форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от opennews (ok) on 16-Апр-09, 16:52

Несколько новых уязвимостей: -  В пакетном фильтре OpenBSD PF найдена (http://helith.net/txt/openbsd_4.3-current_pf_null_pointer_de...) уязвимость, приводящая к краху ядра системы при обработке специально оформленного IP пакета (к краху приводит сканирование через "nmap -sO"). Патч можно загрузить здесь (ftp://ftp.openbsd.org/pub/OpenBSD/patches/4.4/common/013_pf....). -  В широком спектре продуктов Oracle (СУБД 9i, 10g и 11g, Application Server, E-Business Suite и т.п.) исправлено (http://secunia.com/advisories/34693/) три опасные уязвимости, которые могут привести к выполнению кода через специальный POST запрос к opmn процессу через 6000 порт, выполнению подставных SQL запросов через манипуляции с пакетом DBMS_AQIN или получению доступа непривилегированного пользователя к APEX паролям. -  В JSON парсере PHP до версии 5.2.9 обнаружена (http://www.mandriva.com/en/security/advisories?name=MDVSA-20...) уязвимость, позволяющая злоумышленнику вызва... URL: Новость: https://www.opennet.ru/opennews/art.shtml?num=21289

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от netc (ok) on 16-Апр-09, 16:52

а как же любимая фраза опенбсд-ов что мол за восемь лет не было найдено не одной уязвимости ;( ну ни кто не ангел конечно

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от Аноним (??) on 16-Апр-09, 16:55
	> мол за восемь лет не было найдено не одной уязвимости ;( Опенбсд - это такой неуловимый Джо.Никому нахрен не нужен - потому и неуловим.А юзали б это на 50% серверов - вы бы узнали о ней много нового, не с лучшей стороны.А редкая экзотичная система хакерам малоинтересна - траха много а ради чего?Сервер с этим найти?!Проще в лотерею миллион выиграть наверное.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 17:47
	>> мол за восемь лет не было найдено не одной уязвимости ;( > >Опенбсд - это такой неуловимый Джо.Никому нахрен не нужен - потому и >неуловим.А юзали б это на 50% серверов - вы бы узнали >о ней много нового, не с лучшей стороны.А редкая экзотичная система >хакерам малоинтересна - траха много а ради чего?Сервер с этим найти?!Проще >в лотерею миллион выиграть наверное. Я пишу эти строки из-под OpenBSD. У меня на работе используется OpenBSD. На прошлой работе тоже используется OpenBSD. Некоторые мои друзья-коллеги в России, я бы даже сказал в Москве, тоже юзают OpenBSD. И если вы не в курсе, среди BSD-систем OpenBSD занимает второе место после FreeBSD: http://en.wikipedia.org/wiki/File:Bsd_distributions_usage.svg . Вы когда-нибудь использовали OpenSSH? Ведь использовали наверняка. А он тоже разрабатывается в рамках OpenBSD. sudo тоже сейчас курируется одним из разработчиков OpenBSD (Todd Miller). Ну а собственно PF был портирован даже на Windows. Да-да.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	23. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от cvsup (ok) on 17-Апр-09, 08:19
	Ты им все равно ничего не докажешь. Они же чуваки (см. соседнюю ветку) и фанатично влюблены в свою промывающую мозг священную корову.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	31. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от Аноним (??) on 20-Апр-09, 20:35
	>я бы даже сказал в Москве, тоже юзают OpenBSD. Вспомнился анекдот про войну чукч и китайцев, там где одних сто а других миллиард. P.S. кстати если следить за дырами то можно заметить что и в sudo и в openssh дыры находили, при том последние - не так уж и давно.С чего вы взяли что дыр нет в менее популярных а потому менее изученных кусках кода - вам виднее, а со стороны выглядит необоснованно и неубедительно. P.P.S. А как ищут баги опенбсдшники - известно. Вот так: http://www.securitylab.ru/news/352795.php
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	32. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от PereresusNeVlezaetBuggy (ok) on 21-Апр-09, 01:03
	>>я бы даже сказал в Москве, тоже юзают OpenBSD. > >Вспомнился анекдот про войну чукч и китайцев, там где одних сто а >других миллиард. … Миллионы мух не могут ошибаться… >P.S. кстати если следить за дырами то можно заметить что и в >sudo и в openssh дыры находили, при том последние - не >так уж и давно.С чего вы взяли что дыр нет в >менее популярных а потому менее изученных кусках кода - вам виднее, >а со стороны выглядит необоснованно и неубедительно. > >P.P.S. А как ищут баги опенбсдшники - известно. Вот так: http://www.securitylab.ru/news/352795.php Именно. Только эта бага существовала задолго до появления на свет OpenBSD (а также Linux), и относилась практически ко всем BSD-системам. Так что факт находки и исправления данной проблемы как раз OpenBSD'шниками, ИМХО, им в плюс. Не они авторы этого кода (автор кода сейчас трудится в первую очередь на благо FreeBSD и вообще стоял у её истоков).
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	33. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от PereresusNeVlezaetBuggy (ok) on 21-Апр-09, 01:11
	>P.S. кстати если следить за дырами то можно заметить что и в >sudo и в openssh дыры находили, при том последние - не >так уж и давно.С чего вы взяли что дыр нет в >менее популярных а потому менее изученных кусках кода - вам виднее, >а со стороны выглядит необоснованно и неубедительно. Находили, и что? Вы хотите кому-то открыть глаза, что нет совершенных программ? Открою вам великую тайну: открывать глаза здесь особо некому. Мы живём в мире несовершенных программ. Доверять нельзя никому. И покажите мне, пожалуйста, с чего вы взяли, что я утверждаю, что в OpenBSD, OpenSSH, sudo и т.д. нет дыр. Ткните меня пальцем и я стыдливо умолкну.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 18:00
	>а как же любимая фраза опенбсд-ов >что мол за восемь лет не было найдено не одной уязвимости ;( > > >ну ни кто не ангел конечно Читайте внимательно: "Only two remote holes in the default install, in more than 10 years!" Во-первых, "в установке по умолчанию". PF в установке по умолчанию не включён. Хотя бы потому, что прикрывать им нечего, по дефолту (идея которого хоть и не была придумана опёнковцами, но явно с их примера пошла в жизнь) в OpenBSD включён только sshd, да и то не обязательно. :) Во-вторых, к сожалению, две уязвимости таки найдено. :( И вторая была тоже связана с IPv6 и ICMP… В-третьих, уже в течение десяти лет. ;)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от xxx (??) on 16-Апр-09, 16:59

Сейчас у них на сайте: "Only two remote holes in the default install, in more than 10 years!". Поэтому ничего страшного, они либо просто отмажутся, либо добавят +1 к числу дырок.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от Аноним (??) on 16-Апр-09, 17:09
	>Сейчас у них на сайте: "Only two remote holes in the default >install, in more than 10 years!". "Нет безбажных программ.Есть недообследованные." (c) мне неизвестен.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 17:48
	>Сейчас у них на сайте: "Only two remote holes in the default >install, in more than 10 years!". >Поэтому ничего страшного, они либо просто отмажутся, либо добавят +1 к числу >дырок. Не путайте DoS с Remote code execution.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от netc (ok) on 16-Апр-09, 17:05

не ну вообще поражает как так простым сканированием выбить фаер а вообще у кого какое мнение по поводу pf често скажу прешел на него с iptables, синтаксис - крут ни чего не скажешь Но как то не так все понятно как с iptables - там ты царь, а тут даже схемы нет как пакеты обрабатываються ИМХО Ну вообщем iptables очень наворочен, и очень гидок в отличии от pf мне так показалось

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 17:53
	>[оверквотинг удален] > >често скажу прешел на него с iptables, синтаксис - крут ни чего >не скажешь > >Но как то не так все понятно как с iptables - там >ты царь, а тут даже схемы нет как пакеты обрабатываються > >ИМХО Ну вообщем iptables очень наворочен, и очень гидок в отличии от >pf >мне так показалось Посмотрите внимательно diff, трабла (в очередной раз) связана с обработкой IPv6. Может, это смерть одного из KAME'овцев так влияет до сих пор, может, ещё что. Схема обработки пакетов детально разжёвана в man'e, равно как и в доступной в Сети книге "Building Firewalls with OpenBSD and PF". Кстати, в CURRENT произошли заметные изменения, о которых я, кажется, так и забыл новость сюда накатать, сейчас исправлюсь.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от Аноним (??) on 16-Апр-09, 18:51
	>не ну вообще поражает как так простым сканированием выбить фаер > Что тебя поражает то? А если б изощренный способ был, тебя это не поразило? Все равно нихера не понимаешь смысла этой атаки и ее механизма (природы ее, так сказать). Будто ты бы такой баги не допустил, можно подумать Такие умные все, блин, пошли... Что не коммент, то обязательно мнение от гипер-мега-крутого программера
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от netc (??) on 16-Апр-09, 19:32
	>>не ну вообще поражает как так простым сканированием выбить фаер >> > >Что тебя поражает то? А если б изощренный способ был, тебя это >не поразило? Все равно нихера не понимаешь смысла этой атаки и >ее механизма (природы ее, так сказать). Будто ты бы такой баги >не допустил, можно подумать > >Такие умные все, блин, пошли... Что не коммент, то обязательно мнение от >гипер-мега-крутого программера если честно, то я себя мега программером не считаю я вообще начинающий сис. админ я просто удивлен, тому, что с каждым днем мне хоть и сложнее работать, но в то же время и интересней работая, каждый день заходить на любимый опеннет и следить за тем, что происходит в мире опенсорс;) а вот по теме того, что меня поражает как раз таки что ни кому верить нельзя. полагаться можно только на себя ;) - просто факт. вообщем то о опенбсд я узнал пытавшись устроиться на работу в одну контору сисадмином причем там много спрашивали а знаете ли вы о таких аттаках, а о таких знаете и вот настал тот час, когда я смело и абсолютно без зазрения совести могу послать ссылку на эту дыру, тому кто со мной вел собеседование и рассказывал мне, что у нас все под контролем ;) да хочу сказать, что сейчас у меня два сервака именно с pf. и замечу, что установив pf я понял очень много вещей, о которых раньше мог только догадываться во всем есть свои плючы и минусы
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	28. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от Faceconrol on 17-Апр-09, 19:55
	>если честно, то я себя мега программером не считаю >я вообще начинающий сис. админ Народная мудрость гласит что иногда тебе надо МНОГО читать, слушать и спрашивать и МАЛО выражать своё мнение. И тогда со временем начнут спрашивать у тебя :) По делу - ошибка в IPv6. Оно ещё принесет не одну и не две проблемы ... но двигаться все же нада :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от iZEN (ok) on 16-Апр-09, 18:55
	>Но как то не так все понятно как с iptables - там ты царь, а тут даже схемы нет как пакеты обрабатываються Правила PF имеют структуру описания из 7 разделов. В IPTABLES пишешь — как бог на душу положит. Почти как отличия C от Asm.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	22. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от linked (ok) on 16-Апр-09, 23:27
	>Но как то не так все понятно как с iptables - там ты царь, > а тут даже схемы нет как пакеты обрабатываються Порядок прохождения пакетов в PF http://img210.imageshack.us/img210/3568/flow.png
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от netc (ok) on 17-Апр-09, 09:32
	спасибо огромное ;)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от netc (ok) on 16-Апр-09, 17:07

много раз пытался переписать правила которые у меня работали в iptables на pf ни фига - тут блин философия другая совершенно причем дай бог чтобы философия не мешала реальным нуждам ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 18:06
	Первая ссылка гугла (отмотано чуть назад по истории сообщений) по запросу "iptables denial of service": http://lists.netfilter.org/pipermail/netfilter-devel/2004-Ap... Вторая ссылка гугла: http://secunia.com/advisories/9429/ И т.д.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от netc (??) on 16-Апр-09, 19:52
	>Первая ссылка гугла (отмотано чуть назад по истории сообщений) по запросу "iptables >denial of service": >http://lists.netfilter.org/pipermail/netfilter-devel/2004-Ap... > >Вторая ссылка гугла: >http://secunia.com/advisories/9429/ > >И т.д. т.е. ты хочешь сказать, что у iptables все запущено пуще pf-а ну в принципе как ниже заметили c и asm, соглашусь, на asm легче допустить ошибку ;)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 20:26
	>[оверквотинг удален] >> >>Вторая ссылка гугла: >>http://secunia.com/advisories/9429/ >> >>И т.д. > >т.е. ты хочешь сказать, что у iptables все запущено пуще pf-а > >ну в принципе как ниже заметили c и asm, соглашусь, на asm >легче допустить ошибку ;) Насчёт того, запущеннее или нет — не возьмусь быть беспристрастным судьёй, а сравнение C и Asm, ИМХО, действительно довольно удачное, именно с такими выводами. :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от netc (??) on 16-Апр-09, 20:36
	вообщем то единственное, что меня не устраивает в подходе к изучению pf так это то, что перевыв уже кучу мануалов и статей я ни где не нащел схемы как обрабатываються пакеты т.е. как в iptables я конечно понимаю, что она будет принципиальна иная я имею в виду что то типа схемы а третей главе вот этого мануала https://www.opennet.ru/docs/RUS/iptables/ или вот позамороченней http://jengelh.medozas.de/images/nf-packet-flow.svg ну вообще у меня раньше была средняя схемка, ну там было все понятно что касаеться openBSD то ни в man pf, ни в faq на сайте, ни в man pf.conf ни чего такого я не нашел хоть бы главу что ли посвятили схеме, - ни фига только словестно, я конечно все понимаю, но блин собрать словестные вещи воедино ИМХО - это сложно. причем до сих пор из за этого страдаю т.е. как то все по отдельности описано, ну не нашел я еще полного мана, видимо прийдеться искать ту книжку про PF типа Understanding PF помоему. может там что то подобное будет
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от iZEN (ok) on 16-Апр-09, 21:07
	>вообщем то единственное, что меня не устраивает в подходе к изучению pf >так это то, что перевыв уже кучу мануалов и статей я >ни где не нащел схемы как обрабатываються пакеты > >ну не нашел я еще >полного мана, видимо прийдеться искать ту книжку про PF типа Understanding >PF помоему. может там что то подобное будет man: http://www.freebsd.org/cgi/man.cgi?query=pf.conf faq: ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf пример: http://www.lissyara.su/?id=1833
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от netc (??) on 16-Апр-09, 21:49
	>[оверквотинг удален] >>так это то, что перевыв уже кучу мануалов и статей я >>ни где не нащел схемы как обрабатываються пакеты >> >>ну не нашел я еще >>полного мана, видимо прийдеться искать ту книжку про PF типа Understanding >>PF помоему. может там что то подобное будет > >man: http://www.freebsd.org/cgi/man.cgi?query=pf.conf >faq: ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf >пример: http://www.lissyara.su/?id=1833 сто раз читал ;)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 22:08
	>[оверквотинг удален] >>> >>>ну не нашел я еще >>>полного мана, видимо прийдеться искать ту книжку про PF типа Understanding >>>PF помоему. может там что то подобное будет >> >>man: http://www.freebsd.org/cgi/man.cgi?query=pf.conf >>faq: ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf >>пример: http://www.lissyara.su/?id=1833 > >сто раз читал ;) Ну вот кортинго тогда. Откуда выдрал - не помню, кажется, было в презентациях, выложенных на openbsd.org. http://77.108.65.40/dnl/flow.png Главное, что нужно понять (не только в случае миграции с iptables на PF или обратно), это то, что плясать надо от конечной цели. То есть формулировать задачу «надо так-то и так-то разрулить взаимодействие таких-то сетей», а не «как адаптировать заточенное под iptables решение для PF».
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от Dorlas (??) on 16-Апр-09, 22:28

Схема прохождения пакета...Ну тут вошел, оттуда вышел :) Принципы простые: 1) Список правил проверяется и применяется на пакет на каждой сетевой, через которую он пройдет 2) NAT на сетевой применяется первый (т.е. меняются заголовки) - и после список правил проверяется уже на пакет с измененным адресом/портом. Вот и вся схема. PS: Недавно мигрировал сервер с iptables/shorewall - около 600 правил на PF - получилось: 7 таблиц + 10 макросов + 40 правил.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	25. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от netc (ok) on 17-Апр-09, 09:35
	а че вполне реальная статистика у меня на iptables было куча непонятного бреда причем когда настраивал уже тогда понял что пройдет время и как все буду вспоминать и камменты не помогут так и есть почти ;) хотя конечно с iptables больше провозился, с pf пока сложно но ни чего тяжело в учении , легко в бою
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от rm (??) on 17-Апр-09, 09:48

Dorlas даже добавлю что, если ты не верно написал порядок правил в pf,то pf просто не загрузит правила:)) наверное поэтому у народа не часто возникают вопросы "как проходит пакет" :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от Dorlas (??) on 17-Апр-09, 16:55

Если внимательно прочитать документацию на PF хотя бы один раз - то сразу будет формироваться правильный список правил и их порядок. Пример:      ############# 1) Макросы и списки ############## if_ext_local="ng0" if_ext_unlim="ng1" if_inet="xl1" if_lan="xl0"      ############# 2) Таблицы (tables) #######################      ############# 3) Опции PF (pf options) ##################      ############# 4) Scrub (нормализация) ################### scrub in all fragment reassemble min-ttl 15 max-mss 1400 scrub in all no-df scrub all reassemble tcp      ############# 5) Очереди (queries) ######################      ############# 6) Трансляция адресов (NAT) ############### nat on $if_ext_local inet from 192.168.0.0/24 -> ($if_ext_local) nat on $if_ext_unlim inet from 192.168.0.0/24 -> ($if_ext_unlim)      ############# 7) Правила фильтрации (filtering rules) ###   #######Блокирующие правила#######   ### Блокировать любые пакеты (правило по умолчанию) ### block drop log all   ### Блокировать любые пакеты без обратного адреса ### block in from no-route to any block in from urpf-failed to any   #######Разрешающие правила#######   ### Разрешить любые пакеты по loopback-интерфейсу ### pass quick on lo0 all   ### Разрешим любые пакеты по внутреннему интерфейсу ### pass quick on $if_lan all   ### Правила для VPN-клиента pass out on $if_inet proto tcp from $if_inet to {10.8.0.1} port 1723 pass on $if_inet proto gre all   ### Доступ к портам сервера с локалки Уфанет ### pass in on $if_ext_local proto tcp from any to any port 873 modulate state pass in on $if_ext_local proto tcp from any to any port 80 modulate state pass in on $if_ext_local proto tcp from any to any port {21 20000><21000} modulate state   ### Разрешить Ping на внешних интерфейсах### pass on {$if_ext_local $if_ext_unlim} inet proto icmp all icmp-type 8 code 0   ### Разрешаем любые пакеты от VPN-интерфейсов ### pass out on $if_ext_local from ($if_ext_local) to any keep state pass out on $if_ext_unlim from ($if_ext_unlim) to any keep state

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от xeonvs (ok) on 17-Апр-09, 20:23
	>Если внимательно прочитать документацию на PF хотя бы один раз - то >сразу будет формироваться правильный список правил и их порядок. > >Пример: > > >  ### Разрешить любые пакеты по loopback-интерфейсу ### >pass quick on lo0 all > зачем нагружать PF фильтрацией заведомо разрешенного траффика? правельнее это правило переписать так: set skip on { lo0 } т.е если условия задачи  позволяют не фильтровать трафик на определенном интерфейсе, то его надо добавить в skip
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от PereresusNeVlezaetBuggy (ok) on 17-Апр-09, 20:28
	>[оверквотинг удален] >> >> >>  ### Разрешить любые пакеты по loopback-интерфейсу ### >>pass quick on lo0 all >> > >зачем нагружать PF фильтрацией заведомо разрешенного траффика? >правельнее это правило переписать так: set skip on { lo0 } >т.е если условия задачи  позволяют не фильтровать трафик на определенном интерфейсе, >то его надо добавить в skip Строго говоря, опция skip появилась в PF не сразу. У меня до сих пор на работе стоят две машины с фряхой (в свете определённых событий обновлять их нет смысла), которые эту опцию не поддерживают. Хотя вообще трудно приветствовать такую геронтофилию. :) Кстати, лучше писать обычно "set skip on { lo }", т.к. иногда удобно создавать дополнительные loopback-интерфейсы.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]