forum.opennet.ru - "Правила ipfw" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Правила ipfw"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Правила ipfw"
Сообщение от di110n (ok) on 25-Июл-07, 11:30
Здравствуйте! Есть сервер c FreeBSD 6.1. Два интерфейса int, ext, поднят NATD.. Кто-нибудь знает как сделать так, чтоб внутрь из вне проходили только пакеты запрошенные рабочими станциями из локалки? Т.е., чтоб любой внешний хост не имел возможности соединиться с сервером просто так, но чтоб устанавливалось соединение с этим хостом в том случае, если соединение было запрошено из внутренней сети или самим сервером. Сейчас, вобщем, всё работает, но я сомневаюсь на счёт безопасности... Вот правила ipfw: rl0 - внутренный интерфейс (IP 10.0.1.3/24) re0 - внешний интерфейс (IP 80.200.200.200/27) 01000 allow ip from any to any via lo0 02000 deny ip from any to 127.0.0.0/8 03000 deny ip from 127.0.0.0/8 to any 04000 deny ip from 10.0.1.0/28 to any in via re0 04010 allow tcp from 10.0.1.10 to 10.0.1.3 dst-port 22 via rl0 04020 allow tcp from 10.0.1.3 to 10.0.1.10 src-port 22 via rl0 05000 deny ip from 80.200.200.190/27 to any in via rl0 06000 deny ip from any to 10.0.0.0/8 via re0 07000 deny ip from any to 172.16.0.0/12 via re0 08000 deny ip from any to 192.168.0.0/16 via re0 09000 deny ip from any to 0.0.0.0/8 via re0 10000 deny ip from any to 169.254.0.0/16 via re0 11000 deny ip from any to 192.0.2.0/24 via re0 12000 deny ip from any to 224.0.0.0/4 via re0 13000 deny ip from any to 240.0.0.0/4 via re0 13010 allow ip from 10.0.1.10 to any in via rl0 13020 allow ip from 10.0.1.1 to any in via rl0 13990 deny ip from any to any in via rl0 14000 divert 8668 ip from any to any via re0 15000 deny ip from 10.0.0.0/8 to any via re0 16000 deny ip from 172.16.0.0/12 to any via re0 17000 deny ip from 192.168.0.0/16 to any via re0 18000 deny ip from 0.0.0.0/8 to any via re0 19000 deny ip from 169.254.0.0/16 to any via re0 20000 deny ip from 192.0.2.0/24 to any via re0 21000 deny ip from 224.0.0.0/4 to any via re0 22000 deny ip from 240.0.0.0/4 to any via re0 22010 allow tcp from 212.0.0.1 to 80.200.200.200 dst-port 22 in via re0 setup 22020 allow tcp from 83.1.1.0/24 to 80.200.200.200 dst-port 22 in via re0 setup 22030 allow tcp from any to 80.200.200.200 dst-port 53 setup 22035 allow udp from any to 80.200.200.200 dst-port 53 22040 allow tcp from any to 80.200.200.200 dst-port 80 setup 22110 deny tcp from any to any in via re0 setup 22120 allow udp from any to 80.200.200.200 src-port 53 in via re0 22130 allow udp from any to 80.200.200.200 src-port 123 in via re0 22140 deny udp from any to any in via re0 22500 allow ip from any to any 65535 deny ip from any to any Спасибо, что прочитали до конца :)
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Правила ipfw, Redduck, 12:01 , 25-Июл-07, (1)

Правила ipfw, Redduck, 14:28 , 25-Июл-07, (2)

Правила ipfw, di110n, 20:25 , 25-Июл-07, (3)
Правила ipfw, eZH, 16:44 , 13-Сен-08, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Правила ipfw"

Сообщение от Redduck (??) on 25-Июл-07, 12:01

Здравствуйте!
Возможно Вам поможет опция established.
Правило 22500 у Вас разрешает весь трафик, и если пакет не пападет не под одно из предидущих правил то он пройдет!!! Что наверно не есть секьюретно!!!
Удачи.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Правила ipfw"

Сообщение от Redduck (??) on 25-Июл-07, 14:28

Можешь добавить дополнительные правила после
03000 deny ip from 127.0.0.0/8 to any
${fwcmd} add deny log all from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
${fwcmd} add deny log all from any to any tcpflags  fin,  syn,  rst,  psh,  ack,  urg
${fwcmd} add deny log all from any to any not established tcpflags fin
Помогут немного от сканирования.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Правила ipfw"

Сообщение от di110n (ok) on 25-Июл-07, 20:25

>[оверквотинг удален]
>03000 deny ip from 127.0.0.0/8 to any
>
>${fwcmd} add deny log all from any to any tcpflags !fin, !syn,
>!rst, !psh, !ack, !urg
>${fwcmd} add deny log all from any to any tcpflags  fin,
> syn,  rst,  psh,  ack,  urg
>${fwcmd} add deny log all from any to any not established tcpflags
>fin
>
>Помогут немного от сканирования.
Спасибо :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Правила ipfw"

Сообщение от eZH on 13-Сен-08, 16:44

>[оверквотинг удален]
>03000 deny ip from 127.0.0.0/8 to any
>
>${fwcmd} add deny log all from any to any tcpflags !fin, !syn,
>!rst, !psh, !ack, !urg
>${fwcmd} add deny log all from any to any tcpflags  fin,
> syn,  rst,  psh,  ack,  urg
>${fwcmd} add deny log all from any to any not established tcpflags
>fin
>
>Помогут немного от сканирования.
Правило
00200       310        22140 deny log ip from any to 127.0.0.0/8
все нарушения имеют вид
Sep 12 22:57:36 burn kernel: ipfw: 200 Deny UDP ${мой внешний ип на rl0}:53150 127.0.0.2:53 out via rl0
Включена функция gateway, запущен natd, есть правила divert всё работает хорошо, также работает named
З.Ы. от сканирования защищает portsentry, мол не надо стучаться на порт необъявленного сервиса 8-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Правила ipfw"
Сообщение от Redduck (??) on 25-Июл-07, 12:01
Здравствуйте! Возможно Вам поможет опция established. Правило 22500 у Вас разрешает весь трафик, и если пакет не пападет не под одно из предидущих правил то он пройдет!!! Что наверно не есть секьюретно!!! Удачи.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Правила ipfw"
	Сообщение от Redduck (??) on 25-Июл-07, 14:28
	Можешь добавить дополнительные правила после 03000 deny ip from 127.0.0.0/8 to any ${fwcmd} add deny log all from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg ${fwcmd} add deny log all from any to any tcpflags fin, syn, rst, psh, ack, urg ${fwcmd} add deny log all from any to any not established tcpflags fin Помогут немного от сканирования.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Правила ipfw"
	Сообщение от di110n (ok) on 25-Июл-07, 20:25
	>[оверквотинг удален] >03000 deny ip from 127.0.0.0/8 to any > >${fwcmd} add deny log all from any to any tcpflags !fin, !syn, >!rst, !psh, !ack, !urg >${fwcmd} add deny log all from any to any tcpflags fin, > syn, rst, psh, ack, urg >${fwcmd} add deny log all from any to any not established tcpflags >fin > >Помогут немного от сканирования. Спасибо :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Правила ipfw"
	Сообщение от eZH on 13-Сен-08, 16:44
	>[оверквотинг удален] >03000 deny ip from 127.0.0.0/8 to any > >${fwcmd} add deny log all from any to any tcpflags !fin, !syn, >!rst, !psh, !ack, !urg >${fwcmd} add deny log all from any to any tcpflags fin, > syn, rst, psh, ack, urg >${fwcmd} add deny log all from any to any not established tcpflags >fin > >Помогут немного от сканирования. Правило 00200 310 22140 deny log ip from any to 127.0.0.0/8 все нарушения имеют вид Sep 12 22:57:36 burn kernel: ipfw: 200 Deny UDP ${мой внешний ип на rl0}:53150 127.0.0.2:53 out via rl0 Включена функция gateway, запущен natd, есть правила divert всё работает хорошо, также работает named З.Ы. от сканирования защищает portsentry, мол не надо стучаться на порт необъявленного сервиса 8-)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]