forum.opennet.ru - "Вопрос по правилам ipfw " (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Вопрос по правилам ipfw "

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Вопрос по правилам ipfw "
Сообщение от Invisible_ice (ok) on 17-Июн-05, 14:22 (MSK)
Приветствую всех Перешел с Linux RedHat на FreeBSD 5.3 Все что надо настроил и все работает, но вот возник вопрос по правила ipfw, а именно прочитав доку написал вот такой firewall. При написании firewall стояла задача учесть весь трафик, приходящий на сервер с разделение на почтовый и www # cat firewall #!/bin/sh ipfw -q flush ipfw add 10 allow ip from any to any via lo0 #COUNT Учитываю весь трафик приходящий на сервер в том чесле по портам 25,53,80 порты ipfw add 251 count ip from no 192.168.2.0/24 to 217.xxx.xxx.xxx 25 via rl0 in ipfw add 252 count ip from no 192.168.2.0/24 to 217.xxx.xxx.xxx 53 via rl0 in ipfw add 253 count ip from no 192.168.2.0/24 to 217.xxx.xxx.xxx 80 via rl0 in ipfw add 254 count ip from no 192.168.2.0/24 to 217.xxx.xxx.xxx via rl0 in #DENY запрещаю доступ из вне на следующие порты 110, 3128, 8080 ipfw add 300 deny tcp from any to 217.xxx.xxx.xxx 110 via rl0 ipfw add 301 deny udp from any to 217.xxx.xxx.xxx 110 via rl0 ipfw add 302 deny tcp from any to 217.xxx.xxx.xxx 3128 via rl0 ipfw add 303 deny udp from any to 217.xxx.xxx.xxx 3128 via rl0 ipfw add 304 deny tcp from any to 217.xxx.xxx.xxx 3128 via rl0 ipfw add 305 deny udp from any to 217.xxx.xxx.xxx 3128 via rl0 ipfw add 306 deny tcp from any to 217.xxx.xxx.xxx 8080 via rl0 ipfw add 307 deny udp from any to 217.xxx.xxx.xxx 8080 via rl0 ipfw add 349 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 #ALLOW разрешаю доступ на 25,53,80 ipfw add 350 allow tcp from not 192.168.2.0/24 to 217.xxx.xxx.xxx 25 ipfw add 350 allow ip from not 192.168.2.0/24 to 217.xxx.xxx.xxx 53 ipfw add 350 allow tcp from not 192.168.2.0/24 to 217.xxx.xxx.xxx 80 #SQUID заварачиваю всех на сквид ipfw add 399 fwd 192.168.2.100,3128 tcp from 192.168.2.0/24 to any http out via rl0 #NAT всех что не попало под скви уходит под нат (специфика некоторые из используемых проги не работают через сквид) ipfw add 400 divert 8668 ip from any to any via rl0 #ALLOW возможно параноя но всекию люди в локалке бывают :) ipfw add 510 allow tcp from 192.168.2.0/24 to any via rl0 #ipfw add 510 allow tcp from 192.168.2.0/24 to 192.168.2.100 20,21,22,25,53,80,110,3128 #DNS для работы DNS ipfw add 551 allow udp from 217.xxx.xxx.xxx to any 53 via rl0 ipfw add 552 allow udp from any 53 to 217.xxx.xxx.xxx via rl0 #SERVER all allow разрешаю с сервера все хоть куда ipfw add 550 allow all from 217.xxx.xxx.xxx to any out #ESTABLISHED Вот этот параметр вызвал у меня затруднения без него нет доступа в инет нотак вроде все работает ipfw add 570 allow tcp from any to any established #PING#PING ipfw add 580 allow icmp from 192.168.2.0/24 to any out ipfw add 581 allow icmp from any to 192.168.2.0/24 in ipfw add 382 allow icmp from 217.xxx.xxx.xxx to any out icmptypes 8 ipfw add 583 allow icmp from any to 217.xxx.xxx.xxx in icmptypes 0,3,4,8,11 ipfw add 584 allow icmp from 192.168.2.0/24 to 192.168.2.0/24 ipfw add 585 allow icmp from 217.xxx.xxx.xxx to not 192.168.2.0/24 via rl0 out ipfw add 586 deny ip from any to any via rl0 ipfw add 587 allow ip from any to any via xl0 in ipfw add 588 allow ip from any to 192.168.2.0/24 via xl0 out В man ipfw про established established Только для TCP-пакетов. Соответствует пакетам с установленными битами RST или ACK. Тоесть как я понимаю пропускать все покеты с установленых соединений я правильно понимаю или ошибаюсь ? Так же встречал много статей что использование established делает firewall очень небезопасным такли это ? Хотелось бы услышать коментарии знающих людуй. если есть более правильные решения то как сделать ? Чем лучше смотреть трафик с ipfw show чтобы он был в Mb или Kb ?
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Вопрос по правилам ipfw , alk, 16:17 , 17-Июн-05, (1)
- Вопрос по правилам ipfw , Invisible_ice, 21:20 , 17-Июн-05, (2)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Вопрос по правилам ipfw "

Сообщение от alk (??) on 17-Июн-05, 16:17  (MSK)

>Приветствую всех
>Перешел с Linux RedHat на FreeBSD 5.3
>Все что надо настроил и все работает, но вот возник вопрос по
>правила ipfw, а именно прочитав доку написал вот такой firewall.
>При написании firewall стояла задача учесть весь трафик, приходящий на сервер с
>разделение на почтовый и www
>
># cat firewall
>#!/bin/sh
>
>ipfw -q flush
>ipfw add 10 allow ip from any to any via lo0
${ipfw} add deny ip from any to any not verrevpath in
${ipfw} add deny ip from any to any not antispoof in
>#COUNT Учитываю весь трафик приходящий на сервер в том чесле по портам
> 25,53,80 порты
>ipfw add 251 count ip from no 192.168.2.0/24 to 217.xxx.xxx.xxx 25 via
>rl0 in
>ipfw add 252 count ip from no 192.168.2.0/24 to 217.xxx.xxx.xxx 53 via
>rl0 in
>ipfw add 253 count ip from no 192.168.2.0/24 to 217.xxx.xxx.xxx 80 via
>rl0 in
>ipfw add 254 count ip from no 192.168.2.0/24 to 217.xxx.xxx.xxx via rl0
>in
>#DENY запрещаю доступ из вне на следующие порты 110, 3128, 8080
вот эти правила бессмысленны
>ipfw add 300 deny tcp from any to 217.xxx.xxx.xxx 110 via rl0
>
>ipfw add 301 deny udp from any to 217.xxx.xxx.xxx 110 via rl0
>
>ipfw add 302 deny tcp from any to 217.xxx.xxx.xxx 3128 via rl0
>
>ipfw add 303 deny udp from any to 217.xxx.xxx.xxx 3128 via rl0
>
>ipfw add 304 deny tcp from any to 217.xxx.xxx.xxx 3128 via rl0
>
>ipfw add 305 deny udp from any to 217.xxx.xxx.xxx 3128 via rl0
>
>ipfw add 306 deny tcp from any to 217.xxx.xxx.xxx 8080 via rl0
>
>ipfw add 307 deny udp from any to 217.xxx.xxx.xxx 8080 via rl0
>
--------
>ipfw add 349  deny icmp from any to any in icmptype
>5,9,13,14,15,16,17
>#ALLOW разрешаю доступ на 25,53,80
>ipfw add 350 allow tcp from not 192.168.2.0/24 to 217.xxx.xxx.xxx 25
>ipfw add 350 allow ip from not 192.168.2.0/24 to 217.xxx.xxx.xxx 53
>ipfw add 350 allow tcp from not 192.168.2.0/24 to 217.xxx.xxx.xxx 80
>#SQUID заварачиваю всех на сквид
>ipfw add 399 fwd 192.168.2.100,3128 tcp from 192.168.2.0/24 to any http out
>via rl0
>#NAT всех что не попало  под скви уходит под нат (специфика
>некоторые из используемых проги не работают через сквид)
>ipfw add 400 divert 8668 ip from any to any via rl0
>
лучше так
${ipfw} add divert 8668 ip from ${my_net} to any out via rl0
${ipfw} add divert 8668 ip from any to ${external_IP} in via rl1
${ipfw} add allow tcp from any to any established
${ipfw} add allow tcp from any to any out xmit via rl0

>#ALLOW возможно параноя но всекию люди в локалке бывают :)
>ipfw add 510 allow tcp from 192.168.2.0/24 to any via rl0
>#ipfw add 510 allow tcp from 192.168.2.0/24 to 192.168.2.100 20,21,22,25,53,80,110,3128
>#DNS для работы DNS
>ipfw add 551 allow udp from 217.xxx.xxx.xxx to any 53 via rl0
>
>ipfw add 552 allow udp from any 53 to 217.xxx.xxx.xxx via rl0
>
>#SERVER all allow разрешаю с сервера все хоть куда
выкинуть
>ipfw add 550 allow all from 217.xxx.xxx.xxx to any out
>#ESTABLISHED Вот этот параметр вызвал у меня затруднения без него нет доступа
>в инет нотак вроде все работает
>ipfw add 570 allow tcp from any to any established
>#PING#PING
----------
>ipfw add 580 allow icmp from 192.168.2.0/24 to any out
>ipfw add 581 allow icmp from any to 192.168.2.0/24 in
>ipfw add 382 allow icmp from 217.xxx.xxx.xxx to any out icmptypes 8
>
>ipfw add 583 allow icmp from any to 217.xxx.xxx.xxx in icmptypes 0,3,4,8,11
>
>ipfw add 584 allow icmp from 192.168.2.0/24 to 192.168.2.0/24
>ipfw add 585 allow icmp from 217.xxx.xxx.xxx to not 192.168.2.0/24 via rl0
>out
>ipfw add 586 deny ip from any to any via rl0
>ipfw add 587 allow ip from any to any via xl0 in
>
>ipfw add 588 allow ip from any to 192.168.2.0/24 via xl0 out
>
>
>В man ipfw про established
>established Только для TCP-пакетов. Соответствует пакетам с
>установленными битами RST или ACK.
>Тоесть как я понимаю пропускать все покеты с установленых соединений я правильно
>понимаю или ошибаюсь ?
>Так же встречал много статей что использование established делает firewall очень небезопасным
>такли это ?
>
>Хотелось бы услышать коментарии знающих людуй.
>если есть более правильные решения то как сделать ?
>
>Чем лучше смотреть трафик с ipfw show чтобы он был в Mb
>или Kb ?

еще лучше обновить систему до 5.4
а также использовать pf вместо ipfw
хотя и ipfw очень неплох

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Вопрос по правилам ipfw "

Сообщение от Invisible_ice (ok) on 17-Июн-05, 21:20  (MSK)

>>#DENY запрещаю доступ из вне на следующие порты 110, 3128, 8080
>вот эти правила бессмысленны
>>ipfw add 300 deny tcp from any to 217.xxx.xxx.xxx 110 via rl0
>>ipfw add 301 deny udp from any to 217.xxx.xxx.xxx 110 via rl0
>>ipfw add 302 deny tcp from any to 217.xxx.xxx.xxx 3128 via rl0
>>ipfw add 303 deny udp from any to 217.xxx.xxx.xxx 3128 via rl0
>>ipfw add 304 deny tcp from any to 217.xxx.xxx.xxx 3128 via rl0
>>ipfw add 305 deny udp from any to 217.xxx.xxx.xxx 3128 via rl0
>>ipfw add 306 deny tcp from any to 217.xxx.xxx.xxx 8080 via rl0
>>ipfw add 307 deny udp from any to 217.xxx.xxx.xxx 8080 via rl0
>--------
Вообщем да, но ни больше информационны для меня ...
>>ipfw add 349  deny icmp from any to any in icmptype
>>5,9,13,14,15,16,17
>>#ALLOW разрешаю доступ на 25,53,80
>>ipfw add 350 allow tcp from not 192.168.2.0/24 to 217.xxx.xxx.xxx 25
>>ipfw add 350 allow ip from not 192.168.2.0/24 to 217.xxx.xxx.xxx 53
>>ipfw add 350 allow tcp from not 192.168.2.0/24 to 217.xxx.xxx.xxx 80
>>#SQUID заварачиваю всех на сквид
>>ipfw add 399 fwd 192.168.2.100,3128 tcp from 192.168.2.0/24 to any http out
>>via rl0
>>#NAT всех что не попало  под скви уходит под нат (специфика
>>некоторые из используемых проги не работают через сквид)
>>ipfw add 400 divert 8668 ip from any to any via rl0
>>
>лучше так
>${ipfw} add divert 8668 ip from ${my_net} to any out via rl0
>
>${ipfw} add divert 8668 ip from any to ${external_IP} in via rl1
>
>${ipfw} add allow tcp from any to any established
>${ipfw} add allow tcp from any to any out xmit via rl0
Почему ?
>выкинуть
>>ipfw add 550 allow all from 217.xxx.xxx.xxx to any out
>>#ESTABLISHED Вот этот параметр вызвал у меня затруднения без него нет доступа
>>в инет нотак вроде все работает
>>ipfw add 570 allow tcp from any to any established
>>#PING#PING
>----------
я так понимаю выкинуть потому как заменяется правилами выше ?
Естьли еще другие мнения по поводу правил ?
Очень хочется услышать ответы вот на эти вопросы
1. Тоесть как я понимаю пропускать все покеты с установленых соединений я правильно понимаю или ошибаюсь ?
1.2 Так же встречал много статей что использование established делает firewall очень небезопасным
такли это ?
2. если есть более правильные решения то как сделать ?
3. Чем лучше смотреть трафик с ipfw show чтобы он был в Mb или Kb ?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Вопрос по правилам ipfw "
Сообщение от alk (??) on 17-Июн-05, 16:17 (MSK)
>Приветствую всех >Перешел с Linux RedHat на FreeBSD 5.3 >Все что надо настроил и все работает, но вот возник вопрос по >правила ipfw, а именно прочитав доку написал вот такой firewall. >При написании firewall стояла задача учесть весь трафик, приходящий на сервер с >разделение на почтовый и www > ># cat firewall >#!/bin/sh > >ipfw -q flush >ipfw add 10 allow ip from any to any via lo0 ${ipfw} add deny ip from any to any not verrevpath in ${ipfw} add deny ip from any to any not antispoof in >#COUNT Учитываю весь трафик приходящий на сервер в том чесле по портам > 25,53,80 порты >ipfw add 251 count ip from no 192.168.2.0/24 to 217.xxx.xxx.xxx 25 via >rl0 in >ipfw add 252 count ip from no 192.168.2.0/24 to 217.xxx.xxx.xxx 53 via >rl0 in >ipfw add 253 count ip from no 192.168.2.0/24 to 217.xxx.xxx.xxx 80 via >rl0 in >ipfw add 254 count ip from no 192.168.2.0/24 to 217.xxx.xxx.xxx via rl0 >in >#DENY запрещаю доступ из вне на следующие порты 110, 3128, 8080 вот эти правила бессмысленны >ipfw add 300 deny tcp from any to 217.xxx.xxx.xxx 110 via rl0 > >ipfw add 301 deny udp from any to 217.xxx.xxx.xxx 110 via rl0 > >ipfw add 302 deny tcp from any to 217.xxx.xxx.xxx 3128 via rl0 > >ipfw add 303 deny udp from any to 217.xxx.xxx.xxx 3128 via rl0 > >ipfw add 304 deny tcp from any to 217.xxx.xxx.xxx 3128 via rl0 > >ipfw add 305 deny udp from any to 217.xxx.xxx.xxx 3128 via rl0 > >ipfw add 306 deny tcp from any to 217.xxx.xxx.xxx 8080 via rl0 > >ipfw add 307 deny udp from any to 217.xxx.xxx.xxx 8080 via rl0 > -------- >ipfw add 349 deny icmp from any to any in icmptype >5,9,13,14,15,16,17 >#ALLOW разрешаю доступ на 25,53,80 >ipfw add 350 allow tcp from not 192.168.2.0/24 to 217.xxx.xxx.xxx 25 >ipfw add 350 allow ip from not 192.168.2.0/24 to 217.xxx.xxx.xxx 53 >ipfw add 350 allow tcp from not 192.168.2.0/24 to 217.xxx.xxx.xxx 80 >#SQUID заварачиваю всех на сквид >ipfw add 399 fwd 192.168.2.100,3128 tcp from 192.168.2.0/24 to any http out >via rl0 >#NAT всех что не попало под скви уходит под нат (специфика >некоторые из используемых проги не работают через сквид) >ipfw add 400 divert 8668 ip from any to any via rl0 > лучше так ${ipfw} add divert 8668 ip from ${my_net} to any out via rl0 ${ipfw} add divert 8668 ip from any to ${external_IP} in via rl1 ${ipfw} add allow tcp from any to any established ${ipfw} add allow tcp from any to any out xmit via rl0 >#ALLOW возможно параноя но всекию люди в локалке бывают :) >ipfw add 510 allow tcp from 192.168.2.0/24 to any via rl0 >#ipfw add 510 allow tcp from 192.168.2.0/24 to 192.168.2.100 20,21,22,25,53,80,110,3128 >#DNS для работы DNS >ipfw add 551 allow udp from 217.xxx.xxx.xxx to any 53 via rl0 > >ipfw add 552 allow udp from any 53 to 217.xxx.xxx.xxx via rl0 > >#SERVER all allow разрешаю с сервера все хоть куда выкинуть >ipfw add 550 allow all from 217.xxx.xxx.xxx to any out >#ESTABLISHED Вот этот параметр вызвал у меня затруднения без него нет доступа >в инет нотак вроде все работает >ipfw add 570 allow tcp from any to any established >#PING#PING ---------- >ipfw add 580 allow icmp from 192.168.2.0/24 to any out >ipfw add 581 allow icmp from any to 192.168.2.0/24 in >ipfw add 382 allow icmp from 217.xxx.xxx.xxx to any out icmptypes 8 > >ipfw add 583 allow icmp from any to 217.xxx.xxx.xxx in icmptypes 0,3,4,8,11 > >ipfw add 584 allow icmp from 192.168.2.0/24 to 192.168.2.0/24 >ipfw add 585 allow icmp from 217.xxx.xxx.xxx to not 192.168.2.0/24 via rl0 >out >ipfw add 586 deny ip from any to any via rl0 >ipfw add 587 allow ip from any to any via xl0 in > >ipfw add 588 allow ip from any to 192.168.2.0/24 via xl0 out > > >В man ipfw про established >established Только для TCP-пакетов. Соответствует пакетам с >установленными битами RST или ACK. >Тоесть как я понимаю пропускать все покеты с установленых соединений я правильно >понимаю или ошибаюсь ? >Так же встречал много статей что использование established делает firewall очень небезопасным >такли это ? > >Хотелось бы услышать коментарии знающих людуй. >если есть более правильные решения то как сделать ? > >Чем лучше смотреть трафик с ipfw show чтобы он был в Mb >или Kb ? еще лучше обновить систему до 5.4 а также использовать pf вместо ipfw хотя и ipfw очень неплох
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Вопрос по правилам ipfw "
	Сообщение от Invisible_ice (ok) on 17-Июн-05, 21:20 (MSK)
	>>#DENY запрещаю доступ из вне на следующие порты 110, 3128, 8080 >вот эти правила бессмысленны >>ipfw add 300 deny tcp from any to 217.xxx.xxx.xxx 110 via rl0 >>ipfw add 301 deny udp from any to 217.xxx.xxx.xxx 110 via rl0 >>ipfw add 302 deny tcp from any to 217.xxx.xxx.xxx 3128 via rl0 >>ipfw add 303 deny udp from any to 217.xxx.xxx.xxx 3128 via rl0 >>ipfw add 304 deny tcp from any to 217.xxx.xxx.xxx 3128 via rl0 >>ipfw add 305 deny udp from any to 217.xxx.xxx.xxx 3128 via rl0 >>ipfw add 306 deny tcp from any to 217.xxx.xxx.xxx 8080 via rl0 >>ipfw add 307 deny udp from any to 217.xxx.xxx.xxx 8080 via rl0 >-------- Вообщем да, но ни больше информационны для меня ... >>ipfw add 349 deny icmp from any to any in icmptype >>5,9,13,14,15,16,17 >>#ALLOW разрешаю доступ на 25,53,80 >>ipfw add 350 allow tcp from not 192.168.2.0/24 to 217.xxx.xxx.xxx 25 >>ipfw add 350 allow ip from not 192.168.2.0/24 to 217.xxx.xxx.xxx 53 >>ipfw add 350 allow tcp from not 192.168.2.0/24 to 217.xxx.xxx.xxx 80 >>#SQUID заварачиваю всех на сквид >>ipfw add 399 fwd 192.168.2.100,3128 tcp from 192.168.2.0/24 to any http out >>via rl0 >>#NAT всех что не попало под скви уходит под нат (специфика >>некоторые из используемых проги не работают через сквид) >>ipfw add 400 divert 8668 ip from any to any via rl0 >> >лучше так >${ipfw} add divert 8668 ip from ${my_net} to any out via rl0 > >${ipfw} add divert 8668 ip from any to ${external_IP} in via rl1 > >${ipfw} add allow tcp from any to any established >${ipfw} add allow tcp from any to any out xmit via rl0 Почему ? >выкинуть >>ipfw add 550 allow all from 217.xxx.xxx.xxx to any out >>#ESTABLISHED Вот этот параметр вызвал у меня затруднения без него нет доступа >>в инет нотак вроде все работает >>ipfw add 570 allow tcp from any to any established >>#PING#PING >---------- я так понимаю выкинуть потому как заменяется правилами выше ? Естьли еще другие мнения по поводу правил ? Очень хочется услышать ответы вот на эти вопросы 1. Тоесть как я понимаю пропускать все покеты с установленых соединений я правильно понимаю или ошибаюсь ? 1.2 Так же встречал много статей что использование established делает firewall очень небезопасным такли это ? 2. если есть более правильные решения то как сделать ? 3. Чем лучше смотреть трафик с ipfw show чтобы он был в Mb или Kb ?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]