URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3389
[ Назад ]

Исходное сообщение
"Правила ipfw"

Отправлено di110n , 25-Июл-07 11:30 
Здравствуйте!

Есть сервер c FreeBSD 6.1. Два интерфейса int, ext, поднят NATD..

Кто-нибудь знает как сделать так, чтоб внутрь из вне проходили только пакеты запрошенные рабочими станциями из локалки? Т.е., чтоб любой внешний хост не имел возможности соединиться с сервером просто так, но чтоб устанавливалось соединение с этим хостом в том случае, если соединение было запрошено из внутренней сети или самим сервером.

Сейчас, вобщем, всё работает, но я сомневаюсь на счёт безопасности...

Вот правила ipfw:

rl0 - внутренный интерфейс (IP 10.0.1.3/24)
re0 - внешний интерфейс (IP 80.200.200.200/27)

01000 allow ip from any to any via lo0
02000 deny ip from any to 127.0.0.0/8
03000 deny ip from 127.0.0.0/8 to any
04000 deny ip from 10.0.1.0/28 to any in via re0
04010 allow tcp from 10.0.1.10 to 10.0.1.3 dst-port 22 via rl0
04020 allow tcp from 10.0.1.3 to 10.0.1.10 src-port 22 via rl0
05000 deny ip from 80.200.200.190/27 to any in via rl0
06000 deny ip from any to 10.0.0.0/8 via re0
07000 deny ip from any to 172.16.0.0/12 via re0
08000 deny ip from any to 192.168.0.0/16 via re0
09000 deny ip from any to 0.0.0.0/8 via re0
10000 deny ip from any to 169.254.0.0/16 via re0
11000 deny ip from any to 192.0.2.0/24 via re0
12000 deny ip from any to 224.0.0.0/4 via re0
13000 deny ip from any to 240.0.0.0/4 via re0
13010 allow ip from 10.0.1.10 to any in via rl0
13020 allow ip from 10.0.1.1 to any in via rl0
13990 deny ip from any to any in via rl0
14000 divert 8668 ip from any to any via re0
15000 deny ip from 10.0.0.0/8 to any via re0
16000 deny ip from 172.16.0.0/12 to any via re0
17000 deny ip from 192.168.0.0/16 to any via re0
18000 deny ip from 0.0.0.0/8 to any via re0
19000 deny ip from 169.254.0.0/16 to any via re0
20000 deny ip from 192.0.2.0/24 to any via re0
21000 deny ip from 224.0.0.0/4 to any via re0
22000 deny ip from 240.0.0.0/4 to any via re0
22010 allow tcp from 212.0.0.1 to 80.200.200.200 dst-port 22 in via re0 setup
22020 allow tcp from 83.1.1.0/24 to 80.200.200.200 dst-port 22 in via re0 setup
22030 allow tcp from any to 80.200.200.200 dst-port 53 setup
22035 allow udp from any to 80.200.200.200 dst-port 53
22040 allow tcp from any to 80.200.200.200 dst-port 80 setup
22110 deny tcp from any to any in via re0 setup
22120 allow udp from any to 80.200.200.200 src-port 53 in via re0
22130 allow udp from any to 80.200.200.200 src-port 123 in via re0
22140 deny udp from any to any in via re0
22500 allow ip from any to any
65535 deny ip from any to any

Спасибо, что прочитали до конца :)


Содержание

Сообщения в этом обсуждении
"Правила ipfw"
Отправлено Redduck , 25-Июл-07 12:01 
Здравствуйте!
Возможно Вам поможет опция established.
Правило 22500 у Вас разрешает весь трафик, и если пакет не пападет не под одно из предидущих правил то он пройдет!!! Что наверно не есть секьюретно!!!
Удачи.


"Правила ipfw"
Отправлено Redduck , 25-Июл-07 14:28 
Можешь добавить дополнительные правила после
03000 deny ip from 127.0.0.0/8 to any

${fwcmd} add deny log all from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
${fwcmd} add deny log all from any to any tcpflags  fin,  syn,  rst,  psh,  ack,  urg
${fwcmd} add deny log all from any to any not established tcpflags fin

Помогут немного от сканирования.


"Правила ipfw"
Отправлено di110n , 25-Июл-07 20:25 
>[оверквотинг удален]
>03000 deny ip from 127.0.0.0/8 to any
>
>${fwcmd} add deny log all from any to any tcpflags !fin, !syn,
>!rst, !psh, !ack, !urg
>${fwcmd} add deny log all from any to any tcpflags  fin,
> syn,  rst,  psh,  ack,  urg
>${fwcmd} add deny log all from any to any not established tcpflags
>fin
>
>Помогут немного от сканирования.

Спасибо :)


"Правила ipfw"
Отправлено eZH , 13-Сен-08 16:44 
>[оверквотинг удален]
>03000 deny ip from 127.0.0.0/8 to any
>
>${fwcmd} add deny log all from any to any tcpflags !fin, !syn,
>!rst, !psh, !ack, !urg
>${fwcmd} add deny log all from any to any tcpflags  fin,
> syn,  rst,  psh,  ack,  urg
>${fwcmd} add deny log all from any to any not established tcpflags
>fin
>
>Помогут немного от сканирования.

Правило
00200       310        22140 deny log ip from any to 127.0.0.0/8
все нарушения имеют вид
Sep 12 22:57:36 burn kernel: ipfw: 200 Deny UDP ${мой внешний ип на rl0}:53150 127.0.0.2:53 out via rl0

Включена функция gateway, запущен natd, есть правила divert всё работает хорошо, также работает named

З.Ы. от сканирования защищает portsentry, мол не надо стучаться на порт необъявленного сервиса 8-)