URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 61524
[ Назад ]

Исходное сообщение
"закрыть FTP SMTP&POP3"
Отправлено AlFox , 04-Ноя-05 17:33

подскажите как избавится от таких граблей:
Free BSD 5.4 два сет. адаптера rl0 и rl1
на Firewall по умолчанию закрыто всё
при сканировании портов на rl0 оказываются открытыми 21,25,110 порты
на rl1 - 25 и 110
как мне закрыть доступ к всем портам на rl0 ?

Содержание

закрыть FTP SMTP&POP3,nickp, 20:47 , 04-Ноя-05
- закрыть FTP SMTP&POP3,crash, 21:35 , 04-Ноя-05
  - закрыть FTP SMTP&POP3,Аноним, 23:37 , 04-Ноя-05
    - закрыть FTP SMTP&POP3,AlFox, 09:19 , 07-Ноя-05
      - закрыть FTP SMTP&POP3,alish, 13:02 , 07-Ноя-05
        
        закрыть FTP SMTP&POP3,AlFox, 17:30 , 07-Ноя-05

Сообщения в этом обсуждении

"закрыть FTP SMTP&POP3"
Отправлено nickp , 04-Ноя-05 20:47

если при комилировании ядра не было указано default_to_accept, вклчюена поддержка ipfw то при включении компа в списк еправил ipfw последним должно быть правило deny all from any to any
если перед этим правилом не прописано ничего такого (например ipfw pass tcp from any to any 25 или что-то в том духе), чтобы разрешало вам работу с почтой и ФТП, тогда у вас по-умолчанию эти протоклы работать не будут.
если же все равно работает, тогда сделайте ipfw show И посмотрите на список введенных в систему правил. велика вероятность что у вас в rc.conf не указано использовать /etc/rc.firewall или выбран тип фарвола OPEN

"закрыть FTP SMTP&POP3"
Отправлено crash , 04-Ноя-05 21:35

>если при комилировании ядра не было указано default_to_accept, вклчюена поддержка ipfw то
>при включении компа в списк еправил ipfw последним должно быть правило
>deny all from any to any
>если перед этим правилом не прописано ничего такого (например ipfw pass tcp
>from any to any 25 или что-то в том духе), чтобы
>разрешало вам работу с почтой и ФТП, тогда у вас по-умолчанию
>эти протоклы работать не будут.
>если же все равно работает, тогда сделайте ipfw show И посмотрите на
>список введенных в систему правил. велика вероятность что у вас в
>rc.conf не указано использовать /etc/rc.firewall или выбран тип фарвола OPEN
вообщето в 5.4 ядро не надо пересобирать для включения фаервола.
а вот посмотреть на правила с помощью ipfw show было бы не плохо

"закрыть FTP SMTP&POP3"
Отправлено Аноним , 04-Ноя-05 23:37

>>если при комилировании ядра не было указано default_to_accept, вклчюена поддержка ipfw то
>>при включении компа в списк еправил ipfw последним должно быть правило
>>deny all from any to any
>>если перед этим правилом не прописано ничего такого (например ipfw pass tcp
>>from any to any 25 или что-то в том духе), чтобы
>>разрешало вам работу с почтой и ФТП, тогда у вас по-умолчанию
>>эти протоклы работать не будут.
>>если же все равно работает, тогда сделайте ipfw show И посмотрите на
>>список введенных в систему правил. велика вероятность что у вас в
>>rc.conf не указано использовать /etc/rc.firewall или выбран тип фарвола OPEN
>вообщето в 5.4 ядро не надо пересобирать для включения фаервола.
>а вот посмотреть на правила с помощью ipfw show было бы не
>плохо
IPFIREWALL в GENERIC нету насколько я помню, можно модулем загрузить

"закрыть FTP SMTP&POP3"
Отправлено AlFox , 07-Ноя-05 09:19

>>>если при комилировании ядра не было указано default_to_accept, вклчюена поддержка ipfw то
>>>при включении компа в списк еправил ipfw последним должно быть правило
>>>deny all from any to any
>>>если перед этим правилом не прописано ничего такого (например ipfw pass tcp
>>>from any to any 25 или что-то в том духе), чтобы
>>>разрешало вам работу с почтой и ФТП, тогда у вас по-умолчанию
>>>эти протоклы работать не будут.
>>>если же все равно работает, тогда сделайте ipfw show И посмотрите на
>>>список введенных в систему правил. велика вероятность что у вас в
>>>rc.conf не указано использовать /etc/rc.firewall или выбран тип фарвола OPEN
>>вообщето в 5.4 ядро не надо пересобирать для включения фаервола.
>>а вот посмотреть на правила с помощью ipfw show было бы не
>>плохо
>
>IPFIREWALL в GENERIC нету насколько я помню, можно модулем загрузить
при компилировании ядра не было указано default_to_accept,
а в /etc/rc.firewall или выбран тип фарвола closed, но открытые порты всёравно присутствуют

"закрыть FTP SMTP&POP3"
Отправлено alish , 07-Ноя-05 13:02

ipfw show покажите
и вывод сканера портов
>>>>если при комилировании ядра не было указано default_to_accept, вклчюена поддержка ipfw то
>>>>при включении компа в списк еправил ipfw последним должно быть правило
>>>>deny all from any to any
>>>>если перед этим правилом не прописано ничего такого (например ipfw pass tcp
>>>>from any to any 25 или что-то в том духе), чтобы
>>>>разрешало вам работу с почтой и ФТП, тогда у вас по-умолчанию
>>>>эти протоклы работать не будут.
>>>>если же все равно работает, тогда сделайте ipfw show И посмотрите на
>>>>список введенных в систему правил. велика вероятность что у вас в
>>>>rc.conf не указано использовать /etc/rc.firewall или выбран тип фарвола OPEN
>>>вообщето в 5.4 ядро не надо пересобирать для включения фаервола.
>>>а вот посмотреть на правила с помощью ipfw show было бы не
>>>плохо
>>
>>IPFIREWALL в GENERIC нету насколько я помню, можно модулем загрузить
>
>при компилировании ядра не было указано default_to_accept,
>а в /etc/rc.firewall или выбран тип фарвола closed, но открытые порты всёравно
>присутствуют

"закрыть FTP SMTP&POP3"
Отправлено AlFox , 07-Ноя-05 17:30

>ipfw show покажите
>и вывод сканера портов
>
>>>>>если при комилировании ядра не было указано default_to_accept, вклчюена поддержка ipfw то
>>>>>при включении компа в списк еправил ipfw последним должно быть правило
>>>>>deny all from any to any
>>>>>если перед этим правилом не прописано ничего такого (например ipfw pass tcp
>>>>>from any to any 25 или что-то в том духе), чтобы
>>>>>разрешало вам работу с почтой и ФТП, тогда у вас по-умолчанию
>>>>>эти протоклы работать не  будут.
>>>>>если же все равно работает, тогда сделайте ipfw show И посмотрите на
>>>>>список введенных в систему правил. велика вероятность что у вас в
>>>>>rc.conf не указано использовать /etc/rc.firewall или выбран тип фарвола OPEN
>>>>вообщето в 5.4 ядро не надо пересобирать для включения фаервола.
>>>>а вот посмотреть на правила с помощью ipfw show было бы не
>>>>плохо
>>>
>>>IPFIREWALL в GENERIC нету насколько я помню, можно модулем загрузить
>>
>>при компилировании ядра не было указано default_to_accept,
>>а в /etc/rc.firewall или выбран тип фарвола closed, но открытые порты всёравно
>>присутствуют
00100     0        0 allow ip from any to any via lo0
00200     0        0 deny ip from any to 127.0.0.0/8
00300     0        0 deny ip from 127.0.0.0/8 to any
00400     0        0 deny ip from 10.190.32.0/22 to any in via rl0
00500     0        0 deny ip from 10.98.83.0/24 to any in via rl1
00600     0        0 deny ip from any to 10.190.0.0/16 via rl0
00700 39256 19492533 allow tcp from any to any established
00800     0        0 allow udp from 10.98.83.250 53 to any
00900   746    35808 allow tcp from any to any dst-port 80 setup
01000     8      384 allow tcp from any to 10.190.35.22 dst-port 21 via rl1 se
p
01100     4      192 allow tcp from any to 10.190.35.22 dst-port 23 via rl1 se
p
01200     0        0 allow tcp from any to 10.190.35.22 dst-port 3306 via rl1
tup
01300     0        0 allow udp from any to 10.190.35.22 dst-port 3306 via rl1
tup
01400  1012    48576 allow tcp from any to 10.190.35.22 dst-port 8090 via rl1
tup
01500     0        0 allow udp from any to 10.190.35.22 dst-port 8090 via rl1
tup
01600  9504   456192 deny log logamount 10 tcp from any to any in via rl0 setu
01700   251    32296 allow udp from 10.98.83.250 to any dst-port 53 keep-state
01800     0        0 allow udp from 10.98.83.250 to any dst-port 123 keep-stat
01900   627    69504 deny ip from any to any via rl0
65535  7062   891529 deny ip from any to any