форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Помогите с правилами ipfw"

Сообщение от Викинг (ok) on 29-Янв-07, 14:52

Привет всем знатокам! У меня проблемы с правилами ipfw. Нужна помощь и советы. Ситуация такая: В офисе стоит шлюз на фрю 6.1, на данном шлюзе два интерфейса ${inet} и ${local}, ну тут понятно, что куда смотрит. Вот вот мои правила: ${ipfw} add 100 deny all from 192.168.0.10 to any out via ${inet} Вот правило, если кому не лень расскажите, что это правило означает. Я хотел этим правилом ограничить юзеру доступ в инет. Если я неправ поправьте меня. Спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Помогите с правилами ipfw"

Сообщение от newser (ok) on 29-Янв-07, 15:41

>Привет всем знатокам! > >У меня проблемы с правилами ipfw. Нужна помощь и советы. > >Ситуация такая: > >В офисе стоит шлюз на фрю 6.1, на данном шлюзе два интерфейса >${inet} и ${local}, ну тут понятно, что куда смотрит. > >Вот вот мои правила: > >${ipfw} add 100 deny all from 192.168.0.10 to any out via ${inet} > > >Вот правило, если кому не лень расскажите, что это правило означает. Я >хотел этим правилом ограничить юзеру доступ в инет. Если я неправ >поправьте меня. > >Спасибо. Почитайте man ipfw, там вся структура правил изложена.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Помогите с правилами ipfw"
	Сообщение от Викинг (ok) on 29-Янв-07, 15:43
	>>Привет всем знатокам! >> >>У меня проблемы с правилами ipfw. Нужна помощь и советы. >> >>Ситуация такая: >> >>В офисе стоит шлюз на фрю 6.1, на данном шлюзе два интерфейса >>${inet} и ${local}, ну тут понятно, что куда смотрит. >> >>Вот вот мои правила: >> >>${ipfw} add 100 deny all from 192.168.0.10 to any out via ${inet} >> >> >>Вот правило, если кому не лень расскажите, что это правило означает. Я >>хотел этим правилом ограничить юзеру доступ в инет. Если я неправ >>поправьте меня. >> >>Спасибо. > >Почитайте man ipfw, там вся структура правил изложена. Я уже все маны излазил и всё равно данное правило лочит всю локалку
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Помогите с правилами ipfw"
	Сообщение от newser (ok) on 29-Янв-07, 17:01
	>> >>Почитайте man ipfw, там вся структура правил изложена. > >Я уже все маны излазил и всё равно данное правило лочит всю >локалку А Вы еще читайте, и так - до просветления! Можете еще почитать здесь: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firewalls-ipfw.html А сюда лучше приведите вывод ipfw list. PS "Лочить" пользователя из локалки лучше на внутреннем интерфейсе, т.е. ${ipfw} add 100 deny all from 192.168.0.10 to any in via ${local} или что-то в этом роде.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Помогите с правилами ipfw"
	Сообщение от Викинг (ok) on 29-Янв-07, 17:34
	>>> >>>Почитайте man ipfw, там вся структура правил изложена. >> >>Я уже все маны излазил и всё равно данное правило лочит всю >>локалку > >А Вы еще читайте, и так - до просветления! >Можете еще почитать здесь: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firewalls-ipfw.html > >А сюда лучше приведите вывод ipfw list. > >PS "Лочить" пользователя из локалки лучше на внутреннем интерфейсе, т.е. > >${ipfw} add 100 deny all from 192.168.0.10 to any in via ${local} > > >или что-то в этом роде. Я всё это читаю уже неделю, кажется у меся со строкой "firewall_type" которая находится в rc.conf . Когда стоит значение "OPEN" все нормально проходит и уходит как только ставишь значение "SIMPLE" всё лочится и не важно какие правила находятся в файле. На данный момент смысла нет предоставлять ipfw list так как там одно правило, по умолчанию, которое разрешает все и всем. К стати пример ${ipfw} add 100 deny all from 192.168.0.10 to any in via ${local} опять же не работает :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Помогите с правилами ipfw"
	Сообщение от newser (ok) on 29-Янв-07, 17:40
	>>>> >>>>Почитайте man ipfw, там вся структура правил изложена. >>> >>>Я уже все маны излазил и всё равно данное правило лочит всю >>>локалку >> >>А Вы еще читайте, и так - до просветления! >>Можете еще почитать здесь: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firewalls-ipfw.html >> >>А сюда лучше приведите вывод ipfw list. >> >>PS "Лочить" пользователя из локалки лучше на внутреннем интерфейсе, т.е. >> >>${ipfw} add 100 deny all from 192.168.0.10 to any in via ${local} >> >> >>или что-то в этом роде. > >Я всё это читаю уже неделю, кажется у меся со строкой "firewall_type" > >которая находится в rc.conf . Когда стоит значение "OPEN" все нормально проходит >и уходит как только ставишь значение "SIMPLE" всё лочится и не >важно какие правила находятся в файле. > >На данный момент смысла нет предоставлять ipfw list так как там одно >правило, по умолчанию, которое разрешает все и всем. > >К стати пример ${ipfw} add 100 deny all from 192.168.0.10 to any >in via ${local} >опять же не работает :( Ну что же, изучайте. Ссылку я Вам привел. В дефолтном rc.firewall приведены примеры, но как правило админ сам пишет свой rc.firewall на основе своих нужд. А для этого постарайтесь понять принципы работы фаервола, без понимания ничего не получится, а за Вас правила никто писать не будет.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Помогите с правилами ipfw"
	Сообщение от Викинг (ok) on 29-Янв-07, 17:52
	>>>>> >>>>>Почитайте man ipfw, там вся структура правил изложена. >>>> >>>>Я уже все маны излазил и всё равно данное правило лочит всю >>>>локалку >>> >>>А Вы еще читайте, и так - до просветления! >>>Можете еще почитать здесь: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firewalls-ipfw.html >>> >>>А сюда лучше приведите вывод ipfw list. >>> >>>PS "Лочить" пользователя из локалки лучше на внутреннем интерфейсе, т.е. >>> >>>${ipfw} add 100 deny all from 192.168.0.10 to any in via ${local} >>> >>> >>>или что-то в этом роде. >> >>Я всё это читаю уже неделю, кажется у меся со строкой "firewall_type" >> >>которая находится в rc.conf . Когда стоит значение "OPEN" все нормально проходит >>и уходит как только ставишь значение "SIMPLE" всё лочится и не >>важно какие правила находятся в файле. >> >>На данный момент смысла нет предоставлять ipfw list так как там одно >>правило, по умолчанию, которое разрешает все и всем. >> >>К стати пример ${ipfw} add 100 deny all from 192.168.0.10 to any >>in via ${local} >>опять же не работает :( > >Ну что же, изучайте. Ссылку я Вам привел. В дефолтном rc.firewall приведены >примеры, но как правило админ сам пишет свой rc.firewall на основе >своих нужд. А для этого постарайтесь понять принципы работы фаервола, без >понимания ничего не получится, а за Вас правила никто писать не >будет. Да я понимаю, что писать не будут мне этого и ненужно, просто нужен человек с кем можно пообщаться и спросить его мнение. Всё равно спасибо! :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Помогите с правилами ipfw"
	Сообщение от DeadLoco (??) on 04-Фев-07, 02:50
	Всякий уважающий себя провайдер на первом же хопе зарубит любой пакет, у которого в SRC или DST прописан адрес из RFC1918. Данное правило проистекает из природы "серых адресов". Поскольку сети 10.*.*.*, 172.16.*.* и 192.168.*.* могут использоваться каждым встречным-поперечным на свое усмотрение, то таких в/п надлежит надежно изолировать от окружающих - таких же в/п. Наиболее распространенные способы пропускания наружу пакетов из серых сетей - это трансляция адресов и проксирование. Если в вашей сети настроен НАТ, то указанное вами блокирующее правило можно отключить. Пакет с адресом из RFC1918 получит "честный" адрес наружного интерфейса и поедет по назначению беспрепятственно.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Помогите с правилами ipfw"
	Сообщение от Викинг (??) on 04-Фев-07, 10:45
	>Всякий уважающий себя провайдер на первом же хопе зарубит любой пакет, у >которого в SRC или DST прописан адрес из RFC1918. > >Данное правило проистекает из природы "серых адресов". Поскольку сети 10.*.*.*, 172.16.*.* и >192.168.*.* могут использоваться каждым встречным-поперечным на свое усмотрение, то таких в/п >надлежит надежно изолировать от окружающих - таких же в/п. > >Наиболее распространенные способы пропускания наружу пакетов из серых сетей - это трансляция >адресов и проксирование. Если в вашей сети настроен НАТ, то указанное >вами блокирующее правило можно отключить. Пакет с адресом из RFC1918 получит >"честный" адрес наружного интерфейса и поедет по назначению беспрепятственно. Т.е. Вы считаете, что нужно ставить проксю и уже через неё давать доступ юзерам?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Помогите с правилами ipfw"
	Сообщение от BlaZed on 05-Фев-07, 13:57
	>>>>>> >>>>>>Почитайте man ipfw, там вся структура правил изложена. >>>>> >>>>>Я уже все маны излазил и всё равно данное правило лочит всю >>>>>локалку >>>> >>>>А Вы еще читайте, и так - до просветления! >>>>Можете еще почитать здесь: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firewalls-ipfw.html >>>> >>>>А сюда лучше приведите вывод ipfw list. >>>> >>>>PS "Лочить" пользователя из локалки лучше на внутреннем интерфейсе, т.е. >>>> >>>>${ipfw} add 100 deny all from 192.168.0.10 to any in via ${local} >>>> >>>> >>>>или что-то в этом роде. >>> >>>Я всё это читаю уже неделю, кажется у меся со строкой "firewall_type" >>> >>>которая находится в rc.conf . Когда стоит значение "OPEN" все нормально проходит >>>и уходит как только ставишь значение "SIMPLE" всё лочится и не >>>важно какие правила находятся в файле. >>> >>>На данный момент смысла нет предоставлять ipfw list так как там одно >>>правило, по умолчанию, которое разрешает все и всем. >>> >>>К стати пример ${ipfw} add 100 deny all from 192.168.0.10 to any >>>in via ${local} >>>опять же не работает :( >> >>Ну что же, изучайте. Ссылку я Вам привел. В дефолтном rc.firewall приведены >>примеры, но как правило админ сам пишет свой rc.firewall на основе >>своих нужд. А для этого постарайтесь понять принципы работы фаервола, без >>понимания ничего не получится, а за Вас правила никто писать не >>будет. > > >Да я понимаю, что писать не будут мне этого и ненужно, просто >нужен человек с кем можно пообщаться и спросить его мнение. >Всё равно спасибо! :) Данное правило режет пакеты от 192.168.0.10 для любого IP на выходе с ${inet} интерфейса. Абсолютно бессмысленное правило. Если на ${inet} именно внешние адреса, то вышестояший шлюз и так сей пакет зарезать должен. Прочитай хотябы для начала http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html для написания простейших правил должно хватить. Я так понимаю, что ты ставишь firewall_type="SIMPLE", прочитай вышеприведенную ссылку и пойми, что означает SIMPLE. В большинстве случаев предпочтительнее firewall_type="/etc/firewall" в котором пишешь свои правила.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Помогите с правилами ipfw"
	Сообщение от Викинг (ok) on 05-Фев-07, 14:10
	>>>>>>> >>>>>>>Почитайте man ipfw, там вся структура правил изложена. >>>>>> >>>>>>Я уже все маны излазил и всё равно данное правило лочит всю >>>>>>локалку >>>>> >>>>>А Вы еще читайте, и так - до просветления! >>>>>Можете еще почитать здесь: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firewalls-ipfw.html >>>>> >>>>>А сюда лучше приведите вывод ipfw list. >>>>> >>>>>PS "Лочить" пользователя из локалки лучше на внутреннем интерфейсе, т.е. >>>>> >>>>>${ipfw} add 100 deny all from 192.168.0.10 to any in via ${local} >>>>> >>>>> >>>>>или что-то в этом роде. >>>> >>>>Я всё это читаю уже неделю, кажется у меся со строкой "firewall_type" >>>> >>>>которая находится в rc.conf . Когда стоит значение "OPEN" все нормально проходит >>>>и уходит как только ставишь значение "SIMPLE" всё лочится и не >>>>важно какие правила находятся в файле. >>>> >>>>На данный момент смысла нет предоставлять ipfw list так как там одно >>>>правило, по умолчанию, которое разрешает все и всем. >>>> >>>>К стати пример ${ipfw} add 100 deny all from 192.168.0.10 to any >>>>in via ${local} >>>>опять же не работает :( >>> >>>Ну что же, изучайте. Ссылку я Вам привел. В дефолтном rc.firewall приведены >>>примеры, но как правило админ сам пишет свой rc.firewall на основе >>>своих нужд. А для этого постарайтесь понять принципы работы фаервола, без >>>понимания ничего не получится, а за Вас правила никто писать не >>>будет. >> >> >>Да я понимаю, что писать не будут мне этого и ненужно, просто >>нужен человек с кем можно пообщаться и спросить его мнение. >>Всё равно спасибо! :) > >Данное правило режет пакеты от 192.168.0.10 для любого IP на выходе >с ${inet} интерфейса. Абсолютно бессмысленное правило. Если на ${inet} >именно внешние адреса, то вышестояший шлюз и так сей пакет зарезать должен. > >Прочитай хотябы для начала http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html >для написания простейших правил должно хватить. >Я так понимаю, что ты ставишь firewall_type="SIMPLE", прочитай вышеприведенную ссылку и пойми, >что означает SIMPLE. >В большинстве случаев предпочтительнее firewall_type="/etc/firewall" >в котором пишешь свои правила. Спасибо за дельное описание и совет!!! Я обязательно прочту!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Помогите с правилами ipfw"
	Сообщение от KUUL on 27-Окт-07, 21:45
	>>>А Вы еще читайте, и так - до просветления! >>>Можете еще почитать здесь: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firewalls-ipfw.html >>> IPFW Этот раздел не переведен.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]