forum.opennet.ru - "FreeBSD 5.4 ipfw - почему режет?" (10)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"FreeBSD 5.4 ipfw - почему режет?"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"FreeBSD 5.4 ipfw - почему режет?"
Сообщение от Andreon (ok) on 09-Сен-05, 09:46 (MSK)
Рязъясните, пожалуйста, почему ipfw режет пакеты по 20/21 портам? Задача, думаю, ясна - ftp-сервер. Касательно ftpd все нормально, поскольку ежели полность разрешить ip с сети ftp-клиента, все работет нормально. 01000 allow icmp from any to me 01001 allow ip from me to any 01002 allow ip from any to me dst-port 20,21 65535 deny ip from any to any
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

FreeBSD 5.4 ipfw - почему режет?, Дениска, 09:56 , 09-Сен-05, (1)
- FreeBSD 5.4 ipfw - почему режет?, Andreon, 10:04 , 09-Сен-05, (2)
  - FreeBSD 5.4 ipfw - почему режет?, Дениска, 10:07 , 09-Сен-05, (3)
FreeBSD 5.4 ipfw - почему режет?, butcher, 10:21 , 09-Сен-05, (4)
- FreeBSD 5.4 ipfw - почему режет?, Дениска, 10:25 , 09-Сен-05, (5)
  - FreeBSD 5.4 ipfw - почему режет?, Andreon, 10:42 , 09-Сен-05, (7)
    - FreeBSD 5.4 ipfw - почему режет?, butcher, 11:08 , 09-Сен-05, (8)
      - FreeBSD 5.4 ipfw - почему режет?, Andreon, 13:44 , 09-Сен-05, (9)
        
        FreeBSD 5.4 ipfw - почему режет?, Дениска, 14:37 , 09-Сен-05, (10)
- FreeBSD 5.4 ipfw - почему режет?, Andreon, 10:29 , 09-Сен-05, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "FreeBSD 5.4 ipfw - почему режет?"

Сообщение от Дениска (??) on 09-Сен-05, 09:56  (MSK)

>Рязъясните, пожалуйста, почему ipfw режет пакеты по 20/21 портам? Задача, думаю, ясна
>- ftp-сервер. Касательно ftpd все нормально, поскольку ежели полность разрешить ip
>с сети ftp-клиента, все работет нормально.
>01000 allow icmp from any to me
>01001 allow ip from me to any
>01002 allow ip from any to me dst-port 20,21
>65535 deny ip from any to any
в пассивном режиме фтп сервер открывает на своей стороне не 20 порт для данных, а чаще всего какой-нить больше 40000(хотя это настраивается). Попробуй зайти гаранитрованно в активном режиме.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "FreeBSD 5.4 ipfw - почему режет?"

Сообщение от Andreon (ok) on 09-Сен-05, 10:04  (MSK)

>>Рязъясните, пожалуйста, почему ipfw режет пакеты по 20/21 портам? Задача, думаю, ясна
>>- ftp-сервер. Касательно ftpd все нормально, поскольку ежели полность разрешить ip
>>с сети ftp-клиента, все работет нормально.
>>01000 allow icmp from any to me
>>01001 allow ip from me to any
>>01002 allow ip from any to me dst-port 20,21
>>65535 deny ip from any to any
>в пассивном режиме фтп сервер открывает на своей стороне не 20 порт
>для данных, а чаще всего какой-нить больше 40000(хотя это настраивается). Попробуй
>зайти гаранитрованно в активном режиме.
В активном режиме та же песня. на самом деле режется не только ftp, но и ssh:
01003: allow ip from any to me 22

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "FreeBSD 5.4 ipfw - почему режет?"

Сообщение от Дениска (??) on 09-Сен-05, 10:07  (MSK)

>В активном режиме та же песня. на самом деле режется не только
>ftp, но и ssh:
>01003: allow ip from any to me 22
тогда добавь в последнее правило ipfw log, и смотри в лог + tcpdump. И все станет понятно.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "FreeBSD 5.4 ipfw - почему режет?"

Сообщение от butcher (ok) on 09-Сен-05, 10:21  (MSK)

>Рязъясните, пожалуйста, почему ipfw режет пакеты по 20/21 портам? Задача, думаю, ясна
>- ftp-сервер. Касательно ftpd все нормально, поскольку ежели полность разрешить ip
>с сети ftp-клиента, все работет нормально.
>01000 allow icmp from any to me
>01001 allow ip from me to any
>01002 allow ip from any to me dst-port 20,21
У ip протокола нет понятия портов. Пиши так:
allow tcp from any to me 20,21

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "FreeBSD 5.4 ipfw - почему режет?"

Сообщение от Дениска (??) on 09-Сен-05, 10:25  (MSK)

>>Рязъясните, пожалуйста, почему ipfw режет пакеты по 20/21 портам? Задача, думаю, ясна
>>- ftp-сервер. Касательно ftpd все нормально, поскольку ежели полность разрешить ip
>>с сети ftp-клиента, все работет нормально.
>>01000 allow icmp from any to me
>>01001 allow ip from me to any
>>01002 allow ip from any to me dst-port 20,21
>
>У ip протокола нет понятия портов. Пиши так:
>allow tcp from any to me 20,21
блин, вот ведь невнимательность моя природная :(

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "FreeBSD 5.4 ipfw - почему режет?"

Сообщение от Andreon (ok) on 09-Сен-05, 10:42  (MSK)

>>У ip протокола нет понятия портов. Пиши так:
>>allow tcp from any to me 20,21
>блин, вот ведь невнимательность моя природная :(
не переживай насчет невнимательности.
короче, ситуация такая:
00500      248      13888 allow icmp from any to me
01000    18263    1306647 allow ip from me to any
01001        0          0 allow tcp from any to me dst-port 20
01002        2         88 allow tcp from any to me dst-port 21
01005    14046    1012576 allow ip from any to me dst-port 22
65535 25514024 1242727879 deny ip from any to any
соединение по 22 порту сделано при наличии правила, разрешающего весь ip с сети. далее это правило удаляется, и начинает действовать правило 1005 (заметь, ip с указанием порта 22). На новое соединение действует правило 65535. следует отметить, что по 21 пакеты-таки проскакивают. бред какой-то. сейчас перекомпилирую ядро с IPFIREWALL_VERBOSE...

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "FreeBSD 5.4 ipfw - почему режет?"

Сообщение от butcher (ok) on 09-Сен-05, 11:08  (MSK)

>не переживай насчет невнимательности.
Да, на деле проверка всётаки происходит. В предыдущих версиях FreeBSD (говорю про 4х) такое правило нельзя было добавить вообще, и возможно в дальнейшем утилиту /sbin/ipfw поправят, чтобы это не работало.
>ядро с IPFIREWALL_VERBOSE...
Можно без перекомпиляции (проверял на 6-ке, 5ки щас нет под рукой..)
sysctl net.inet.ip.fw.verbose=1
sysctl net.inet.ip.fw.verbose_limit=100
у вас других пакетных фильтров нет случайно?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "FreeBSD 5.4 ipfw - почему режет?"

Сообщение от Andreon (ok) on 09-Сен-05, 13:44  (MSK)

>>не переживай насчет невнимательности.
>
>Да, на деле проверка всётаки происходит. В предыдущих версиях FreeBSD (говорю про
>4х) такое правило нельзя было добавить вообще, и возможно в дальнейшем
>утилиту /sbin/ipfw поправят, чтобы это не работало.
>
>>ядро с IPFIREWALL_VERBOSE...
>Можно без перекомпиляции (проверял на 6-ке, 5ки щас нет под рукой..)
>
>sysctl net.inet.ip.fw.verbose=1
>sysctl net.inet.ip.fw.verbose_limit=100
  Спасибо, что мне не хватало, так это логов:)
>
>у вас других пакетных фильтров нет случайно?
Все, разобрался. Мне теперь других не надо:)
kernel: ipfw: 1001 Accept TCP 192.168.0.2:1528 212.94.96.68:20 in via xl0
kernel: ipfw: 1001 Accept TCP 192.168.0.2:1526 212.94.96.68:21 in via xl0
kernel: ipfw: 1001 Accept TCP 192.168.0.2:1528 212.94.96.68:20 in via xl0
kernel: ipfw: 1001 Accept TCP 192.168.0.2:1528 212.94.96.68:20 in via xl0
kernel: ipfw: 1001 Accept TCP 192.168.0.2:1522 212.94.96.68:21 in via xl0
kernel: ipfw: 1001 Accept TCP 192.168.0.2:1524 212.94.96.68:21 in via xl0
kernel: ipfw: 1001 Accept TCP 192.168.0.2:1526 212.94.96.68:21 in via xl0
kernel: ipfw: 1001 Accept TCP 192.168.0.2:1526 212.94.96.68:21 in via xl0
kernel: ipfw: 1001 Accept TCP 192.168.0.2:1530 212.94.96.68:21 in via xl0
last message repeated 9 times
Теперь совершенно чайниковский вопрос - а нафига ftpd открывать соединения по другим портам?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "FreeBSD 5.4 ipfw - почему режет?"

Сообщение от Дениска (??) on 09-Сен-05, 14:37  (MSK)

>Теперь совершенно чайниковский вопрос - а нафига ftpd открывать соединения по другим
>портам?
так для этого почитай чем отличаются пассивный и активный фтп моды.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "FreeBSD 5.4 ipfw - почему режет?"

Сообщение от Andreon (ok) on 09-Сен-05, 10:29  (MSK)

>>Рязъясните, пожалуйста, почему ipfw режет пакеты по 20/21 портам? Задача, думаю, ясна
>>- ftp-сервер. Касательно ftpd все нормально, поскольку ежели полность разрешить ip
>>с сети ftp-клиента, все работет нормально.
>>01000 allow icmp from any to me
>>01001 allow ip from me to any
>>01002 allow ip from any to me dst-port 20,21
>
>У ip протокола нет понятия портов. Пиши так:
>allow tcp from any to me 20,21
ip - это уже результаты эксперимента. До этого с таким же успехом было записано правило на tcp.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "FreeBSD 5.4 ipfw - почему режет?"
Сообщение от Дениска (??) on 09-Сен-05, 09:56 (MSK)
>Рязъясните, пожалуйста, почему ipfw режет пакеты по 20/21 портам? Задача, думаю, ясна >- ftp-сервер. Касательно ftpd все нормально, поскольку ежели полность разрешить ip >с сети ftp-клиента, все работет нормально. >01000 allow icmp from any to me >01001 allow ip from me to any >01002 allow ip from any to me dst-port 20,21 >65535 deny ip from any to any в пассивном режиме фтп сервер открывает на своей стороне не 20 порт для данных, а чаще всего какой-нить больше 40000(хотя это настраивается). Попробуй зайти гаранитрованно в активном режиме.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "FreeBSD 5.4 ipfw - почему режет?"
	Сообщение от Andreon (ok) on 09-Сен-05, 10:04 (MSK)
	>>Рязъясните, пожалуйста, почему ipfw режет пакеты по 20/21 портам? Задача, думаю, ясна >>- ftp-сервер. Касательно ftpd все нормально, поскольку ежели полность разрешить ip >>с сети ftp-клиента, все работет нормально. >>01000 allow icmp from any to me >>01001 allow ip from me to any >>01002 allow ip from any to me dst-port 20,21 >>65535 deny ip from any to any >в пассивном режиме фтп сервер открывает на своей стороне не 20 порт >для данных, а чаще всего какой-нить больше 40000(хотя это настраивается). Попробуй >зайти гаранитрованно в активном режиме. В активном режиме та же песня. на самом деле режется не только ftp, но и ssh: 01003: allow ip from any to me 22
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "FreeBSD 5.4 ipfw - почему режет?"
	Сообщение от Дениска (??) on 09-Сен-05, 10:07 (MSK)
	>В активном режиме та же песня. на самом деле режется не только >ftp, но и ssh: >01003: allow ip from any to me 22 тогда добавь в последнее правило ipfw log, и смотри в лог + tcpdump. И все станет понятно.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

4. "FreeBSD 5.4 ipfw - почему режет?"
Сообщение от butcher (ok) on 09-Сен-05, 10:21 (MSK)
>Рязъясните, пожалуйста, почему ipfw режет пакеты по 20/21 портам? Задача, думаю, ясна >- ftp-сервер. Касательно ftpd все нормально, поскольку ежели полность разрешить ip >с сети ftp-клиента, все работет нормально. >01000 allow icmp from any to me >01001 allow ip from me to any >01002 allow ip from any to me dst-port 20,21 У ip протокола нет понятия портов. Пиши так: allow tcp from any to me 20,21
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "FreeBSD 5.4 ipfw - почему режет?"
	Сообщение от Дениска (??) on 09-Сен-05, 10:25 (MSK)
	>>Рязъясните, пожалуйста, почему ipfw режет пакеты по 20/21 портам? Задача, думаю, ясна >>- ftp-сервер. Касательно ftpd все нормально, поскольку ежели полность разрешить ip >>с сети ftp-клиента, все работет нормально. >>01000 allow icmp from any to me >>01001 allow ip from me to any >>01002 allow ip from any to me dst-port 20,21 > >У ip протокола нет понятия портов. Пиши так: >allow tcp from any to me 20,21 блин, вот ведь невнимательность моя природная :(
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "FreeBSD 5.4 ipfw - почему режет?"
	Сообщение от Andreon (ok) on 09-Сен-05, 10:42 (MSK)
	>>У ip протокола нет понятия портов. Пиши так: >>allow tcp from any to me 20,21 >блин, вот ведь невнимательность моя природная :( не переживай насчет невнимательности. короче, ситуация такая: 00500 248 13888 allow icmp from any to me 01000 18263 1306647 allow ip from me to any 01001 0 0 allow tcp from any to me dst-port 20 01002 2 88 allow tcp from any to me dst-port 21 01005 14046 1012576 allow ip from any to me dst-port 22 65535 25514024 1242727879 deny ip from any to any соединение по 22 порту сделано при наличии правила, разрешающего весь ip с сети. далее это правило удаляется, и начинает действовать правило 1005 (заметь, ip с указанием порта 22). На новое соединение действует правило 65535. следует отметить, что по 21 пакеты-таки проскакивают. бред какой-то. сейчас перекомпилирую ядро с IPFIREWALL_VERBOSE...
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "FreeBSD 5.4 ipfw - почему режет?"
	Сообщение от butcher (ok) on 09-Сен-05, 11:08 (MSK)
	>не переживай насчет невнимательности. Да, на деле проверка всётаки происходит. В предыдущих версиях FreeBSD (говорю про 4х) такое правило нельзя было добавить вообще, и возможно в дальнейшем утилиту /sbin/ipfw поправят, чтобы это не работало. >ядро с IPFIREWALL_VERBOSE... Можно без перекомпиляции (проверял на 6-ке, 5ки щас нет под рукой..) sysctl net.inet.ip.fw.verbose=1 sysctl net.inet.ip.fw.verbose_limit=100 у вас других пакетных фильтров нет случайно?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "FreeBSD 5.4 ipfw - почему режет?"
	Сообщение от Andreon (ok) on 09-Сен-05, 13:44 (MSK)
	>>не переживай насчет невнимательности. > >Да, на деле проверка всётаки происходит. В предыдущих версиях FreeBSD (говорю про >4х) такое правило нельзя было добавить вообще, и возможно в дальнейшем >утилиту /sbin/ipfw поправят, чтобы это не работало. > >>ядро с IPFIREWALL_VERBOSE... >Можно без перекомпиляции (проверял на 6-ке, 5ки щас нет под рукой..) > >sysctl net.inet.ip.fw.verbose=1 >sysctl net.inet.ip.fw.verbose_limit=100 Спасибо, что мне не хватало, так это логов:) > >у вас других пакетных фильтров нет случайно? Все, разобрался. Мне теперь других не надо:) kernel: ipfw: 1001 Accept TCP 192.168.0.2:1528 212.94.96.68:20 in via xl0 kernel: ipfw: 1001 Accept TCP 192.168.0.2:1526 212.94.96.68:21 in via xl0 kernel: ipfw: 1001 Accept TCP 192.168.0.2:1528 212.94.96.68:20 in via xl0 kernel: ipfw: 1001 Accept TCP 192.168.0.2:1528 212.94.96.68:20 in via xl0 kernel: ipfw: 1001 Accept TCP 192.168.0.2:1522 212.94.96.68:21 in via xl0 kernel: ipfw: 1001 Accept TCP 192.168.0.2:1524 212.94.96.68:21 in via xl0 kernel: ipfw: 1001 Accept TCP 192.168.0.2:1526 212.94.96.68:21 in via xl0 kernel: ipfw: 1001 Accept TCP 192.168.0.2:1526 212.94.96.68:21 in via xl0 kernel: ipfw: 1001 Accept TCP 192.168.0.2:1530 212.94.96.68:21 in via xl0 last message repeated 9 times Теперь совершенно чайниковский вопрос - а нафига ftpd открывать соединения по другим портам?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "FreeBSD 5.4 ipfw - почему режет?"
	Сообщение от Дениска (??) on 09-Сен-05, 14:37 (MSK)
	>Теперь совершенно чайниковский вопрос - а нафига ftpd открывать соединения по другим >портам? так для этого почитай чем отличаются пассивный и активный фтп моды.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "FreeBSD 5.4 ipfw - почему режет?"
	Сообщение от Andreon (ok) on 09-Сен-05, 10:29 (MSK)
	>>Рязъясните, пожалуйста, почему ipfw режет пакеты по 20/21 портам? Задача, думаю, ясна >>- ftp-сервер. Касательно ftpd все нормально, поскольку ежели полность разрешить ip >>с сети ftp-клиента, все работет нормально. >>01000 allow icmp from any to me >>01001 allow ip from me to any >>01002 allow ip from any to me dst-port 20,21 > >У ip протокола нет понятия портов. Пиши так: >allow tcp from any to me 20,21 ip - это уже результаты эксперимента. До этого с таким же успехом было записано правило на tcp.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]