Konfiguracja ipfilters

	B O A R D
	» Board » Zadaj pytanie » Archiwum » Szukaj » Stylizacja

M E N U

» Nowości

» Archiwum

» Recenzje / Testy

» Board

» Rejestracja

Szukaj @ TwojePC

	OBECNI NA TPC
	» El Vis 12:17 » rho 12:16 » Kenny 12:15 » Menah 12:14 » lcf 12:14 » waski 12:12 » emigrus 12:10 » Matti 12:08 » michol 12:07 » Tomasz 12:06 » Artaa 12:06 » Zbyl 12:04 » NimnuL 12:02 » Dexter 11:59 » PeKa 11:59 » kicior 11:55 » DYD 11:54 » maddog 11:47 » gromki_86 11:44 » Sebek 11:42 Dzisiaj przeczytano 41114 postów, wczoraj 25974 Szybkie ładowanie jest: włączone.

ccc

A R C H I W A L N A W I A D O M O Ś Ć

Konfiguracja ipfilters , Zajawka 20/01/06 18:04
Chcę tak ustawić ipfilters, żeby ruch wychodzący był dla ssh i http, a przychodzący dla ssh i maila.
Poniższa konfiguracja nie działa, nie mogę ustalić dlaczego, możecie pomóc?

block in quick all

pass out quick on lo0
pass in quick on lo0

pass out quick on elxl0 proto tcp from IP/32 to any port=22 flags S keep state
pass out quick on elxl0 proto tcp from IP/32 to any port=80 flags S keep state
pass out quick on elxl0 proto udp from IP/32 to any port=53 flags S keep state
pass in quick on elxl0 proto tcp from any to IP/32 port=25 flags S keep state
pass in quick on elxl0 proto tcp from any to IP/32 port=22 flags S keep state

VLEM!

obadaj to , kicior 20/01/06 18:56
# Nasty short packets which are fragmented too short to be real.
block in log quick all with short

# By default, block and log everything.
block in log on elxl1 all
block out log on elxl1 all

block in log on elxl0 all
block out log on elxl0 all

block in log on elxl0:1 all
block out log on elxl0:1 all

# packets going in/out of network interfaces that aren't on the loopback
# interface should not exist.
block in log quick on elxl0 from 127.0.0.0/8 to any
block in log quick on elxl0 from any to 127.0.0.0/8
block in log quick on elxl1 from 127.0.0.0/8 to any
block in log quick on elxl1 from any to 127.0.0.0/8

# Make sure the loopback allows packets to traverse it.
pass in quick on lo0 all
pass out quick on lo0 all

# Deny reserved addresses.
block in quick on elxl0 from 10.0.0.0/8 to any
block in quick on elxl0 from 172.16.0.0/12 to any
block in log quick on elxl0 from 192.168.1.0/24 to any
block in quick on elxl0 from 192.168.0.0/16 to any

# Allow internal traffic
pass in quick on elxl1 from 192.168.1.0/24 to 192.168.1.0/24
pass out quick on elxl1 from 192.168.1.0/24 to 192.168.1.0/24

# Allow outgoing DNS requests from our servers on .1, .2, and .3
pass out quick on elxl0 proto tcp/udp from 0/32 to any port = domain keep state
pass in quick on elxl1 proto tcp/udp from 192.168.1.223 to any port = domain keep state

# Allow NTP from any internal hosts to any external NTP server.
pass in quick on elxl1 proto udp from 192.168.1.0/24 to any port = 123 keep state
pass out quick on elxl0 proto udp from any to any port = 123 keep state

# Allow incoming mail
pass in quick on elxl0 proto tcp from any to 0/32 port = smtp keep state
pass out quick on elxl0 proto tcp from 192.168.1.0/24 to any port = smtp keep state

# Allow outgoing connections: SSH, HTTP, HTTPS, NNTP, mail, whois
pass in quick on elxl1 proto tcp from 192.168.1.0/24 to any port = 22 keep state
pass out quick on elxl0 proto tcp from 192.168.1.0/24 to any port = 22 keep state

pass in quick on elxl1 proto tcp from 192.168.1.0/24 to any port = 80 keep state
pass out quick on elxl0 proto tcp from 192.168.1.0/24 to any port = 80 keep state
pass in quick on elxl1 proto tcp from 192.168.1.0/24 to any port = 443 keep state
pass out quick on elxl0 proto tcp from 192.168.1.0/24 to any port = 443 keep state

pass in quick on elxl1 proto tcp from 192.168.1.0/24 to any port = smtp keep state

pass in quick on elxl1 proto tcp from 192.168.1.0/24 to any port = whois keep state
pass out quick on elxl0 proto tcp from any to any port = whois keep state

# Allow ssh from offsite
pass in quick on elxl0 proto tcp from any to 0/32 port = 22 keep state

# Allow ping out
pass in quick on elxl1 proto icmp all keep state
pass out quick on elxl0 proto icmp all keep state

# allow auth out
pass out quick on elxl0 proto tcp from 0/32 to any port = 113 keep state
pass out quick on elxl0 proto tcp from 0/32 port = 113 to any keep state

# return rst for incoming auth
block return-rst in quick on elxl0 proto tcp from any to any port = 113 flags S/SA

# log and return reset for any TCP packets with S/SA
block return-rst in log on elxl0 proto tcp from any to any flags S/SA

# * return ICMP error packets for invalid UDP packets
block return-icmp(net-unr) in proto udp all

block in log on elxl0 proto ip from any to any
block in log on elxl1 proto ip from any to any

block in log on elxl0 proto tcp from any to any
block in log on elxl1 proto tcp from any to any

block in log on elxl0 proto udp from any to any
block in log on elxl1 proto udp from any to any

block in log on elxl0 proto icmp from any to any
block in log on elxl1 proto icmp from any to any

# SMTP
pass in quick on elxl0 log proto tcp from any to 195.2.XX.XX/32 port = smtp flags S keep state keep frags
pass in quick on elxl1 log proto tcp from 192.168.1.0/24 to 192.168.1.15/32 port = smtp flags S keep state keep frags

# DNS
pass in log quick on elxl0 proto tcp/udp from any to 195.2.XX.XX/32 port = domain keep state keep frags
pass out log quick on elxl0 proto tcp/udp from 195.2.XX.XX/32 to any port = domain keep state keep frags

pass in log quick on elxl1 proto tcp/udp from any to 192.168.1.15/32 port = domain keep state keep frags
pass out log quick on elxl1 proto tcp/udp from 192.168.1.15/32 to any port = domain keep state keep frags

# HTTP
pass in log quick on elxl1 proto tcp from 192.168.1.0/24 to 192.168.1.15/32 port = http flags S keep state keep frags
pass out log quick on elxl1 proto tcp from 192.168.1.15/32 to 192.168.1.0.24 port = http flags S keep state keep frags

# Telnet
pass in log quick on elxl1 proto tcp from 192.168.1.25/32 to 192.168.1.15/32 port = telnet flags S keep state keep frags
pass out log quick on elxl1 proto tcp from 192.168.1.15/32 to 192.168.1.25/32 port = telnet flags S keep state keep frags
Tak z ciekawosci , krogulec 20/01/06 19:07
czemu tylko tyle portow chcesz otworzyc? Wydaje mi sie, ze dal przychodzacych powinienes miec tez pop3, a skoro chcesz ogladac stronki to dla wychodzacych przydalyby sie jeszcze jakies porty na przyklad dla https. Jak rozumiem poczty nie chcesz wysylac tylko chcesz. zeby byl dostep do serwera poczty z zewnatrz?

A tak wrcajac do tematu - pewnie nie pomoge, ale moze moje pytania naprowadza kogos innego:
System to FreeBSD?
Ipfilter wkompilowales w kernel?
Dodales opcje uruchamiania ipfilter do /etc/rc.conf?
Wyskakuja ci jakies bledy przy uruchamianiu firewalla?
Wyjasnij mi ta maske dla interfejsu zewnetrznego bo jakos niebardzo rozumiem po co ona tam jest?

http://www.freebsd.kie.pl/?q=ipf
1. Więc tak: , Zajawka 20/01/06 19:28
  Z tymi portami faktycznie masz rację, chyba nie przemyślałam sprawy do końca..
  System to Solaris
  Wszystkie ustawienia ipfilters są napewno poprawnie zrobione, bo to uczleniany serwer
  A maskę 32 dla interfejsu zewnętrznego ustawiłam, bo tak poleca dokunetacja, z której korzystałam do tej pory, ale która najwyraźniej nie jest do końca dobra, skoro nie działa tak jak powinno...
  VLEM!
  1. hmm , krogulec 20/01/06 22:37
    to pewnie czytales?
    http://lukasz.bromirski.net/...tions/ipfilter.html
    
    Ja korzystam raczej z Packet filter (tylko chwile bawilem sie ipfilter - chociaz w skladni sa bardzo podobne, to na przyklad w pf nie dziala flags S a jedynie flags S/SA), niemniej znalazlem w twoim przykladzie ewidentny blad (przynajmniej tak mi sie wydaje) po pierwsze dla DNS musisz tez puscic tcp, po drugie dla udp w ogole nie mozesz ustawic flagi
    1. zgadza się , Zajawka 20/01/06 22:57
      też już to zauważyłam :) Dzięki za pomoc.
      Btw. kobiętą jestem, więc czytałam, a nie czytałem ;) Rozumiem, że to z przyzwyczajenia, bo w większość boardowiczów to panowie :)
      VLEM!
    2. i oczywiście , Zajawka 20/01/06 22:58
      to jest dokładnie ta dokumentacja, którą czytałam :)
      VLEM!
2 wersja , Zajawka 20/01/06 23:25
Tylko właściwie nadal nie wiem czy ta jest poprawna:

pass out quick on elxl0 proto tcp from 149.156.161.48/32 to any port=22 flags S keep state keep frags
(pass out quick on elxl proto tcp from 149.156.161.48/32 to any port=25 flags S keep state keep frags)
pass out quick on elxl0 proto tcp from 149.156.161.48/32 to any port=53 flags S keep state keep frags
pass out quick on elxl0 proto udp from 149.156.161.48/32 to any port=53 keep state keep frags
pass out quick on elxl0 proto tcp from 149.156.161.48/31 to any port=80 flags S keep state keep frags
(pass out quick on elxl0 proto tcp from 149.156.161.48/32 to any port=110 flags S keep state keep frags)
pass out quick on elxl0 proto tcp from 149.156.161.48/32 to any port=443 flags S keep state keep frags
block out quick on elxl0 all

pass in quick on elxl proto tcp from any to 149.156.161.48/32 port=22 flags S keep state keep frags
pass in quick on elxl0 proto tcp from any to 149.156.161.48/32 port=25 flags S keep state keep frags
pass in quick on elxl0 proto tcp from any to 149.156.161.48/32 port=53 flags S keep state keep frags
pass in quick on elxl0 proto udp from any to 149.156.161.48/32 port=53 keep state keep frags
pass in quick on elxl0 proto tcp from any to 149.156.161.48/32 port=80 flags S keep state keep frags
pass in quick on elxl0 proto tcp from any to 149.156.161.48/32 port=110 flags S keep state keep frags
pass in quick on elxl0 proto tcp from any to 149.156.161.48/32 port=443 flags S keep state keep frags
block in quick on elxl0 all

pass in quick on lo0 all
pass out quick on lo0 all
VLEM!
1. A dziala? , krogulec 20/01/06 23:43
  :-)
  
  Przepraszam za bledna interpretacje plci, ale czasami sie takich elementow nie wychwytuje ;-)
  
  A do regulek tylko jeden komentarz - teraz jakby nie spelniaja zalozen poczatkowych - apache jak zrozumialem mial byc niedostepny, a jest, i dostep do dnsa w przychodzacych chyba tez nie jest potrzebny - mysle ze wystarczy jesli w sekcji in zostanie 22, 25 i 110. A no i jest kilka literowek w tych regulkach :P ;-)
No właśnie nie wiem , Zajawka 21/01/06 00:18
Bo nie moge tego z domu sprawdzić :(
Port 80 to http i chyba właśnie miał być dostępny, a dostęp do dns w przychodzących jest dodany na podstawie tego sznurka od Ciebie.
Podobnie 80 i 443, choć właśnie też się zastanawiałam długo czemu. Coś strasznie to pokręcone.
A literówek sporo, bo zmęczona już jestem...
VLEM!
1. ehh , krogulec 21/01/06 12:38
  Ja to rozumiem tak - porty wychodzace otwierasz po to, zeby moc korzytsac z typowych uslug takich jak: przegladanie stron www (80 i 443 dla polaczenia ssl), wysylanie i odbieranie poczty (25, 110 i 443 jesli serwer obsluguje ssl), oraz zeby nie wpisywac ip musimy korzystac z dns czyli 53
  
  Porty przychodzace otwieramy, zeby udostepnic osobom z zewnatrz uslugi na naszym serwerku: 80 dla apacha + porty dla bazy danych i ssl jesli cos takiego uruchamiamy, 25, 110 i ewentaulnie 443 dla serwera poczty, 53 dla serwera dns uruchomionego na naszym kompie
  
  No ale ja sie w sumie nie znam i moge sie mylic :-) Swojego firewalla mam skonfigurowanego tak, ze wypuszczam wszystkie wychodzace, a z przychodzacych tylko ssh tak naprawde i dziala. Tak jest prosciej w normalnym uzytkowaniu bo dlugo bym musial kombinowac, zeby dojsc do tego, ktore porty wychodzace musze otworzyc, zeby dalo sie normalnie korzystac z wszystkich wazniejszych uslug jak ftp, www, ssh , poczta, gadu, gry itd. itp :-)