firewall / Unix-системы

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / firewall

13 сообщений из 13, страница 1 из 1

firewall

#32740267

lissyara

Участник

Откуда: Made in USSR

Сообщения: 5 644

Рейтинг: 0 / 0

тов. как такой firewall - нормально?

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.

#!/bin/sh

# vvodim peremennie:

FwCMD="/sbin/ipfw"
LanOut="ed0"
LanIn="fxp0"
IpOut="200.200.200.200"
IpIn="192.168.0.254"
NetMask="24"
NetIn="192.168.0.0"
NetOut="200.200.200.0"

# sbrasivaem ranee ustanowlennie prawila:
${FwCMD} -f flush

# proveryaem vremennie pravila:
${FwCMD} add check-state

# razreschaem vnutrenniy interfeys
${FwCMD} add allow ip from any to any via lo0

# zapres4aem:
${FwCMD} add deny ip from  192 . 168 . 0 . 0 / 16  to any in via ${LanOut}
${FwCMD} add deny ip from  172 . 16 . 0 . 0 / 12  to any in via ${LanOut}
${FwCMD} add deny ip from  10 . 0 . 0 . 0 / 8  to any in via ${LanOut}
${FwCMD} add deny ip from any to ${NetIn}/${NetMask} via ${LanOut}
${FwCMD} add deny tcp from any to any  135 - 139  via ${LanOut}
${FwCMD} add deny tcp from any  135 - 139  to any via ${LanOut}
${FwCMD} add deny tcp from any to any  135 - 139  via ${LanIn}
${FwCMD} add deny tcp from any  135 - 139  to any via ${LanIn}
${FwCMD} add deny tcp from any to ${IpOut}  21 - 23  via ${LanOut}
${FwCMD} add deny tcp from any to ${IpOut}  110 - 1026  via ${LanOut}
${FwCMD} add deny tcp from any  3000 - 3001  to any via ${LanOut}
${FwCMD} add deny tcp from any to any  3000 - 3001  via ${LanOut}

# otprawlyaem vseh ne SQUID:
${FwCMD} add fwd  127 . 0 . 0 . 1 , 3128  tcp from ${NetIn}/${NetMask} to any  80  via ${LanOut}

##########  NATD #########
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

#############################################################################
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
${FwCMD} add allow tcp from ${NetIn}/${NetMask} to any via ${LanIn}
${FwCMD} add allow udp from any  53  to any via ${LanOut}
${FwCMD} add allow icmp from any to ${NetIn}/${NetMask} icmptypes  0 , 8 , 11 
${FwCMD} add allow tcp from any  20 , 21  to ${NetIn}/${NetMask}  1024 - 65534 
${FwCMD} add allow ip from ${IpIn} to any via ${LanIn}
${FwCMD} add allow all from any to any via ${LanIn}
${FwCMD} add allow tcp from any to ${IpOut}  80  via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut}  25  via ${LanOut}

...

Рейтинг:

0 / 0

15.10.2004, 12:54:20

| Ответить | Цитировать | Написать

firewall

#32741648

deb

Гость

Мне не нравиться. Я в подробности не всматривался, но зачем такой геморой????

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.

# razreschaem vnutrenniy interfeys
${FwCMD} add allow ip from any to any via lo0

# otprawlyaem vseh ne SQUID:
${FwCMD} add fwd  127 . 0 . 0 . 1 , 3128  tcp from ${NetIn}/${NetMask} to any  80  via ${LanOut}

##########  NATD #########
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

#############################################################################
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
${FwCMD} add allow tcp from ${NetIn}/${NetMask} to any via ${LanIn}
${FwCMD} add allow udp from any  53  to any via ${LanOut}
${FwCMD} add allow icmp from any to ${NetIn}/${NetMask} icmptypes  0 , 8 , 11 
${FwCMD} add allow tcp from any  20 , 21  to ${NetIn}/${NetMask}  1024 - 65534 
${FwCMD} add allow ip from ${IpIn} to any via ${LanIn}
${FwCMD} add allow all from any to any via ${LanIn}
${FwCMD} add allow tcp from any to ${IpOut}  80  via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut}  25  via ${LanOut}


${FwCMD} add deny ip from any to any  -- !!!!!!!!!!!!!!!!!!!!

Смысл разрешаем то что надо остальное отсекается.
Правил меньше! И меньше вариант что ты что-то забудешь запретить.

...

Рейтинг:

0 / 0

17.10.2004, 00:45:13

| Ответить | Цитировать | Написать

firewall

#32741683

lissyara

Участник

Откуда: Made in USSR

Сообщения: 5 644

Рейтинг: 0 / 0

debМне не нравиться. Я в подробности не всматривался, но зачем такой геморой????

Код: plaintext

${FwCMD} add deny ip from any to any  -- !!!!!!!!!!!!!!!!!!!!

Смысл разрешаем то что надо остальное отсекается.
Правил меньше! И меньше вариант что ты что-то забудешь запретить.
Насчёт правил меньше - согласен, в первом варианте их было почти втрое больше. Лишние удалил по принципу - раз не используются (пакеты по ним не проходят) - не нужны.
А насчёт deny ip from any to any - оно есть, его ipfw сам дописывает, последним. В списке его нет, а по команде ipfw show - его видно....
P.S. Так где гемор-то?

Код: plaintext

${FwCMD} add allow ip from any to any via lo0

В этом? так через этот интерфейс система общается.
В natd? В squid? В разрешающих правилах? Так на машине висит mail и www
видные из локалки и инета, и telnet, ftp, и pop3 видные только с локалки... Убираешь любое правило - что-то перестаёт бегать....

...

Рейтинг:

0 / 0

17.10.2004, 10:38:51

| Ответить | Цитировать | Написать

firewall

#32741697

deb

Гость

Наверно не так выразился. В предыдущем сообщении в quote это типа то что нужно оставить.
А вот что на мой взгляд не нужно:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.

# zapres4aem:
${FwCMD} add deny ip from  192 . 168 . 0 . 0 / 16  to any in via ${LanOut}
${FwCMD} add deny ip from  172 . 16 . 0 . 0 / 12  to any in via ${LanOut}
${FwCMD} add deny ip from  10 . 0 . 0 . 0 / 8  to any in via ${LanOut}
${FwCMD} add deny ip from any to ${NetIn}/${NetMask} via ${LanOut}
${FwCMD} add deny tcp from any to any  135 - 139  via ${LanOut}
${FwCMD} add deny tcp from any  135 - 139  to any via ${LanOut}
${FwCMD} add deny tcp from any to any  135 - 139  via ${LanIn}
${FwCMD} add deny tcp from any  135 - 139  to any via ${LanIn}
${FwCMD} add deny tcp from any to ${IpOut}  21 - 23  via ${LanOut}
${FwCMD} add deny tcp from any to ${IpOut}  110 - 1026  via ${LanOut}
${FwCMD} add deny tcp from any  3000 - 3001  to any via ${LanOut}
${FwCMD} add deny tcp from any to any  3000 - 3001  via ${LanOut}

Вы точно ничего не забыли??? А может еще какой порт закрыть????
Так вот чтоб об этом не думать обычно принцип построения файервола таков:

*)разрешаем то что нужно
*)убиваем все .

...

Рейтинг:

0 / 0

17.10.2004, 11:59:38

| Ответить | Цитировать | Написать

firewall

#32741836

lissyara

Участник

Откуда: Made in USSR

Сообщения: 5 644

Рейтинг: 0 / 0

debВы точно ничего не забыли??? А может еще какой порт закрыть????
Так вот чтоб об этом не думать обычно принцип построения файервола таков:
*)разрешаем то что нужно
*)убиваем все .
Какой конкретно?

...

Рейтинг:

0 / 0

17.10.2004, 20:07:07

| Ответить | Цитировать | Написать

firewall

#32741837

lissyara

Участник

Откуда: Made in USSR

Сообщения: 5 644

Рейтинг: 0 / 0

Кстати, вот по этим правилам далеко не мало пакетов тормрзиться:

Код: plaintext

1.
2.

${FwCMD} add deny ip from  192 . 168 . 0 . 0 / 16  to any in via ${LanOut}
${FwCMD} add deny ip from  172 . 16 . 0 . 0 / 12  to any in via ${LanOut}
${FwCMD} add deny ip from  10 . 0 . 0 . 0 / 8  to any in via ${LanOut}

В основном по 172 сети...

...

Рейтинг:

0 / 0

17.10.2004, 20:11:33

| Ответить | Цитировать | Написать

firewall

#32745480

deb

Гость

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.

#!/bin/sh

# vvodim peremennie:

FwCMD="/sbin/ipfw"
LanOut="ed0"
LanIn="fxp0"
IpOut="200.200.200.200"
IpIn="192.168.0.254"
NetMask="24"
NetIn="192.168.0.0"
NetOut="200.200.200.0"

# sbrasivaem ranee ustanowlennie prawila:
${FwCMD} -f flush

# proveryaem vremennie pravila:
${FwCMD} add check-state

# razreschaem vnutrenniy interfeys
${FwCMD} add allow ip from any to any via lo0

# otprawlyaem vseh ne SQUID:
${FwCMD} add fwd  127 . 0 . 0 . 1 , 3128  tcp from ${NetIn}/${NetMask} to any  80  via ${LanOut}

##########  NATD #########
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

#############################################################################
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
${FwCMD} add allow tcp from ${NetIn}/${NetMask} to any via ${LanIn}
${FwCMD} add allow udp from any  53  to any via ${LanOut}
${FwCMD} add allow icmp from any to ${NetIn}/${NetMask} icmptypes  0 , 8 , 11 
${FwCMD} add allow tcp from any  20 , 21  to ${NetIn}/${NetMask}  1024 - 65534 
${FwCMD} add allow ip from ${IpIn} to any via ${LanIn}
${FwCMD} add allow all from any to any via ${LanIn}
${FwCMD} add allow tcp from any to ${IpOut}  80  via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut}  25  via ${LanOut}

${FwCMD} add deny ip from any to any

А что будет если применить такой правила файерволла у тебя???

...

Рейтинг:

0 / 0

19.10.2004, 23:48:25

| Ответить | Цитировать | Написать

firewall

#32745735

lissyara

Участник

Откуда: Made in USSR

Сообщения: 5 644

Рейтинг: 0 / 0

Всё будет работать.
ТОлько в firewall теперь 2 команды deny ip from any to any...
По мне, так лучше больше запрещающих правил, чем разрешающих...
Вот последняя версия:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.

#!/bin/sh

# vvodim peremennie:

FwCMD="/sbin/ipfw"
LanOut="ed0"
LanIn="fxp0"
IpOut="200.200.200.200"
IpIn="192.168.0.254"
NetMask="24"
NetIn="192.168.0.0"
NetOut="200.200.200.0"

# sbrasivaem ranee ustanowlennie prawila:
${FwCMD} -f flush

# proveryaem vremennie pravila:
${FwCMD} add check-state

# razreschaem vnutrenniy interfeys
${FwCMD} add allow ip from any to any via lo0

# zapres4aem:
${FwCMD} add deny ip from  192 . 168 . 0 . 0 / 16  to any in via ${LanOut}
${FwCMD} add deny ip from  172 . 16 . 0 . 0 / 12  to any in via ${LanOut}
${FwCMD} add deny ip from  10 . 0 . 0 . 0 / 8  to any in via ${LanOut}
${FwCMD} add deny ip from any to ${NetIn}/${NetMask} via ${LanOut}
${FwCMD} add deny tcp from any to any  135 - 139 
${FwCMD} add deny tcp from any  135 - 139  to any
${FwCMD} add deny tcp from any to ${IpOut}  21 - 23  via ${LanOut}
${FwCMD} add deny tcp from any to ${IpOut}  110 - 1026  via ${LanOut}

# otprawlyaem vseh ne SQUID:
${FwCMD} add fwd  127 . 0 . 0 . 1 , 3128  tcp from ${NetIn}/${NetMask} to any  80  via ${LanOut}

##########  NATD #########
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

#############################################################################
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
${FwCMD} add allow udp from any  53  to any via ${LanOut}
${FwCMD} add allow icmp from any to ${NetIn}/${NetMask} icmptypes  0 , 8 , 11 
${FwCMD} add allow all from any to any via ${LanIn}
${FwCMD} add allow tcp from any to ${IpOut}  80  via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut}  25  via ${LanOut}

Правило add deny ip from any to any есть, его firewall сам последним дописывает...

...

Рейтинг:

0 / 0

20.10.2004, 10:07:54

| Ответить | Цитировать | Написать

firewall

#32746630

deb

Гость

автор
Всё будет работать.
ТОлько в firewall теперь 2 команды deny ip from any to any...
По мне, так лучше больше запрещающих правил, чем разрешающих...

Всё не только будет работать, но и будет работать абсолютно точно также как у тебя. Просто вместо того чтобы резаться на твоей куче файлов. Пакеты будут резать в самом конце - и это правильно.
А если тебе нужно много правил можно добавить отдельное правило на каждый порт
тогда у тебя будет до ..я правил :-)

p.s. любой уважающий себя сисадмин не будет пользоваться таким набором правил.

...

Рейтинг:

0 / 0

20.10.2004, 15:21:57

| Ответить | Цитировать | Написать

firewall

#33140809

Gooddy

Участник

Откуда: Moskow

Сообщения: 1 535

Рейтинг: 0 / 0

Ситусция такая.

При выключеном брандмауэре с других ПК Win сети вижу и могу работать с общим ресурсом предоставленным мной на ПК Linux через SAMBA. Также с ПК Linux я вижу ресурсы на ПК Win сети могу их монтировать с помощью Smb4K и соответственно работать. При включенном брандмауэре при прописке в нем портов 137:udp,137:tcp,138:udp,138:tcp,139:udp,139:tcp ресурсы ПК Linux видны на других ПК Win, а вот на ПК Linux через Smb4K ресурсв ПК Win сети уже не вижу. В Наутилусе и Konqueror вижу домены и группы но войти в них не могу в первом случае говорит что невозможно показать все элементы сети Windows:узел, во втором что не удается подключится к узлу smb://имя узла. Что надо еще сделать в настройках брандмауэра?????????
Прты прописывал через графический интерфейс system-config-seceuritylevel OC Fedora Core 3.

...

Рейтинг:

0 / 0

29.06.2005, 16:12:44

| Ответить | Цитировать | Написать

firewall

#33140938

Gooddy

Участник

Откуда: Moskow

Сообщения: 1 535

Рейтинг: 0 / 0

Bот какой у меня файл iptable

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [ 0 : 0 ]
:FORWARD ACCEPT [ 0 : 0 ]
:OUTPUT ACCEPT [ 0 : 0 ]
:RH-Firewall- 1 -INPUT - [ 0 : 0 ]
-A INPUT -j RH-Firewall- 1 -INPUT
-A FORWARD -j RH-Firewall- 1 -INPUT
-A RH-Firewall- 1 -INPUT -i lo -j ACCEPT
-A RH-Firewall- 1 -INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall- 1 -INPUT -p  50  -j ACCEPT
-A RH-Firewall- 1 -INPUT -p  51  -j ACCEPT
-A RH-Firewall- 1 -INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall- 1 -INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall- 1 -INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall- 1 -INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT
-A RH-Firewall- 1 -INPUT -m state --state NEW -m tcp -p tcp --dport 137 -j ACCEPT
-A RH-Firewall- 1 -INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT
-A RH-Firewall- 1 -INPUT -m state --state NEW -m tcp -p tcp --dport 138 -j ACCEPT
-A RH-Firewall- 1 -INPUT -m state --state NEW -m udp -p udp --dport 139 -j ACCEPT
-A RH-Firewall- 1 -INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
-A RH-Firewall- 1 -INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

...

Рейтинг:

0 / 0

29.06.2005, 16:54:43

| Ответить | Цитировать | Написать

firewall

#33141643

lissyara

Участник

Откуда: Made in USSR

Сообщения: 5 644

Рейтинг: 0 / 0

Вот так у меня режется нетбивис

Код: plaintext

deny tcp from any to  10 . 21 . 64 . 215   137 - 139  via xl0
 2880  deny tcp from any to  10 . 21 . 64 . 215   445 - 514  via xl0

Тебе надо наоборот. Но - у тя иптаблес. Ничё не могу посоветовать. Я его даже не ковырял.

P.S. :
2 deb
я - неуважающий себя сисадмин. Я не сделал их меньше. Я сделал их больше.

...

Рейтинг:

0 / 0

30.06.2005, 00:40:43

| Ответить | Цитировать | Написать

firewall

#33141645

lissyara

Участник

Откуда: Made in USSR

Сообщения: 5 644

Рейтинг: 0 / 0

Ошибся, числа быть недолжно:

Код: plaintext

deny tcp from any to  10 . 21 . 64 . 215   137 - 139  via xl0
deny tcp from any to  10 . 21 . 64 . 215   445 - 514  via xl0

...

Рейтинг:

0 / 0

30.06.2005, 00:41:58

| Ответить | Цитировать | Написать

13 сообщений из 13, страница 1 из 1

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / firewall

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&msg=33141645&tid=1490503]:	0ms
get settings:	7ms
get forum list:	9ms
check forum access:	2ms
check topic access:	2ms
track hit:	91ms
get topic data:	6ms
get forum data:	1ms
get page messages:	29ms
get tp. blocked users:	1ms
others:	196ms

total:	344ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы