BSDPORTAL.RU
http://bsdportal.ru/

Посмотрите
http://bsdportal.ru/viewtopic.php?f=23&t=6202
Страница 1 из 1

Автор:  Dead [ Ср 03 авг, 2005 10:52 am ]
Заголовок сообщения:  Посмотрите

Посмотрите, исправте и добавте что-нибудь :) ( не работает гад )
#!/bin/sh
# Print Starting firewall..."
echo "Starting firewall..."

# IPFW
ipfw="/sbin/ipfw"

# Force a flushing of the current rules before we reload
$ipfw -f flush

# Configure ethernet
int_if="rl0"
int_ip="192.168.2.8"
int_net="192.168.2.0/24"

# loopback
$ipfw add allow all from any to any via lo0
$ipfw add drop all from any to 127.0.0.0/8
$ipfw add drop all from 127.0.0.0/8 to any

# ICMP frag
$ipfw add drop icmp from any to any frag

# ICMP
$ipfw add allow icmp from any to any

# DNS
$ipfw add allow udp from any to any 53

# HTTP, HTTPS
$ipfw add allow tcp from any 80,443 to any

# FTP
$ipfw add allow tcp from any 20,21 to any

# NETBIOS
$ipfw add allow tcp from any to any 139
$ipfw add allow udp from any 137,138 to any

# MICROSOFT-DS
$ipfw add allow tcp from any 445 to any

# ICQ
$ipfw add allow tcp from any 5190 to any

# CLOSE all
$ipfw add 65535 drop all from any to any

Автор:  SleepyBrain [ Ср 03 авг, 2005 1:44 pm ]
Заголовок сообщения: 

По-моему, номера портов после второго any пишутся :)

А вообще Х.З., я же не админ :D

Автор:  ch [ Ср 03 авг, 2005 1:49 pm ]
Заголовок сообщения: 

А что именно не работает ? Симптомы ?
К стати у вас IP протокол явно запрещён (на сколько я помню в all входит и ip)

И вот это зачем ?

$ipfw add drop all from any to 127.0.0.0/8
$ipfw add drop all from 127.0.0.0/8 to any

Автор:  x-dolphin [ Ср 03 авг, 2005 2:01 pm ]
Заголовок сообщения: 

Цитата:
:!: :!: :!: По-моему, номера портов после второго any пишутся


И вообще по-моему следут доку по ipfw почитать, прежде чем такой конфиг делать :wink:

Автор:  Dead [ Чт 04 авг, 2005 1:33 am ]
Заголовок сообщения:  АААА

---
И вот это зачем ?

$ipfw add drop all from any to 127.0.0.0/8
$ipfw add drop all from 127.0.0.0/8 to any

так в rc.firewall написанно в setup_loopback


Доку я тоже читал только не хрена не понял..
Объясните зачем некоторых доках пишут:
add allow tcp from any to any PORT
add allow tcp from any PORT to any
а PORT одинаковый ??

Автор:  grayich [ Чт 04 авг, 2005 4:06 am ]
Заголовок сообщения:  Re: АААА

Dead писал(а):
---
И вот это зачем ?

$ipfw add drop all from any to 127.0.0.0/8
$ipfw add drop all from 127.0.0.0/8 to any

так в rc.firewall написанно в setup_loopback


Доку я тоже читал только не хрена не понял..
Объясните зачем некоторых доках пишут:
add allow tcp from any to any PORT
add allow tcp from any PORT to any
а PORT одинаковый ??


по поводу 127.0.0.0/8 это нормально... т.е. разрешить только для lo0 ифейса, а всевозможные попытки обмануть фаер от разрешенной 127.0.0.0/8 но с внешних интерфейсов - запретить

по поводу портов нужно открыть дорогу для пакетов в обе стороны как с порта так и на него, потому и пишется так..

и всетаки непонятно, что неработает то ?

Автор:  Dead [ Чт 04 авг, 2005 7:00 am ]
Заголовок сообщения:  А можно ли...

А можно за место
add allow tcp from any to any PORT
add allow tcp from any PORT to any

писать
add allow tcp from any PORT to any PORT ?

или это уже совсем другое ??

Автор:  Dead [ Чт 04 авг, 2005 7:00 am ]
Заголовок сообщения:  А можно ли...

А можно за место
add allow tcp from any to any PORT
add allow tcp from any PORT to any

писать
add allow tcp from any PORT to any PORT ?

или это уже совсем другое ??

Автор:  Леха [ Чт 04 авг, 2005 10:52 am ]
Заголовок сообщения: 

Нет, это уже другое

Автор:  Dead [ Чт 04 авг, 2005 11:35 am ]
Заголовок сообщения:  Работает.... но тема не закрыта

#!/bin/sh
# Print Starting firewall..."
echo "Starting firewall..."

# IPFW
ipfw="/sbin/ipfw"

# Force a flushing of the current rules before we reload
$ipfw -f flush

# Configure ethernet
int_if="rl0"
int_ip="192.168.2.8"
int_net="192.168.2.0/24"

# loopback
$ipfw add allow all from any to any via lo0
$ipfw add drop all from any to 127.0.0.0/8
$ipfw add drop all from 127.0.0.0/8 to any

# ICMP frag
$ipfw add drop icmp from any to any frag

# ICMP
$ipfw add allow icmp from any to any

# DNS
$ipfw add allow udp from any to any 53
$ipfw add allow udp from any 53 to any

# HTTP, HTTPS
$ipfw add allow tcp from any to any 80,443
$ipfw add allow tcp from any 80,443 to any

# FTP
$ipfw add allow tcp from any to any 20,21
$ipfw add allow tcp from any 20,21 to any

# NETBIOS
$ipfw add allow tcp from any to any 139
$ipfw add allow udp from any 137,138 to any

# MICROSOFT-DS
$ipfw add allow tcp from any 445 to any

# ICQ
$ipfw add allow tcp from any to any 5190
$ipfw add allow tcp from any 5190 to any

# CLOSE all
$ipfw add 65535 drop log all from any to any


Теперь вопрос, правильно ли здесь правила прописанны, а то мое сердце чует что здесь что-то не так только что понять не могу, ОБЪЯСНИТЕ ?? :)) и скажите может здесь что-то лишнее или не хватает еще. и как сделать чтоб меня нельзя было пропинговать и в сети не видно было это же тоже фаерволом делается ???

Автор:  Леха [ Чт 04 авг, 2005 11:48 am ]
Заголовок сообщения: 

чтоб пинговать нельзя было - надо резать icmp. Только не советую этого делать.

Автор:  Andrey Ryabchenko [ Чт 04 авг, 2005 12:52 pm ]
Заголовок сообщения: 

почему "не советую" ?
запретить пинги из мира к серваку, отличная обманка для начинающих типа хацкеров и всяких доморощенных любителей посканить

Автор:  SleepyBrain [ Чт 04 авг, 2005 1:09 pm ]
Заголовок сообщения: 

SleepyBrain писал(а):
А вообще Х.З., я же не админ :D


И кто меня вчера за язык тянул. Ведь знал же, что нельзя зарекаться. Уже практически админ. Блин.

Автор:  grayich [ Чт 04 авг, 2005 1:57 pm ]
Заголовок сообщения: 

паздравляю :mrgreen:

Автор:  Dead [ Чт 04 авг, 2005 2:02 pm ]
Заголовок сообщения:  как сделать

1. А можно как-нибудь только Ping вырубидь а остальные icmp оставить ?? или от icmp толку мало ???
2. и везде ли надо писать
$ipfw add allow tcp from any to any !!!!20,21!!!!!
$ipfw add allow tcp from any !!!!!20,21!!! to any
там и там ?? или не для всех так надо писать ??? подскажите...

Автор:  grayich [ Чт 04 авг, 2005 2:30 pm ]
Заголовок сообщения: 

почитай http://ipfw.ism.kiev.ua/ многие вопросы отпадут

Автор:  light [ Чт 04 авг, 2005 5:51 pm ]
Заголовок сообщения: 

поставь вначале правило
$ipfw add allow ip from me to any keep-state
может поможет :)

Автор:  Dead [ Сб 06 авг, 2005 9:32 am ]
Заголовок сообщения: 

Окончательный вариант (пока месть). МОЖНО ли обрубить ping не обрубая все icmp ??
И как сделать чтоб к самбе мог коннектиться только определенный комп ?

#!/bin/sh
# Print Starting firewall..."
echo "Starting firewall..."

# IPFW
ipfw="/sbin/ipfw"

# Force a flushing of the current rules before we reload
$ipfw -f flush

# loopback
$ipfw add allow all from any to any via lo0
$ipfw add drop all from any to 127.0.0.0/8
$ipfw add drop all from 127.0.0.0/8 to any

# ICMP frag
$ipfw add drop icmp from any to any frag

# ICMP
$ipfw add allow icmp from any to any

# DNS
$ipfw add allow udp from any to any 53
$ipfw add allow udp from any 53 to any

# HTTP, HTTPS
$ipfw add allow tcp from any to any 80,443
$ipfw add allow tcp from any 80,443 to any

# FTP
$ipfw add allow tcp from any to any 20,21
$ipfw add allow tcp from any 20,21 to any

# NETBIOS (Samba)
$ipfw add allow udp from any to any 137,138
$ipfw add allow udp from any 137,138 to any
$ipfw add allow tcp from any to any 139
$ipfw add allow tcp from any 139 to any

# MICROSOFT-DS
#$ipfw add allow tcp from any 445 to any

# ICQ
$ipfw add allow tcp from any to any 5190
$ipfw add allow tcp from any 5190 to any

# CLOSE all 65535
$ipfw add drop log logamount 10000 all from any to any

Автор:  x-dolphin [ Пн 08 авг, 2005 5:19 pm ]
Заголовок сообщения: 

Вместо
Цитата:
# ICMP
$ipfw add allow icmp from any to any

${ipfw} add allow icmp from any to any in via rl0 icmptype 0,3,4,11
11 - это ping, не пиши его, и ping работать не будет

Страница 1 из 1 Часовой пояс: UTC + 4 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/