» FreeBSD + ipfw rules

вот это зачем ?

Цитата:

$cmd 126 $skip ip from 192.168.1.0/24 to any out via $wan_if setup $ks

если можно сначала все разрешить всем, кому надо, а в конце поставить запрещающее правило

$cmd 450 deny log ip from any to any

вот тут толково расписано
http://www.lissyara.su/?id=1127

Решено*

# Разрешаем всем доступ наружу
$cmd 126 $skip ip from 192.168.1.0/24 to any out via $wan_if setup $ks

убрать setup

lkrotish
Как раз всё это стоит, но что-то непускает!

случайно запретитил кроме "моего круга" еще и сам яндекс

ipfw add 1100 deny all from any to 213.180.204.0/24

убивал правило, разрешал.... блин, как обратно то разрешить?

Freebsd 8.1
проблема с ipfw - никак не могу подключить форвардинг.

ipfw2 (+ipv6) initialized, divert loadable, rule-based forwarding disabled, default to deny....

ядро собрано с options IPFIREWALL_FORWARD

соответственно правила с fwd не работают:
ipfw: getsockopt(IP_FW_ADD): Invalid argument

Куда копать?

Eye_Bass
так а вы форвардинг в принципе разрешили?
либо в /etc/rc.conf gateway_enable="YES", либо в /etc/sysctl.conf net.ipv4.conf.default.forwarding=1

p.s. ИМХО, надо оставлять по направлению только 1 тему с шапкой, а остальные полочить(не удалять). А то блин куча мусора получается. Создали уже тут тему для фаеров никсовых, так давайте в ней и разбираться с вопросами, а то потом нужную инфу не найдешь. В тему по vpn хоть пытаемся народ спихивать для централизации, надо по всем вопросам так сделать.
Если в той теме я мало внимания в шапке уделил фре, то давайте из этой темы туда перенесём инфу.

вопрос снимается -> просто пересобрал ядро еще раз:
make -C /usr/src kernel KERNCONF="myGen"

а кто может подсказать что не так в моем скрипте
мне нада разрешить 3 человекам ходить куда хозотят и как захотят (открыть пасивный фтп)
я написал
allallow="ttg046.tt-g.local,ttg001.tt-g.local,ttg070.tt-g.local"
ext_if="re1" #(смотрит в интернет)
int_if="re0" #(смотрив в лан)

#Allow All Разрешить все
${fwcmd} add 00217 allow all from ${allallow} to any in via ${int_if}
${fwcmd} add 00218 allow all from ${allallow} to any out via ${ext_if}

${fwcmd} add 00219 allow all from any to ${allallow} in via ${int_if}
${fwcmd} add 00220 allow all from any to ${allallow} out via ${ext_if}

${fwcmd} add 01000 deny tcp from any to any via ${ext_if}
${fwcmd} add 01001 deny udp from any to any via ${ext_if}

но никуда их не пускает . если закоментировать 2 нижних то соответственно все ок.

Доброго всем дня! Подскажите пожалуйста правила для ipfw от брутфорса.
sshguard, fail2ban, bruteblock и другие подобные утилиты не подходят, слишком долго работают.
Скрипт лучше, но правило работает быстрее.
Защиты портов уже используется.

Доброго времени суток всем. Сталкиваюсь периодически с проблемой, по большей части конечно из-за невнимательности, но все же хочу понять причину и способ, чтобы подобное предотвращать. Имеется небольшой firewall.conf, который работает верой и правдой. Вот недавно редактировал его и допустил ошибку, какие то символы нечаянно ввел, что-то типа этого - ":%:%5", собственно не заметил и выполнил ipfw restart. Вся, система стала недоступной, сайт недоступен, SSH тоже. Какова причина? Почему какие-то символы являются причиной блокировки всего вообще? Работал я естественно удаленно, теперь ждать вечера, зализать локально и исправлять. Как подобное предотвращать, например при наличии ошибок игнорировать их или не обрабатывать?

Привет, коллеги!

Имеем сервер с ип адресом a.b.c.сервер и компьютер-клиент с ип адресом a.b.c.клиент - необходимо, чтобы к 21-му порту мог подключаться только компьютер клиент.

ipfw add 400 reset tcp from any to a.b.c.сервер 21 in via rl0
ipfw add 410 allow tcp from a.b.c.клиент to a.b.c.сервер 21 in via rl0

К сожалению, не работает - что делаю не так?

---

Сравнение 3 Пакетных фильтров FreeBSD 5.3 (IPFW, PF, IPFILTER)
Настройка FireWall (ipfw) в FreeBSD
Пара готовых примеров
Подробный пример с коментами
http://www.bsdportal.ru/kb.php?mode=article&k=76 - Настройка ipfw для шлюза под управлением FreeBSD
http://www.asmodeus.com.ua/library/os/freebsd/ipfw.htm man ipfw на русском


Отдельно обсуждается:
FreeBSD + ipfw + port mapping
IPFW + Squid + перенаправление трафика
ipfw rules не сохраняются после reboot-a
PING - как корректно запретить (FreeBSD+ipfw)
FreeBSD 4.8 + DNS + ipfw + named.conf = режем
трафик
FreeBSD + bridge + pppoe + ipfw

поменяй правила местами
ты сначала убиваешь весь трафик, а потом разрешаешь - но ОНО уже умерает на 400м правиле.

Цитата:

ipfw add 400 reset tcp from any to a.b.c.сервер 21 in via rl0
ipfw add 410 allow tcp from a.b.c.клиент to a.b.c.сервер 21 in via rl0

Для этого тебе нужно разрешать не только 21-й порт но и 20-й.
И выглядеть должно все примерно так

ipfw add 400 allow tcp from IPClient to IPServer 21,20
ipfw add 430 deny tcp from any to IPServer 21,20

соответственно тебе еще нужно будет разрешить траффик от сервера к клиенту

UncoNNecteD
Zmey



А как указать диапазон адресов IPClient, например начиная с a.b.c.100 и до a.b.c.120?

Pukite
Если диапазон это подсеть то можно просто указать например a.b.c.0/24 и тп. если это просто айпишники то наверное прийдется ручками писать для каждого айпишника Если тебе нужно разрешить для всей сети то могешь написать например 192.168.100.0/24 сюда войдут айпишники от 0 - 255.

Zmey

Именно просто айпишники

Ставишь IPFW2 и задаешь переменную с перечислением айпишников

PomidorOFF

Цитата:

задаешь переменную с перечислением айпишников

а можно пример

Добавлено
вдогонку еще вопрос
а как нужно написать правила для того чтобы всем копмпьютерам сети закрыть доступ например к 80 порту, но не всем а за исключением напрмер 1-9 заранее известным ip
вот сейчас написано так

min_ip=10
max_ip=250
i=$min_ip

case ${firewall_type} in
[Oo][Pp][Ee][Nn]|[Cc][Ll][Ii][Ee][Nn][Tt])
case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then

while [ $i -le $max_ip ]; do

${fwcmd} add $(($i + 300)) deny tcp from 192.168.x.$i to any 80,443 setup

i=$(($i + 1))
done

${fwcmd} add 1000 divert natd all from 192.168.x.0/24 to any out via a.b.c.22
${fwcmd} add 1001 divert natd all from any to a.b.c.22 in via ${natd_interface}
fi
;;
esac
esac
такой вариант неустраивает тем что правил создается куча, а можноли как нить изящнеее и попроще

hell raiser

Цитата:

всем копмпьютерам сети закрыть доступ например к 80 порту, но не всем а за исключением например 1-9 заранее известным ip

разреши "1-9 известным" и, дальше, запрети "всем"

mxm1975 процитируйте плз конкретные правила, делающие это:
Цитата:

азреши "1-9 известным" и, дальше, запрети "всем"

Цитата:

Ставишь IPFW2 и задаешь переменную с перечислением айпишников

Если можно, приер пожалуйтса.
И еще, а можно ли будет потом эту переменную использовать в count, то есть, что бы
потом по счетчикам фаервола я мог посчитать кол-во трафика, локального, внутресетевого, или там только зарубежного и т.д ????

Цитата:

разреши "1-9 известным" и, дальше, запрети "всем"

уж звний, что "ламо" вклинивается...
на сколько я понял, правила ипфв читаются "снизу вверх", если так, то будет нечто типа
1. разрешить
2. запретить
только разрешал бы я доступ по 80 порту из внутренней сети наружу только одной машине - прокси серверу, а уж через него управлял бы доступом к веб страницам внутри сети.
Если я неправ - разрешаю "кинуть в меня тапком" :о)

по сути да разрешается доступ 1 машине (проксе), про диапазон я добавил для того чтобы расширить вопрос, потому как это нелишнее. если делать по такой схеме

Цитата:

1. разрешить
2. запретить

то в каком месте тогда нужно между этм правилами, до них или после будут стоять

Цитата:

${fwcmd} add 1000 divert natd all from 192.168.x.0/24 to any out via a.b.c.22
${fwcmd} add 1001 divert natd all from any to a.b.c.22 in via ${natd_interface}

и опятьтаки как разрешить предположим одноймашине понятно, а как запретить все остальным тогда, интересуте конкретный синсакси этого правила.

насколько мои ламерские познания не очень сильны, то звиняюсь сразу...
hell raiser, видишь ли, может быть и так:
ipfw add 200 <запретить>
ipfw add 100 <разрешить>
в этом случае, на сколько я понимаю будет приемняться ОЧЕРЕДЬ! номера 100 и 200...
Ещё раз повторюсь - если я неправ - жду сапогов...

ну насчет очереди ты абсолютно прав, цифры 100 и 200 это номера правил в этой очереди, и обход ее будет идти именно в порядке 100, 200 ... а не в том который указан при вводе правил с консоли или в скрипте.
по порядку подойдем к истине:
по существу вот о чем я гвоорю, 100 правилом я разрешу напрмер проксе с конкретным статическим айпишником проходить в вэб, дальше 200 правилом я запрещу всем остальным, как именно будет выглядеть именно это запрещающее правило для всех остальных? (пожалуй начнем с ответа на эот вопрос)

Установка IPFW2:
http://www.opennet.ru/tips/info/591.shtml

В результате имеем правила вида:

goodguys="{ 10.1.2.0/24{20,35,66,18} or 10.2.3.0/28{6,3,11} }"
badguys="10.1.2.0/24{8,38,60}"

ipfw add allow ip from ${goodguys} to any
ipfw add deny ip from ${badguys} to any


Цитата:

а как нужно написать правила для того чтобы всем копмпьютерам сети закрыть доступ например к 80 порту, но не всем а за исключением напрмер 1-9 заранее известным ip

делаешь допустим
badguys="10.1.2.0/24{8,38,60}"
потом
${fwcmd} add deny tcp from ${badguys} to any 80,443 setup
а потом хоть
${fwcmd} add 1001 divert natd all from any to any in via ${natd_interface}

так как плохишам мы закрыли - все остальные пройдут. Только учти, что при "to any 80,443 setup" плохишам закрыты только 80, 443 порты, остальные открытые будут натиться. Напримел почту смогут получать и отправлять, если 25 и 110 открыты и т.п.


Цитата:

И еще, а можно ли будет потом эту переменную использовать в count, то есть, что бы
потом по счетчикам фаервола я мог посчитать кол-во трафика, локального, внутресетевого, или там только зарубежного и т.д ????

почему бы и нет? правда только локальный или внутрисетевой трафик можно отсечь. Потому как я не представляю как для зарубежного диапазоны адресов описать. ))

Здравствуйте.

Поможите с проблемкой, пожалуйста.

Надо запретитить юзеру в интернет ходить через 3128 порт.
Вроде прописал что надо, и ДО разрешающих правил, а не работает.
В файле правил ipfw написано (там много разного, но важное, видимо, сейчас только это):
Цитата:

fwcmd="/sbin/ipfw -q"
net="192.168._.__/__"
$fwcmd -f flush
......................
# Deny connections
$fwcmd add deny tcp from 192.168.__.__ to any 3128 via ng0
$fwcmd add deny tcp from any 3128 to 192.168.__.__ via ng0
$fwcmd add deny udp from 192.168.__.__ to any 3128 via ng0
$fwcmd add deny udp from any 3128 to 192.168.__.__ via ng0

# Allow any outgoing connections
$fwcmd add pass tcp from me to any out via ng0
$fwcmd add pass tcp from any to me in via ng0 established
$fwcmd add pass udp from me to any 53 out via ng0
$fwcmd add pass udp from any 53 to me in via ng0

$fwcmd add deny tcp from 192.168.__.__ to any 3128 setup
и в каком месте стоит divert?

hell raiser
divert нет нигде. А он нужен?

"стьянная констьюкция" (с)
А зачем из локалки вообще позволять юзерям обращаться на несервисные порты ? Те, что лежат за пределами 1024 ?