BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 14 ] 
Автор Сообщение
 Заголовок сообщения: Блокировка ICMP в IPFW
СообщениеДобавлено: Сб 02 июн, 2012 10:38 am 
Не в сети

Зарегистрирован: Сб 07 янв, 2012 9:26 am
Сообщения: 185
Доброго времени суток уважаемые форумчане!
Подскажите мне пожалуйста команды для IPFW, которыми я смогу отсечь все ICMP запросы кроме например одного IP.
Заранее вам благодарен!


Последний раз редактировалось Laterport Пн 04 июн, 2012 10:30 am, всего редактировалось 2 раз(а).

Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс 03 июн, 2012 2:35 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1103
Откуда: Kiev
Код:
ipfw add allow icmp from IP.IP.IP.IP to any
ipfw add allow icmp from any to IP.IP.IP.IP
ipfw add deny icmp from any to any

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 04 июн, 2012 7:59 am 
Не в сети

Зарегистрирован: Сб 07 янв, 2012 9:26 am
Сообщения: 185
skeletor
Спасибо!


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 24 июл, 2012 6:00 pm 
Не в сети

Зарегистрирован: Сб 07 янв, 2012 9:26 am
Сообщения: 185
Дабы не плодить тем спрошу тут.

Вот с такой опцией от меня ходят пинги наружу, причём при указании как хоста ya.ru, так и ip:

add allow ip from me to any keep-state

Стоит её убрать, ресурсы пингуются только по IP.

Поясните пожалуйста почему? И что вообще в целом означает опция keep-state?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 24 июл, 2012 6:10 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1103
Откуда: Kiev
Взял из мана
Цитата:
«Операция состояния – путь для системы сетевой защиты, динамически создающей правила для определенных потоков при обнаружении пакетов соответствующих данному образцу. Поддержка операций состояния доступна через варианты правил check-state, keep-state и limit.


Иными словами, при использовании keep state при прохождении пакета через правило, создаётся динамическое правило в «другую» строну. Это позволяет поддерживать соединения. Точнее позволяет иметь 2 правило для двухстороннего обмена пакетами (второе создаётся автоматически и называется динамическим)

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 24 июл, 2012 6:30 pm 
Не в сети

Зарегистрирован: Сб 07 янв, 2012 9:26 am
Сообщения: 185
skeletor
Спасибо!

А как считаете, какое динамическое правило создается в моем случае?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 24 июл, 2012 6:32 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1103
Откуда: Kiev
Обратное.
А как считаете, какой цвет у моего автомобиля?
Вы не указали своих правил, поэтому какой вопрос - такой ответ.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 24 июл, 2012 7:18 pm 
Не в сети

Зарегистрирован: Сб 07 янв, 2012 9:26 am
Сообщения: 185
add allow ip from me to any keep-state
add allow icmp from 192.168.0.100 to me via em0
add allow tcp from 192.168.0.100 to any dst-port 22


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 24 июл, 2012 7:57 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1103
Откуда: Kiev
ipfw -d show покажет, какие динамические правила создались.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 24 июл, 2012 9:04 pm 
Не в сети

Зарегистрирован: Сб 07 янв, 2012 9:26 am
Сообщения: 185
skeletor
Благодарю!


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб 15 сен, 2012 9:56 am 
Не в сети

Зарегистрирован: Сб 07 янв, 2012 9:26 am
Сообщения: 185
Подскажите пожалуйста, как заставит IPFW писать логи?

В /etc/rc.conf прописано
firewall_logging="YES"

в /etc/sysctl.conf
net.inet.ip.fw.verbose=1
net.inet.ip.fw.verbose_limit=5



Нужно сделать так, чтобы можно было наблюдать за работой фаерволла, что отсекается, а что пропускается.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб 15 сен, 2012 1:27 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1023
Откуда: Киев
В наблюдаемых правилах кажись должен фогурировать ключ "LOG" или подобный.
Пишу по памяти.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб 15 сен, 2012 9:32 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 01 ноя, 2010 2:08 pm
Сообщения: 195
Откуда: Киев
Код:
$cmd 00030 deny log tcp from any to me 22 in via $pif


ну и то же самое для разрешаемых пакетов:

Код:
$cmd 10000 allow log all from any to any


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб 15 сен, 2012 10:37 pm 
Не в сети

Зарегистрирован: Сб 07 янв, 2012 9:26 am
Сообщения: 185
Спасибо! Промониторил, работает!


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 14 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], Yahoo [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика