Ru-Board.club
← Вернуться в раздел «Программы»

» WIPFW / IPFW

Автор: LonelyRanger
Дата сообщения: 09.03.2008 22:49
Парни, помогите составить правила, если таковые получатся:
Мне надо устроить типа как со спутниковым интернетом: исходящий по одному каналу, входящий по другому.
Есть один кабель провайдера и 2 логина по подключения, которые работают одновременно. Один ограничен по скорости (безлимит), другой обычный. Хочу чтобы исходящий от меня трафик шёл по обычному, а входящий по безлимитному.

Делал подобного прописыванием роутинга, но тут получается такая загвоздка: если коннект идёт с удалённого адреса (на который прописан роутинг по быстрому каналу) на безлимитный адрес, то скорость для последнего высокая. Но стоит только мне самому коннектиться к тому адресу, то весь трафик идёт по быстрому каналу, и, соответственно, оплачивается по мегабайтно. Так что это не выход.
Автор: SergP666
Дата сообщения: 17.03.2008 09:23
возникла трабла с uTorrent.
какие правила для него написать чтобы работала скачка/отдача

на данный момент

#uTorrent
add allow tcp from any to me 55555
add allow tcp from me 55555 to any
add allow udp from any to me 55555
add allow udp from me 55555 to any

# 85.112.114.120 <- сам трекер
add allow ip from 85.112.114.120 to me
add allow ip from me to 85.112.114.120


в результе трекер есно пашет, даже выдает инфу о сидерах личерах и т.п.. нетлимитер показывает что ктото ломиться на порты, но кач/раздача панулям
Автор: redwhiterus
Дата сообщения: 17.03.2008 11:05
SergP666
Там жирным выделено правило, правда не совсем как ты хотел но может пожет
[more]
1. Видишь этот пост? Отлично. Выбери линк "редактировать", что бы не потерять форматирование конфига, или не правильно занести его в конфиг. Линк правее моего аватара.[/more]

Добавлено:
Спасибо dariusii в свое время он помог мне!
Автор: VoltTUX
Дата сообщения: 31.03.2008 09:41
Есть сеть из двух компьютеров (192.168.0.1 и 192.168.0.2). На одном компе есть интернет (EV-DO), IP-адрес назначается динамически, DNS провайдера, к примеру 1.1.1.1. Хочу защитить локальную сеть. Написал следующие правила (файрволл ставлю с запрещающим правилом по умолчанию), насколько правильна такая конфигурация? Не будет ли каких-то дыр в безопасности?

Код:
# сбрасывваем все правила
-f flush

# разрешаем обратную петлю
add 100 allow all from any to any via lo*

# антиспуффинг
add 110 deny log all from any to 127.0.0.0/8 in
add 110 deny log all from 127.0.0.0/8 to any in

# разрешаем запросы только к DNS провайдера
add allow udp from any to 1.1.1.1 53 out xmit ppp0
add allow tcp from any to 1.1.1.1 53 out xmit ppp0

# основные правила для браузеров
add allow tcp from any to any 80 out xmit ppp0
add allow tcp from any to any 443 out xmit ppp0
# дополнительные правила для браузеров
add allow tcp from any to any 8000,8010,8080 out via ppp0

# разрешаем работу с FTP
add allow tcp from any to any 21 out via ppp0

# разрешаем Jabber и ICQ
add allow tcp from any to any 5222,5223 out via ppp0
add allow tcp from any to any 5190 out via ppp0

# это чтобы посмотреть чего мы запрещаем, может мы не правы?
add count log ip from any to any
Автор: SergP666
Дата сообщения: 31.03.2008 12:28

Цитата:
И еще такой вопрос, как разрешить пинги и трассировку из локальной сети, но чтобы извне моя сеть не была видна (аналог "невидимого" режима в Outpost)?


Код: add allow icmp from any to any icmptypes 0,3,4,8,11
Автор: redwhiterus
Дата сообщения: 12.07.2008 19:22

Цитата:
тока не помню какой порт для входящих запросов (по памяти не помню искать лень Ж) ), вот если ево убрать то есно система не будет никому отвечать

http://wipfw.sourceforge.net/doc-ru.html#roptions
Автор: Desmont
Дата сообщения: 16.07.2008 10:54
Скажите стоит ли ставить WIPFW, если сижу за FreeBSD?

P.S. Я так понимаю что на роутере это зарытость сугобо на нем (в правилах для локалы все открыто), на винде только антивирь, без фаера, а если поставить на Винду WIPFW , то закрою входящие (исходящие) конкретно на Винде.

Добавлено:
Еще вопрос: можно ли в WIPFW указывать порты диапазоном (1024-5000 )?
Автор: redwhiterus
Дата сообщения: 16.07.2008 13:38

Цитата:
P.S. Я так понимаю что на роутере это зарытость сугобо на нем (в правилах для локалы все открыто)

на роутере должна бы трансляция только в одну сторону, исходящую, а все не запрашиваемые входящие должны идти лесом(ес-но если веб или фтп сервак есть то 80 или 21 порты соответственно будут открыты для всех)
Цитата:
если поставить на Винду WIPFW , то закрою входящие (исходящие) конкретно на Винде.

да при правильной настройке, примеры конфигов в топике, единственное но которое думаю вам известно, это отсутствие контроля приложение в wipfw, то есть он, пускает по определным портам если они разрешены все в сеть.

Цитата:
Еще вопрос: можно ли в WIPFW указывать порты диапазоном (1024-5000 )?

насколько я знаю, да.
Автор: Desmont
Дата сообщения: 17.07.2008 09:03
Подскажите пожалуйста, что за трабл, у мну грузит только 20 правил, а у меня их 35. Есть какое-то ограничение на размер. У меня 2.35 Кб Логи не пишутся, что не так?
Грузит до контер Страйк 1 ое правило (((, остального нету

Мой конфиг:

# First flush the firewall rules
-f flush
# Localhost rules
add allow all from any to any via lo*
# Prevent any traffic to 127.0.0.1, common in localhost spoofing
add deny log all from any to 127.0.0.0/8 in
add deny log all from 127.0.0.0/8 to any in
add check-state
#Эти правила запрещают все соединения, которые уже созданы.
add deny all from any to any frag
add deny tcp from any to any established
# Oткрываем нужные порты
#Mozilla
add allow tcp from me 1024-5000 to any 80,8080,443,8100,8081 keep-state
#FTP
add allow tcp from me 1024-65535 to any 21 keep-state
add allow tcp from any 20 to me 1024-65535 keep-state
#ICQ
add allow tcp from me 1024-65535 to 64.12.0.0/16 5190 keep-state
add allow tcp from me 1024-65535 to 205.188.0.0/16 5190 keep-state
#E-mail
add allow tcp from me 1024-65535 to any 25,110,143,993,995 keep-state
# SSH
add allow tcp from me to 10.0.1.1/24 22 setup keep-state
#DNS
add allow tcp from me 1024-5000 to ХХ.ХХ.ХХХ.ХХХ 53 setup keep-state
add allow udp from me 1024-5000 to ХХ.ХХ.ХХХ.ХХХ 53 keep-state
add allow tcp from me 1024-5000 to ХХ.ХХ.ХХХ.ХХХ 53 setup keep-state
add allow udp from me 1024-5000 to ХХ.ХХ.ХХХ.ХХХ 53 keep-state
add allow tcp from me 1024-5000 to ХХ.ХХ.ХХХ.ХХХ 53 setup keep-state
add allow udp from me 1024-5000 to ХХ.ХХ.ХХХ.ХХХ 53 keep-state
#add allow udp from any 53 to any
#Counter-Strike
add allow tcp from any to any 27030-27039 keep-state
add allow udp from any to any 1200,27000-27015 keep-state
#NetBios
add allow tcp from any to any 137,139 keep-state
add allow udp from any to any 137,138 keep-state
#Mttorent
add allow tcp from me 1024-5000 to any keep-state
add allow tcp from any to me 36760 keep-state
#Qip's transfer data
add allow tcp from any to me 49151,49152,19153,49154,49155,49156,49157 keep-state
#DHCP
add allow udp from any 67,68 to any 67,68 keep-state
#Time
add allow udp from me 123 to any 123 keep-state
#запрещаем пакеты с небезопасными флагами
add deny tcp from any to any tcpflags fin,urg,psh
add deny tcp from any to any tcpflags syn,rst
add deny tcp from any to any tcpflags syn,fin
add deny tcp from any to any tcpflags syn,rst,ack,fin,urg
#Icmp
add allow icmp from me to any keep-state
add allow icmp from 10.0.1.1/24 to me keep-state
add drop log all from any to any
add deny all from any to any
Автор: redwhiterus
Дата сообщения: 17.07.2008 18:11
Desmont
запусти из командной строки файл config.cmd и отпиши ошибку которую выдает.
Автор: Desmont
Дата сообщения: 17.07.2008 23:26
redwhiterus
большое спасибо за подсказку, выдало ошибку
error 65: unknown port ``27000-27015'' (win32: 11004)

Поставил вместо правила:

add allow udp from any to any 1200,27000-27015 keep-state
это
add allow udp from any to any 27000-27015,1200 keep-state
Видимо он не понимает сначала один порт , а потом диапазон
Автор: ffvvvv2
Дата сообщения: 30.10.2008 19:06
Подскажите, а редиректа портов wipfw до сих пор не умеет?
Автор: dariusii
Дата сообщения: 20.11.2008 11:37
А что случилось с ресурсом virushelper.net? кто-нибудь знает? Он переехал, или что?
Автор: Desmont
Дата сообщения: 29.11.2008 15:24
ffvvvv2

Нет, не умеет, планировалось в новых версиях, но что-то развитие проекта остановилось
Автор: bombording
Дата сообщения: 01.12.2008 16:53
добрый день
Не работают правила фаервола... (( Внутри сети всё нормально. Из вне нет доступа к серверу по ssh и т.д. Где нагрешил?

сервер с самой и сквидом. Без домена. две сетевухи.
em0 - WAN 192.168.50.170
xl0 - LAN 192.168.1.1

собирал ядро с

Код: Выделить всё
ident ROUTER
makeoptions DEBUG=-g # Build kernel with gdb(1) debug symbols
options IPFIREWALL
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPDIVERT
options IPFIREWALL_FORWARD
options DUMMYNET



rc.conf

Код: Выделить всё
firewall_enable="YES"
firewall_script="/etc/rules"
firewall_logging="YES"
natd_enable="YES"
natd_interface="em0"


/etc/rules

Код: Выделить всё
#!/bin/sh

ipfw -q -f flush

cmd=”ipfw -q add”
skip=”skipto 400&#8243;
wanip=”192.168.50.170&#8243; # внешний IP
lannet=”192.168.1.0/24&#8243; # внутренняя сеть
eif=”em0&#8243; # внешний интерфейс

$cmd 010 allow all from any to any via em0

$cmd 020 allow all from any to any via lo0

$cmd 030 deny ip from any to 127.0.0.0/8
$cmd 040 deny ip from 127.0.0.0/8 to any

$cmd 050 fwd 127.0.0.1,3129 tcp from $lannet to any 21,80,443,5190 out via $eif

$cmd 060 divert natd ip from any to any in via $eif

$cmd 070 check-state

############## Outgoing ################

$cmd 100 $skip icmp from any to any keep-state

$cmd 105 $skip udp from any to any 123 out via $eif keep-state

$cmd 110 $skip udp from any to any 53 out via $eif keep-state
$cmd 111 $skip tcp from any to any 53 out via $eif setup keep-state

$cmd 140 $skip all from $lannet to any 4899 out via $eif setup keep-state
$cmd 150 $skip all from $lannet to any 3389 out via $eif setup keep-state
$cmd 160 $skip all from $lannet to any 25 out via $eif setup keep-state
$cmd 170 $skip all from $lannet to any 110 out via $eif setup keep-state

$cmd 190 $skip all from $wanip to any out via $eif setup keep-state

############# Incoming ################

$cmd 200 deny all from 192.168.0.0/16 to any in via $eif #RFC 1918 private IP
$cmd 201 deny all from 172.16.0.0/12 to any in via $eif #RFC 1918 private IP
$cmd 202 deny all from 10.0.0.0/8 to any in via $eif #RFC 1918 private IP
$cmd 203 deny all from 127.0.0.0/8 to any in via $eif #loopback
$cmd 204 deny all from 0.0.0.0/8 to any in via $eif #loopback
$cmd 205 deny all from 169.254.0.0/16 to any in via $eif #DHCP auto-config
$cmd 206 deny all from 192.0.2.0/24 to any in via $eif #reserved for docs
$cmd 207 deny all from 204.152.64.0/23 to any in via $eif #Sun cluster
$cmd 208 deny all from 224.0.0.0/3 to any in via $eif #Class D & E multicast

$cmd 215 deny tcp from any to any 113 in via $eif

$cmd 220 deny tcp from any to any 137 in via $eif
$cmd 221 deny tcp from any to any 138 in via $eif
$cmd 222 deny tcp from any to any 139 in via $eif
$cmd 223 deny tcp from any to any 81 in via $eif

$cmd 300 allow icmp from any to $wanip in via $eif icmptypes 0,8,11 limit src-addr 2

$cmd 310 allow tcp from any to $wanip 80 in via $eif setup limit src-addr 2

$cmd 320 allow tcp from any to $wanip 22 in via $eif setup limit src-addr 2

$cmd 330 allow tcp from any to $wanip 25 in via $eif setup limit src-addr 2

$cmd 340 allow tcp from any to $wanip 110 in via $eif setup limit src-addr 2

$cmd 350 allow tcp from any to $wanip 4899 in via $eif setup limit src-addr 2

$cmd 360 allow all from any to any established

########### Final ###############
$cmd 399 deny log all from any to any
$cmd 400 divert natd ip from any to any out via $eif
$cmd 410 allow all from any to any
$cmd 999 deny log all from any to any
Автор: Desmont
Дата сообщения: 10.12.2008 16:32
bombording

А демон SSH запущен, проверь в процессах

top
ps -ax | grep ssh

В rc.conf пропиши ssh

sshd_enable="YES" что бы при загрузке стартовал

Снаружи идет на железку все порты открыты? Юзер на Фре , под которым пробуешь залогиниться должен быть в группе whell
Автор: izenkool
Дата сообщения: 13.12.2008 01:15
Народ, а кто знает, виндовый порт умеет фильтровать по пользователю(uid)?
Автор: asd777
Дата сообщения: 18.12.2008 14:38
народ подскажите как wipfw научить логи писать в место отличное от %systemroot%/system32/security/logs

???
Автор: SysCommander
Дата сообщения: 20.12.2008 15:23

Цитата:
Подскажите, а редиректа портов wipfw до сих пор не умеет?


port forwarding и NAT делаются тривиально виндовыми средствами (netsh)

Автор: franchisement
Дата сообщения: 25.12.2008 09:20
Нужно заблочить диапазон IP: 10.10.x.x Какой синтаксис?
Автор: franchisement
Дата сообщения: 25.12.2008 22:55
Нашел: 10.10.0.0/16
Автор: mihmig
Дата сообщения: 27.12.2008 14:19
Юзал сабж:
Плюсы:
1. Устанавливается/удаляется БЕЗ перазагрузки на ЛЮБОЙ ОС windows
2. Если тщательно "вкурить" мануал - настройка легка и непринужденна
почти все устраивает, но есть вопросы:
1. опция log ведет удобный лог пакетов DDMMYYYY.log (можно написать скрипт для анализа - типа кто в прошлом месяце стока накачал)

add 200 count log ip from 10.0.0.120 to me in
НО в лог почему-то не складывает ДЛИНУ пакета - или у меня что-то не так настроено?
Тогда Траффик инспектор ("сертифицированная" прога, которая не может сама деинсталлирваться) шел бы лесом...

2. по команде help выдает кратенький мануал на английском в котором есть слово
divert - в виндовой версии работает или нет?

Так как проект мертв вопрос:
Тут есть специалисты которые могут доработать напильником запись в лог ДЛИНЫ пакета?
Автор: august23
Дата сообщения: 11.02.2009 20:48
кто-то может подсказать настройку WIPFW чтобы заблокировать все сайты кроме определенных

или это же с помощью файла hosts в винде
Автор: mihmig
Дата сообщения: 12.02.2009 13:50
august23
wifw - не прокси-сервер, блокирует трафик не по URL, а по ip-адресам.
Через Hosts можно, но (маловероятно) может оказаться, что на одном ip будут и ПЛОХОЙ и ХОРОШИЙ сайты.
Вам в Вашем случае рекомендую заюзать HandyCache (там в белый список заносите что нужно) а в черном запрещаете все остальное.
Автор: august23
Дата сообщения: 12.02.2009 17:47
2 mihmig
хорошо подскажи, пожалуйста, как заблокировать все что не идет на определенный IP
нужно защитить машины и сетку от GPRS модемов и мобильного интернета, а все что идет на разрешенный днс или маршрутизатор - пусть пропускает
Автор: mihmig
Дата сообщения: 14.02.2009 17:05
august23
что типа так:
100 ipfw add allow tcp from me to any via eth0
200 ipfw add deny from me to any

где eth0-интерфейс сетевухи локальной сети. Т.о. какие бы интерфейсы юзер не создавал - пакеты не пройдут.

А админских прав лишить если?
Автор: C128
Дата сообщения: 12.05.2009 20:34
В C:\WINDOWS\security\logs накапливаются логи по 300-400мб за день, возможно отключить логирование? Винт на 4 гб и каждый раз заходить удалять немного напрягает.
Автор: redwhiterus
Дата сообщения: 12.05.2009 21:13
C128

Цитата:
add count log ip from any to any

Из конфига(файл wipfw.conf) надо эту или ей подобную строку удалить, зависит от того какие правила вы используете.
Про синтаксис в случае с логами и вообще, подробнее почитайте http://wipfw.sourceforge.net/doc-ru.html#rformat
Автор: C128
Дата сообщения: 15.05.2009 22:34
Помогите, пожалуйста!

Есть желание сменить режим работы фаервола на deny any

wipfw 0.2.8

Все работает, но за пределы сервера трафик не идет. В чем модет быть проблема?

172.16.20.0/24 своя подсеть, можно все во все подсети без ограничений.
10.152.0.0/16, 10.171.0.0/16, 10.221.0.0/167 можно только то, что явно разрешено.

10.152.0.0/16 и интернет на внешних PPPOE.

Вот адаптеры:

lo0 - MS TCP Loopback (127.0.0.1)
eth1 - home (172.16.20.1)
eth2 - corbina (10.171.90.88)
ppp0 - WAN (PPP/SLIP) Interface (172.16.20.21)
ppp1 - WAN (PPP/SLIP) Interface (10.152.200.15)
ppp2 - WAN (PPP/SLIP) Interface (62.148.132.39)


Вот конфиг:

# First flush the firewall rules
-f flush

add 00096 allow ip from me to any via eth2
add 00097 allow ip from me to any via ppp1
add 00098 allow ip from me to any via ppp2
add 00099 allow ip from me to any via eth1
add 00100 allow ip from any to any via lo*


# icmp
add 00101 allow icmp from any to 62.148.132.39 in recv ppp2 icmptype 0,3,4,11,12
add 00102 allow icmp from any to 10.152.200.15 in recv ppp1 icmptype 0,3,4,11,12
add 00103 allow icmp from any to 10.171.90.88 in recv eth2 icmptype 0,3,4,11,12

add 00104 allow icmp from 62.148.132.39 to any out xmit ppp2 icmptype 3,8,12
add 00105 allow icmp from 10.152.200.15 to any out xmit ppp1 icmptype 3,8,12
add 00106 allow icmp from 10.171.90.88 to any out xmit eth2 icmptype 3,8,12

add 00107 allow icmp from 62.148.132.39 to any via ppp2 frag
add 00108 allow icmp from 10.152.200.15 to any via ppp1 frag
add 00109 allow icmp from 10.171.90.88 to any via eth2 frag

add 00110 allow icmp from 172.16.20.0/24 to any
add 00111 deny icmp from any to any via ppp2
add 00112 deny icmp from any to any via ppp1
add 00113 deny icmp from any to any via eth2


#127.0.0.0
add 00130 deny ip from 127.0.0.0/8 to any in
add 00131 deny ip from any to 127.0.0.0/8 in

#port filter
add 00132 deny tcp from any to 10.171.90.88 135-139
add 00133 deny tcp from any to 10.152.200.15 135-139
add 00134 deny tcp from any to 10.171.90.88 1025-1029
add 00135 deny tcp from any to 10.152.200.15 1025-1029
add 00136 deny tcp from any to 10.171.90.88 1723
add 00137 deny tcp from any to 10.152.200.15 1723

#other
add 00145 allow ip from 172.16.20.0/24 to any via eth1
#add 00212 check-state
#add 00312 allow ip from me to any keep-state out
add 00400 allow tcp from any to 10.171.90.88 3128
add 00401 allow tcp from any to 10.152.200.15 3128
add 00402 allow tcp from any to any 21
add 00403 allow tcp from any to any 22
add 00404 allow tcp from any to any 443
add 00403 allow tcp from any to any 5900

add 65535 deny ip from any to any
Автор: verhoum
Дата сообщения: 05.07.2009 13:20
при помощи wipfw можно сделать прозрачный прокси?

Страницы: 123456

Предыдущая тема: ArtCam7

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.