BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 19 ] 
Автор Сообщение
 Заголовок сообщения: Посмотрите
СообщениеДобавлено: Ср 03 авг, 2005 10:52 am 
Не в сети

Зарегистрирован: Пн 28 фев, 2005 4:52 pm
Сообщения: 57
Откуда: Саха (Якутия) г.Нерюнги
Посмотрите, исправте и добавте что-нибудь :) ( не работает гад )
#!/bin/sh
# Print Starting firewall..."
echo "Starting firewall..."

# IPFW
ipfw="/sbin/ipfw"

# Force a flushing of the current rules before we reload
$ipfw -f flush

# Configure ethernet
int_if="rl0"
int_ip="192.168.2.8"
int_net="192.168.2.0/24"

# loopback
$ipfw add allow all from any to any via lo0
$ipfw add drop all from any to 127.0.0.0/8
$ipfw add drop all from 127.0.0.0/8 to any

# ICMP frag
$ipfw add drop icmp from any to any frag

# ICMP
$ipfw add allow icmp from any to any

# DNS
$ipfw add allow udp from any to any 53

# HTTP, HTTPS
$ipfw add allow tcp from any 80,443 to any

# FTP
$ipfw add allow tcp from any 20,21 to any

# NETBIOS
$ipfw add allow tcp from any to any 139
$ipfw add allow udp from any 137,138 to any

# MICROSOFT-DS
$ipfw add allow tcp from any 445 to any

# ICQ
$ipfw add allow tcp from any 5190 to any

# CLOSE all
$ipfw add 65535 drop all from any to any


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 03 авг, 2005 1:44 pm 
Не в сети
Site Admin

Зарегистрирован: Вс 07 мар, 2004 9:45 am
Сообщения: 1060
Откуда: Московская область
По-моему, номера портов после второго any пишутся :)

А вообще Х.З., я же не админ :D


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 03 авг, 2005 1:49 pm 
Не в сети
Newsmaker
Аватара пользователя

Зарегистрирован: Пт 05 мар, 2004 9:34 am
Сообщения: 754
Откуда: Новосибирск
А что именно не работает ? Симптомы ?
К стати у вас IP протокол явно запрещён (на сколько я помню в all входит и ip)

И вот это зачем ?

$ipfw add drop all from any to 127.0.0.0/8
$ipfw add drop all from 127.0.0.0/8 to any


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 03 авг, 2005 2:01 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Ср 06 июл, 2005 10:15 am
Сообщения: 218
Откуда: Moscow
Цитата:
:!: :!: :!: По-моему, номера портов после второго any пишутся


И вообще по-моему следут доку по ipfw почитать, прежде чем такой конфиг делать :wink:


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: АААА
СообщениеДобавлено: Чт 04 авг, 2005 1:33 am 
Не в сети

Зарегистрирован: Пн 28 фев, 2005 4:52 pm
Сообщения: 57
Откуда: Саха (Якутия) г.Нерюнги
---
И вот это зачем ?

$ipfw add drop all from any to 127.0.0.0/8
$ipfw add drop all from 127.0.0.0/8 to any

так в rc.firewall написанно в setup_loopback


Доку я тоже читал только не хрена не понял..
Объясните зачем некоторых доках пишут:
add allow tcp from any to any PORT
add allow tcp from any PORT to any
а PORT одинаковый ??


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: АААА
СообщениеДобавлено: Чт 04 авг, 2005 4:06 am 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3314
Откуда: Харьков
Dead писал(а):
---
И вот это зачем ?

$ipfw add drop all from any to 127.0.0.0/8
$ipfw add drop all from 127.0.0.0/8 to any

так в rc.firewall написанно в setup_loopback


Доку я тоже читал только не хрена не понял..
Объясните зачем некоторых доках пишут:
add allow tcp from any to any PORT
add allow tcp from any PORT to any
а PORT одинаковый ??


по поводу 127.0.0.0/8 это нормально... т.е. разрешить только для lo0 ифейса, а всевозможные попытки обмануть фаер от разрешенной 127.0.0.0/8 но с внешних интерфейсов - запретить

по поводу портов нужно открыть дорогу для пакетов в обе стороны как с порта так и на него, потому и пишется так..

и всетаки непонятно, что неработает то ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: А можно ли...
СообщениеДобавлено: Чт 04 авг, 2005 7:00 am 
Не в сети

Зарегистрирован: Пн 28 фев, 2005 4:52 pm
Сообщения: 57
Откуда: Саха (Якутия) г.Нерюнги
А можно за место
add allow tcp from any to any PORT
add allow tcp from any PORT to any

писать
add allow tcp from any PORT to any PORT ?

или это уже совсем другое ??


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: А можно ли...
СообщениеДобавлено: Чт 04 авг, 2005 7:00 am 
Не в сети

Зарегистрирован: Пн 28 фев, 2005 4:52 pm
Сообщения: 57
Откуда: Саха (Якутия) г.Нерюнги
А можно за место
add allow tcp from any to any PORT
add allow tcp from any PORT to any

писать
add allow tcp from any PORT to any PORT ?

или это уже совсем другое ??


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 04 авг, 2005 10:52 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 01 авг, 2005 9:03 pm
Сообщения: 205
Откуда: aus Moskau
Нет, это уже другое


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Работает.... но тема не закрыта
СообщениеДобавлено: Чт 04 авг, 2005 11:35 am 
Не в сети

Зарегистрирован: Пн 28 фев, 2005 4:52 pm
Сообщения: 57
Откуда: Саха (Якутия) г.Нерюнги
#!/bin/sh
# Print Starting firewall..."
echo "Starting firewall..."

# IPFW
ipfw="/sbin/ipfw"

# Force a flushing of the current rules before we reload
$ipfw -f flush

# Configure ethernet
int_if="rl0"
int_ip="192.168.2.8"
int_net="192.168.2.0/24"

# loopback
$ipfw add allow all from any to any via lo0
$ipfw add drop all from any to 127.0.0.0/8
$ipfw add drop all from 127.0.0.0/8 to any

# ICMP frag
$ipfw add drop icmp from any to any frag

# ICMP
$ipfw add allow icmp from any to any

# DNS
$ipfw add allow udp from any to any 53
$ipfw add allow udp from any 53 to any

# HTTP, HTTPS
$ipfw add allow tcp from any to any 80,443
$ipfw add allow tcp from any 80,443 to any

# FTP
$ipfw add allow tcp from any to any 20,21
$ipfw add allow tcp from any 20,21 to any

# NETBIOS
$ipfw add allow tcp from any to any 139
$ipfw add allow udp from any 137,138 to any

# MICROSOFT-DS
$ipfw add allow tcp from any 445 to any

# ICQ
$ipfw add allow tcp from any to any 5190
$ipfw add allow tcp from any 5190 to any

# CLOSE all
$ipfw add 65535 drop log all from any to any


Теперь вопрос, правильно ли здесь правила прописанны, а то мое сердце чует что здесь что-то не так только что понять не могу, ОБЪЯСНИТЕ ?? :)) и скажите может здесь что-то лишнее или не хватает еще. и как сделать чтоб меня нельзя было пропинговать и в сети не видно было это же тоже фаерволом делается ???


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 04 авг, 2005 11:48 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 01 авг, 2005 9:03 pm
Сообщения: 205
Откуда: aus Moskau
чтоб пинговать нельзя было - надо резать icmp. Только не советую этого делать.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 04 авг, 2005 12:52 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вс 15 авг, 2004 11:29 am
Сообщения: 90
Откуда: Kiev
почему "не советую" ?
запретить пинги из мира к серваку, отличная обманка для начинающих типа хацкеров и всяких доморощенных любителей посканить


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 04 авг, 2005 1:09 pm 
Не в сети
Site Admin

Зарегистрирован: Вс 07 мар, 2004 9:45 am
Сообщения: 1060
Откуда: Московская область
SleepyBrain писал(а):
А вообще Х.З., я же не админ :D


И кто меня вчера за язык тянул. Ведь знал же, что нельзя зарекаться. Уже практически админ. Блин.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 04 авг, 2005 1:57 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3314
Откуда: Харьков
паздравляю :mrgreen:


Последний раз редактировалось grayich Чт 04 авг, 2005 2:04 pm, всего редактировалось 1 раз.

Вернуться к началу
 Профиль  
 
 Заголовок сообщения: как сделать
СообщениеДобавлено: Чт 04 авг, 2005 2:02 pm 
Не в сети

Зарегистрирован: Пн 28 фев, 2005 4:52 pm
Сообщения: 57
Откуда: Саха (Якутия) г.Нерюнги
1. А можно как-нибудь только Ping вырубидь а остальные icmp оставить ?? или от icmp толку мало ???
2. и везде ли надо писать
$ipfw add allow tcp from any to any !!!!20,21!!!!!
$ipfw add allow tcp from any !!!!!20,21!!! to any
там и там ?? или не для всех так надо писать ??? подскажите...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 04 авг, 2005 2:30 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3314
Откуда: Харьков
почитай http://ipfw.ism.kiev.ua/ многие вопросы отпадут


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 04 авг, 2005 5:51 pm 
Не в сети

Зарегистрирован: Пт 29 июл, 2005 11:27 am
Сообщения: 4
поставь вначале правило
$ipfw add allow ip from me to any keep-state
может поможет :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб 06 авг, 2005 9:32 am 
Не в сети

Зарегистрирован: Пн 28 фев, 2005 4:52 pm
Сообщения: 57
Откуда: Саха (Якутия) г.Нерюнги
Окончательный вариант (пока месть). МОЖНО ли обрубить ping не обрубая все icmp ??
И как сделать чтоб к самбе мог коннектиться только определенный комп ?

#!/bin/sh
# Print Starting firewall..."
echo "Starting firewall..."

# IPFW
ipfw="/sbin/ipfw"

# Force a flushing of the current rules before we reload
$ipfw -f flush

# loopback
$ipfw add allow all from any to any via lo0
$ipfw add drop all from any to 127.0.0.0/8
$ipfw add drop all from 127.0.0.0/8 to any

# ICMP frag
$ipfw add drop icmp from any to any frag

# ICMP
$ipfw add allow icmp from any to any

# DNS
$ipfw add allow udp from any to any 53
$ipfw add allow udp from any 53 to any

# HTTP, HTTPS
$ipfw add allow tcp from any to any 80,443
$ipfw add allow tcp from any 80,443 to any

# FTP
$ipfw add allow tcp from any to any 20,21
$ipfw add allow tcp from any 20,21 to any

# NETBIOS (Samba)
$ipfw add allow udp from any to any 137,138
$ipfw add allow udp from any 137,138 to any
$ipfw add allow tcp from any to any 139
$ipfw add allow tcp from any 139 to any

# MICROSOFT-DS
#$ipfw add allow tcp from any 445 to any

# ICQ
$ipfw add allow tcp from any to any 5190
$ipfw add allow tcp from any 5190 to any

# CLOSE all 65535
$ipfw add drop log logamount 10000 all from any to any


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 08 авг, 2005 5:19 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Ср 06 июл, 2005 10:15 am
Сообщения: 218
Откуда: Moscow
Вместо
Цитата:
# ICMP
$ipfw add allow icmp from any to any

${ipfw} add allow icmp from any to any in via rl0 icmptype 0,3,4,11
11 - это ping, не пиши его, и ping работать не будет


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 19 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Google Feedfetcher


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика