https://opennet.ru/openforum/vsluhforumID1/94516.html Добрый день!<br>Сразу скажу что я не админ, и в настройки FreeBSD полез исключительно потому, что остальным у нас или лень или некогда, поэтому не судите строго и поправьте если я что-то говорю неправильно.<br>Прошу подсказать что я делаю неправильно.<br>Есть сервер на FreeBSD на котором крутится apache+nginx. Сетевой интерфейс всего 1, три IP адреса, 2 внешних, один внутренний. ngnix слушает два внешних ip и перенаправляет запросы на apache по 127.0.0.1:80.<br>Без файрвола всё работает, все сайты и поддомены доступны и работают. Но встала задача настроить файрвол для фильтрации нежелательного трафика. Необходимо разрешить трафик на 80ом порту на два внешних IP и все соединения с внутренних IP и оставить возможность банить по IP. Пишу следующий конфиг:<br>#!/bin/sh<br><br>fwcmd="/sbin/ipfw"<br>NetIn="192.168.1.0/24"<br><br>$fwcmd table 1 add xxx.xxx.xxx.136<br>$fwcmd table 1 add xxx.xxx.xxx.133<br><br>$fwcmd -f flush<br><br>$fwcmd add 00010 deny all from table\(2\) to me<br><br>$fwcmd add 00050 check-state<br><br>$fwcmd add 00100 allow all from a https://opennet.ru/openforum/vsluhforumID1/94516.html#17 Wed, 27 Mar 2013 08:55:53 GMT &gt; Поскольку вы пытаетесь использовать deny log , посмотрите в логах, что подпадает <br>&gt; под правило.<br><br>Один из моих вопросов которые я тут задавал:"Как включить логирование файрвола не перезагружая сервер?". У меня не получилось, поэтому я и не смог посмотреть лог и понять что именно блокируется. А правило это я писал как раз с такой целью. Так что я бы с удовольствием.<br><br>&gt; Если все это вас еще не за-коле-бало, то ... Иначе: <br>&gt; ipfw add 100 allow tcp from me 80 to any <br><br>А:<br>&gt;$fwcmd add 00100 allow all from any to any via lo0<br>&gt;$fwcmd add 00300 allow icmp from any to any<br>&gt;$fwcmd add 00400 allow all from me to any<br><br>для этого не достаточно? Поясните пожалуйста.<br><br>В принципе я для себя нашёл альтернативный вариант, который, конечно же, не подразумевает моего отказа от дальнейшего обучения, но позволяет решить те задачи для которых я настраиваю файрволл и спихнуть оставшуюся часть работы на админа.<br>По сути мне файрволл нужен только для того чтобы банить особо наглых брутфорсеров которые ломятся к нам по ssh https://opennet.ru/openforum/vsluhforumID1/94516.html#16 Wed, 27 Mar 2013 07:31:51 GMT <br><br>Начните с того, что перепишите все правила с явным указанием номера правила.<br><br>Далее, смотрите ipfw show.<br><br><br>Поскольку вы пытаетесь использовать deny log , посмотрите в логах, что подпадает под правило.<br><br>В общем случае, тут всё дебажится точно также как и в любой программе - добавляеете "служебные временные правила" вида <br><br>ipfw allow с нужным условием и добиваетесь того, чтобы на <br><br>отладочный ipfw allow который стоит прямо перед "продакшен" ipfw deny с таким же условием ничего не попадало.<br><br>Отдельно обратите внимание на ipfw resetlog, т.к. количество сообщений в лог - ограничено.<br><br><br>Откройте несколько консолей на сервер, чтобы было удобно смотреть логи.<br><br>Еще можно воспользоваться gnu-watch "ipfw sh" (gnu-watch ставится из портов).<br><br><br>Если все это вас еще не за-коле-бало, то ... Иначе:<br><br>ipfw add 100 allow tcp from me 80 to any <br><br><br> https://opennet.ru/openforum/vsluhforumID1/94516.html#15 Wed, 27 Mar 2013 05:57:51 GMT &gt; по тому, что вы привели - не, не очень летают <br><br>Значит я не умею читать логи(что в общем-то ожидаемо)<br><br>&gt; Без файрволла - это как?<br><br>Это после #kldunload ipfw<br><br>&gt;а не настроен ли у вас там еще и _другой_ файрволл ? ))<br><br>Хороший вопрос. Стыдно что сам не задал его себе, удивлён что после "$fwcmd add 00110 allow all from any to any via pflog0" мне его не задали в самом начале.<br>#kldstat показывает модули pf.ko и pflog.ko, но pfctl -s all показывает No ALTQ support in kernel и Status:Disable. В rc.conf никаких упоминаний pf, /etc/pf.conf тоже отсутствует, так что судя по всему не настроен.<br> https://opennet.ru/openforum/vsluhforumID1/94516.html#14 Wed, 27 Mar 2013 05:40:37 GMT Никаких обид. Я сам прекрасно понимаю что очень мало знаю, но куда деваться. Читаю маны, изучаю, тренируюсь на тестовом сервере(Да тут специально для этих целей отдельную машинку поставили), но сделать это надо как можно скорее, а мне никто не даст надолго отрываться от разработки и отдельного спеца тоже никто нанимать не будет. Увы, у меня только два варианта: либо отложить эту задачу в долгий ящик, либо просить помощи у специалистов.<br><br> https://opennet.ru/openforum/vsluhforumID1/94516.html#13 Wed, 27 Mar 2013 04:58:28 GMT <br>&gt; tcpdump ничего не ясно, если ему верить, то пакеты вполне себе <br>&gt; летают. <br><br>по тому, что вы привели - не, не очень летают<br><br>&gt;Но что-то же блочится, без файрволла всё работает. <br><br>Без файрволла - это как?<br><br><br> https://opennet.ru/openforum/vsluhforumID1/94516.html#12 Wed, 27 Mar 2013 04:57:18 GMT а не настроен ли у вас там еще и _другой_ файрволл ? ))<br> https://opennet.ru/openforum/vsluhforumID1/94516.html#11 Tue, 26 Mar 2013 17:03:34 GMT &gt;&gt;&gt; Добрый день!<br>&gt;&gt;&gt; Сразу скажу что я не админ <br>&gt;&gt; А кто вы? Вахтер, разносчик корреспонденции, блондинка на ресепшене, etc?<br>&gt;&gt; Давайте заниматься каждый своим делом!<br>&gt; Я разработчик, который пишет те самые сайты которые крутятся на этом серваке, <br>&gt; и как выясняется - это именно моё дело, потому что не <br>&gt; дизайнеру же этим заниматься? И не спецу по БД. Поэтому давайте <br>&gt; не будем выяснять кто чем должен заниматься. А если уж Вам <br>&gt; так не хочется отвечать, будте последовательны, не отвечайте вообще ничего.<br><br> Вы поймите меня правильно. ipfw - старый файервол и непросто настраивается, особенно в сложных конфигурациях с пробросами\редиректами адресов или портов\или, например, в случае с изолированием клетки, что бы при взломе работающего в ней приложения, ничего больше не хакнули\или, например, у вас 3 линка в инет, и нужна балансировка пот ТСР-сессиям\ ну и т.д. и т.п.. Я не один месяц потратил в свое время на его изучения в виртуалке.<br> Посему: <br>-- если вы хотите его грамотно настроить, ставьте https://opennet.ru/openforum/vsluhforumID1/94516.html#10 Tue, 26 Mar 2013 09:47:03 GMT &gt;зачем тогда to table(1) ? Адреса чего (какие адреса) вы собираетесь заносить в эту таблицу?<br><br>У нас целый пул адресов xxx.xxx.xxx.128 - xxx.xxx.xxx.159, мало ли какое доменное имя мы ещё зарегистрируем и на какой IP его повесим, в table(1) как раз и будут все доступные IP. Мне кажется что можно написать xxx.xxx.xxx.128/27 и не париться с таблицей, но вот что-то не хочется сразу махом всё открывать.<br><br>&gt;Значит вам уже нужен юникс-админ. Занимаясь самодеятельностью, вы только отсрочите его появление в вашем коллективе.<br><br>А он и был, а точнее тут до меня был другой программер который и админил эти сервера, говорят хорошо очень в никсах разбирался, а теперь он уволился. Формально я на его месте и от меня этого и ждут.<br><br>&gt;Интересно, почему же тогда, при наличии живого админа, файрволом занимается _программист_ ? )<br><br>Мне тоже. Но так получилось. И взаимоотношения и распределение обязанностей в коллективе на мой взгляд не попадают в рамки этой темы.<br><br>sirius, спасибо!<br>Только немножко поправил:<br>-------<br>$fwcmd a https://opennet.ru/openforum/vsluhforumID1/94516.html#9 Tue, 26 Mar 2013 07:32:08 GMT fwcmd="/sbin/ipfw"<br><br>$fwcmd table 1 add xxx.xxx.xxx.136<br>$fwcmd table 1 add xxx.xxx.xxx.133<br><br>$fwcmd -qf flush<br><br>$fwcmd add skipto 1000 ip from any to any recv via em0<br>#исходящий трафик через em0 и lo0<br>$fwcmd add allow ip from any to any via lo0 <br>$fwcmd add allow ip from any to any xmit via em0<br>$fwcmd add deny ip from any to any <br><br>#table(2) - баненые адреса, и этот блок для входящего трафика на em0<br>$fwcmd add 1000 deny ip from table\(2\) to any<br>$fwcmd add deny icmp from any to any icmptype 9,13,14,15,16,17<br>$fwcmd add allow tcp from any to table\(1\) dst-port 80<br>#если заходите по ssh на сервер - добавьте<br>#$fwcmd add allow tcp from 192.168.0.X to me dst-port 22<br>$fwcmd add deny ip from any to any<br><br>Кажись все... А насчет парсить, сам хром создает много соединений, на каждую картинку отдельное.<br>