forum.opennet.ru - "FreeBSD + ipfw поему так???" (9)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"FreeBSD + ipfw поему так???"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"FreeBSD + ipfw поему так???"
Сообщение от skydion (ok) on 01-Июн-07, 17:50
# /etc/rc.firewall close Flushed all rules. 00050 check-state 00100 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 00400 deny ip from 192.168.120.0/24 to any in via rl0 00500 deny ip from 10.10.10.0/30 to any in via vr0 00600 divert 8668 ip from any to any via rl0 00700 allow tcp from any to any established 00800 allow ip from any to any frag 00900 allow tcp from any to 10.10.10.2 dst-port 25 01000 allow tcp from 192.168.120.88 to any dst-port 25 01100 deny ip from 192.168.120.0/24 to any dst-port 25 01200 allow ip from 192.168.120.0/24 to any dst-port 21 keep-state 01300 allow udp from 10.10.10.2 to any dst-port 53 keep-state 01400 allow udp from 10.10.10.2 to any dst-port 123 keep-state 01500 allow tcp from 10.10.10.2 to 82.207.х.х dst-port 1433 keep-state 01600 allow udp from 10.10.10.2 to 82.207.х.х dst-port 1433 keep-state 01700 allow tcp from any to 82.207.х.х dst-port 3389 01800 allow ip from 192.168.120.0/24 to 192.168.120.7 via vr0 01900 allow ip from 192.168.120.7 to 192.168.120.0/24 via vr0 02000 allow ip from 10.10.10.2 to any via rl0 02100 allow tcp from 192.168.120.88 to any 02200 allow udp from 192.168.120.88 to any 02300 allow tcp from 192.168.120.6 to any 02400 allow udp from 192.168.120.6 to any 65535 deny ip from any to any # ipfw list 00050 check-state 00100 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 00400 deny ip from 192.168.120.0/24 to any in via rl0 00500 deny ip from 10.10.10.0/30 to any in via vr0 00600 divert 8668 ip from any to any via rl0 00700 allow tcp from any to any established 00800 allow ip from any to any frag 00900 allow tcp from any to 10.10.10.2 dst-port 25 01000 allow tcp from 192.168.120.88 to any dst-port 25 01100 deny ip from 192.168.120.0/24 to any dst-port 25 01200 allow ip from 192.168.120.0/24 to any dst-port 21 keep-state 01300 allow udp from 10.10.10.2 to any dst-port 53 keep-state 01400 allow udp from 10.10.10.2 to any dst-port 123 keep-state 01500 allow tcp from 10.10.10.2 to 82.207.х.х dst-port 1433 keep-state 01600 allow udp from 10.10.10.2 to 82.207.х.х dst-port 1433 keep-state 01700 allow tcp from any to 82.207.х.х dst-port 3389 01800 allow ip from 192.168.120.0/24 to 192.168.120.7 via vr0 01900 allow ip from 192.168.120.7 to 192.168.120.0/24 via vr0 02000 allow ip from 10.10.10.2 to any via rl0 02100 allow tcp from 192.168.120.88 to any 02200 allow udp from 192.168.120.88 to any 02300 allow tcp from 192.168.120.6 to any 02400 allow udp from 192.168.120.6 to any 65535 allow ip from any to any вот вопрос почему последнее правило при запуске фаервола то что нужно, а после листинга оно меняется с денай на аллов????? Это шлюз с двумя интефейсами, незнаю все ли правильно все закрыто из вне только конекты на 25 порт, с одного узла внутреней сети нужно выход на 25 порт и на 1433 подскажите если что не так ПС. С фри не дружу поэтому трудновато
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

FreeBSD + ipfw поему так???, vinzz, 17:55 , 01-Июн-07, (1)

FreeBSD + ipfw поему так???, skydion, 18:01 , 01-Июн-07, (3)

FreeBSD + ipfw поему так???, Covax, 18:08 , 01-Июн-07, (4)

FreeBSD + ipfw поему так???, skydion, 18:17 , 01-Июн-07, (5)

FreeBSD + ipfw поему так???, universite, 05:43 , 16-Июн-07, (6)

FreeBSD + ipfw поему так???, DenSha, 10:40 , 26-Окт-07, (10)

FreeBSD + ipfw поему так???, Covax, 18:01 , 01-Июн-07, (2)

FreeBSD + ipfw поему так???, satb, 15:51 , 02-Июл-07, (7)

FreeBSD + ipfw поему так???, idle, 13:43 , 03-Июл-07, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "FreeBSD + ipfw поему так???"

Сообщение от vinzz on 01-Июн-07, 17:55

># /etc/rc.firewall close
>Flushed all rules.
>00050 check-state
>00100 allow ip from any to any via lo0
>00200 deny ip from any to 127.0.0.0/8
>00300 deny ip from 127.0.0.0/8 to any
>00400 deny ip from 192.168.120.0/24 to any in via rl0
>00500 deny ip from 10.10.10.0/30 to any in via vr0
>00600 divert 8668 ip from any to any via rl0
>00700 allow tcp from any to any established
>00800 allow ip from any to any frag
>00900 allow tcp from any to 10.10.10.2 dst-port 25
>01000 allow tcp from 192.168.120.88 to any dst-port 25
>01100 deny ip from 192.168.120.0/24 to any dst-port 25
>01200 allow ip from 192.168.120.0/24 to any dst-port 21 keep-state
>01300 allow udp from 10.10.10.2 to any dst-port 53 keep-state
>01400 allow udp from 10.10.10.2 to any dst-port 123 keep-state
>01500 allow tcp from 10.10.10.2 to 82.207.х.х dst-port 1433 keep-state
>01600 allow udp from 10.10.10.2 to 82.207.х.х dst-port 1433 keep-state
>01700 allow tcp from any to 82.207.х.х dst-port 3389
>01800 allow ip from 192.168.120.0/24 to 192.168.120.7 via vr0
>01900 allow ip from 192.168.120.7 to 192.168.120.0/24 via vr0
>02000 allow ip from 10.10.10.2 to any via rl0
>02100 allow tcp from 192.168.120.88 to any
>02200 allow udp from 192.168.120.88 to any
>02300 allow tcp from 192.168.120.6 to any
>02400 allow udp from 192.168.120.6 to any
>65535 deny ip from any to any
>
># ipfw list
>00050 check-state
>00100 allow ip from any to any via lo0
>00200 deny ip from any to 127.0.0.0/8
>00300 deny ip from 127.0.0.0/8 to any
>00400 deny ip from 192.168.120.0/24 to any in via rl0
>00500 deny ip from 10.10.10.0/30 to any in via vr0
>00600 divert 8668 ip from any to any via rl0
>00700 allow tcp from any to any established
>00800 allow ip from any to any frag
>00900 allow tcp from any to 10.10.10.2 dst-port 25
>01000 allow tcp from 192.168.120.88 to any dst-port 25
>01100 deny ip from 192.168.120.0/24 to any dst-port 25
>01200 allow ip from 192.168.120.0/24 to any dst-port 21 keep-state
>01300 allow udp from 10.10.10.2 to any dst-port 53 keep-state
>01400 allow udp from 10.10.10.2 to any dst-port 123 keep-state
>01500 allow tcp from 10.10.10.2 to 82.207.х.х dst-port 1433 keep-state
>01600 allow udp from 10.10.10.2 to 82.207.х.х dst-port 1433 keep-state
>01700 allow tcp from any to 82.207.х.х dst-port 3389
>01800 allow ip from 192.168.120.0/24 to 192.168.120.7 via vr0
>01900 allow ip from 192.168.120.7 to 192.168.120.0/24 via vr0
>02000 allow ip from 10.10.10.2 to any via rl0
>02100 allow tcp from 192.168.120.88 to any
>02200 allow udp from 192.168.120.88 to any
>02300 allow tcp from 192.168.120.6 to any
>02400 allow udp from 192.168.120.6 to any
>65535 allow ip from any to any
>
>вот вопрос почему последнее правило при запуске фаервола то что нужно,
>а после листинга оно меняется с денай на аллов?????
>
>Это шлюз с двумя интефейсами, незнаю все ли правильно все закрыто
>из вне только конекты на 25 порт,
>с одного узла внутреней сети нужно выход на 25 порт и на
>1433
>
>подскажите если что не так
>
>ПС. С фри не дружу поэтому трудновато

Check Your kernel config for: IPFIREWALL_DEFAULT_TO_ACCEPT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "FreeBSD + ipfw поему так???"

Сообщение от skydion (ok) on 01-Июн-07, 18:01

>
>Check Your kernel config for: IPFIREWALL_DEFAULT_TO_ACCEPT
Это я понимаю нужно в ядре искать и потом перекомпилировать ядро или
можно где-то переменную поменять?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "FreeBSD + ipfw поему так???"

Сообщение от Covax (??) on 01-Июн-07, 18:08

>>
>>Check Your kernel config for: IPFIREWALL_DEFAULT_TO_ACCEPT
>
>Это я понимаю нужно в ядре искать и потом перекомпилировать ядро или
>
>можно где-то переменную поменять?

А смысл менять? Делаешь правило с номером 65534 какое тебе надо и всё.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "FreeBSD + ipfw поему так???"

Сообщение от skydion (ok) on 01-Июн-07, 18:17

>>>
>>>Check Your kernel config for: IPFIREWALL_DEFAULT_TO_ACCEPT
>>
>>Это я понимаю нужно в ядре искать и потом перекомпилировать ядро или
>>
>>можно где-то переменную поменять?
>
>
>А смысл менять? Делаешь правило с номером 65534 какое тебе надо и
>всё.

Спасибо так и сделал.
Еще вопрос, а где нужно NAT тулить? Имеет ли принципиальное значение
в начале или в конце правил?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "FreeBSD + ipfw поему так???"

Сообщение от universite (??) on 16-Июн-07, 05:43

>Еще вопрос, а где нужно NAT тулить? Имеет ли принципиальное значение
>в начале или в конце правил?
В начале.
Во-первых через него попадет почтив есь траффик и firewall не будет перебирать правила.
Во-вторых допустить ошибку в начале будет меньше шансов :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "FreeBSD + ipfw поему так???"

Сообщение от DenSha (??) on 26-Окт-07, 10:40

>
>>Еще вопрос, а где нужно NAT тулить? Имеет ли принципиальное значение
>>в начале или в конце правил?
>
>В начале.
>Во-первых через него попадет почтив есь траффик и firewall не будет
>перебирать правила.
>Во-вторых допустить ошибку в начале будет меньше шансов :)
По необходимости и здравому смыслу. Например, если висит внутренний почтарь, я не вижу никакой необходимости гонять его траффик через nat. И после nata пакет всё-одно вываливается на следующее за divert правило.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "FreeBSD + ipfw поему так???"

Сообщение от Covax (??) on 01-Июн-07, 18:01

Правило 65535 внутренне в ipfw и выставляется в соответствии с параметром IPFIREWALL_DEFAULT_TO_ACCEPT. Если этот параметр есть, то всё разрешено, если нет, то запрещено. Поменять его нельзя.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "FreeBSD + ipfw поему так???"

Сообщение от satb (ok) on 02-Июл-07, 15:51

2Covax, так то оно так, но еще следует учесть что при отсутствии этой опции в ядре, нельзя перезапускать правила фаервола зайдя на серв через ssh. (коннект отваливаеться)
Поэтому лучше в последней строке описания правил писать deny all from any to any.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "FreeBSD + ipfw поему так???"

Сообщение от idle (ok) on 03-Июл-07, 13:43

>2Covax, так то оно так, но еще следует учесть что при отсутствии
>этой опции в ядре, нельзя перезапускать правила фаервола зайдя на серв
>через ssh. (коннект отваливаеться)
Можно. Читайте документацию.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "FreeBSD + ipfw поему так???"
Сообщение от vinzz on 01-Июн-07, 17:55
># /etc/rc.firewall close >Flushed all rules. >00050 check-state >00100 allow ip from any to any via lo0 >00200 deny ip from any to 127.0.0.0/8 >00300 deny ip from 127.0.0.0/8 to any >00400 deny ip from 192.168.120.0/24 to any in via rl0 >00500 deny ip from 10.10.10.0/30 to any in via vr0 >00600 divert 8668 ip from any to any via rl0 >00700 allow tcp from any to any established >00800 allow ip from any to any frag >00900 allow tcp from any to 10.10.10.2 dst-port 25 >01000 allow tcp from 192.168.120.88 to any dst-port 25 >01100 deny ip from 192.168.120.0/24 to any dst-port 25 >01200 allow ip from 192.168.120.0/24 to any dst-port 21 keep-state >01300 allow udp from 10.10.10.2 to any dst-port 53 keep-state >01400 allow udp from 10.10.10.2 to any dst-port 123 keep-state >01500 allow tcp from 10.10.10.2 to 82.207.х.х dst-port 1433 keep-state >01600 allow udp from 10.10.10.2 to 82.207.х.х dst-port 1433 keep-state >01700 allow tcp from any to 82.207.х.х dst-port 3389 >01800 allow ip from 192.168.120.0/24 to 192.168.120.7 via vr0 >01900 allow ip from 192.168.120.7 to 192.168.120.0/24 via vr0 >02000 allow ip from 10.10.10.2 to any via rl0 >02100 allow tcp from 192.168.120.88 to any >02200 allow udp from 192.168.120.88 to any >02300 allow tcp from 192.168.120.6 to any >02400 allow udp from 192.168.120.6 to any >65535 deny ip from any to any > ># ipfw list >00050 check-state >00100 allow ip from any to any via lo0 >00200 deny ip from any to 127.0.0.0/8 >00300 deny ip from 127.0.0.0/8 to any >00400 deny ip from 192.168.120.0/24 to any in via rl0 >00500 deny ip from 10.10.10.0/30 to any in via vr0 >00600 divert 8668 ip from any to any via rl0 >00700 allow tcp from any to any established >00800 allow ip from any to any frag >00900 allow tcp from any to 10.10.10.2 dst-port 25 >01000 allow tcp from 192.168.120.88 to any dst-port 25 >01100 deny ip from 192.168.120.0/24 to any dst-port 25 >01200 allow ip from 192.168.120.0/24 to any dst-port 21 keep-state >01300 allow udp from 10.10.10.2 to any dst-port 53 keep-state >01400 allow udp from 10.10.10.2 to any dst-port 123 keep-state >01500 allow tcp from 10.10.10.2 to 82.207.х.х dst-port 1433 keep-state >01600 allow udp from 10.10.10.2 to 82.207.х.х dst-port 1433 keep-state >01700 allow tcp from any to 82.207.х.х dst-port 3389 >01800 allow ip from 192.168.120.0/24 to 192.168.120.7 via vr0 >01900 allow ip from 192.168.120.7 to 192.168.120.0/24 via vr0 >02000 allow ip from 10.10.10.2 to any via rl0 >02100 allow tcp from 192.168.120.88 to any >02200 allow udp from 192.168.120.88 to any >02300 allow tcp from 192.168.120.6 to any >02400 allow udp from 192.168.120.6 to any >65535 allow ip from any to any > >вот вопрос почему последнее правило при запуске фаервола то что нужно, >а после листинга оно меняется с денай на аллов????? > >Это шлюз с двумя интефейсами, незнаю все ли правильно все закрыто >из вне только конекты на 25 порт, >с одного узла внутреней сети нужно выход на 25 порт и на >1433 > >подскажите если что не так > >ПС. С фри не дружу поэтому трудновато Check Your kernel config for: IPFIREWALL_DEFAULT_TO_ACCEPT
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "FreeBSD + ipfw поему так???"
	Сообщение от skydion (ok) on 01-Июн-07, 18:01
	> >Check Your kernel config for: IPFIREWALL_DEFAULT_TO_ACCEPT Это я понимаю нужно в ядре искать и потом перекомпилировать ядро или можно где-то переменную поменять?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "FreeBSD + ipfw поему так???"
	Сообщение от Covax (??) on 01-Июн-07, 18:08
	>> >>Check Your kernel config for: IPFIREWALL_DEFAULT_TO_ACCEPT > >Это я понимаю нужно в ядре искать и потом перекомпилировать ядро или > >можно где-то переменную поменять? А смысл менять? Делаешь правило с номером 65534 какое тебе надо и всё.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "FreeBSD + ipfw поему так???"
	Сообщение от skydion (ok) on 01-Июн-07, 18:17
	>>> >>>Check Your kernel config for: IPFIREWALL_DEFAULT_TO_ACCEPT >> >>Это я понимаю нужно в ядре искать и потом перекомпилировать ядро или >> >>можно где-то переменную поменять? > > >А смысл менять? Делаешь правило с номером 65534 какое тебе надо и >всё. Спасибо так и сделал. Еще вопрос, а где нужно NAT тулить? Имеет ли принципиальное значение в начале или в конце правил?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "FreeBSD + ipfw поему так???"
	Сообщение от universite (??) on 16-Июн-07, 05:43
	>Еще вопрос, а где нужно NAT тулить? Имеет ли принципиальное значение >в начале или в конце правил? В начале. Во-первых через него попадет почтив есь траффик и firewall не будет перебирать правила. Во-вторых допустить ошибку в начале будет меньше шансов :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "FreeBSD + ipfw поему так???"
	Сообщение от DenSha (??) on 26-Окт-07, 10:40
	> >>Еще вопрос, а где нужно NAT тулить? Имеет ли принципиальное значение >>в начале или в конце правил? > >В начале. >Во-первых через него попадет почтив есь траффик и firewall не будет >перебирать правила. >Во-вторых допустить ошибку в начале будет меньше шансов :) По необходимости и здравому смыслу. Например, если висит внутренний почтарь, я не вижу никакой необходимости гонять его траффик через nat. И после nata пакет всё-одно вываливается на следующее за divert правило.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "FreeBSD + ipfw поему так???"
Сообщение от Covax (??) on 01-Июн-07, 18:01
Правило 65535 внутренне в ipfw и выставляется в соответствии с параметром IPFIREWALL_DEFAULT_TO_ACCEPT. Если этот параметр есть, то всё разрешено, если нет, то запрещено. Поменять его нельзя.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "FreeBSD + ipfw поему так???"
	Сообщение от satb (ok) on 02-Июл-07, 15:51
	2Covax, так то оно так, но еще следует учесть что при отсутствии этой опции в ядре, нельзя перезапускать правила фаервола зайдя на серв через ssh. (коннект отваливаеться) Поэтому лучше в последней строке описания правил писать deny all from any to any.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "FreeBSD + ipfw поему так???"
	Сообщение от idle (ok) on 03-Июл-07, 13:43
	>2Covax, так то оно так, но еще следует учесть что при отсутствии >этой опции в ядре, нельзя перезапускать правила фаервола зайдя на серв >через ssh. (коннект отваливаеться) Можно. Читайте документацию.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]