forum.opennet.ru - "ipfw и dns" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ipfw и dns"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ipfw и dns"
Сообщение от ipfw и dns on 08-Ноя-05, 11:16 (MSK)
Хочется запретить доступ к ДНС одному определенному IP, а всем остальным разрешить. Не получается :( FreeBsd 4.11, ядро собрано с default-to-accept правила fwcmd="/sbin/ipfw" ${fwcmd} flush ........ ${fwcmd} add pass tcp from any to ${ip} 53 setup ${fwcmd} add pass udp from any to ${ip} 53 ${fwcmd} add deny tcp from 195.19.xxx.xxx to ${ip} 53 setup ${fwcmd} add deny tcp from 195.19.xxx.xxx to ${ip} 53 ${fwcmd} add pass udp from ${ip} 53 to any # Disallow setup of all other TCP connections ${fwcmd} add deny tcp from any to any setup # Allow DNS queries out in the world ${fwcmd} add pass udp from ${ip} to any 53 keep-state ${fwcmd} add deny all from any to any ${fwcmd} zero Как правильно это сделать?
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

ipfw и dns, MoHaX, 11:29 , 08-Ноя-05, (1)

ipfw и dns, ipfw и dns, 13:50 , 08-Ноя-05, (3)

ipfw и dns, antoshkin, 11:33 , 08-Ноя-05, (2)

ipfw и dns, ipfw и dns, 13:53 , 08-Ноя-05, (4)

ipfw и dns, antoshkin, 13:55 , 08-Ноя-05, (5)

ipfw и dns, ipfw и dns, 13:59 , 08-Ноя-05, (6)

ipfw и dns, crash, 17:46 , 08-Ноя-05, (7)

ipfw и dns, ipfw и dns, 18:24 , 08-Ноя-05, (8)

ipfw и dns, lavr, 18:49 , 08-Ноя-05, (9)

Сообщения по теме [Сортировка по времени, UBB]

1. "ipfw и dns"

Сообщение от MoHaX (ok) on 08-Ноя-05, 11:29  (MSK)

Правила выполняются в порядке очерёдности. Т.е. первые два правила у тебя разрешают всем юзать твой днс. При соответсвии пакета правилу дальше он не идёт. Т.е. не доходит до твоих запрещающих правил... Вообщем поставь запрещающие правила до разрешающих и возрадуйся ;)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "ipfw и dns"

Сообщение от ipfw и dns on 08-Ноя-05, 13:50  (MSK)

>Правила выполняются в порядке очерёдности. Т.е. первые два правила у тебя разрешают
>всем юзать твой днс. При соответсвии пакета правилу дальше он не
>идёт. Т.е. не доходит до твоих запрещающих правил... Вообщем поставь запрещающие
>правила до разрешающих и возрадуйся ;)

        ${fwcmd} add deny tcp from 195.19.xxx.xxx to ${ip} 53
        ${fwcmd} add deny tcp from 195.19.xxx.xxx to ${ip} 53
        ${fwcmd} add pass tcp from any to ${ip} 53 setup
        ${fwcmd} add pass udp from any to ${ip} 53
        ${fwcmd} add pass udp from ${ip} 53 to any
Так тоже не пашет! :( Пускает и все тут.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ipfw и dns"

Сообщение от antoshkin (ok) on 08-Ноя-05, 11:33  (MSK)

add deny udp from ${ip} to any 53

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "ipfw и dns"

Сообщение от ipfw и dns on 08-Ноя-05, 13:53  (MSK)

add deny tcp from banned_ip to any 53
add deny tcp from banned_ip to any 53
а потом разрешающие правила - не пашет :(

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "ipfw и dns"

Сообщение от antoshkin (ok) on 08-Ноя-05, 13:55  (MSK)

UDP

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "ipfw и dns"

Сообщение от ipfw и dns on 08-Ноя-05, 13:59  (MSK)

>UDP

млин, я туплю! конечно и ТСP и UDP закрываю
все равно пускает

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "ipfw и dns"

Сообщение от crash (ok) on 08-Ноя-05, 17:46  (MSK)

>>UDP
>
>
>млин, я туплю! конечно и ТСP и UDP закрываю
>все равно пускает
значит гдето накосячили.. да и вообще нахрена надо было собираться все разрешено, если в конце все запрещаете?
смотрите внимательно, поставьте ведение логов, посмотрите.
ну или закройте в DNS доступ с этих айпи

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "ipfw и dns"

Сообщение от ipfw и dns on 08-Ноя-05, 18:24  (MSK)

так я и хочу сделать так, чтобы было разрешено только http,https,pop3,impap,ssh c некоторых IP, _всем_ DNS ,кроме одного IP!!!
все работает, а вот с запрещением одного IP для dns - лажа

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "ipfw и dns"

Сообщение от lavr on 08-Ноя-05, 18:49  (MSK)

>так я и хочу сделать так, чтобы было разрешено только http,https,pop3,impap,ssh c
>некоторых IP, _всем_ DNS ,кроме одного IP!!!
>
>все работает, а вот с запрещением одного IP для dns - лажа
>
лажа это когда пытаются что-то запрещать без предварительного
ознакомления с материалом, теорией, как firewall, так и того протокола
который хотят прикрыть.
1)
domain           53/tcp    #Domain Name Server
domain           53/udp    #Domain Name Server
2) уберите правило разрешающее ВСЕМ использовать DNS
вставьте правило ЗАПРЕЩАЮЩЕЕ ВСЕМ использовать DNS и оцените
результат:
- на машине с ipfw
- на клиентах
по результату станет ВСЕ прозрачно

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw и dns"
Сообщение от MoHaX (ok) on 08-Ноя-05, 11:29 (MSK)
Правила выполняются в порядке очерёдности. Т.е. первые два правила у тебя разрешают всем юзать твой днс. При соответсвии пакета правилу дальше он не идёт. Т.е. не доходит до твоих запрещающих правил... Вообщем поставь запрещающие правила до разрешающих и возрадуйся ;)
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "ipfw и dns"
	Сообщение от ipfw и dns on 08-Ноя-05, 13:50 (MSK)
	>Правила выполняются в порядке очерёдности. Т.е. первые два правила у тебя разрешают >всем юзать твой днс. При соответсвии пакета правилу дальше он не >идёт. Т.е. не доходит до твоих запрещающих правил... Вообщем поставь запрещающие >правила до разрешающих и возрадуйся ;) ${fwcmd} add deny tcp from 195.19.xxx.xxx to ${ip} 53 ${fwcmd} add deny tcp from 195.19.xxx.xxx to ${ip} 53 ${fwcmd} add pass tcp from any to ${ip} 53 setup ${fwcmd} add pass udp from any to ${ip} 53 ${fwcmd} add pass udp from ${ip} 53 to any Так тоже не пашет! :( Пускает и все тут.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "ipfw и dns"
Сообщение от antoshkin (ok) on 08-Ноя-05, 11:33 (MSK)
add deny udp from ${ip} to any 53
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "ipfw и dns"
	Сообщение от ipfw и dns on 08-Ноя-05, 13:53 (MSK)
	add deny tcp from banned_ip to any 53 add deny tcp from banned_ip to any 53 а потом разрешающие правила - не пашет :(
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "ipfw и dns"
	Сообщение от antoshkin (ok) on 08-Ноя-05, 13:55 (MSK)
	UDP
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "ipfw и dns"
	Сообщение от ipfw и dns on 08-Ноя-05, 13:59 (MSK)
	>UDP млин, я туплю! конечно и ТСP и UDP закрываю все равно пускает
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "ipfw и dns"
	Сообщение от crash (ok) on 08-Ноя-05, 17:46 (MSK)
	>>UDP > > >млин, я туплю! конечно и ТСP и UDP закрываю >все равно пускает значит гдето накосячили.. да и вообще нахрена надо было собираться все разрешено, если в конце все запрещаете? смотрите внимательно, поставьте ведение логов, посмотрите. ну или закройте в DNS доступ с этих айпи
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "ipfw и dns"
	Сообщение от ipfw и dns on 08-Ноя-05, 18:24 (MSK)
	так я и хочу сделать так, чтобы было разрешено только http,https,pop3,impap,ssh c некоторых IP, _всем_ DNS ,кроме одного IP!!! все работает, а вот с запрещением одного IP для dns - лажа
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "ipfw и dns"
	Сообщение от lavr on 08-Ноя-05, 18:49 (MSK)
	>так я и хочу сделать так, чтобы было разрешено только http,https,pop3,impap,ssh c >некоторых IP, _всем_ DNS ,кроме одного IP!!! > >все работает, а вот с запрещением одного IP для dns - лажа > лажа это когда пытаются что-то запрещать без предварительного ознакомления с материалом, теорией, как firewall, так и того протокола который хотят прикрыть. 1) domain 53/tcp #Domain Name Server domain 53/udp #Domain Name Server 2) уберите правило разрешающее ВСЕМ использовать DNS вставьте правило ЗАПРЕЩАЮЩЕЕ ВСЕМ использовать DNS и оцените результат: - на машине с ipfw - на клиентах по результату станет ВСЕ прозрачно
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]