forum.opennet.ru - "ipfw " (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ipfw "

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ipfw "
Сообщение от A Clockwork Orange on 24-Ноя-03, 09:45 (MSK)
Nov 23 03:06:20 www /kernel: Connection attempt to TCP 127.0.0.1:113 from 127.0.0.1:1863 Nov 23 03:06:23 www /kernel: Connection attempt to TCP 127.0.0.1:113 from 127.0.0.1:1863 Nov 23 03:06:35 www /kernel: Connection attempt to TCP 127.0.0.1:113 from 127.0.0.1:1872 Nov 23 03:06:38 www /kernel: Connection attempt to TCP 127.0.0.1:113 from 127.0.0.1:1872 Nov 23 14:20:07 www /kernel: Connection attempt to UDP 127.0.0.1:1861 from 127.0.0.1:53 Nov 23 14:20:32 www /kernel: Connection attempt to UDP 127.0.0.1:1875 from 127.0.0.1:53 Nov 23 15:14:30 www /kernel: Connection attempt to UDP 127.0.0.1:2048 from 127.0.0.1:53 Nov 23 16:21:06 www /kernel: Connection attempt to UDP 127.0.0.1:2261 from 127.0.0.1:53 Nov 23 16:32:14 www /kernel: Connection attempt to UDP 127.0.0.1:2320 from 127.0.0.1:53 Какими правилами все это поправить не вступая вразрез с #Prevent spoofing of your loopback $fwcmd add deny log all from any to 127.0.0.0/8 $fwcmd add deny log ip from 127.0.0.0/8 to any
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

ipfw , Cheeto_McMourrell, 10:40 , 24-Ноя-03, (1)
- ipfw , A Clockwork Orange, 10:49 , 24-Ноя-03, (2)
  - ipfw , Cheeto_McMourrell, 11:09 , 24-Ноя-03, (3)
    - ipfw , A Clockwork Orange, 11:44 , 24-Ноя-03, (4)
      - ipfw , dawnshade, 12:05 , 24-Ноя-03, (5)
        
        ipfw , A Clockwork Orange, 12:15 , 24-Ноя-03, (6)
        
        ipfw , dawnshade, 12:25 , 24-Ноя-03, (7)
        
        ipfw , A Clockwork Orange, 12:29 , 24-Ноя-03, (8)
        
        ipfw , dawnshade, 14:09 , 24-Ноя-03, (9)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ipfw "

Сообщение от Cheeto_McMourrell on 24-Ноя-03, 10:40  (MSK)

Откуда вы выдрали этот кусок?
>#Prevent spoofing of your loopback
>$fwcmd add deny log all from any to 127.0.0.0/8
>$fwcmd add deny log ip from 127.0.0.0/8 to any
Сначала add allow ip from any to any via lo0
Далее по тексту что вы написали

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ipfw "

Сообщение от A Clockwork Orange on 24-Ноя-03, 10:49  (MSK)

#Force a flush of the current firewall rules before we reload
$fwcmd -f flush
#
#Allow your loop back to work
$fwcmd add allow all from any to any via lo0
#
#Prevent spoofing of your loopback
$fwcmd add deny log all from any to 127.0.0.0/8
$fwcmd add deny log ip from 127.0.0.0/8 to any
#
#Stop private networks (RFC1918) from entering the outside interface.
$fwcmd add deny log ip from any to 192.168.0.0/16 via $oif
$fwcmd add deny log ip from any to 172.16.0.0/12 via $oif
$fwcmd add deny log ip from any to 10.0.0.0/8 via $oif
#
# Stop draft-manning-dsua-01.txt nets on the outside interface
$fwcmd add deny all from any to 0.0.0.0/8 via $oif
$fwcmd add deny all from any to 169.254.0.0/16 via $oif
$fwcmd add deny all from any to 192.0.2.0/24 via $oif
$fwcmd add deny all from any to 224.0.0.0/4 via $oif
$fwcmd add deny all from any to 240.0.0.0/4 via $oif
.....
Есть такое правило, дело в том что это сообщения
Nov 23 03:06:20 www /kernel: Connection attempt to TCP 127.0.0.1:113 from 127.0.0.1:1863
Nov 23 03:06:23 www /kernel: Connection attempt to TCP 127.0.0.1:113 from 127.0.0.1:1863
Nov 23 03:06:35 www /kernel: Connection attempt to TCP 127.0.0.1:113 from 127.0.0.1:1872
Nov 23 03:06:38 www /kernel: Connection attempt to TCP 127.0.0.1:113 from 127.0.0.1:1872
Nov 23 14:20:07 www /kernel: Connection attempt to UDP 127.0.0.1:1861 from 127.0.0.1:53
Nov 23 14:20:32 www /kernel: Connection attempt to UDP 127.0.0.1:1875 from 127.0.0.1:53
Nov 23 15:14:30 www /kernel: Connection attempt to UDP 127.0.0.1:2048 from 127.0.0.1:53
Nov 23 16:21:06 www /kernel: Connection attempt to UDP 127.0.0.1:2261 from 127.0.0.1:53
Nov 23 16:32:14 www /kernel: Connection attempt to UDP 127.0.0.1:2320 from 127.0.0.1:53
Это не сообщения firewallа, их даже нет в /var/log/security
Сообщения фаервола выглядят вот так
Nov 24 10:44:14 www /kernel: ipfw: 2700 Deny TCP 212.180.1.14:3469 213.221.1.114:65302 in via fxp0
Заметим ipfw:
        ~~~~~
Это сообщения ядра
И интересующие сообщения не всегда есть, если бы это был фаерволл то сообщения были бы куда чаще.
Вопрос открыт

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "ipfw "

Сообщение от Cheeto_McMourrell on 24-Ноя-03, 11:09  (MSK)

Вспоминайте что меняли. Есть параноидальная опция - протоколировать попытки соединений. Я думаю вы начитались умных статей, но читали их невнимательно. И тут же принялись вооплощать. И тот кусок видимо из той статьи.
net.inet.tcp.log_in_vain
net.inet.udp.log_in_vain
Ничего не вспоминается?

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "ipfw "

Сообщение от A Clockwork Orange on 24-Ноя-03, 11:44  (MSK)

Видимо вот это
log_in_vain="YES"

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "ipfw "

Сообщение от dawnshade on 24-Ноя-03, 12:05  (MSK)

>Видимо вот это
>
>log_in_vain="YES"

Угу, на эту опцию только нервы тратятца. поставь blackhole и спи спокойно.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "ipfw "

Сообщение от A Clockwork Orange on 24-Ноя-03, 12:15  (MSK)

www# cat  /etc/sysctl.conf
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
У меня во как

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "ipfw "

Сообщение от dawnshade on 24-Ноя-03, 12:25  (MSK)

>www# cat  /etc/sysctl.conf
>net.inet.tcp.blackhole=2
>net.inet.udp.blackhole=1
>
>У меня во как

Прально, можешь отключать log_invain.
Опция отвечает за запись попыток подключений к портам на которых не висят демоны.
А конкретно твой случай - сендмыл пытаеться лезть по этому порту к сервису  ident. И ессно был жостко послан (смысле провисел время таймаута в ожидании ответа).
Как отключить запрос этот в сендмэйле - не скажу, ибо как не знаю.

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "ipfw "

Сообщение от A Clockwork Orange on 24-Ноя-03, 12:29  (MSK)

это где это видно что запрос от сендмейла,
а запрос (или ответ) с 53 порта,
а как узнать причину неудачного соединения

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "ipfw "

Сообщение от dawnshade on 24-Ноя-03, 14:09  (MSK)

>это где это видно что запрос от сендмейла,
А кто еще может висеть на локалхосте и коннектиться с 113 порту? Только почтовик, а у тебя насколько помню сендмэйл.
> а запрос (или ответ) с 53 порта,
??
>а как узнать причину неудачного соединения
Причина одна: появление подобных сообщений значит, что кто-то пытался коннектиться с локалхосту:113 и ничего не получил в ответ (в твоем случае), ибо как никто не слушал этот порт.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw "
Сообщение от Cheeto_McMourrell on 24-Ноя-03, 10:40 (MSK)
Откуда вы выдрали этот кусок? >#Prevent spoofing of your loopback >$fwcmd add deny log all from any to 127.0.0.0/8 >$fwcmd add deny log ip from 127.0.0.0/8 to any Сначала add allow ip from any to any via lo0 Далее по тексту что вы написали
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "ipfw "
	Сообщение от A Clockwork Orange on 24-Ноя-03, 10:49 (MSK)
	#Force a flush of the current firewall rules before we reload $fwcmd -f flush # #Allow your loop back to work $fwcmd add allow all from any to any via lo0 # #Prevent spoofing of your loopback $fwcmd add deny log all from any to 127.0.0.0/8 $fwcmd add deny log ip from 127.0.0.0/8 to any # #Stop private networks (RFC1918) from entering the outside interface. $fwcmd add deny log ip from any to 192.168.0.0/16 via $oif $fwcmd add deny log ip from any to 172.16.0.0/12 via $oif $fwcmd add deny log ip from any to 10.0.0.0/8 via $oif # # Stop draft-manning-dsua-01.txt nets on the outside interface $fwcmd add deny all from any to 0.0.0.0/8 via $oif $fwcmd add deny all from any to 169.254.0.0/16 via $oif $fwcmd add deny all from any to 192.0.2.0/24 via $oif $fwcmd add deny all from any to 224.0.0.0/4 via $oif $fwcmd add deny all from any to 240.0.0.0/4 via $oif ..... Есть такое правило, дело в том что это сообщения Nov 23 03:06:20 www /kernel: Connection attempt to TCP 127.0.0.1:113 from 127.0.0.1:1863 Nov 23 03:06:23 www /kernel: Connection attempt to TCP 127.0.0.1:113 from 127.0.0.1:1863 Nov 23 03:06:35 www /kernel: Connection attempt to TCP 127.0.0.1:113 from 127.0.0.1:1872 Nov 23 03:06:38 www /kernel: Connection attempt to TCP 127.0.0.1:113 from 127.0.0.1:1872 Nov 23 14:20:07 www /kernel: Connection attempt to UDP 127.0.0.1:1861 from 127.0.0.1:53 Nov 23 14:20:32 www /kernel: Connection attempt to UDP 127.0.0.1:1875 from 127.0.0.1:53 Nov 23 15:14:30 www /kernel: Connection attempt to UDP 127.0.0.1:2048 from 127.0.0.1:53 Nov 23 16:21:06 www /kernel: Connection attempt to UDP 127.0.0.1:2261 from 127.0.0.1:53 Nov 23 16:32:14 www /kernel: Connection attempt to UDP 127.0.0.1:2320 from 127.0.0.1:53 Это не сообщения firewallа, их даже нет в /var/log/security Сообщения фаервола выглядят вот так Nov 24 10:44:14 www /kernel: ipfw: 2700 Deny TCP 212.180.1.14:3469 213.221.1.114:65302 in via fxp0 Заметим ipfw: ~~~~~ Это сообщения ядра И интересующие сообщения не всегда есть, если бы это был фаерволл то сообщения были бы куда чаще. Вопрос открыт
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "ipfw "
	Сообщение от Cheeto_McMourrell on 24-Ноя-03, 11:09 (MSK)
	Вспоминайте что меняли. Есть параноидальная опция - протоколировать попытки соединений. Я думаю вы начитались умных статей, но читали их невнимательно. И тут же принялись вооплощать. И тот кусок видимо из той статьи. net.inet.tcp.log_in_vain net.inet.udp.log_in_vain Ничего не вспоминается?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "ipfw "
	Сообщение от A Clockwork Orange on 24-Ноя-03, 11:44 (MSK)
	Видимо вот это log_in_vain="YES"
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "ipfw "
	Сообщение от dawnshade on 24-Ноя-03, 12:05 (MSK)
	>Видимо вот это > >log_in_vain="YES" Угу, на эту опцию только нервы тратятца. поставь blackhole и спи спокойно.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "ipfw "
	Сообщение от A Clockwork Orange on 24-Ноя-03, 12:15 (MSK)
	www# cat /etc/sysctl.conf net.inet.tcp.blackhole=2 net.inet.udp.blackhole=1 У меня во как
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "ipfw "
	Сообщение от dawnshade on 24-Ноя-03, 12:25 (MSK)
	>www# cat /etc/sysctl.conf >net.inet.tcp.blackhole=2 >net.inet.udp.blackhole=1 > >У меня во как Прально, можешь отключать log_invain. Опция отвечает за запись попыток подключений к портам на которых не висят демоны. А конкретно твой случай - сендмыл пытаеться лезть по этому порту к сервису ident. И ессно был жостко послан (смысле провисел время таймаута в ожидании ответа). Как отключить запрос этот в сендмэйле - не скажу, ибо как не знаю.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "ipfw "
	Сообщение от A Clockwork Orange on 24-Ноя-03, 12:29 (MSK)
	это где это видно что запрос от сендмейла, а запрос (или ответ) с 53 порта, а как узнать причину неудачного соединения
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "ipfw "
	Сообщение от dawnshade on 24-Ноя-03, 14:09 (MSK)
	>это где это видно что запрос от сендмейла, А кто еще может висеть на локалхосте и коннектиться с 113 порту? Только почтовик, а у тебя насколько помню сендмэйл. > а запрос (или ответ) с 53 порта, ?? >а как узнать причину неудачного соединения Причина одна: появление подобных сообщений значит, что кто-то пытался коннектиться с локалхосту:113 и ничего не получил в ответ (в твоем случае), ибо как никто не слушал этот порт.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх