BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 19 ] 
Автор Сообщение
 Заголовок сообщения: Посмотрите
СообщениеДобавлено: Ср 03 авг, 2005 10:52 am 
Не в сети

Зарегистрирован: Пн 28 фев, 2005 4:52 pm
Сообщения: 57
Откуда: Саха (Якутия) г.Нерюнги
Посмотрите, исправте и добавте что-нибудь :) ( не работает гад )
#!/bin/sh
# Print Starting firewall..."
echo "Starting firewall..."

# IPFW
ipfw="/sbin/ipfw"

# Force a flushing of the current rules before we reload
$ipfw -f flush

# Configure ethernet
int_if="rl0"
int_ip="192.168.2.8"
int_net="192.168.2.0/24"

# loopback
$ipfw add allow all from any to any via lo0
$ipfw add drop all from any to 127.0.0.0/8
$ipfw add drop all from 127.0.0.0/8 to any

# ICMP frag
$ipfw add drop icmp from any to any frag

# ICMP
$ipfw add allow icmp from any to any

# DNS
$ipfw add allow udp from any to any 53

# HTTP, HTTPS
$ipfw add allow tcp from any 80,443 to any

# FTP
$ipfw add allow tcp from any 20,21 to any

# NETBIOS
$ipfw add allow tcp from any to any 139
$ipfw add allow udp from any 137,138 to any

# MICROSOFT-DS
$ipfw add allow tcp from any 445 to any

# ICQ
$ipfw add allow tcp from any 5190 to any

# CLOSE all
$ipfw add 65535 drop all from any to any


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 03 авг, 2005 1:44 pm 
Не в сети
Site Admin

Зарегистрирован: Вс 07 мар, 2004 9:45 am
Сообщения: 1060
Откуда: Московская область
По-моему, номера портов после второго any пишутся :)

А вообще Х.З., я же не админ :D


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 03 авг, 2005 1:49 pm 
Не в сети
Newsmaker
Аватара пользователя

Зарегистрирован: Пт 05 мар, 2004 9:34 am
Сообщения: 754
Откуда: Новосибирск
А что именно не работает ? Симптомы ?
К стати у вас IP протокол явно запрещён (на сколько я помню в all входит и ip)

И вот это зачем ?

$ipfw add drop all from any to 127.0.0.0/8
$ipfw add drop all from 127.0.0.0/8 to any


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 03 авг, 2005 2:01 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Ср 06 июл, 2005 10:15 am
Сообщения: 218
Откуда: Moscow
Цитата:
:!: :!: :!: По-моему, номера портов после второго any пишутся


И вообще по-моему следут доку по ipfw почитать, прежде чем такой конфиг делать :wink:


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: АААА
СообщениеДобавлено: Чт 04 авг, 2005 1:33 am 
Не в сети

Зарегистрирован: Пн 28 фев, 2005 4:52 pm
Сообщения: 57
Откуда: Саха (Якутия) г.Нерюнги
---
И вот это зачем ?

$ipfw add drop all from any to 127.0.0.0/8
$ipfw add drop all from 127.0.0.0/8 to any

так в rc.firewall написанно в setup_loopback


Доку я тоже читал только не хрена не понял..
Объясните зачем некоторых доках пишут:
add allow tcp from any to any PORT
add allow tcp from any PORT to any
а PORT одинаковый ??


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: АААА
СообщениеДобавлено: Чт 04 авг, 2005 4:06 am 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3301
Откуда: Харьков
Dead писал(а):
---
И вот это зачем ?

$ipfw add drop all from any to 127.0.0.0/8
$ipfw add drop all from 127.0.0.0/8 to any

так в rc.firewall написанно в setup_loopback


Доку я тоже читал только не хрена не понял..
Объясните зачем некоторых доках пишут:
add allow tcp from any to any PORT
add allow tcp from any PORT to any
а PORT одинаковый ??


по поводу 127.0.0.0/8 это нормально... т.е. разрешить только для lo0 ифейса, а всевозможные попытки обмануть фаер от разрешенной 127.0.0.0/8 но с внешних интерфейсов - запретить

по поводу портов нужно открыть дорогу для пакетов в обе стороны как с порта так и на него, потому и пишется так..

и всетаки непонятно, что неработает то ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: А можно ли...
СообщениеДобавлено: Чт 04 авг, 2005 7:00 am 
Не в сети

Зарегистрирован: Пн 28 фев, 2005 4:52 pm
Сообщения: 57
Откуда: Саха (Якутия) г.Нерюнги
А можно за место
add allow tcp from any to any PORT
add allow tcp from any PORT to any

писать
add allow tcp from any PORT to any PORT ?

или это уже совсем другое ??


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: А можно ли...
СообщениеДобавлено: Чт 04 авг, 2005 7:00 am 
Не в сети

Зарегистрирован: Пн 28 фев, 2005 4:52 pm
Сообщения: 57
Откуда: Саха (Якутия) г.Нерюнги
А можно за место
add allow tcp from any to any PORT
add allow tcp from any PORT to any

писать
add allow tcp from any PORT to any PORT ?

или это уже совсем другое ??


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 04 авг, 2005 10:52 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 01 авг, 2005 9:03 pm
Сообщения: 205
Откуда: aus Moskau
Нет, это уже другое


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Работает.... но тема не закрыта
СообщениеДобавлено: Чт 04 авг, 2005 11:35 am 
Не в сети

Зарегистрирован: Пн 28 фев, 2005 4:52 pm
Сообщения: 57
Откуда: Саха (Якутия) г.Нерюнги
#!/bin/sh
# Print Starting firewall..."
echo "Starting firewall..."

# IPFW
ipfw="/sbin/ipfw"

# Force a flushing of the current rules before we reload
$ipfw -f flush

# Configure ethernet
int_if="rl0"
int_ip="192.168.2.8"
int_net="192.168.2.0/24"

# loopback
$ipfw add allow all from any to any via lo0
$ipfw add drop all from any to 127.0.0.0/8
$ipfw add drop all from 127.0.0.0/8 to any

# ICMP frag
$ipfw add drop icmp from any to any frag

# ICMP
$ipfw add allow icmp from any to any

# DNS
$ipfw add allow udp from any to any 53
$ipfw add allow udp from any 53 to any

# HTTP, HTTPS
$ipfw add allow tcp from any to any 80,443
$ipfw add allow tcp from any 80,443 to any

# FTP
$ipfw add allow tcp from any to any 20,21
$ipfw add allow tcp from any 20,21 to any

# NETBIOS
$ipfw add allow tcp from any to any 139
$ipfw add allow udp from any 137,138 to any

# MICROSOFT-DS
$ipfw add allow tcp from any 445 to any

# ICQ
$ipfw add allow tcp from any to any 5190
$ipfw add allow tcp from any 5190 to any

# CLOSE all
$ipfw add 65535 drop log all from any to any


Теперь вопрос, правильно ли здесь правила прописанны, а то мое сердце чует что здесь что-то не так только что понять не могу, ОБЪЯСНИТЕ ?? :)) и скажите может здесь что-то лишнее или не хватает еще. и как сделать чтоб меня нельзя было пропинговать и в сети не видно было это же тоже фаерволом делается ???


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 04 авг, 2005 11:48 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 01 авг, 2005 9:03 pm
Сообщения: 205
Откуда: aus Moskau
чтоб пинговать нельзя было - надо резать icmp. Только не советую этого делать.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 04 авг, 2005 12:52 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вс 15 авг, 2004 11:29 am
Сообщения: 90
Откуда: Kiev
почему "не советую" ?
запретить пинги из мира к серваку, отличная обманка для начинающих типа хацкеров и всяких доморощенных любителей посканить


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 04 авг, 2005 1:09 pm 
Не в сети
Site Admin

Зарегистрирован: Вс 07 мар, 2004 9:45 am
Сообщения: 1060
Откуда: Московская область
SleepyBrain писал(а):
А вообще Х.З., я же не админ :D


И кто меня вчера за язык тянул. Ведь знал же, что нельзя зарекаться. Уже практически админ. Блин.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 04 авг, 2005 1:57 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3301
Откуда: Харьков
паздравляю :mrgreen:


Последний раз редактировалось grayich Чт 04 авг, 2005 2:04 pm, всего редактировалось 1 раз.

Вернуться к началу
 Профиль  
 
 Заголовок сообщения: как сделать
СообщениеДобавлено: Чт 04 авг, 2005 2:02 pm 
Не в сети

Зарегистрирован: Пн 28 фев, 2005 4:52 pm
Сообщения: 57
Откуда: Саха (Якутия) г.Нерюнги
1. А можно как-нибудь только Ping вырубидь а остальные icmp оставить ?? или от icmp толку мало ???
2. и везде ли надо писать
$ipfw add allow tcp from any to any !!!!20,21!!!!!
$ipfw add allow tcp from any !!!!!20,21!!! to any
там и там ?? или не для всех так надо писать ??? подскажите...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 04 авг, 2005 2:30 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3301
Откуда: Харьков
почитай http://ipfw.ism.kiev.ua/ многие вопросы отпадут


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 04 авг, 2005 5:51 pm 
Не в сети

Зарегистрирован: Пт 29 июл, 2005 11:27 am
Сообщения: 4
поставь вначале правило
$ipfw add allow ip from me to any keep-state
может поможет :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб 06 авг, 2005 9:32 am 
Не в сети

Зарегистрирован: Пн 28 фев, 2005 4:52 pm
Сообщения: 57
Откуда: Саха (Якутия) г.Нерюнги
Окончательный вариант (пока месть). МОЖНО ли обрубить ping не обрубая все icmp ??
И как сделать чтоб к самбе мог коннектиться только определенный комп ?

#!/bin/sh
# Print Starting firewall..."
echo "Starting firewall..."

# IPFW
ipfw="/sbin/ipfw"

# Force a flushing of the current rules before we reload
$ipfw -f flush

# loopback
$ipfw add allow all from any to any via lo0
$ipfw add drop all from any to 127.0.0.0/8
$ipfw add drop all from 127.0.0.0/8 to any

# ICMP frag
$ipfw add drop icmp from any to any frag

# ICMP
$ipfw add allow icmp from any to any

# DNS
$ipfw add allow udp from any to any 53
$ipfw add allow udp from any 53 to any

# HTTP, HTTPS
$ipfw add allow tcp from any to any 80,443
$ipfw add allow tcp from any 80,443 to any

# FTP
$ipfw add allow tcp from any to any 20,21
$ipfw add allow tcp from any 20,21 to any

# NETBIOS (Samba)
$ipfw add allow udp from any to any 137,138
$ipfw add allow udp from any 137,138 to any
$ipfw add allow tcp from any to any 139
$ipfw add allow tcp from any 139 to any

# MICROSOFT-DS
#$ipfw add allow tcp from any 445 to any

# ICQ
$ipfw add allow tcp from any to any 5190
$ipfw add allow tcp from any 5190 to any

# CLOSE all 65535
$ipfw add drop log logamount 10000 all from any to any


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 08 авг, 2005 5:19 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Ср 06 июл, 2005 10:15 am
Сообщения: 218
Откуда: Moscow
Вместо
Цитата:
# ICMP
$ipfw add allow icmp from any to any

${ipfw} add allow icmp from any to any in via rl0 icmptype 0,3,4,11
11 - это ping, не пиши его, и ping работать не будет


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 19 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика