форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Коллеги вырачайте, задрал этота трабла"
Сообщение от globus on 14-Ноя-03, 11:35  (MSK)
привет всем. система FreeBSD 49 + apache+ fw = гемор какойто с внутренней сетки прохожу на www без проблемм, с внешней не могу, хотя правила в fw стоят одно за другим... Уже поставил логирование всех ваервольных правил, всеравно не вижу где пакет режеться... как отследить и поймать заразу ?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Коллеги вырачайте, задрал этота трабла"
Сообщение от Buch on 14-Ноя-03, 11:49  (MSK)
>привет всем. > >система FreeBSD 49 + apache+ fw = гемор какойто > >с внутренней сетки прохожу на www без проблемм, с внешней не могу, >хотя правила в fw стоят одно за другим... Уже поставил логирование >всех ваервольных правил, всеравно не вижу где пакет режеться... > >как отследить и поймать заразу ? Во-первых покажи правила fw, во-вторых снаружи на свой ВВВ ни по имени, ни по адресу попасть не можешь...,так?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Коллеги вырачайте, задрал этота трабла"
	Сообщение от globus on 14-Ноя-03, 12:01  (MSK)
	# set these to your outside interface network and netmask and ip         oif="xl0"         onet="213.228.x.x"         omask="255.255.255.252"         oip="213.228.x.x"                  # set these to your inside interface network and netmask and ip         iif="xl1"         inet="192.168.0.0"         imask="255.255.255.0"         iip="192.168.0.2"         setup_loopback          #         $fwcmd add deny icmp from any to any via xl0 frag          #Proxy Limit         ${fwcmd} add pass log tcp from 192.168.0.10 to any 3128 via xl1         ${fwcmd} add pass log tcp from 192.168.0.1 to any 3128 via xl1 #       ${fwcmd} add deny tcp from any to 192.168.0.2 3128 via xl1          # SSH client          ${fwcmd} add 10000 pass log tcp from any to any 22          $fwcmd add allow log icmp from any to any via xl1          $fwcmd add deny log icmp from any to any via xl0 frag          $fwcmd add deny log icmp from any to any icmptypes 8 in via xl0          $fwcmd add deny log icmp from any to any icmptypes 11 out via xl0          $fwcmd add deny log tcp from any to any 0          $fwcmd add deny log tcp from any 0 to any          $fwcmd add deny log udp from any to any 0          $fwcmd add deny log udp from any 0 to any          $fwcmd add deny log ip from any to any ipoptions rr,ssrr,lsrr,ts         # Stop spoofing         ${fwcmd} add deny log all from ${inet}:${imask} to any in via ${oif}         ${fwcmd} add deny log all from ${onet}:${omask} to any in via ${iif}         # Stop RFC1918 nets on the outside interface         ${fwcmd} add deny log all from any to 10.0.0.0/8 via ${oif}         ${fwcmd} add deny log all from any to 172.16.0.0/12 via ${oif}         ${fwcmd} add deny log all from any to 192.168.0.0/16 via ${oif}         # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,         # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)         # on the outside interface         ${fwcmd} add deny log all from any to 0.0.0.0/8 via ${oif}         ${fwcmd} add deny log all from any to 169.254.0.0/16 via ${oif}         ${fwcmd} add deny log all from any to 192.0.2.0/24 via ${oif}         ${fwcmd} add deny log all from any to 224.0.0.0/4 via ${oif}         ${fwcmd} add deny log all from any to 240.0.0.0/4 via ${oif}         [Yy][Ee][Ss])                 if [ -n "${natd_interface}" ]; then                         ${fwcmd} add divert natd all from any to any via ${natd_interface}                 fi                 ;;         esac         # Stop RFC1918 nets on the outside interface         ${fwcmd} add deny log all from 10.0.0.0/8 to any via ${oif}         ${fwcmd} add deny log all from 172.16.0.0/12 to any via ${oif}         ${fwcmd} add deny log all from 192.168.0.0/16 to any via ${oif}         # on the outside interface         ${fwcmd} add deny log all from 0.0.0.0/8 to any via ${oif}         ${fwcmd} add deny log all from 169.254.0.0/16 to any via ${oif}         ${fwcmd} add deny log all from 192.0.2.0/24 to any via ${oif}         ${fwcmd} add deny log all from 224.0.0.0/4 to any via ${oif}         ${fwcmd} add deny log all from 240.0.0.0/4 to any via ${oif}         # Allow TCP through if setup succeeded         ${fwcmd} add pass tcp from any to any established         # Allow setup of incoming email         ${fwcmd} add 10001 pass log tcp from any to ${oip} 25 setup         # Allow IP fragments to pass through          ${fwcmd} add pass log all from any to any frag         # Allow access to our DNS         ${fwcmd} add pass log tcp from any to ${oip} 53 setup         ${fwcmd} add pass log udp from any to ${oip} 53         ${fwcmd} add pass log udp from ${oip} 53 to any         ${fwcmd} add pass log tcp from any to ${iip} 53 setup         ${fwcmd} add pass log udp from any to ${iip} 53         ${fwcmd} add pass log udp from ${oip} 53 to any         # Allow access to our WWW         ${fwcmd} add  pass log tcp from any to ${oip} 80         ${fwcmd} add  pass log tcp from any to ${iip} 80         #WWW forvardinf #        ${fwcmd} add 400 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 in via ${iif}         # Reject&Log all setup of incoming connections from the outside         ${fwcmd}  add deny log tcp from any to any in via ${oif} setup         # Allow setup of any other TCP connection         ${fwcmd} add pass log tcp from any to any setup         # Allow DNS queries out in the world          ${fwcmd} add pass log udp from ${oip} to any 53 keep-state         # Allow NTP queries out in the world #       ${fwcmd} add pass udp from ${oip} to any 123 keep-state         #allow connect to 1024-65535 ports         ${fwcmd} add pass tcp from any to ${oip} 1024-65535 setup         ${fwcmd} add pass tcp from any to ${iip} 1024-65535 setup         ${fwcmd} add pass udp from any to ${oip} 1024-65535         ${fwcmd} add pass udp from any to ${iip} 1024-65535         # Everything else is denied by default, unless the         # IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel         # config file.          Никак не могу попасть не по ИП не по Адресу....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Коллеги вырачайте, задрал этота трабла"
	Сообщение от globus on 14-Ноя-03, 14:49  (MSK)
	ups
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Коллеги вырачайте, задрал этота трабла"
	Сообщение от Mikhail on 14-Ноя-03, 15:09  (MSK)
	А ты уверен, что именно firewall'ом режется? В чем заключается 'не могу попасть'? В каком месте выдается ошибка и о чем она гласит?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Коллеги вырачайте, задрал этота трабла"
	Сообщение от globus on 14-Ноя-03, 15:12  (MSK)
	уверен, если первым правилом ставлю allw all from any to any то все работает, уже поставил на все правила логирование, ничего :( не видно !
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Коллеги вырачайте, задрал этота трабла"
	Сообщение от globus on 18-Ноя-03, 12:49  (MSK)
	upS !
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Коллеги вырачайте, задрал этота трабла"
	Сообщение от anonymous on 18-Ноя-03, 21:48  (MSK)
	>upS ! В таком формате читать неприятно. Если тема еще волнует - напишите что выводит команда ipfw show
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.