forum.opennet.ru - "правила ipfw" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"правила ipfw"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"правила ipfw"
Сообщение от GHopper (ok) on 30-Мрт-07, 05:20
Здравсвтуйте! Информации по этой теме полно, примеров еще больше... но не работают они у меня! Ситуация: шлюз с поднятым mpd. Шлюз поднимает vpn-туннель (ng0) к серверу провайдера, клиенты соединяются к шлюзу также через vpn (ngX). Пока пользователь только 1: 192.168.0.2(vpn: 192.168.1.2) #разрешаем пакетам ходить до vpn-сервера провайдера, чтобы поднять ng0 ipfw add 100 allow ip from me to ${ip_vpn-сервера_провайдера} out via rl1 ipfw add 110 allow ip from ${ip_vpn-сервера_провайдера} to me in via rl1 #дивертим пакеты от 192.168.1.2 ipfw add 200 divert natd ip from 192.168.1.2 to any out via ng0 ipfw add 210 divert natd ip from any to me in via ng0 #полность доверяем локальной сети ipfw add 245 allow ip from 192.168.0.0/24 to me in via rl0 ipfw add 250 allow ip from me to 192.168.0.0/24 out via rl0 #пропускаем все через поднятые интерфейсы ipfw add 260 allow ip from any to any via ng0 ipfw add 270 allow ip from any to any via ng1 Друзья, помогите обезопасить соединение беле-меле разумными правилами. Мне нужно, чтобы из локалки можно было установить vpn-соединение со шлюзом и работать на нем через ssh и ftp. Прокси-сервера не стоит. Посмотрел на каком порту у меня висит mpd (насклько помню 1723). Уточнил правила: #разрешаем пакетам ходить до vpn-сервера провайдера, чтобы поднять ng0 ipfw add 100 allow ip from me to ${ip_vpn-сервера_провайдера} 1723 out via rl1 ipfw add 110 allow ip from ${ip_vpn-сервера_провайдера} 1723 to me in via rl1 После этого перестал подниматься ng0-интерфейс! Если добавить ipfw add 10 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 то не могу соединиться через ssh. Вот это вообще не понимаю: ipfw add 20 check-state ipfw add 120 allow tcp from me to any keep-state via ng0 Надо? А как насчет широковещательных рассылко? Как их все закрыть? Выручайте!
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

правила ipfw, domas, 08:34 , 30-Мрт-07, (1)

правила ipfw, domas, 08:37 , 30-Мрт-07, (2)

правила ipfw, GHopper, 14:57 , 30-Мрт-07, (3)

правила ipfw, domas, 18:45 , 30-Мрт-07, (4)

Сообщения по теме [Сортировка по времени, UBB]

1. "правила ipfw"

Сообщение от domas (ok) on 30-Мрт-07, 08:34

Давно не работал с ipfw, но все же попробуем:
>ipfw add 100 allow ip from me to ${ip_vpn-сервера_провайдера} out via rl1
>
>ipfw add 110 allow ip from ${ip_vpn-сервера_провайдера} to me in via rl1
Меняем на:
ipfw add allow tcp from from me to ${ip_vpn-сервера_провайдера} 1723 keep-state
ipfw add allow gre from from me to ${ip_vpn-сервера_провайдера} keep-state
>
>#дивертим пакеты от 192.168.1.2
>ipfw add 200 divert natd ip from 192.168.1.2 to any out via
>ng0
>ipfw add 210 divert natd ip from any to me in via
>ng0
>
>#полность доверяем локальной сети
>ipfw add 245 allow ip from 192.168.0.0/24 to me in via rl0
>
>ipfw add 250 allow ip from me to 192.168.0.0/24 out via rl0
Меняем на:
ipfw add allow all from 192.168.0.0/24 to me in via rl0
>
>
>#пропускаем все через поднятые интерфейсы
>ipfw add 260 allow ip from any to any via ng0
>ipfw add 270 allow ip from any to any via ng1
Это вообще лишнее.
>ipfw add 100 allow ip from me to ${ip_vpn-сервера_провайдера} 1723 out via
>rl1
>ipfw add 110 allow ip from ${ip_vpn-сервера_провайдера} 1723 to me in via
>rl1
>После этого перестал подниматься ng0-интерфейс!
См. первые два правила.
>
>Если добавить
>ipfw add 10 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
>
>то не могу соединиться через ssh.
Меняем на:
ipfw add pass icmp from any to any icmptypes 0,8,3,5,11
>Вот это вообще не понимаю:
>ipfw add 20 check-state
>ipfw add 120 allow tcp from me to any keep-state via ng0
Если тебе настолько влом доки читать, то мой ответ - так надо.
ЗЫЖ
Пробуй мои правила осторожно, т.к. повторяю, давно с ipfw дело не имел - может и напутал чего.
ЗЗЫЖ А клиенты из локалки в инет ходить не должны что ли?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "правила ipfw"

Сообщение от domas (ok) on 30-Мрт-07, 08:37

>>
>>#полность доверяем локальной сети
>>ipfw add 245 allow ip from 192.168.0.0/24 to me in via rl0
>>
>>ipfw add 250 allow ip from me to 192.168.0.0/24 out via rl0
>
>Меняем на:
>ipfw add allow all from 192.168.0.0/24 to me in via rl0
>
Ошибка. Меняем на:
ipfw add allow all from 192.168.0.0/24 to me in via rl0 keep-state

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "правила ipfw"

Сообщение от GHopper (ok) on 30-Мрт-07, 14:57

Здорово!
Выражаю искренную благодарность domas! Единственный откликнувшийся за целый месяц!
Теперь правила такие:
    ipfw add 10 check-state
    ipfw add 20 deny icmp from any to any icmptype 0,3,5,8,11
    ipfw add 100 allow tcp from me to ${prov_vpn} 1723 out via rl1 keep-state
    ipfw add 105 allow gre from me to ${prov_vpn} out via rl1 keep-state
#    ipfw add 110 allow ip from ${prov_vpn} to me in via rl1
    ipfw add 200 divert natd ip from 192.168.1.2 to any out via ng0
    ipfw add 210 divert natd ip from any to me in via ng0

    ipfw add 245 allow ip from 192.168.0.0/24 to me in via rl0 keep-state
#    ipfw add 250 allow ip from me to 192.168.0.0/24 out via rl0
    ipfw add 260 allow ip from any to any via ng0
    ipfw add 270 allow ip from any to any via ng1
Без правил 260 и 270 ничего не работает.
Насколько теперь безопасен мой шлюз? Если предположить, что он заражон вирусом, то как закрыть всю вирусную активность?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "правила ipfw"

Сообщение от domas (ok) on 30-Мрт-07, 18:45

>Выражаю искренную благодарность domas! Единственный откликнувшийся за целый месяц!
польщен...
> ipfw add 260 allow ip from any to any via ng0
>
> ipfw add 270 allow ip from any to any via ng1
>
>
>Без правил 260 и 270 ничего не работает.
проще, лучше и безопаснее так:
ipfw add allow ip from ,me to any keep-state
или, если нехочешь впрягать клиентскую подсеть:
ipfw add allow ip from me to any via ng0 keep-state
ipfw add allow ip from ${client_subnet} to any via ng1 keep state
это с учетом того, что с ng0 у тебя идут пакеты уже после natd
>Насколько теперь безопасен мой шлюз? Если предположить, что он заражон вирусом, то
>как закрыть всю вирусную активность?
Что значит насколько безопасен? В каких единицах ты думаешь можно измерить безопастность?
Смотря что за "вирус". Если в классическом понимани вирусов - а есть ли вообще вирусы под freebsd? Точно не знаю, но думается что нет.
А если кто-то из клиентов начнет траффик жрать, следует выяснить номер порта и перекрыть его - в твоем случае номера блокирующих правил должны быть в интервале 1-9.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "правила ipfw"
Сообщение от domas (ok) on 30-Мрт-07, 08:34
Давно не работал с ipfw, но все же попробуем: >ipfw add 100 allow ip from me to ${ip_vpn-сервера_провайдера} out via rl1 > >ipfw add 110 allow ip from ${ip_vpn-сервера_провайдера} to me in via rl1 Меняем на: ipfw add allow tcp from from me to ${ip_vpn-сервера_провайдера} 1723 keep-state ipfw add allow gre from from me to ${ip_vpn-сервера_провайдера} keep-state > >#дивертим пакеты от 192.168.1.2 >ipfw add 200 divert natd ip from 192.168.1.2 to any out via >ng0 >ipfw add 210 divert natd ip from any to me in via >ng0 > >#полность доверяем локальной сети >ipfw add 245 allow ip from 192.168.0.0/24 to me in via rl0 > >ipfw add 250 allow ip from me to 192.168.0.0/24 out via rl0 Меняем на: ipfw add allow all from 192.168.0.0/24 to me in via rl0 > > >#пропускаем все через поднятые интерфейсы >ipfw add 260 allow ip from any to any via ng0 >ipfw add 270 allow ip from any to any via ng1 Это вообще лишнее. >ipfw add 100 allow ip from me to ${ip_vpn-сервера_провайдера} 1723 out via >rl1 >ipfw add 110 allow ip from ${ip_vpn-сервера_провайдера} 1723 to me in via >rl1 >После этого перестал подниматься ng0-интерфейс! См. первые два правила. > >Если добавить >ipfw add 10 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 > >то не могу соединиться через ssh. Меняем на: ipfw add pass icmp from any to any icmptypes 0,8,3,5,11 >Вот это вообще не понимаю: >ipfw add 20 check-state >ipfw add 120 allow tcp from me to any keep-state via ng0 Если тебе настолько влом доки читать, то мой ответ - так надо. ЗЫЖ Пробуй мои правила осторожно, т.к. повторяю, давно с ipfw дело не имел - может и напутал чего. ЗЗЫЖ А клиенты из локалки в инет ходить не должны что ли?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "правила ipfw"
	Сообщение от domas (ok) on 30-Мрт-07, 08:37
	>> >>#полность доверяем локальной сети >>ipfw add 245 allow ip from 192.168.0.0/24 to me in via rl0 >> >>ipfw add 250 allow ip from me to 192.168.0.0/24 out via rl0 > >Меняем на: >ipfw add allow all from 192.168.0.0/24 to me in via rl0 > Ошибка. Меняем на: ipfw add allow all from 192.168.0.0/24 to me in via rl0 keep-state
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "правила ipfw"
	Сообщение от GHopper (ok) on 30-Мрт-07, 14:57
	Здорово! Выражаю искренную благодарность domas! Единственный откликнувшийся за целый месяц! Теперь правила такие: ipfw add 10 check-state ipfw add 20 deny icmp from any to any icmptype 0,3,5,8,11 ipfw add 100 allow tcp from me to ${prov_vpn} 1723 out via rl1 keep-state ipfw add 105 allow gre from me to ${prov_vpn} out via rl1 keep-state # ipfw add 110 allow ip from ${prov_vpn} to me in via rl1 ipfw add 200 divert natd ip from 192.168.1.2 to any out via ng0 ipfw add 210 divert natd ip from any to me in via ng0 ipfw add 245 allow ip from 192.168.0.0/24 to me in via rl0 keep-state # ipfw add 250 allow ip from me to 192.168.0.0/24 out via rl0 ipfw add 260 allow ip from any to any via ng0 ipfw add 270 allow ip from any to any via ng1 Без правил 260 и 270 ничего не работает. Насколько теперь безопасен мой шлюз? Если предположить, что он заражон вирусом, то как закрыть всю вирусную активность?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "правила ipfw"
	Сообщение от domas (ok) on 30-Мрт-07, 18:45
	>Выражаю искренную благодарность domas! Единственный откликнувшийся за целый месяц! польщен... > ipfw add 260 allow ip from any to any via ng0 > > ipfw add 270 allow ip from any to any via ng1 > > >Без правил 260 и 270 ничего не работает. проще, лучше и безопаснее так: ipfw add allow ip from ,me to any keep-state или, если нехочешь впрягать клиентскую подсеть: ipfw add allow ip from me to any via ng0 keep-state ipfw add allow ip from ${client_subnet} to any via ng1 keep state это с учетом того, что с ng0 у тебя идут пакеты уже после natd >Насколько теперь безопасен мой шлюз? Если предположить, что он заражон вирусом, то >как закрыть всю вирусную активность? Что значит насколько безопасен? В каких единицах ты думаешь можно измерить безопастность? Смотря что за "вирус". Если в классическом понимани вирусов - а есть ли вообще вирусы под freebsd? Точно не знаю, но думается что нет. А если кто-то из клиентов начнет траффик жрать, следует выяснить номер порта и перекрыть его - в твоем случае номера блокирующих правил должны быть в интервале 1-9.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]