Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
     
  Галерея  
  Весельчак У  
  Наша Вики  
  Хранилище  
  Проекты  
     
Правила
     
  Правила форума Правила русского языка  
     
Помощь Поиск Календарь Почта Войти Регистрация  
Форум программистов «Весельчак У» > Операционные системы > Unix и другие > BSD (Модераторы: MOPO3, Sla, McZim) > Тема: Firewall
 
Страниц: [1]   Вниз
« предыдущая тема следующая тема »
  Печать  
Автор Тема: Firewall  (Прочитано 12601 раз)
0 Пользователей и 1 Гость смотрят эту тему.
один юзер
Гость
« : 12-10-2006 07:44 » 
на какой минимальной конфигурации можно установить Firewall на BSD
 (очень нужен стал Firewall а компов новых и не будет Жаль ..)
Записан
Chuda
Гость
« Ответ #1 : 12-10-2006 13:48 » 
практически на любой.
на 486 со всем соответствующим по возрасту обвесом у меня шестёрка работает нормально.
Записан
один юзер
Гость
« Ответ #2 : 19-10-2006 07:12 » 
не могу правильно настроить Firewall не дает доступа Жаль  вот правила котрорые я записал
#!/bin/sh
ipfw='/sbin/ipfw -q'
ournet='192.168.0.1/24'
uprefix='192.168.0'
ifout='rl0'
ifuse='rl1'
${ipfw} flush
${ipfw} add 100 check-state
${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
${ipfw} add 300 allow ip from any to any via lo
${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}
${ipfw} add 320 allow icmp from any to any
${ipfw} add 330 allow udp from me to any domain keep-state
${ipfw} add 340 allow udp from any to me domain
${ipfw} add 350 allow ip from me to any

${ipfw} add 510 divert natd ip from ${ournet} to any out via ${ifout}
${ipfw} add 1002 allow ip from ${uprefix}.53 to any via ${ifuser}
${ipfw} add 1002 allow ip from any to ${uprefix}.53 via ${ifuser}

а если в конец дописать : add allow all any to any , то инет
работает, подскажите что я не так сделал?
« Последнее редактирование: 16-12-2007 13:50 от Алексей1153++ » Записан
один юзер
Гость
« Ответ #3 : 24-10-2006 04:10 » 
ну хоть ссылку дайте на какую нибудь хорошую статью
Записан
slab
Интересующийся

ru
Offline Offline
« Ответ #4 : 21-01-2009 12:38 » new
Код:
#!/bin/sh
FwCMD="/sbin/ipfw    "
#setup_lo()
Lan_OUT="rl0"                  #интерфейс, смотрящий в инет
Lan_IN="vr0"                   #интерфейс кот. смотрит в локалку    
Ip_OUT="91.x.x.150"        #Внешний IP адрес
Ip_IN="192.168.0.15"           #внутренний IP адрес
Net_IN="192.168.0.0/24"        #наша локальная сетка
Net_OUT="91.x.x.150/24"    #Внешняя подсеть в кот. торчит наш сервер

${FwCMD} -f flush

#===================Настраиваем интерфейс "петля"==========================
#разрешаем весь IP траффик, проходящий через интерфейс lo0
${FwCMD} add allow ip from any to any via lo0
#Режем входящий трафик, который идет на lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
#Давим попытки лупбака лезть кудато
${FwCMD} add deny ip from 127.0.0.0/8 to any
#---------------Защита от IP спуфинга-----------------------
#Режем пакеты типа от внутренней сети, но оказавшиеся на внешнем интерфейсе
${FwCMD} add deny ip from ${Net_IN} to any in via ${Lan_OUT}
#Режем пакеты типа с внешней сети, но оказавшиеся на внутреннем интерфейсе
${FwCMD} add deny ip from ${Net_OUT} to any in via ${Lan_IN}
#
${FwCMD} add deny log ip from any to any not verrevpath in
#========================================================================
#-----------------Защита от сканирования---------------------------------
#
#--Отбрасываем пакеты с нестандартными Ip опциями
${FwCMD} add deny log all from any to me in ipoptions ssrr
${FwCMD} add deny log all from any to me in ipoptions lsrr
${FwCMD} add deny log all from any to me in ipoptions rr
#--Запрещаем пакеты с timestampf
${FwCMD} add deny log all from any to me in ipoptions ts



#--Защита от сканирования с установленным tcp-флагом FIN(FIN-сканирование),
#--но без установленного соединения
#-- nmap -sF
${FwCMD} add deny log tcp from any to any not established tcpflags fin
#--Защита от X-сканирования
#--Сканирование с установкой всех tcp флагов
#--nmap -sX
${FwCMD} add deny log tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
#--Защита от N-сканирования
#--сканирование со сбросом всех tcp флагов 
#--nmap -sN
${FwCMD} add deny log tcp from any to any tcpflags !'fin', !'syn', !'rst', !'psh', !'ack', !'urg'
#--Защита от NULL сканирования (2-й тест nmap
${FwCMD} add deny log tcp from any to me in tcpflags !'syn', !'ack', !'rst'
#--Защита от XMAS сканирования (третий тест nmap)
${FwCMD} add deny log tcp from any to me in tcpflags syn, fin, urg, psh, !'ack'
${FwCMD} add deny log tcp from any to me in tcpflags syn, fin, !'ack'
#--седьмой тест nmap
${FwCMD} add deny log tcp from any to me in tcpflags fin, urg, psh, !'ack'
${FwCMD} add deny log tcp from any to me in tcpflags fin, !'ack'
${FwCMD} add deny log tcp from any to me in tcpflags urg, !'ack'
${FwCMD} add deny log tcp from any to me in tcpflags psh, !'ack'

#================Запрещаем ICMP траффик(не весь)====================
${FwCMD} add deny icmp from any to any in icmptype 5,9,13,14,15,16,17
#5 - перенаправление - redirect
#9 - объявление маршрутизатора - router advertisement
#13- Запрос  временной марки - timestamp request
#14- отклик временной марки - timestamp reply
#15- информационный запрос - 
#16- информационный отклик
#17- запрос маски адреса - address mask request
#18- отклик с маской адреса - address mask reply
#====================================================================

#Запрещаем частные сети на внешнем интерфейсе====================--
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${Lan_OUT}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${Lan_OUT}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${Lan_OUT}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${Lan_OUT}
#Рубим автоконфигуренную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${Lan_OUT}
#Режем мультикастовые рассылки
${FwCMD} add deny ip from any to 224.0.0.0/4 in via ${Lan_OUT}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${Lan_OUT}
#Запрещаем фрагментированные icmp пакеты
${FwCMD} add deny log icmp from any to any frag
#=============================================================================
#Рубим широковещательные icmp пакеты на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${Lan_OUT}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${Lan_OUT}

#Делаем NAT
${FwCMD} add divert natd ip from ${Net_IN}/${NetMask} to any out via ${Lan_OUT}
${FwCMD} add divert natd ip from any to ${Ip_OUT} in via ${Lan_OUT}
#=============================================================================
#
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${Lan_OUT}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${Lan_OUT}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${Lan_OUT}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${Lan_OUT}
#============================================================================
#
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${Lan_OUT}
#============================================================================
#
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${Lan_OUT}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${Lan_OUT}
#============================================================================
#=============Проверяем пакет на соответствие динамическим правилам========
#${FwCMD} add check-state

#Разрешаем трафик по установленным tcp соединениям
${FwCMD} add allow tcp from any to any established
#==================================================================================
#В данный момент эти правила заккоментированы, но если вдруг понадобятся на будущее 
#${FwCMD} add allow tcp from any to me 1723 setup    #разрешаем устанавливать соединения по ppptp
#${FwCMD} add allow gre from any to any              #разрешаем gre
#${FwCMD} add allow ip from any to any via tun*      #разрешаем весь ip трафиик по тунелю
#
#==============================================================================

#=======================Разрешаем DNS запросы на внешние сервера===============
#Можно разрешить dns траффик еще так, но мы сделаем динамическими правилами
#Приходиться делать 2 правила т.к. UDP является протоколом без установления
#соединения и фильтровать по флагам(опциями setup, established) нельзя
##${FwCMD} add allow udp from me to any 53 
##${FwCMD} add allow udp from any 53 to me
#используем динамическое правило, так (имхо) для поставленной цели правильнее  
${FwCMD} add allow udp from me to any 53 out via ${Lan_OUT} keep-state
#=============================================================================
#Разрешаем входяшие соединения на 25 порт (почта, кудаж без нее) из вне
${FwCMD} add allow tcp from any to ${Ip_OUT} 25 via ${Lan_OUT} setup keep-state
#=============================================================================
#Разрешаем серваку весь траффик
${FwCMD} add allow ip from me to any
#==============================================================================
#Разрешаем некоторыв типы icmp трафикак
#0 - эхо отклик
#8 - эхо запрос
#11- время жизни истекло(если заблокировать то не будет работать traceroute)
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
###Можно еще ужесточить фильтрацию icmp протокола
###эти правила позволят пинговать с машины всех, но недадут никому пинговать её
##Разрешаем только исходящие эхо запросы
#${FwCMD} add allow icmp from any to any out icmptypes 8
##Разрешаем входящий "понг" ответ на "пинг" 
#${FwCMD} add allow icmp from any to any in icmptypes 0
##Рубим входящие эхо запросы ("пинг")
#${FwCMD} add deny icmp from any to any in icmptypes 8

#===============================================================================
#Разрешаем весь трафик по внутреннему интерфейсу(внутри локалки)
${FwCMD} add allow ip from any to ${Net_IN} in via ${Lan_IN}
${FwCMD} add allow ip from ${Net_IN} to any out via ${Lan_IN}
#==========================================================
#Разрешаем эксченчу забирать почту с сервака прова
#${FwCMD} add allow tcp from 192.168.0.4/32 to any 110 via ${Lan_IN} setup keep-state

${FwCMD} add allow ip from 192.168.0.17/32 to any via ${Lan_IN} keep-state
#Разрешаем траффик по с некоторым ip
${FwCMD} add allow ip from 192.168.0.4/32 to any via ${Lan_IN} keep-state
${FwCMD} add allow ip from 192.168.0.18/32 to any via ${Lan_IN} keep-state
${FwCMD} add allow ip from 192.168.0.16/32 to any via ${Lan_IN} keep-state
#${FwCMD} add allow ip from 192.168.0.3/32 to any

#${FwCMD} add allow tcp from 192.168.0.173/32 to any 1723 via ${Lan_IN} keep-state
#${FwCMD} add allow tcp from 192.168.0.109/32 to any 1723 via ${Lan_IN} keep-state
#${FwCMD} add allow gre from any to any keep-state
${FwCMD} add allow ip from 192.168.0.19/32 to any via ${Lan_IN} keep-state

#запрещаем все и всем
${FwCMD} add deny all from any to any


Вот рабочий конфиг, там все с комментариями, в принципе все ясно.
Записан
Страниц: [1]   Вверх
  Печать  
« предыдущая тема следующая тема »
 
Форум программистов «Весельчак У» > Операционные системы > Unix и другие > BSD (Модераторы: MOPO3, Sla, McZim) > Тема: Firewall

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines