Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » FreeBSD + ipfw rules

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9

Открыть новую тему     Написать ответ в эту тему

Pukite



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет, коллеги!
 
Имеем сервер с ип адресом a.b.c.сервер и компьютер-клиент с ип адресом a.b.c.клиент - необходимо, чтобы к 21-му порту мог подключаться только компьютер клиент.
 
ipfw add 400 reset tcp from any to a.b.c.сервер 21 in via rl0
ipfw add 410 allow tcp from a.b.c.клиент to a.b.c.сервер 21 in via rl0
 
К сожалению, не работает - что делаю не так?
 
 


 
ipfw - файервол FreeBSD
(постим полезную информацию)

Сравнение 3 Пакетных фильтров FreeBSD 5.3 (IPFW, PF, IPFILTER)
Настройка FireWall (ipfw) в FreeBSD
Пара готовых примеров
Подробный пример с коментами
http://www.bsdportal.ru/kb.php?mode=article&k=76 - Настройка ipfw для шлюза под управлением FreeBSD
http://www.asmodeus.com.ua/library/os/freebsd/ipfw.htm man ipfw на русском
 
 
Отдельно обсуждается:
FreeBSD + ipfw + port mapping
IPFW + Squid + перенаправление трафика
ipfw rules не сохраняются после reboot-a
PING - как корректно запретить (FreeBSD+ipfw)
FreeBSD 4.8 + DNS + ipfw + named.conf = режем  
трафик

FreeBSD + bridge + pppoe + ipfw

Всего записей: 1731 | Зарегистр. 21-09-2002 | Отправлено: 16:25 30-06-2003 | Исправлено: allein, 16:40 21-01-2009
UncoNNecteD



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
поменяй правила местами
ты сначала убиваешь весь трафик, а потом разрешаешь - но ОНО уже умерает на 400м правиле.

----------
-= Я тут чертовски давно =-

Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 16:31 30-06-2003
Zmey



Strangled by Lynx
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
ipfw add 400 reset tcp from any to a.b.c.сервер 21 in via rl0  
ipfw add 410 allow tcp from a.b.c.клиент to a.b.c.сервер 21 in via rl0  

 
Для этого тебе нужно разрешать не только 21-й порт но и 20-й.
И выглядеть должно все примерно так
 
ipfw add 400 allow tcp from IPClient to IPServer 21,20
ipfw add 430 deny tcp from any to IPServer 21,20
 
соответственно тебе еще нужно будет разрешить траффик от сервера к клиенту

Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 16:34 30-06-2003
Pukite



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
UncoNNecteD
Zmey
 

 
А как указать диапазон адресов IPClient, например начиная с a.b.c.100 и до a.b.c.120?

Всего записей: 1731 | Зарегистр. 21-09-2002 | Отправлено: 17:07 30-06-2003 | Исправлено: Pukite, 17:08 30-06-2003
Zmey



Strangled by Lynx
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Pukite
    Если диапазон это подсеть то можно просто указать например a.b.c.0/24 и тп. если это просто айпишники то наверное прийдется ручками писать для каждого айпишника Если тебе нужно разрешить для всей сети то могешь написать например 192.168.100.0/24 сюда войдут айпишники от 0 - 255.

Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 19:13 30-06-2003
Pukite



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Zmey
 
Именно просто айпишники

Всего записей: 1731 | Зарегистр. 21-09-2002 | Отправлено: 10:46 01-07-2003
PomidorOFF



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ставишь IPFW2 и задаешь переменную с перечислением айпишников

Всего записей: 261 | Зарегистр. 20-08-2003 | Отправлено: 15:47 15-04-2004
hell raiser



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PomidorOFF

Цитата:
задаешь переменную с перечислением айпишников

а можно пример
 
Добавлено
вдогонку еще вопрос
а как нужно написать правила для того чтобы всем копмпьютерам сети закрыть доступ например к 80 порту, но не всем а за исключением напрмер 1-9 заранее известным ip
вот сейчас написано так
 
min_ip=10
max_ip=250
i=$min_ip
 
case ${firewall_type} in
[Oo][Pp][Ee][Nn]|[Cc][Ll][Ii][Ee][Nn][Tt])
        case ${natd_enable} in
        [Yy][Ee][Ss])
                if [ -n "${natd_interface}" ]; then
 
                        while [ $i -le $max_ip ]; do
 
                            ${fwcmd} add $(($i + 300)) deny tcp from 192.168.x.$i to any 80,443 setup
 
                            i=$(($i + 1))
                        done
 
                        ${fwcmd} add 1000 divert natd all from 192.168.x.0/24 to any out via a.b.c.22
                        ${fwcmd} add 1001 divert natd all from any to a.b.c.22 in via ${natd_interface}
                fi
                ;;
        esac
esac
такой вариант неустраивает тем что правил создается куча, а можноли как нить изящнеее и попроще

Всего записей: 607 | Зарегистр. 17-06-2003 | Отправлено: 12:16 16-04-2004
mxm1975



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hell raiser

Цитата:
всем копмпьютерам сети закрыть доступ например к 80 порту, но не всем а за исключением например 1-9 заранее известным ip  

 
разреши "1-9 известным" и, дальше, запрети "всем"

Всего записей: 279 | Зарегистр. 31-07-2002 | Отправлено: 01:58 17-04-2004
hell raiser



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mxm1975 процитируйте плз конкретные правила, делающие это:
Цитата:
азреши "1-9 известным" и, дальше, запрети "всем"

 

Всего записей: 607 | Зарегистр. 17-06-2003 | Отправлено: 10:41 21-04-2004
yarasha



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору


Цитата:
Ставишь IPFW2 и задаешь переменную с перечислением айпишников

Если можно, приер пожалуйтса.
И еще, а можно ли будет потом эту переменную использовать в count, то есть, что бы
потом по счетчикам фаервола я мог посчитать кол-во трафика, локального, внутресетевого, или там только зарубежного и т.д ????

Всего записей: 207 | Зарегистр. 28-10-2002 | Отправлено: 13:51 21-04-2004
someone312002



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
разреши "1-9 известным" и, дальше, запрети "всем"

уж звний, что "ламо" вклинивается...
на сколько я понял, правила ипфв читаются "снизу вверх", если так, то будет нечто типа
1. разрешить
2. запретить
только разрешал бы я доступ по 80 порту из внутренней сети наружу только одной машине - прокси серверу, а уж через него управлял бы доступом к веб страницам внутри сети.
Если я неправ - разрешаю "кинуть в меня тапком" :о)

----------
"я не волшебник - я только учусь" (c)

Всего записей: 234 | Зарегистр. 19-08-2002 | Отправлено: 13:17 22-04-2004
hell raiser



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
по сути да разрешается доступ 1 машине (проксе), про диапазон я добавил для того чтобы расширить вопрос, потому как это нелишнее. если делать по такой схеме

Цитата:
1. разрешить  
2. запретить

то в каком месте тогда нужно между этм правилами, до них или после будут стоять  

Цитата:
 ${fwcmd} add 1000 divert natd all from 192.168.x.0/24 to any out via a.b.c.22  
                        ${fwcmd} add 1001 divert natd all from any to a.b.c.22 in via ${natd_interface}

и опятьтаки как разрешить предположим одноймашине понятно, а как запретить все остальным тогда, интересуте конкретный синсакси этого правила.

Всего записей: 607 | Зарегистр. 17-06-2003 | Отправлено: 13:31 22-04-2004
someone312002



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
насколько мои ламерские познания не очень сильны, то звиняюсь сразу...
hell raiser, видишь ли, может быть и так:
ipfw add 200 <запретить>
ipfw add 100 <разрешить>
в этом случае, на сколько я понимаю будет приемняться ОЧЕРЕДЬ! номера 100 и 200...  
Ещё раз повторюсь - если я неправ - жду сапогов...


----------
"я не волшебник - я только учусь" (c)

Всего записей: 234 | Зарегистр. 19-08-2002 | Отправлено: 10:08 23-04-2004
hell raiser



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ну насчет очереди ты абсолютно прав, цифры 100 и 200 это номера правил в этой очереди, и обход ее будет идти именно в порядке 100, 200 ... а не в том который указан при вводе правил с консоли или в скрипте.
по порядку подойдем к истине:
по существу вот о чем я гвоорю, 100 правилом я разрешу напрмер проксе с конкретным статическим айпишником проходить в вэб, дальше 200 правилом я запрещу всем остальным, как именно будет выглядеть именно это запрещающее правило для всех остальных? (пожалуй начнем с ответа на эот вопрос)

Всего записей: 607 | Зарегистр. 17-06-2003 | Отправлено: 11:58 23-04-2004
PomidorOFF



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Установка IPFW2:
http://www.opennet.ru/tips/info/591.shtml
 
В результате имеем правила вида:
 
goodguys="{ 10.1.2.0/24{20,35,66,18} or 10.2.3.0/28{6,3,11} }"
badguys="10.1.2.0/24{8,38,60}"
 
ipfw add allow ip from ${goodguys} to any
ipfw add deny ip from ${badguys} to any
 

Цитата:
а как нужно написать правила для того чтобы всем копмпьютерам сети закрыть доступ например к 80 порту, но не всем а за исключением напрмер 1-9 заранее известным ip  

 
делаешь допустим  
badguys="10.1.2.0/24{8,38,60}"
потом  
${fwcmd} add deny tcp from ${badguys} to any 80,443 setup
а потом хоть  
${fwcmd} add 1001 divert natd all from any to any in via ${natd_interface}  
 
так как плохишам мы закрыли - все остальные пройдут. Только учти, что при "to any 80,443 setup" плохишам закрыты только 80, 443 порты, остальные открытые будут натиться. Напримел почту смогут получать и отправлять, если 25 и 110 открыты и т.п.  
 

Цитата:
И еще, а можно ли будет потом эту переменную использовать в count, то есть, что бы
потом по счетчикам фаервола я мог посчитать кол-во трафика, локального, внутресетевого, или там только зарубежного и т.д ????

 
почему бы и нет? правда только локальный или внутрисетевой трафик можно отсечь. Потому как я не представляю как для зарубежного диапазоны адресов описать. ))

Всего записей: 261 | Зарегистр. 20-08-2003 | Отправлено: 19:37 23-04-2004 | Исправлено: PomidorOFF, 19:40 23-04-2004
WebDi



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте.
 
Поможите с проблемкой, пожалуйста.
 
Надо запретитить юзеру в интернет ходить через 3128 порт.
Вроде прописал что надо, и ДО разрешающих правил, а не работает.
В файле правил ipfw написано (там много разного, но важное, видимо, сейчас только это):
Цитата:
fwcmd="/sbin/ipfw -q"
net="192.168._.__/__"
$fwcmd -f flush
......................
# Deny connections
$fwcmd add deny tcp from 192.168.__.__ to any 3128 via ng0
$fwcmd add deny tcp from any 3128 to 192.168.__.__ via ng0
$fwcmd add deny udp from 192.168.__.__ to any 3128 via ng0
$fwcmd add deny udp from any 3128 to 192.168.__.__ via ng0
 
# Allow any outgoing connections
$fwcmd add pass tcp from me to any out via ng0
$fwcmd add pass tcp from any to me in via ng0 established
$fwcmd add pass udp from me to any 53 out via ng0
$fwcmd add pass udp from any 53 to me in via ng0


----------
Мой блог о веб-технологиях

Всего записей: 2228 | Зарегистр. 05-04-2002 | Отправлено: 13:23 30-04-2004
hell raiser



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
$fwcmd add deny tcp from 192.168.__.__ to any 3128 setup
и в каком месте стоит divert?

Всего записей: 607 | Зарегистр. 17-06-2003 | Отправлено: 14:19 03-05-2004
WebDi



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hell raiser
divert нет нигде. А он нужен?

----------
Мой блог о веб-технологиях

Всего записей: 2228 | Зарегистр. 05-04-2002 | Отправлено: 07:57 05-05-2004
someone312002



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
"стьянная констьюкция" (с)
А зачем из локалки вообще позволять юзерям обращаться на несервисные порты ? Те, что лежат за пределами 1024 ?

----------
"я не волшебник - я только учусь" (c)

Всего записей: 234 | Зарегистр. 19-08-2002 | Отправлено: 10:01 05-05-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » FreeBSD + ipfw rules


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru