someone312002
"а я знаю?"
"а я знаю?"
» FreeBSD + ipfw rules
Цитата:
divert нет нигде. А он нужен?
а как твои пользователи будут ходить в инет, точнее по топологии за твоих пользователей должен кто-то ходить, т.е. подменять адреса локальные в интернетовские. я прав?
Не знаю.
На сервере есть прокси, есть named.
Они могут подменять?
А конфигурация правил ipfw вообще написана нормально?
Или там тоже править нужно?
На сервере есть прокси, есть named.
Они могут подменять?
А конфигурация правил ipfw вообще написана нормально?
Или там тоже править нужно?
WebDi
Ты бы в таком случае рассказал о конфигурации сети:
Этот компьютер с правилами и есть прокси-сервер?
что стоит в качестве прокси-сервера?
сколько ip-адресов на сервере?
является ли он шлюзом или брэндмауэром?
сколько вообще серверов для доступа в интернет?
зачем запрещать порт 3128? потому что пользователь выходит через внешние прокси-сервера и этот трафик на входит в статистику с прокси-сервера? в этом случае необходимо искать другие решения.
Цитата:
named ничего не подменяет - это демон ДНС'а, точнее BIND'а.
а вот твой прокси скорее всего редиректит с какого-нибудь одного порта на остальные, напр. если в локалке на клиентах в Internet Explorere прописано нечто вроде такого: "proxy 192.168.1.1 port 8080", где 192,168,1,1 - твой прокси-сервер, то он перенаправит пакетики с порта 8080 на 80.
Ты бы в таком случае рассказал о конфигурации сети:
Этот компьютер с правилами и есть прокси-сервер?
что стоит в качестве прокси-сервера?
сколько ip-адресов на сервере?
является ли он шлюзом или брэндмауэром?
сколько вообще серверов для доступа в интернет?
зачем запрещать порт 3128? потому что пользователь выходит через внешние прокси-сервера и этот трафик на входит в статистику с прокси-сервера? в этом случае необходимо искать другие решения.
Цитата:
На сервере есть прокси, есть named.
Они могут подменять?
named ничего не подменяет - это демон ДНС'а, точнее BIND'а.
а вот твой прокси скорее всего редиректит с какого-нибудь одного порта на остальные, напр. если в локалке на клиентах в Internet Explorere прописано нечто вроде такого: "proxy 192.168.1.1 port 8080", где 192,168,1,1 - твой прокси-сервер, то он перенаправит пакетики с порта 8080 на 80.
TILK
Да, прокси-сервер, FreeBSD. На нём и стоит fairwall, named, apache и прочее.
Цитата:
Цитата:
Цитата:
Цитата:
Да, прокси-сервер, FreeBSD. На нём и стоит fairwall, named, apache и прочее.
Цитата:
сколько ip-адресов на сервере?Жёстко они не прописаны.
Цитата:
является ли он шлюзом или брэндмауэром?он в локалке - главный, у него есть внешний ip.
Цитата:
зачем запрещать порт 3128?Чтобы отключить юзеру http. Да, он может выходить через Socks, но так надо - отключить http. Выход в инет - только через внутренний прокси-сервер.
Цитата:
192,168,1,1 - твой прокси-сервер, то он перенаправит пакетики с порта 8080 на 80А где это можно прочитать/прописать, откуда куда он редиректит?
WebDi
Цитата:
Имеется ввиду вообще?
тогда юзай правила сквида
а правила фаера такие
ipfw add 100 allow ip from 192.168.1.0/24 to 192.168.1.1/32 3128
ipfw add 200 deny ip from 192.168.1.0/24 to any 3128, 8080, 80, 1080
Цитата:
Чтобы отключить юзеру http
Имеется ввиду вообще?
тогда юзай правила сквида
а правила фаера такие
ipfw add 100 allow ip from 192.168.1.0/24 to 192.168.1.1/32 3128
ipfw add 200 deny ip from 192.168.1.0/24 to any 3128, 8080, 80, 1080
wchik
А allow перед deny это правильно? Мне почему-то говорили, что нет.
Но я попробую.
А allow перед deny это правильно? Мне почему-то говорили, что нет.
Но я попробую.
WebDi
Почему неправильно? ты ведь не все подряд разрешаешь, а только подключение к твоей проксе из локалки не более того
(что-то ведь надо разрешить перед тем как все запретить)
Почему неправильно? ты ведь не все подряд разрешаешь, а только подключение к твоей проксе из локалки не более того
(что-то ведь надо разрешить перед тем как все запретить)
wchik
Цитата:
Цитата:
а правила фаера такиеА каким образом отключить доступ не всей сети к серверу, а конкретному IP к серверу ?
ipfw add 100 allow ip from 192.168.1.0/24 to 192.168.1.1/32 3128
ipfw add 200 deny ip from 192.168.1.0/24 to any 3128, 8080, 80, 1080
WebDi
вместо 192.168.1.0/24 напиши конкретный ип.
а вот почему некоторые сперва разрешают, а потом запрещают и наоборот зависит от опции, с которой компилировали ядро IPFIREWALL_DEFAULT_TO_ACCEPT или IPFIREWALL_DEFAULT_TO_DENY
вместо 192.168.1.0/24 напиши конкретный ип.
а вот почему некоторые сперва разрешают, а потом запрещают и наоборот зависит от опции, с которой компилировали ядро IPFIREWALL_DEFAULT_TO_ACCEPT или IPFIREWALL_DEFAULT_TO_DENY
TILK
Пробовал писать IP - http не запрещается.
Пробовал писать IP - http не запрещается.
WebDi
вроде ж у них (юзеров) IP не постоянный
может лучше скинь ВСЕ правила твоего файера
дальше есть у тебя сквид? или нету?
если есть, я же писал что запрещать надо сквидом, и те правила, что я тебе дал
РАЗРЕШАЮТ юзерам пользоваться хттп на МЕСНОЙ проксе, а на всех остальных запрещают, как ты кстати проверяешь, что они могут пользоваться хттп, что у клиента прописано в качестве прокси? если родная прокся (локальная) то в чем проблема??
а запретить кому-то надо в конфиге сквида что-то типа такого в области АСЛ:
acl mynet src 192.168.1.0/24
acl badboys src 192.168.1.10 192.168.1.20 192.168.1.30
А затем в такой последовательности:
http_access deny badboys
http_access allow mynet
и все хттп закроется (правда если айпи статика, а если динамика надо прикручивать авторизацию, но это выходит за пределы темы)
Добавлено
WebDi
кстати TILK прав, хотя это не совсем обязательно зависит от компиляции
в принципе компиляция по умолчанию задает последним правилом запретить все всем
если компилировать с IPFIREWALL_DEFAULT_TO_ACCEPT то этого правила не будет, хотя ничего не мешает прописать его в ручную
вроде ж у них (юзеров) IP не постоянный
может лучше скинь ВСЕ правила твоего файера
дальше есть у тебя сквид? или нету?
если есть, я же писал что запрещать надо сквидом, и те правила, что я тебе дал
РАЗРЕШАЮТ юзерам пользоваться хттп на МЕСНОЙ проксе, а на всех остальных запрещают, как ты кстати проверяешь, что они могут пользоваться хттп, что у клиента прописано в качестве прокси? если родная прокся (локальная) то в чем проблема??
а запретить кому-то надо в конфиге сквида что-то типа такого в области АСЛ:
acl mynet src 192.168.1.0/24
acl badboys src 192.168.1.10 192.168.1.20 192.168.1.30
А затем в такой последовательности:
http_access deny badboys
http_access allow mynet
и все хттп закроется (правда если айпи статика, а если динамика надо прикручивать авторизацию, но это выходит за пределы темы)
Добавлено
WebDi
кстати TILK прав, хотя это не совсем обязательно зависит от компиляции
в принципе компиляция по умолчанию задает последним правилом запретить все всем
если компилировать с IPFIREWALL_DEFAULT_TO_ACCEPT то этого правила не будет, хотя ничего не мешает прописать его в ручную
wchik
TILK
ОГРОМНОЕ СПАСИБО! big thanks, проще говоря.
Всё работает как надо.
Прописал в конфиге squid и в правилах ipfw.
Ещё только вопрос, на будущее, как пользователю СОВСЕМ отрубить интернет? т.е. HTTP, POP3, SOCKS, FTP и всё остальное.
TILK
ОГРОМНОЕ СПАСИБО! big thanks, проще говоря.
Всё работает как надо.
Прописал в конфиге squid и в правилах ipfw.
Ещё только вопрос, на будущее, как пользователю СОВСЕМ отрубить интернет? т.е. HTTP, POP3, SOCKS, FTP и всё остальное.
WebDi
до любых разрешающих правил
ipfw add deny ip from 192.168.1.xxx to any
до любых разрешающих правил
ipfw add deny ip from 192.168.1.xxx to any
wchik
Спасибо.
Спасибо.
Решил поднять темку,
скажите, никто не озадачивался проблемой IPFW фильтеринга на основе содержимого пакета, а не только по ip и портам.
скажите, никто не озадачивался проблемой IPFW фильтеринга на основе содержимого пакета, а не только по ip и портам.
axelk
Не озадачивался. Это видимо какой-то скрипт должен вызываться из того места, которое пакет фильтрует.
Подскажите, пожалуйста, ресурс или учебник с примерами по теме этого топика.
Не озадачивался. Это видимо какой-то скрипт должен вызываться из того места, которое пакет фильтрует.
Подскажите, пожалуйста, ресурс или учебник с примерами по теме этого топика.
ipfw тупой и достаточно простой, смотрит только на заголовки пакетов, внуть пакетов не заглядывает и заставить его это делать никак нельзя. скриптик он тоже вызывать никакой не умеет.
Ambal
Цитата:
так уж и тупой, с задачами пакетного фильтра справляется
axelk
что конкретно фильтровать нужно?
но Ambal прав, только по заголовкам, но из заголовков тоже много чего полезного узнать можно
Цитата:
ipfw тупой
так уж и тупой
, с задачами пакетного фильтра справляется axelk
что конкретно фильтровать нужно?
но Ambal прав, только по заголовкам, но из заголовков тоже много чего полезного узнать можно
Хочу зарезать DC++, осла и прочих, у некоторых есть дефаултные порты, некоторых можно отловить по содержимому пакета, хочется что нибудь типа такого http://sourceforge.net/projects/iptables-p2p/ , но это только для IP tables^(
axelk
А не пробовали запретить все кроме необходимых портов? Обычно помогает, их на самом деле немного.
А не пробовали запретить все кроме необходимых портов? Обычно помогает, их на самом деле немного.
axelk
то что ты показал для линуха пока в бетах, еще что-то подобное
http://www.lowth.com/p2pwall/ftwall/ в альфах.
я бы не ставил такие модули на рабочий фаер,
лучше правда сделать политикой по умолчанию запрещено то, что не разрешено,
и разрешить основные порты типа 25 80 110, ну и еще что там у тея разрешено
Я кстати столкнулся в этой связи с траблой надо пускать из внутренней сети Cisco VPN
может кто знает как разрешить прохождение пакетов ESP AH и GRE (протоколы НЕ ПОРТЫ типа 50 51 и 47)
Добавлено
Народ прошу прощения стормозил ужо, под конец рабочего дня,
просто в правиле указываешь название протокола как в /etc/protocols
и но проблем
то что ты показал для линуха пока в бетах, еще что-то подобное
http://www.lowth.com/p2pwall/ftwall/ в альфах.
я бы не ставил такие модули на рабочий фаер,
лучше правда сделать политикой по умолчанию запрещено то, что не разрешено,
и разрешить основные порты типа 25 80 110, ну и еще что там у тея разрешено
Я кстати столкнулся в этой связи с траблой надо пускать из внутренней сети Cisco VPN
может кто знает как разрешить прохождение пакетов ESP AH и GRE (протоколы НЕ ПОРТЫ типа 50 51 и 47)
Добавлено
Народ прошу прощения стормозил ужо, под конец рабочего дня,
просто в правиле указываешь название протокола как в /etc/protocols
и но проблем
Проблема в том, что многие устанавливают для p2p сервисов 80, 110 и прочие порты, по этому здесь простой связки ip address + port уже недостаточно, конечно именно такой вариант я сконфигурировал на данный момент, но хочется потестить другие варианты.
axelk
а если ограничить количество одновременных коннектов по одному порту с машины?
то-есть если ты юзаешь сквид то там не ограничивать а на всех остальных портах 1 коннект и не больше
пиринговые клиенты обычно несколько потоков создают (много потоков)
это сделает пользование таким софтом почти невозможным а почту проверять пожалуйста (в 1 поток)
а если ограничить количество одновременных коннектов по одному порту с машины?
то-есть если ты юзаешь сквид то там не ограничивать а на всех остальных портах 1 коннект и не больше
пиринговые клиенты обычно несколько потоков создают (много потоков
) это сделает пользование таким софтом почти невозможным а почту проверять пожалуйста (в 1 поток
)тут такой вопросик возник, что-то я неправильно делаю
есть правила:
Цитата:
где x.x.x.x - внешний ИП роутера, rl0 - внешний интерфейс
первые 3 правила для сквида, до ната подняты для того чтобы нагрузку уменьшить
так вот вроде как по этим правилам из сетки нат должен работать,
но работает на всех портах кроме тех, что перечислены во 2-м и 3-м правилах
что в них не так?
есть правила:
Цитата:
allow ip from any to any dst-port 3128
allow ip from x.x.x.x to any dst-port 20,21,80,81,8080 out via rl0
allow ip from any 20,21,80,81,8080 to x.x.x.x in via rl0
divert 8668 ip from any to any via rl0
allow ip from any to any
где x.x.x.x - внешний ИП роутера, rl0 - внешний интерфейс
первые 3 правила для сквида, до ната подняты для того чтобы нагрузку уменьшить
так вот вроде как по этим правилам из сетки нат должен работать,
но работает на всех портах кроме тех, что перечислены во 2-м и 3-м правилах
что в них не так?
то что после того как обработается правило allow дальше правила непросматриваются.
обратний пакетик обработается третьим правилом и в диверт не попадет.
Добавлено
а чтоб уменьшить нагрузку на нат я бы рекомендовал примерно такую конструкцию:
divert natd ip from 192.168.0.0/24 to any
divert natd ip from any to xxx.xxx.xxx.xxx in recv fxp1
192.168.0.0/24 - внутренняя сеть
xxx.xxx.xxx.xxx - внешний адрес
fxp1 - внешний интерфейс.
обратний пакетик обработается третьим правилом и в диверт не попадет.
Добавлено
а чтоб уменьшить нагрузку на нат я бы рекомендовал примерно такую конструкцию:
divert natd ip from 192.168.0.0/24 to any
divert natd ip from any to xxx.xxx.xxx.xxx in recv fxp1
192.168.0.0/24 - внутренняя сеть
xxx.xxx.xxx.xxx - внешний адрес
fxp1 - внешний интерфейс.
Ambal
Цитата:
так ведь обратный пакетик адресован не моему внешнему интерфейсу, а какому-то IP в нете!
почему он попадает под это правило?
Цитата:
братний пакетик обработается третьим правилом и в диверт не попадет
так ведь обратный пакетик адресован не моему внешнему интерфейсу, а какому-то IP в нете!
почему он попадает под это правило?
--- mad %)
есть ли где-то фак (или может самим сделать?), по разрешению/запрещению в ipfw разных сервисов?
например моя табличка выглядит так: (еще не прикручивал принудительный прокси)
00100 divert 8668 ip from any to any via xl0
00200 deny icmp from any to any frag
00300 allow icmp from any to any
00400 allow tcp from any to any dst-port 25
00500 allow tcp from any 25 to any
00600 allow tcp from any to any dst-port 80
00700 allow tcp from any 80 to any
00800 allow tcp from any to any dst-port 443
00900 allow tcp from any 443 to any
01000 allow udp from any to any dst-port 53
01100 allow udp from any 53 to any
01200 allow udp from any to any dst-port 995
01300 allow udp from any 995 to any
01400 allow tcp from any to any dst-port 21
01500 allow tcp from any 21 to any
01600 allow tcp from any to any dst-port 20
01700 allow tcp from any 20 to any
01800 allow tcp from any to any dst-port 22
01900 allow tcp from any 22 to any
02000 allow ip from any to any via xl0
02100 allow ip from any to any via lo0
65535 deny ip from any to any
это бетка-альфа таблички - тут на секурити упора нет, но есть намерение на работоспособность сети для начала, потом буду укреплять.. так вот при такой табличке: работает ssh, но для клиентов не работает инет.. пинги не идут (вообще как пинг работает, что это за тип пакетов и как ими управлять) - nslookup на клиенте работает
кто, что скажет?
например моя табличка выглядит так: (еще не прикручивал принудительный прокси)
00100 divert 8668 ip from any to any via xl0
00200 deny icmp from any to any frag
00300 allow icmp from any to any
00400 allow tcp from any to any dst-port 25
00500 allow tcp from any 25 to any
00600 allow tcp from any to any dst-port 80
00700 allow tcp from any 80 to any
00800 allow tcp from any to any dst-port 443
00900 allow tcp from any 443 to any
01000 allow udp from any to any dst-port 53
01100 allow udp from any 53 to any
01200 allow udp from any to any dst-port 995
01300 allow udp from any 995 to any
01400 allow tcp from any to any dst-port 21
01500 allow tcp from any 21 to any
01600 allow tcp from any to any dst-port 20
01700 allow tcp from any 20 to any
01800 allow tcp from any to any dst-port 22
01900 allow tcp from any 22 to any
02000 allow ip from any to any via xl0
02100 allow ip from any to any via lo0
65535 deny ip from any to any
это бетка-альфа таблички - тут на секурити упора нет, но есть намерение на работоспособность сети для начала, потом буду укреплять.. так вот при такой табличке: работает ssh, но для клиентов не работает инет.. пинги не идут (вообще как пинг работает, что это за тип пакетов и как ими управлять) - nslookup на клиенте работает
кто, что скажет?
FreeBSD 4.7+ipfw2
Пишу команду:
ipfw add pass all from any to 192.168.50.3/24{4,5,6}
ipfw мне отвечает:
ipfw: bad width ``244''
Что я не так делаю?
Пишу команду:
ipfw add pass all from any to 192.168.50.3/24{4,5,6}
ipfw мне отвечает:
ipfw: bad width ``244''
Что я не так делаю?
Предыдущая тема: Зачем нужна рабочая группа?
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.