firewall solaris 10 x86 / Unix-системы

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / firewall solaris 10 x86

18 сообщений из 18, страница 1 из 1

firewall solaris 10 x86

#34407108

ultras

Участник

Сообщения: 71

Рейтинг: 0 / 0

начал разбираться с firewall ( основа solaris 10 x86)

вот тут похоже на то что хотелось бы сделать

а именно с сети класса С видеть машины подсети класса А
и что то с налета не прошло

1.нужен ли тут NAT
2.верно ли копаю

http://www.obfuscation.org/ipf/ipf-howto.pdf

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.

# ipfstat -io
pass out quick all
pass in quick all
# routeadm
              Configuration   Current              Current
                     Option   Configuration        System State
---------------------------------------------------------------
            IPv4 forwarding   enabled              enabled
               IPv4 routing   default (disabled)   disabled
            IPv6 forwarding   disabled             disabled
               IPv6 routing   disabled             disabled

        IPv4 routing daemon   "/usr/sbin/in.routed"
   IPv4 routing daemon args   ""
   IPv4 routing daemon stop   "kill -TERM `cat /var/tmp/in.routed.pid`"
        IPv6 routing daemon   "/usr/lib/inet/in.ripngd"
   IPv6 routing daemon args   "-s"
   IPv6 routing daemon stop   "kill -TERM `cat /var/tmp/in.ripngd.pid`"



 192 . 168 . 100 . 113  -------/elxl0 Ipf iprb0/------- 10.5.158.241


и при этом ping c   192 . 168 . 100 . 113  на   10 . 5 . 158 . 241 
не проходит.


кто по расскажет
с уважением ко всем .... ))

...

Рейтинг:

0 / 0

21.03.2007, 19:16:13

| Ответить | Цитировать | Написать

firewall solaris 10 x86

#34407221

бу-бу

Гость

вот

...

Рейтинг:

0 / 0

21.03.2007, 20:24:32

| Ответить | Цитировать | Написать

firewall solaris 10 x86

#34407313

Ося

Участник

Сообщения: 2 033

Рейтинг: 0 / 0

начал писать ответ, потом подумал, действительно прочитайте сцылку на пост выше, у вас все неправильно...

...

Рейтинг:

0 / 0

21.03.2007, 21:40:15

| Ответить | Цитировать | Написать

firewall solaris 10 x86

#34408114

ultras

Участник

Сообщения: 71

Рейтинг: 0 / 0

эта ссылка мной происследована!

ося!
а что всё неправильно ?

судя по этой ссылке и по показанному мною выводу того что
там описывается

Код: plaintext

1.
2.
3.
4.
5.

# routeadm
              Configuration   Current              Current
                     Option   Configuration        System State
---------------------------------------------------------------
            IPv4 forwarding   enabled              enabled

кроме того заслуживает ли по Вашему мнению
комментарий к статье ?

а вот то что я исполнял..... и результат

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.

# ndd -set /dev/ip ip_forwarding  0 
# routeadm
              Configuration   Current              Current
                     Option   Configuration        System State
---------------------------------------------------------------
            IPv4 forwarding   enabled              disabled
               IPv4 routing   default (disabled)   disabled
            IPv6 forwarding   disabled             disabled
               IPv6 routing   disabled             disabled

        IPv4 routing daemon   "/usr/sbin/in.routed"
   IPv4 routing daemon args   ""
   IPv4 routing daemon stop   "kill -TERM `cat /var/tmp/in.routed.pid`"
        IPv6 routing daemon   "/usr/lib/inet/in.ripngd"
   IPv6 routing daemon args   "-s"
   IPv6 routing daemon stop   "kill -TERM `cat /var/tmp/in.ripngd.pid`"
# ndd -set /dev/ip ip_forwarding  1 
# routeadm
              Configuration   Current              Current
                     Option   Configuration        System State
---------------------------------------------------------------
            IPv4 forwarding   enabled              enabled
               IPv4 routing   default (disabled)   disabled
            IPv6 forwarding   disabled             disabled
               IPv6 routing   disabled             disabled

        IPv4 routing daemon   "/usr/sbin/in.routed"
   IPv4 routing daemon args   ""
   IPv4 routing daemon stop   "kill -TERM `cat /var/tmp/in.routed.pid`"
        IPv6 routing daemon   "/usr/lib/inet/in.ripngd"
   IPv6 routing daemon args   "-s"
   IPv6 routing daemon stop   "kill -TERM `cat /var/tmp/in.ripngd.pid`"


# ndd -set /dev/ip ip_forwarding  2 
operation failed: Invalid argument
что то есть у меня сомнения по коректности этой ссылочки ...

...

Рейтинг:

0 / 0

22.03.2007, 11:48:06

| Ответить | Цитировать | Написать

firewall solaris 10 x86

#34408301

Ося

Участник

Сообщения: 2 033

Рейтинг: 0 / 0

ultras...

0. я туплю или вы сами на себя пытаетесь пинговать? как тады выглядит ваша команда?
1. ip forwarding флаг имеет два значение 1 и 0 -- нужно в 1 (как и было)
2. ifconfig -a на этом хосте
3. netstat -rn на этом хосте
4. ifconfig-и 192.168.100.113 и 10.5.158.241
5. nat не нужен
6. фаэрвол хорошо, но не обязательно если это доверенные внутренние сети, можно на уровне маршрутизации все сделать.

...

Рейтинг:

0 / 0

22.03.2007, 12:26:11

| Ответить | Цитировать | Написать

firewall solaris 10 x86

#34408368

ultras

Участник

Сообщения: 71

Рейтинг: 0 / 0

начну с ответа по 6 пункту

это внутренние сети на которых провожу исследование для переноса решения
в открытую сеть

кроме того хочу всё же использовать фильтрацию для того чтобы даже во внутренней сети
исключить хулиганство по нежелательным портам

например позволить ходить только на порт 22

ifconfig'и счас дошлю

...

Рейтинг:

0 / 0

22.03.2007, 12:42:00

| Ответить | Цитировать | Написать

firewall solaris 10 x86

#34408415

ultras

Участник

Сообщения: 71

Рейтинг: 0 / 0

по 0 вопросу

нет не сам на себя

это конфигурация solaris

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.

# ifconfig -a
lo0: flags= 2001000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu  8232  index  1 
        inet  127 . 0 . 0 . 1  netmask ff000000 
elxl0: flags= 1100843 <UP,BROADCAST,RUNNING,MULTICAST,ROUTER,IPv4> mtu  1500  index  2 
        inet  10 . 5 . 158 . 245  netmask fffffe00 broadcast  10 . 5 . 159 . 255 
        ether  0 : 1 : 2 :cd:eb:ae 
iprb0: flags= 1100843 <UP,BROADCAST,RUNNING,MULTICAST,ROUTER,IPv4> mtu  1500  index  3 
        inet  192 . 168 . 100 . 102  netmask ffffff00 broadcast  192 . 168 . 100 . 255 
        ether  0 : 4 :ac: 18 :6d:1d

а

192.168.100.113
10.5.158.241

это хосты подлюченные к в хабы с интерфейсами solaris'а
понятно или подробнее нарисовать ?

ping запускается с хоста 192.168.100.113
ping 10.5.158.241
или
ping 10.5.158.245 на второй интерфейс solaris'a

...

Рейтинг:

0 / 0

22.03.2007, 12:53:51

| Ответить | Цитировать | Написать

firewall solaris 10 x86

#34408420

Ося

Участник

Сообщения: 2 033

Рейтинг: 0 / 0

ultrasначну с ответа по 6 пункту

это внутренние сети на которых провожу исследование для переноса решения
в открытую сеть

кроме того хочу всё же использовать фильтрацию для того чтобы даже во внутренней сети
исключить хулиганство по нежелательным портам

например позволить ходить только на порт 22

ifconfig'и счас дошлю

а ну тогда вам нужен и нат и фаэрволъ. я бы отдельно взглянул на фичи по отсеканию всякого сканирующего траффика -- обрезание фрагментов, несовместимых tcp флагов и т.п. -- это все есть в описании к ipfw и pf, с легкостью портируется на ipf.
Что у вас есть эмулируемый тырнет?
Кстати, в правила надо будет потом занести все private сети согласно IANA, запретив их появление на внешнем интерфейсе, при вашем тестировании это можно незаметить...

...

Рейтинг:

0 / 0

22.03.2007, 12:55:32

| Ответить | Цитировать | Написать

firewall solaris 10 x86

#34408425

ultras

Участник

Сообщения: 71

Рейтинг: 0 / 0

по 3-ему

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

# netstat -rn

Routing Table: IPv4
  Destination           Gateway           Flags  Ref   Use   Interface
-------------------- -------------------- ----- ----- ------ ---------
 192 . 168 . 100 . 0          192 . 168 . 100 . 102       U          1      201   iprb0
 10 . 5 . 158 . 0             10 . 5 . 158 . 245          U          1      828   elxl0
 224 . 0 . 0 . 0              10 . 5 . 158 . 245          U          1        0   elxl0
default               10 . 5 . 158 . 1            UG         1      249   
 127 . 0 . 0 . 1              127 . 0 . 0 . 1             UH        353882988   lo0

...

Рейтинг:

0 / 0

22.03.2007, 12:56:36

| Ответить | Цитировать | Написать

firewall solaris 10 x86

#34408440

ultras

Участник

Сообщения: 71

Рейтинг: 0 / 0

Ося
Что у вас есть эмулируемый тырнет?

хехе!!!
найдется ...

Ося
Кстати, в правила надо будет потом занести все private сети согласно IANA, запретив их появление на внешнем интерфейсе, при вашем тестировании это можно незаметить...

согласен.
но это на этапе построения правил.
как я понимаю

...

Рейтинг:

0 / 0

22.03.2007, 13:01:33

| Ответить | Цитировать | Написать

firewall solaris 10 x86

#34408468

ultras

Участник

Сообщения: 71

Рейтинг: 0 / 0

ifconfig -a на 113 и 241

не путаюсь ли я в broadcast'ах ?

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.

на  113 

eth0      Link encap:Ethernet  HWaddr  00 : 90 : 96 :1A:B3:FB  
          inet addr: 192 . 168 . 100 . 113   Bcast: 192 . 168 . 100 . 255   Mask: 255 . 255 . 255 . 0 
          inet6 addr: fe80:: 290 :96ff:fe1a:b3fb/ 64  Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU: 1500   Metric: 1 
          RX packets: 89  errors: 0  dropped: 0  overruns: 0  frame: 0 
          TX packets: 76  errors: 0  dropped: 0  overruns: 0  carrier: 0 
          collisions: 0  txqueuelen: 1000  
          RX bytes: 8308  ( 8 . 1  KiB)  TX bytes: 8578  ( 8 . 3  KiB)
          Interrupt: 10  Base address:0xee00 

lo        Link encap:Local Loopback  
          inet addr: 127 . 0 . 0 . 1   Mask: 255 . 0 . 0 . 0 
          inet6 addr: :: 1 / 128  Scope:Host
          UP LOOPBACK RUNNING  MTU: 16436   Metric: 1 
          RX packets: 1659  errors: 0  dropped: 0  overruns: 0  frame: 0 
          TX packets: 1659  errors: 0  dropped: 0  overruns: 0  carrier: 0 
          collisions: 0  txqueuelen: 0  
          RX bytes: 1832652  ( 1 . 7  MiB)  TX bytes: 1832652  ( 1 . 7  MiB)

sit0      Link encap:IPv6-in-IPv4  
          NOARP  MTU: 1480   Metric: 1 
          RX packets: 0  errors: 0  dropped: 0  overruns: 0  frame: 0 
          TX packets: 0  errors: 0  dropped: 0  overruns: 0  carrier: 0 
          collisions: 0  txqueuelen: 0  
          RX bytes: 0  ( 0 . 0  b)  TX bytes: 0  ( 0 . 0  b)


на  241 

# ifconfig -a
lo0: flags= 1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu  8232  index  1 
        inet  127 . 0 . 0 . 1  netmask ff000000 
hme0: flags= 1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu  1500  index  2 
        inet  10 . 5 . 158 . 241  netmask fffffe00 broadcast  10 . 5 . 159 . 255 
        ether  8 : 0 : 20 :c1:9a:a

...

Рейтинг:

0 / 0

22.03.2007, 13:08:58

| Ответить | Цитировать | Написать

firewall solaris 10 x86

#34408677

Ося

Участник

Сообщения: 2 033

Рейтинг: 0 / 0

ultras Ося
Что у вас есть эмулируемый тырнет?

хехе!!!
найдется ...

блин, какая сеть у вас в кач-ве тырнета используется? :)

...

Рейтинг:

0 / 0

22.03.2007, 13:53:34

| Ответить | Цитировать | Написать

firewall solaris 10 x86

#34408680

Ося

Участник

Сообщения: 2 033

Рейтинг: 0 / 0

автор
192.168.100.113
10.5.158.241

это хосты подлюченные к в хабы с интерфейсами solaris'а
понятно или подробнее нарисовать ?

теперь понятно, картиног не надо , спасибо :)

...

Рейтинг:

0 / 0

22.03.2007, 13:54:05

| Ответить | Цитировать | Написать

firewall solaris 10 x86

#34408698

Ося

Участник

Сообщения: 2 033

Рейтинг: 0 / 0

ultrasifconfig -a на 113 и 241

сорри, забыл "netstat -rn" на обоих хостах скажите, конфигурация интерфейсов вроде здоровая...

...

Рейтинг:

0 / 0

22.03.2007, 13:58:21

| Ответить | Цитировать | Написать

firewall solaris 10 x86

#34409438

ultras

Участник

Сообщения: 71

Рейтинг: 0 / 0

Ося ultras Ося
Что у вас есть эмулируемый тырнет?

хехе!!!
найдется ...

блин, какая сеть у вас в кач-ве тырнета используется? :)

в кач-ве внешней сетки 192.

но как я понимаю это будет важно уже тогда когда я начну рисовать
правила, предполагая где же всё же сторона врага
так, нет?

поэтому я полагал что тут не важно - да хоть 10.

проблема в том что нет прохождения пакетов
10. -> 192.
и
192. -> 10.

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.

fedora core  4 


Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
 192 . 168 . 100 . 0     0 . 0 . 0 . 0           255 . 255 . 255 . 0    U          0   0            0  eth0
 169 . 254 . 0 . 0       0 . 0 . 0 . 0           255 . 255 . 0 . 0      U          0   0            0  eth0




solaris  9  sparc 

Routing Table: IPv4
  Destination           Gateway           Flags  Ref   Use   Interface
-------------------- -------------------- ----- ----- ------ ---------
 10 . 5 . 158 . 0             10 . 5 . 158 . 241          U          1     1855   hme0
 224 . 0 . 0 . 0              10 . 5 . 158 . 241          U          1        0   hme0
default               10 . 5 . 158 . 1            UG         1     1495   
 127 . 0 . 0 . 1              127 . 0 . 0 . 1             UH        18     1876   lo0

thanks...

...

Рейтинг:

0 / 0

22.03.2007, 17:05:06

| Ответить | Цитировать | Написать

firewall solaris 10 x86

#34409496

Ося

Участник

Сообщения: 2 033

Рейтинг: 0 / 0

ultras....

на FC cкажи:

Код: plaintext

1.
2.

route add default gw  192 . 168 . 100 . 102 
echo GATEWAY= 192 . 168 . 100 . 102  >> /etc/sysconfig/network-scripts/eth0

на Sol скажи:

Код: plaintext

1.
2.
3.

route delete default   10 . 5 . 158 . 1  
route delete default   10 . 5 . 158 . 245  
echo  10 . 5 . 158 . 245  > /etc/defaultrouter

ЗЫ хорошая практика маршрутизатору назначать последний (не броадкаст ессн) адрес подсети

...

Рейтинг:

0 / 0

22.03.2007, 17:17:54

| Ответить | Цитировать | Написать

firewall solaris 10 x86

#34409502

Ося

Участник

Сообщения: 2 033

Рейтинг: 0 / 0

Код: plaintext

FIX

на Sol скажи:

Код: plaintext

1.
2.

route  add default  10 . 5 . 158 . 245

описка вышла -- два раза delete написал

...

Рейтинг:

0 / 0

22.03.2007, 17:19:22

| Ответить | Цитировать | Написать

firewall solaris 10 x86

#34409765

ultras

Участник

Сообщения: 71

Рейтинг: 0 / 0

спасибо!

после на FC4
route add default gw 192.168.100.102

с FC4 на интерфейс 10.5.158.245 уже попадаю

дальше пока нет.
буду разбираться.

благодарю ещё раз за подсказку.. ))

...

Рейтинг:

0 / 0

22.03.2007, 18:39:00

| Ответить | Цитировать | Написать

18 сообщений из 18, страница 1 из 1

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / firewall solaris 10 x86

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&msg=34408114&tid=1488342]:	0ms
get settings:	6ms
get forum list:	14ms
check forum access:	3ms
check topic access:	3ms
track hit:	27ms
get topic data:	10ms
get forum data:	2ms
get page messages:	57ms
get tp. blocked users:	1ms
others:	212ms

total:	335ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы