BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 11 ] 
Автор Сообщение
СообщениеДобавлено: Ср 03 фев, 2010 11:28 am 
Не в сети

Зарегистрирован: Ср 03 фев, 2010 11:11 am
Сообщения: 4
Есть такая задача, полностью все закрыть порты и открыть только необходимые , интернет, почта, клиент банки. Подскажите пожалуйста как это сделать, с фряхой работаю первый раз, очень мало в ней смыслю. Есть шлюз с ipfw и squid. Именно на этой машинке нужно сделать сие.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 03 фев, 2010 12:07 pm 
Не в сети
Модератор
Аватара пользователя

Зарегистрирован: Ср 08 ноя, 2006 2:53 pm
Сообщения: 5478
Откуда: СССР, Харьков
man ipfw
Надо открыть нужные порты, а остальные закрыть, типа такого

Код:
ipfw add allow tcp from any to any 53
.........
.........
 ipfw add deny tcp from any to any


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 03 фев, 2010 8:31 pm 
Не в сети

Зарегистрирован: Ср 03 фев, 2010 11:11 am
Сообщения: 4
А можно поподробнее плиз. Это пишется как я понимаю в rc.firewall? у меня там все закоментированно, подскажите под каким комментарий писать это правило. И еще, разве в начале закрыть , а потом только открывать порты? это имеет значение?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 04 фев, 2010 12:41 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 20 июл, 2007 8:56 pm
Сообщения: 156
Откуда: Минск
Вот тебе пару ссылок: PF и IPFW. Прочитай, потом пробуй.

_________________
Сила ночи, сила дня - одинаково фигня


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 05 фев, 2010 10:05 pm 
Не в сети

Зарегистрирован: Пт 05 фев, 2010 9:57 pm
Сообщения: 2
подскажите пожалуйста, что я делаю не так. мне необходимо закрыть некоторые порты из вне на роутере freebsd 8.0 что бы на эти порты из инета никто не лез. в конфиг фаервола добавляю такю строчку
Код:
${fwcmd} add deny tcp from any 22, 135, 139, 445, 3306 to {внешний ип} in via ${внешний интерфейс}
и не работает, порты не закрываются:( подскажите где руки кривые?:) спасибо.

в rc.conf фаервол обозначен так:
Код:
firewall_enable="YES"
firewall_type="open"
firewall_script="/usr/local/etc/firewall/fw.conf"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 05 фев, 2010 10:35 pm 
Не в сети

Зарегистрирован: Ср 02 апр, 2008 9:59 pm
Сообщения: 2127
Откуда: Москва
2 rewired
эээ, ошибка в формате правил и в понимании того, как оно работает
читаем документацию на ipfw сначала.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 05 фев, 2010 10:56 pm 
Не в сети

Зарегистрирован: Пт 05 фев, 2010 9:57 pm
Сообщения: 2
2 Dimonuch,
можно по существу? где конкретно? я могу привести весь код fw.conf если надо.
Исправил на
Код:
${fwcmd} add deny tcp from any to ${внешний ип} 22, 135, 139, 445, 3306 in via ${внешний интерфейс}
все равно не закрываются порты.

разобрался,
Как мне объяснил знающий человек, в FreeBSD начиная с 7 что бы после ната все отрезалось надо было
Код:
net.inet.ip.fw.one_pass=0
вписать в /etc/sysctl.conf


Последний раз редактировалось rewired Пт 05 фев, 2010 11:56 pm, всего редактировалось 1 раз.

Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 05 фев, 2010 11:32 pm 
Не в сети

Зарегистрирован: Ср 02 апр, 2008 9:59 pm
Сообщения: 2127
Откуда: Москва
Цитата:
все равно не закрываются порты.

ну а как определяется, что порты открыты?
я с ipfw не знаком, так что синтаксис проверить не могу. Первый вариант был явно неверный, второй больше похож на правильный. Вопрос только в том, что имеют пакеты в качестве адреса назначения. Адрес машины или нет?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 05 фев, 2010 11:56 pm 
Не в сети
Модератор
Аватара пользователя

Зарегистрирован: Ср 08 ноя, 2006 2:53 pm
Сообщения: 5478
Откуда: СССР, Харьков
rewired писал(а):
в rc.conf
firewall_script="/usr/local/etc/firewall/fw.conf"

Проверить загрузились ли правила #ipfw list
Файл fw.conf должен быть исполняемым.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 09 фев, 2010 10:01 am 
Не в сети

Зарегистрирован: Ср 03 фев, 2010 11:11 am
Сообщения: 4
Помогите закрыть все порты и открыть только нужные, знающие! Вот у меня что написанно.

firewall_enable="YES"
firewall_script="/etc/rc.firewall.local"
firewall_type="open"

и rc.firewall.local
00050 divert 8668 ip from any to xx.xxx.xxx.x4 in recv vlan127
00050 divert 8669 ip from any to any in recv rl1
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
02000 fwd 87.241.215.53 ip from xx.xxx.xxx.x4 to any out xmit rl1
02010 fwd 80.64.160.249 ip from xx.xxx.xxx.xx0 to any out xmit vlan127
04010 divert 8668 ip from 192.168.0.0/16 to any out xmit vlan127
04050 divert 8669 ip from 192.168.0.0/16 to any out xmit rl1
04150 fwd 192.168.10.1,3129 ip from 192.168.10.0/24 to any dst-port 80
04250 fwd 192.168.10.1,3129 ip from 192.168.0.0/24 to any dst-port 80
04350 allow tcp from 192.168.10.0/24 to xx.xxx.xxx.x4 dst-port 22
04450 allow udp from 192.168.10.0/24 to xx.xxx.xxx.x4 dst-port 22
04550 deny tcp from any to xx.xxx.xxx.x4 dst-port 22
04650 deny udp from any to xx.xxx.xxx.x4 dst-port 22
04750 deny tcp from any to xx.xxx.xxx.xx0dst-port 22
04850 deny udp from any to xx.xxx.xxx.xx0 dst-port 22
65000 allow ip from any to any
65535 deny ip from any to any


Нужно закрыть все порты и очередно открывать , те которые нужны для работы.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вс 16 дек, 2018 6:05 pm 
Не в сети

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 68
нужно закрыть порт извне для mysql , почитав об этом сделал два варианта правил

Код:
ipfw add 48 deny tcp from any to me 3306 via vlan1009
ipfw add 49 deny tcp from me to any 3306 via vlan1009


Код:
ipfw add 48 deny tcp from any to any 3306 in via vlan1009
ipfw add 49 deny tcp from any to any 3306 out via vlan1009


как бы те и те блокируют, что предпочтительнее выбрать?

или же вместо протокола tcp указать all

Код:
ipfw add 48 deny all from any to me 3306 via vlan1009
ipfw add 49 deny all from me to any 3306 via vlan1009


Код:
ipfw add 48 deny all from any to any 3306 in via vlan1009
ipfw add 49 deny all from any to any 3306 out via vlan1009


подскажите пжл что выбрать, вроде как все блокируют


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 11 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], Google Feedfetcher


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика