна выглядить сторока?

почитать что-нибудь...


"Какие порты лучше всего закрыть."
Отправлено aborigen , 19-Фев-05 11:15 
>>У меня стоит FREEBSD какие порты лучше в сего закрыть
>
>Те, которые не нужны.
>netstat -na
>less /etc/services
>
>>и как это написать в фаерволе, как должна выглядить сторока?
>
>почитать что-нибудь...


А как строку написать в фаерволе


"Какие порты лучше всего закрыть."
Отправлено Fes , 19-Фев-05 11:40 
Лучше всего сначала закрыть ВСЁ ваще, а уж потом, если что нужно , открыть его и очень осторожно. :)

"Какие порты лучше всего закрыть."
Отправлено aborigen , 19-Фев-05 11:53 
>Лучше всего сначала закрыть ВСЁ ваще, а уж потом, если что нужно
>, открыть его и очень осторожно. :)


А как это написать в фаерволе


"Какие порты лучше всего закрыть."
Отправлено Fes , 19-Фев-05 11:55 
Я могу дать тебе настройки для Linux. Но у тебя ж вря, наскока я понял так что с этим не помогоу. Ты ваще пробовал в инете доки искать? Их куча.

"Какие порты лучше всего закрыть."
Отправлено aborigen , 19-Фев-05 12:13 
>Я могу дать тебе настройки для Linux. Но у тебя ж вря,
>наскока я понял так что с этим не помогоу. Ты ваще
>пробовал в инете доки искать? Их куча.


Дай для линукса я посмотрю


"Какие порты лучше всего закрыть."
Отправлено Fes , 19-Фев-05 12:33 
$IPATABLES=/sbin/iptables
__________________________________
вот так вот рубится весь траффик:
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

а вот так вот, например, можно разрешить бегать пакетам внутри подсетей 10.200.0.0/255.255.0.0:
$IPTABLES -A tcp_packets -p TCP -s 10.200.0.0/255.255.0.0 -d 10.200.0.0/255.255.0.0 -j ACCEPT (tcp_packets:у меня такая цепочка создаётся в скрипте файрволла )

а вот так вот можно разрешить юзерам пересылку пакетов на ukr.net к примеру, для того чтобы забирать почту почтовым клиентом. Можно канешно было указать ещё конкретно порты и эти более сильно ограничить связи с сервером ukr.net но это не суть важно:
$IPTABLES -A FORWARD -d 212.42.65.69 -j allowed, где allowed у меня специальная цепочка в которой есть свои проверки.
p.s. Мораль сей басни такова: читай доки :).
p.p.s. Если тебе нужен NAT, не забудь про него у себя в правилах файрволла :)

Вообщем пишешь все свои правила в скрипте, и запускаешь его при старте системы, предварительно не помешает обнулить все настройки. Удобно для тестирования и перезапуска файрволла.


"Какие порты лучше всего закрыть."
Отправлено aborigen , 19-Фев-05 13:35 
вообще не то, дайте кто нибудь для фришки

"Какие порты лучше всего закрыть."
Отправлено aborigen , 19-Фев-05 13:36 
вообще не то, дайте кто нибудь для фришки


"Какие порты лучше всего закрыть."
Отправлено Vital , 19-Фев-05 18:59 
>вообще не то, дайте кто нибудь для фришки

ты только не обижайся. во фре man ipfw есть маленькие примеры. они помогут тебе разобраться и настроить firewall заточенные именно для себя.


"Какие порты лучше всего закрыть."
Отправлено aborigen , 19-Фев-05 20:14 
я необижаюсь просто у меня расхождение с трафиком провайдера в 30% идет мне надо все закрыть, и открыть только те прты которые надо для инета, вот я и мучаюсь



"Какие порты лучше всего закрыть."
Отправлено aborigen , 20-Фев-05 18:19 
Так никто вразумительного и не сказал

"Какие порты лучше всего закрыть."
Отправлено bbsdimas , 20-Фев-05 19:17 
>Так никто вразумительного и не сказал
это зависит от того как у тебя ядро откомпилированно
а вообще:
Ipfw add deny all from any to any


"Какие порты лучше всего закрыть."
Отправлено PJ , 20-Фев-05 23:33 
>я необижаюсь просто у меня расхождение с трафиком провайдера в 30% идет
>мне надо все закрыть, и открыть только те прты которые надо
>для инета, вот я и мучаюсь

а сам то чем траффик считаешь? и на основании чего провайдер тебе объем траффика выставляет?


"Какие порты лучше всего закрыть."
Отправлено aborigen , 21-Фев-05 04:44 
UTM считает, у него тоже, раньше никаких расхождений небыло, а щас какието черви лазиют, исходящий больше чем входящий.



"Какие порты лучше всего закрыть."
Отправлено PJ , 21-Фев-05 16:31 
>UTM считает, у него тоже, раньше никаких расхождений небыло, а щас какието
>черви лазиют, исходящий больше чем входящий.


Хех. Лучшее лекарство от головы - топор.
1) Антивирусная защита "на уровне" %-)
2) хоть бы показал то свои правила..телепатировать сложно
3) оставь разрешенными на выход только соединения с минимумом служб (например только 25,53,80, 110, 143, 443)...потом netstat посмотри по внутреннему интерфейсу - кто у тебя наружу просится...ну и соотв принимай меры


"Какие порты лучше всего закрыть."
Отправлено aborigen , 21-Фев-05 17:51 
А каким правилом все закрыть


Вот мой
# Interfaces.                                                          
if_local='vr1'                                                          
if_extern='vr0'                                                        
if_inet='tun0'                                                          
                                                                        
# Networks.                                                            
                                                                        
iif="vr1"                                                              
oip="10.11.81.108"  сетка на входе                                                  
iip="192.168.2.1" моя сетка                                                      
iin="192.168.2.0/24"                                                    
extern_net='10.11.81.0/24'                                              
extern_ip='10.11.81.108/24'                                            
                                                                        
local_net='192.168.2.0/24'                                              
local_ip='192.168.2.1/24'                                                    
                                                                              
inet_ip='217.X.X.X/32' внешний IP после VPN                                                  
                                                                              
# Commands.                                                                  
natcmd='/sbin/natd'                                                          
ipfwcmd='/sbin/ipfw'                                                          
                                                                              
${ipfwcmd} -q -f flush                                                        
#### Start NAT ####                                                          
${natcmd} -interface ${if_extern} -port 8668                                  
${natcmd} -interface ${if_inet} -port 8669                                    
                                                                              
                                                                            
${ipfwcmd}  add 1 deny tcp from any to any 135,137,138,139 via ${if_inet}    
${ipfwcmd}  add 2 deny tcp from any 135,137,138,139 to any via ${if_inet}    
${ipfwcmd}  add 3 deny tcp from any to any 135,137,138,139 via ${if_extern}  
${ipfwcmd}  add 4 deny tcp from any 135,137,138,139 to any via ${if_extern}  
${ipfwcmd}  add 5 deny tcp from any to any 135,137,138,139 via ${if_local}  
${ipfwcmd}  add 6 deny tcp from any 135,137,138,139 to any via ${if_local}  
                                                                            
                                                                            
${ipfwcmd}  add 7 deny udp from any to any 135,137,138,139 via ${if_inet}    
${ipfwcmd}  add 8 deny udp from any 135,137,138,139 to any via ${if_inet}    
${ipfwcmd}  add 9 deny udp from any to any 135,137,138,139 via ${if_extern}  
${ipfwcmd}  add 10 deny udp from any 135,137,138,139 to any via ${if_extern}
${ipfwcmd}  add 11 deny udp from any to any 135,137,138,139 via ${if_local}  
${ipfwcmd}  add 12 deny udp from any 135,137,138,139 to any via ${if_local}
## Firewall ###                                                              
${ipfwcmd}  add 19 divert 20000 ip from any to any                            
${ipfwcmd}  add 20 divert 8668 all from any to any via ${if_extern}          
${ipfwcmd}  add 30 divert 8669 all from any to any via tun0                  
                                                                                                                      
${ipfwcmd}  add 40 deny icmp from any to any in icmptype 5,9,13,14,15,16,17  
${ipfwcmd}  add 70 pass all from any to any via lo0                          
${ipfwcmd}  add 80 pass all from any to any via ${if_inet}                  
${ipfwcmd}  add 90 pass all from any to any via ${if_extern}                

${ipfwcmd}  add  01003   allow ip from any to 172.16.0.4  
${ipfwcmd}  add  01003   allow ip from 172.16.0.4 to any  
${ipfwcmd} -q add 1195 pass all from 192.168.2.0/24 to 192.168.2.1 via ${if_loca
${ipfwcmd} -q add 1195 pass all from 192.168.2.1 to 192.168.2.0/24 via ${if_loca
                                                                                
${ipfwcmd} -q add 2000 deny all from 192.168.2.0/24 to any via ${if_local}      
${ipfwcmd} -q add 2000 deny all from any to 192.168.2.0/24 via ${if_local}      
${ipfwcmd} -q add 2001 deny all from 192.168.2.0/24 to any via vr0              
${ipfwcmd} -q add 2001 deny all from any to 192.168.2.0/24 via vr0              
${ipfwcmd} -q add 2002 deny all from 192.168.2.0/24 to any via tun0            
${ipfwcmd} -q add 2002 deny all from any to 192.168.2.0/24 via tun0            
${ipfwcmd} -q add 2003 deny all from 172.16.0.0/24 to any via ${if_local}      
${ipfwcmd} -q add 2003 deny all from any to 172.16.0.0/24 via ${if_local}      
${ipfwcmd} -q add 2004 deny all from 172.16.0.0/24 to any via vr0              
${ipfwcmd} -q add 2004 deny all from any to 172.16.0.0/24 via vr0              
${ipfwcmd} -q add 2005 deny all from 172.16.0.0/24 to any via tun0              
${ipfwcmd} -q add 2005 deny all from any to 172.16.0.0/24 via tun0              
${ipfwcmd} -q add 22050 pass ip from ${inet_ip} to any out xmit ${if_inet}      
                                                                                
# Stop local networks for outside                                              
${ipfwcmd} -q add 1900 deny ip from ${extern_net} to any in via ${if_inet}      
${ipfwcmd} -q add 1910 deny ip from ${local_net}  to any in via ${if_inet}      
${ipfwcmd} -q add 1920 deny ip from 127.0.0.0/8 to any in via ${if_inet}        
                                                                                
## Allow mail,http,https,ssh,ftp                                                
# internet                                                                      
# extern net                                                                    
${ipfwcmd} -q add 22150 pass tcp from any to any 23,22,21 via ${if_extern}      
${ipfwcmd} -q add 22160 pass tcp from any 23,22,21 to any via ${if_extern}      
# local net                                                                    
${ipfwcmd} -q add 22170 pass tcp from any to any 23,25,110,80,443,22,21 via ${if_Local
${ipfwcmd} -q add 22180 pass tcp from any 23,25,110,80,443,22,21 to any via ${if_local
                                                                                
## Allow dns                                                                    
# internet                                                                      
${ipfwcmd} -q add 22190 pass udp from any to any 53 via ${if_inet}              
${ipfwcmd} -q add 22200 pass udp from any 53 to any via ${if_inet}              
# local net                                                                    
${ipfwcmd} -q add 22210 pass udp from any to any 53 via ${if_local}            
${ipfwcmd} -q add 22220 pass udp from any 53 to any via ${if_local}            
  ## Icmp                                                  
# localhost                                              
${ipfwcmd} -q add 22230 pass all from any to any via lo0  
${ipfwcmd} add 65535 deny all from any to any              


"Какие порты лучше всего закрыть."
Отправлено PJ , 22-Фев-05 16:05 
>А каким правилом все закрыть
>
>
>Вот мой
># Interfaces.
>if_local='vr1'
>if_extern='vr0'
>if_inet='tun0'
>
># Networks.
>
>iif="vr1"
>oip="10.11.81.108"  сетка на входе
>iip="192.168.2.1" моя сетка
>iin="192.168.2.0/24"
>extern_net='10.11.81.0/24'
>extern_ip='10.11.81.108/24'
>
>local_net='192.168.2.0/24'
>local_ip='192.168.2.1/24'
>
>inet_ip='217.X.X.X/32' внешний IP после VPN
>
># Commands.
>natcmd='/sbin/natd'
>ipfwcmd='/sbin/ipfw'
>
>${ipfwcmd} -q -f flush
>#### Start NAT ####
>${natcmd} -interface ${if_extern} -port 8668
>${natcmd} -interface ${if_inet} -port 8669
>
>
>${ipfwcmd}  add 1 deny tcp from any to any 135,137,138,139 via
>${if_inet}
>${ipfwcmd}  add 2 deny tcp from any 135,137,138,139 to any via
>${if_inet}
>${ipfwcmd}  add 3 deny tcp from any to any 135,137,138,139 via
>${if_extern}
>${ipfwcmd}  add 4 deny tcp from any 135,137,138,139 to any via
>${if_extern}
>${ipfwcmd}  add 5 deny tcp from any to any 135,137,138,139 via
>${if_local}
>${ipfwcmd}  add 6 deny tcp from any 135,137,138,139 to any via
>${if_local}
>
>
>${ipfwcmd}  add 7 deny udp from any to any 135,137,138,139 via
>${if_inet}
>${ipfwcmd}  add 8 deny udp from any 135,137,138,139 to any via
>${if_inet}
>${ipfwcmd}  add 9 deny udp from any to any 135,137,138,139 via
>${if_extern}
>${ipfwcmd}  add 10 deny udp from any 135,137,138,139 to any via
>${if_extern}
>${ipfwcmd}  add 11 deny udp from any to any 135,137,138,139 via
>${if_local}
>${ipfwcmd}  add 12 deny udp from any 135,137,138,139 to any via
>${if_local}
>## Firewall ###
>${ipfwcmd}  add 19 divert 20000 ip from any to any
>${ipfwcmd}  add 20 divert 8668 all from any to any via
>${if_extern}
>${ipfwcmd}  add 30 divert 8669 all from any to any via
>tun0
>
>${ipfwcmd}  add 40 deny icmp from any to any in icmptype
>5,9,13,14,15,16,17
>${ipfwcmd}  add 70 pass all from any to any via lo0
Чтобы не перепахивать весь конфиг,

вот тут добавить
${ipfwcmd} add 71 deny all from any to any

что полностью отрубит траффик со всех интерфейсов, кроме интерфейса обратной петли