Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » FreeBSD + ipfw rules

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9

Открыть новую тему     Написать ответ в эту тему

Pukite



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет, коллеги!
 
Имеем сервер с ип адресом a.b.c.сервер и компьютер-клиент с ип адресом a.b.c.клиент - необходимо, чтобы к 21-му порту мог подключаться только компьютер клиент.
 
ipfw add 400 reset tcp from any to a.b.c.сервер 21 in via rl0
ipfw add 410 allow tcp from a.b.c.клиент to a.b.c.сервер 21 in via rl0
 
К сожалению, не работает - что делаю не так?
 
 


 
ipfw - файервол FreeBSD
(постим полезную информацию)

Сравнение 3 Пакетных фильтров FreeBSD 5.3 (IPFW, PF, IPFILTER)
Настройка FireWall (ipfw) в FreeBSD
Пара готовых примеров
Подробный пример с коментами
http://www.bsdportal.ru/kb.php?mode=article&k=76 - Настройка ipfw для шлюза под управлением FreeBSD
http://www.asmodeus.com.ua/library/os/freebsd/ipfw.htm man ipfw на русском
 
 
Отдельно обсуждается:
FreeBSD + ipfw + port mapping
IPFW + Squid + перенаправление трафика
ipfw rules не сохраняются после reboot-a
PING - как корректно запретить (FreeBSD+ipfw)
FreeBSD 4.8 + DNS + ipfw + named.conf = режем  
трафик

FreeBSD + bridge + pppoe + ipfw

Всего записей: 1731 | Зарегистр. 21-09-2002 | Отправлено: 16:25 30-06-2003 | Исправлено: allein, 16:40 21-01-2009
WebDi



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
someone312002
"а я знаю?"

----------
Мой блог о веб-технологиях

Всего записей: 2228 | Зарегистр. 05-04-2002 | Отправлено: 10:18 05-05-2004
hell raiser



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
divert нет нигде. А он нужен?

а как твои пользователи будут ходить в инет, точнее по топологии за твоих пользователей должен кто-то ходить, т.е. подменять адреса локальные в интернетовские. я прав?

Всего записей: 607 | Зарегистр. 17-06-2003 | Отправлено: 10:38 05-05-2004
WebDi



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не знаю.
На сервере есть прокси, есть named.
Они могут подменять?
 
А конфигурация правил ipfw вообще написана нормально?
Или там тоже править нужно?

----------
Мой блог о веб-технологиях

Всего записей: 2228 | Зарегистр. 05-04-2002 | Отправлено: 11:28 05-05-2004
TILK



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WebDi
Ты бы в таком случае рассказал о конфигурации сети:
Этот компьютер с правилами и есть прокси-сервер?
что стоит в качестве прокси-сервера?
сколько ip-адресов на сервере?
является ли он шлюзом или брэндмауэром?
сколько вообще серверов для доступа в интернет?
зачем запрещать порт 3128? потому что пользователь выходит через внешние прокси-сервера и этот трафик на входит в статистику с прокси-сервера? в этом случае необходимо искать другие решения.
 

Цитата:
На сервере есть прокси, есть named.  
Они могут подменять?

named ничего не подменяет - это демон ДНС'а, точнее BIND'а.
а вот твой прокси скорее всего редиректит с какого-нибудь одного порта на остальные, напр. если в локалке на клиентах в Internet Explorere прописано нечто вроде такого: "proxy 192.168.1.1 port 8080", где 192,168,1,1 - твой прокси-сервер, то он перенаправит пакетики с порта 8080 на 80.

----------
Все это чистый флэйм...

Всего записей: 515 | Зарегистр. 14-12-2001 | Отправлено: 09:21 06-05-2004
WebDi



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TILK
Да, прокси-сервер, FreeBSD. На нём и стоит fairwall, named, apache и прочее.

Цитата:
сколько ip-адресов на сервере?
Жёстко они не прописаны.  

Цитата:
является ли он шлюзом или брэндмауэром?
он в локалке - главный, у него есть внешний ip.

Цитата:
зачем запрещать порт 3128?
Чтобы отключить юзеру http. Да, он может выходить через Socks, но так надо - отключить http. Выход в инет - только через внутренний прокси-сервер.

Цитата:
192,168,1,1 - твой прокси-сервер, то он перенаправит пакетики с порта 8080 на 80
А где это можно прочитать/прописать, откуда куда он редиректит?

----------
Мой блог о веб-технологиях

Всего записей: 2228 | Зарегистр. 05-04-2002 | Отправлено: 10:20 06-05-2004
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WebDi

Цитата:
Чтобы отключить юзеру http

Имеется ввиду вообще?
тогда юзай правила сквида
 
а правила фаера такие
ipfw add 100 allow ip from 192.168.1.0/24 to 192.168.1.1/32 3128
ipfw add 200 deny ip from 192.168.1.0/24 to any 3128, 8080, 80, 1080
 
 

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 13:50 06-05-2004
WebDi



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wchik
А allow перед deny это правильно? Мне почему-то говорили, что нет.
Но я попробую.

----------
Мой блог о веб-технологиях

Всего записей: 2228 | Зарегистр. 05-04-2002 | Отправлено: 15:40 06-05-2004
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WebDi
Почему неправильно? ты ведь не все подряд разрешаешь, а только подключение к твоей проксе из локалки не более того  
(что-то ведь надо разрешить перед тем как все запретить)

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 16:26 06-05-2004
WebDi



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wchik
Цитата:
а правила фаера такие  
ipfw add 100 allow ip from 192.168.1.0/24 to 192.168.1.1/32 3128  
ipfw add 200 deny ip from 192.168.1.0/24 to any 3128, 8080, 80, 1080
А каким образом отключить доступ не всей сети к серверу, а конкретному IP к серверу ?

----------
Мой блог о веб-технологиях

Всего записей: 2228 | Зарегистр. 05-04-2002 | Отправлено: 08:14 07-05-2004
TILK



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WebDi
вместо 192.168.1.0/24 напиши конкретный ип.
а вот почему некоторые сперва разрешают, а потом запрещают и наоборот зависит от опции, с которой компилировали ядро IPFIREWALL_DEFAULT_TO_ACCEPT или IPFIREWALL_DEFAULT_TO_DENY

----------
Все это чистый флэйм...

Всего записей: 515 | Зарегистр. 14-12-2001 | Отправлено: 08:37 07-05-2004
WebDi



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TILK
Пробовал писать IP - http не запрещается.

----------
Мой блог о веб-технологиях

Всего записей: 2228 | Зарегистр. 05-04-2002 | Отправлено: 10:02 07-05-2004
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WebDi
вроде ж у них (юзеров) IP не постоянный
 
может лучше скинь ВСЕ правила твоего файера
дальше есть у тебя сквид? или нету?
 
если есть, я же писал что запрещать надо сквидом, и те правила, что я тебе дал  
РАЗРЕШАЮТ юзерам пользоваться хттп на МЕСНОЙ проксе, а на всех остальных запрещают, как ты кстати проверяешь, что они могут пользоваться хттп, что у клиента прописано в качестве прокси? если родная прокся (локальная) то в чем проблема??
 
а запретить кому-то надо в конфиге сквида что-то типа такого в области АСЛ:
 
acl mynet src 192.168.1.0/24
acl badboys  src  192.168.1.10 192.168.1.20 192.168.1.30
 
А затем в такой последовательности:
 
http_access deny badboys
http_access allow mynet
 
и все хттп закроется (правда если айпи статика, а если динамика надо прикручивать авторизацию, но это выходит за пределы темы)
 
Добавлено
WebDi
кстати TILK прав, хотя это не совсем обязательно зависит от компиляции
в принципе компиляция по умолчанию задает последним правилом запретить все всем
если компилировать с  IPFIREWALL_DEFAULT_TO_ACCEPT то этого правила не будет, хотя ничего не мешает прописать его в ручную

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 11:38 07-05-2004
WebDi



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wchik
TILK
ОГРОМНОЕ СПАСИБО! big thanks, проще говоря.
Всё работает как надо.
Прописал в конфиге squid и в правилах ipfw.
Ещё только вопрос, на будущее, как пользователю СОВСЕМ отрубить интернет? т.е. HTTP, POP3, SOCKS, FTP и всё остальное.

----------
Мой блог о веб-технологиях

Всего записей: 2228 | Зарегистр. 05-04-2002 | Отправлено: 12:51 07-05-2004
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WebDi
до любых разрешающих правил
ipfw add  deny ip from 192.168.1.xxx to any

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 14:02 07-05-2004
WebDi



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wchik
Спасибо.

----------
Мой блог о веб-технологиях

Всего записей: 2228 | Зарегистр. 05-04-2002 | Отправлено: 14:56 07-05-2004
axelk



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Решил поднять темку,
 
скажите, никто не озадачивался проблемой IPFW фильтеринга на основе содержимого пакета, а не только по ip и портам.

Всего записей: 498 | Зарегистр. 29-10-2001 | Отправлено: 11:39 04-06-2004
WebDi



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
axelk
Не озадачивался. Это видимо какой-то скрипт должен вызываться из того места, которое пакет фильтрует.
 
Подскажите, пожалуйста, ресурс или учебник с примерами по теме этого топика.

Всего записей: 2228 | Зарегистр. 05-04-2002 | Отправлено: 06:38 07-06-2004
Ambal



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipfw тупой и достаточно простой, смотрит только на заголовки пакетов, внуть пакетов не заглядывает и заставить его это делать никак нельзя. скриптик он тоже вызывать никакой не умеет.

Всего записей: 229 | Зарегистр. 01-06-2004 | Отправлено: 07:04 07-06-2004
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ambal

Цитата:
ipfw тупой

так уж и тупой , с задачами пакетного фильтра справляется
axelk
что конкретно фильтровать нужно?
но Ambal прав, только по заголовкам, но из заголовков тоже много чего полезного узнать можно

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 11:36 07-06-2004
axelk



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Хочу зарезать DC++, осла и прочих, у некоторых есть дефаултные порты, некоторых можно отловить по содержимому пакета, хочется что нибудь типа такого http://sourceforge.net/projects/iptables-p2p/ , но это только для IP tables^(

Всего записей: 498 | Зарегистр. 29-10-2001 | Отправлено: 14:30 07-06-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » FreeBSD + ipfw rules


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru