форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Помогите файрвол+ssh2"
Сообщение от DMroot on 09-Июл-03, 08:55  (MSK)
Привет всем! Проблема такая поставил файрвол ipfw на FreeBSD 4.8, на нём же почтовый сервак, со следующими правилами: ... ${ipfw} add 200 deny icmp from any to me in icmptype 5,9,13,14,15,16,17 ${ipfw} add 320 allow icmp from me to any ${ipfw} add 330 allow udp from me to any domain keep-state ${ipfw} add 340 allow udp from any to me domain ${ipfw} add 350 allow ip from me to any ${ipfw} add 400 allow tcp from any to me smtp,pop3 ${ipfw} add 405 allow tcp from me to any smtp,pop3,domain,ssh ${ipfw} add 410 allow tcp from ${ournet} to me smtp,pop3,ssh,3306 ... где ournet - моя внутренняя сетка. А при коннекте к серверу по ssh(при помощи putty) выдаёт: Apr 14 16:07:14 serv sshd[733]: refused connect from my.zzzzzz.net (xxx.xxx.xxx.xxx)- так все стало после установки firewall, до этого естественно всё работало, и MySQL (3306)-тоже перестал, хотя почта 25,110 -ходит как надо ,что это может быть??? Заранее благодарен Димитрий
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Помогите файрвол+ssh2"
Сообщение от Mikle on 09-Июл-03, 09:33  (MSK)
>Привет всем! >Проблема такая поставил файрвол ipfw на FreeBSD 4.8, >на нём же почтовый сервак, со следующими правилами: >... >${ipfw} add 200 deny icmp from any to me in icmptype 5,9,13,14,15,16,17 > >${ipfw} add 320 allow icmp from me to any >${ipfw} add 330 allow udp from me to any domain keep-state >${ipfw} add 340 allow udp from any to me domain >${ipfw} add 350 allow ip from me to any >${ipfw} add 400 allow tcp from any to me smtp,pop3 >${ipfw} add 405 allow tcp from me to any smtp,pop3,domain,ssh >${ipfw} add 410 allow tcp from ${ournet} to me smtp,pop3,ssh,3306 >... >где ournet - моя внутренняя сетка. >А при коннекте к серверу по ssh(при помощи putty) выдаёт: >Apr 14 16:07:14 serv sshd[733]: refused connect from my.zzzzzz.net (xxx.xxx.xxx.xxx)- так все >стало после установки firewall, до этого естественно всё работало, и MySQL >(3306)-тоже перестал, хотя почта 25,110 -ходит как надо ,что это может >быть??? >Заранее благодарен Димитрий Если у тебя далее стоит deny, то похоже, что правилом 410 ты разрешил подключение к себе на 22 и 3306, а правило 405 у тебя разрешает tcp от тебя to any на 22 и т.д. Но надо разрешить с твоего 22 to any не на 22, т.к. когда ты коннектишься к серваку на 22, сам идешь не с 22, а с любого. Т. о. правило надо модифицировать add 405 allow tcp from me ssh to any То же и с 3306 А, сейчас заметил правило add 350 allow ip from me to any Может исходящие пакеты проходят через него и вылетают из ipfw, не доходя 405 Тогда хрен его знает Попробуй поубирать и подобавлять конкретные правила Попробуешь, поделись результатом
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Помогите файрвол+ssh2"
	Сообщение от DMroot on 09-Июл-03, 17:06  (MSK)
	Теперь всё можно, но после перезапуска сети исчезает lo0(127.0.0.1),несмотря на то,что в rc.conf есть строчка ifconfig_lo0="127.0.0.1" Ну да я пока её загнал в rc в виде exec ifconfig lo0 127.0.0.1 Настройки такие: prox='xxx.xxx.xxx.xxx' ${ipfw} flush ${ipfw} add 100 check-state ${ipfw} add 200 deny icmp from any to me in icmptype 5,9,13,14,15,16,17 ${ipfw} add 320 allow icmp from me to any ${ipfw} add 330 allow udp from me to any domain keep-state ${ipfw} add 340 allow udp from any to me domain ${ipfw} add 345 allow ip from any to any via lo0 #${ipfw} add 350 allow  from me to any ${ipfw} add 400 allow tcp from any to me smtp,pop3 ${ipfw} add 405 allow tcp from me to any smtp,pop3,domain ${ipfw} add 410 allow tcp from ${prox} to me smtp,pop3,ssh #${ipfw} add 65534 deny ip from any to me Самое главное что теперь можно всё и отовсюду: ipfw show: 00100   0     0 check-state 00200   0     0 deny icmp from any to me in icmptype 5,9,13,14,15,16,17 00320   0     0 allow icmp from me to any 00330   6   601 allow udp from me to any 53 keep-state 00340   0     0 allow udp from any to me 53 00345   0     0 allow ip from any to any via lo0 00400  75  6571 allow tcp from any to me 25,110 00405   0     0 allow tcp from me to any 25,110,53 00410 140 12340 allow tcp from xxx.xxx.xxx.xxx to me 25,110,22 65535 221 69672 allow ip from any to any ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ - вот эта строчка задолбала! Не понятно откуда берётся... Если после пересборки всё запрещено должно бы было быть... по идее должно было быть 3306 и ssh 65535 221 69672 deny ip from any to any , а тут наоборот... xxx.xxx.xxx.xxx - это единственный ip, с которого можно на Что делать, пробовал вписать 65535 deny ip from any to any - пишет ошибку 65534 deny ip from any to any - всё закрывается нафиг вообще... Что делать? ДА в конфиге ядра, которое установленно есть строчка: options IPFIREWALL_DEFAULT_TO_ACCEPT    #allow everything by default/ это всё наверное из-за нее, а теперь опять нужно ядро пересобирать? Другим способом не решить проблему??
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Помогите файрвол+ssh2"
	Сообщение от Nikolai on 25-Сен-03, 10:08  (MSK)
	для нормального loopback ${fwcmd} add allow all from any to any via lo0 последняя строка обозначает то что ты собирал ядро с опцией по котора по умолчанию разрешает прохождение ВСЕХ пакетов кстати совету воспользоваться заготовкой /etc/rc.firewall там много всякого интересного в том числе защита от спуфинга и пр. неприятных вещей, очень помогает правильно настроить firewall а ещё советую прочитать man firewall
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.