BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 10 ] 
Автор Сообщение
 Заголовок сообщения: ipfw и исходящие соединения
СообщениеДобавлено: Пн 30 окт, 2006 1:12 am 
Не в сети

Зарегистрирован: Пн 30 окт, 2006 1:02 am
Сообщения: 3
Здравствуйте. При настройке ipfw на клиентской машине возник следующий вопрос:
Нужно использовать различные сервис, типа ftp mail, icq, которые для соединения используют случайно выбранные из некоторого списка порты, диапазон которых в общем случае неизвестен. В такой ситуации не нашел ничего лучше чем allow ip from me to any out keep-state.
Возможно ли настроить средствами ipfw, не открывая все порты на исх.?
И если нет, то каким фаерволом это можно решить?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: ipfw и исходящие соединения
СообщениеДобавлено: Пн 30 окт, 2006 1:23 am 
Не в сети
Аватара пользователя

Зарегистрирован: Вс 10 сен, 2006 10:54 am
Сообщения: 474
Откуда: POSIX
mivdas писал(а):
Здравствуйте. При настройке ipfw на клиентской машине возник следующий вопрос:
Нужно использовать различные сервис, типа ftp mail, icq, которые для соединения используют случайно выбранные из некоторого списка порты, диапазон которых в общем случае неизвестен. В такой ситуации не нашел ничего лучше чем allow ip from me to any out keep-state.
Возможно ли настроить средствами ipfw, не открывая все порты на исх.?
И если нет, то каким фаерволом это можно решить?

вобщем я нипонил
тебе надо чтоб сервер соединялся с удалённым фтп/мылом/асей, порт которых в общем случае неизвестен?
если у тебя есть список этих портов, то просто пропиши диапазон в фаервол и все дела
если ты незнаеш на каких портах будут висеть подобные сервисы, то я не представляю как ты вообще будеш к ним соединяться...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 30 окт, 2006 2:21 am 
Не в сети

Зарегистрирован: Пт 16 дек, 2005 6:51 pm
Сообщения: 981
Откуда: Москва
собственно, keep-state для этого и был придуман. Чтобы не открывать весь firewall, динамически создаются правила для вхождения пакета.
А как вы себе представляете иначе решение? В настройках таких клиентских программ зачастую можно указать диапазон портов, с которыми они будут работать, но, по-моему, это не лучше, чем keep-state/


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: ipfw и исходящие соединения
СообщениеДобавлено: Пн 30 окт, 2006 7:30 pm 
Не в сети

Зарегистрирован: Пн 30 окт, 2006 1:02 am
Сообщения: 3
[CPS] AkirA писал(а):
тебе надо чтоб сервер соединялся с удалённым фтп/мылом/асей, порт которых в общем случае неизвестен?
если у тебя есть список этих портов, то просто пропиши диапазон в фаервол и все дела

Механизм не совсем такой. Порты, на которые соединяется сервис, известны и определены. Например, фтп: порт 21, по нему можно создать строгое правило allow tcp from me to any 21 keep-state. Клиент с рандомного порта устанавливает на 21 порт сервера управляющее соединение фтп. Далее (имеется ввиду пассивный режим) сервер передает номер некоего другого рандомнго порта, к которому подключается клиент для передачи собственно данных. Однако клиент подключается к нему не того порта, который использовал первоначально, а другого (как правило на единицу больше, но это уже частности), поэтому динамическое правило на него распространяться не будет, и без разрешения всех исходящих соединение не установится. Подобным образом ведут себя многие сервисы.
Вопрос в том, может ли фаерволл запоминать информацию о предыдущих пакетах и проводить последующую фильтрацию на ее основании. Я не вижу другого подхода для решения этой проблемы.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 30 окт, 2006 7:48 pm 
Не в сети

Зарегистрирован: Пт 16 дек, 2005 6:51 pm
Сообщения: 981
Откуда: Москва
c ftp выход есть при пассивном режиме работы выделять ftp диапазон портов для соединения. В настройках ftp-серверов можно указать диапазон.
может быть, существуют патчи к фаерволлам, которые отслеживают соединения, как ftp proxy через, но я не слышал о таких..
а вообще - ftp старый протокол, и уже давно известен как потенциальная дырка :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 31 окт, 2006 1:38 am 
Не в сети

Зарегистрирован: Пн 30 окт, 2006 1:02 am
Сообщения: 3
У меня не сервер, у меня клиент.
И такая ситуация не только с фтп.
Неужели никому из разработчиков фаерволлов не пришла в голову такая идея? Может надо срочно бежать в патентное бюро? :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 14 ноя, 2006 11:55 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вс 09 окт, 2005 1:39 pm
Сообщения: 56
Откуда: г.Екатеринбург
скажите, а следующми правилам я что делаю?
работает все, кроме фтп-эк

add allow ip from me 1024-65535 to any 25,80,8080,21,5190,8000,23
add allow ip from any 25,80,8080,21,5190,8000,23 to me 1024-65535 established


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 15 ноя, 2006 11:27 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вс 09 окт, 2005 1:39 pm
Сообщения: 56
Откуда: г.Екатеринбург
Почему все ftp по моим правилами не работают?


00200 allow icmp from any to me
00300 allow icmp from me to any
00400 allow ip from any to any via lo0
00500 deny ip from 194.67.45.100 to me
00600 deny ip from 205.188.253.25 to me
00700 deny ip from 64.12.164.24 to me
00800 deny ip from 89.208.19.200 to me
00900 deny ip from 81.19.66.65 to me
01000 deny ip from 88.212.196.77 to me
01100 deny ip from 88.212.196.89 to me
01200 deny ip from 194.67.45.123 to me
01300 deny ip from 70.84.241.186 to me
01400 deny ip from 194.67.45.129 to me
01500 deny ip from 194.67.45.125 to me
01600 deny ip from 81.19.70.8 to me
01700 allow udp from me to 87.224.213.1
01800 allow udp from 87.224.213.1 to me
01900 allow udp from me to 87.224.197.1
02000 allow udp from 87.224.197.1 to me
02100 allow ip from me 21,23,6 to any dst-port 21,23,6
02200 allow ip from any 21,23,6 to me dst-port 21,23,6
02300 allow ip from me to any dst-port 25,80,8080,21,5190,8000,23 out keep-state
02400 allow ip from me 25,80,8080,21,5190,8000,23 to any out keep-state
02500 allow ip from any 25,80,8080,21,5190,8000,23 to me dst-port 1024-65535 established


я тут уже по всякому пробовал, но именно с фтп проблемы
02600 allow tcp from any 21 to me


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 16 ноя, 2006 12:57 am 
Не в сети
Аватара пользователя

Зарегистрирован: Ср 24 авг, 2005 1:14 pm
Сообщения: 241
Откуда: Рига
http://slacksite.com/other/ftp.html
читаем внимательно


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс 11 мар, 2007 10:57 pm 
Не в сети

Зарегистрирован: Вт 27 фев, 2007 6:16 pm
Сообщения: 6
Андрей Поляков писал(а):
Почему все ftp по моим правилами не работают?


00200 allow icmp from any to me
00300 allow icmp from me to any
00400 allow ip from any to any via lo0
00500 deny ip from 194.67.45.100 to me
00600 deny ip from 205.188.253.25 to me
00700 deny ip from 64.12.164.24 to me
00800 deny ip from 89.208.19.200 to me
00900 deny ip from 81.19.66.65 to me
01000 deny ip from 88.212.196.77 to me
01100 deny ip from 88.212.196.89 to me
01200 deny ip from 194.67.45.123 to me
01300 deny ip from 70.84.241.186 to me
01400 deny ip from 194.67.45.129 to me
01500 deny ip from 194.67.45.125 to me
01600 deny ip from 81.19.70.8 to me
01700 allow udp from me to 87.224.213.1
01800 allow udp from 87.224.213.1 to me
01900 allow udp from me to 87.224.197.1
02000 allow udp from 87.224.197.1 to me
02100 allow ip from me 21,23,6 to any dst-port 21,23,6
02200 allow ip from any 21,23,6 to me dst-port 21,23,6
02300 allow ip from me to any dst-port 25,80,8080,21,5190,8000,23 out keep-state
02400 allow ip from me 25,80,8080,21,5190,8000,23 to any out keep-state
02500 allow ip from any 25,80,8080,21,5190,8000,23 to me dst-port 1024-65535 established


я тут уже по всякому пробовал, но именно с фтп проблемы
02600 allow tcp from any 21 to me


ftp 20 и 21

http://mambo5.ru/it/unix/freebsd/40


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 10 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика