Автор Тема: ipfw питанка  (Прочетена 4568 пъти)

mrowcp

  • Напреднали
  • *****
  • Публикации: 450
    • Профил
ipfw питанка
« -: May 05, 2010, 20:40 »
Абе аз ли нещо затъпявам, но не мога да сетна allow правило на IP само за определен порт.Пример:

Искам всичко освен това което върви на порт 23 на 192.168.1.2 да се филтрира ( машината да няма интернет и да се дропят пакети за други портове освен 23ти ).

Опитах с:

ipfw -q add 1 allow all from any to 192.168.1.2 23
ipfw -q add 2 deny all from 192.168.1.2 to any

Ама не ще.При добавянето на правило 2 го няма порт 23.

П.С. Сетих се за описване порт по порт за дропене, но ми се вижда прекалено ламерско...  >:(
Активен

Some Things Just Are The Way They Are

Mitaka

  • Гост
Re: ipfw питанка
« Отговор #1 -: May 05, 2010, 21:31 »
ipfw add allow tcp from any to 192.168.1.2 23 in
ipfw add deny tcp from any to 192.168.1.2 in
Активен

mrowcp

  • Напреднали
  • *****
  • Публикации: 450
    • Профил
Re: ipfw питанка
« Отговор #2 -: May 05, 2010, 21:38 »
ipfw add allow tcp from any to 192.168.1.2 23 in
ipfw add deny tcp from any to 192.168.1.2 in

Каква  [_]3 пиеш :)
Както се казва: work like a charm.Мерси  ;D
Активен

Some Things Just Are The Way They Are

ROKO__

  • Напреднали
  • *****
  • Публикации: 1531
  • Distribution: Calculate Linux Workstation amd64
  • Window Manager: GNOME 2.30
  • AMD Athlon64 4000+ Dual Core 2100 MHz 2MB L2 cache
    • Профил
Re: ipfw питанка
« Отговор #3 -: May 05, 2010, 21:57 »
Аз предпочитам използването на "pf" навик от OpenBSD
Активен

Не е важно да си добър, важно е да си най добрия!!!

http://www.calculate-linux.ru/
http://www.agilialinux.ru/

mrowcp

  • Напреднали
  • *****
  • Публикации: 450
    • Профил
Re: ipfw питанка
« Отговор #4 -: Sep 11, 2010, 12:51 »
Имам още едно питане.ipfw как точно чете номерата и кога и как може да се дублират еднакви номера за различни правила.Пример:

ipfw add 10 allow all from 192.168.1.1 to any
ipfw add 10 allow all from any to 192.168.1.1

това вярно ли е и ако да, само когато и двете правила съдържат еднакви команди ( allow, deny ) ли е възмпжно дублирането на номера?
С какъв номер трябва да е блокирането на трафика, ако искам да блокирам всичко без определени сайтове.Пример:

ipfw add 10 allow all from IPabv to 192.168.1.2
ipfw add 11 allow all from 192.168.1.2 to IPabv
ipfw add 12 deny all from any to any

или първо трябва да забраня всичко и тогава да задам кое е позволено?
Активен

Some Things Just Are The Way They Are

ghoof

  • Напреднали
  • *****
  • Публикации: 44
  • ghoof reborned
    • Профил
Re: ipfw питанка
« Отговор #5 -: Sep 11, 2010, 14:13 »
Първо забраняваш всичко, после пускаш, каквото трябва едно по едно, иначе става ужасна патаклама.

Slevin_

  • Напреднали
  • *****
  • Публикации: 182
    • Профил
Re: ipfw питанка
« Отговор #6 -: Sep 11, 2010, 15:22 »
Първо забраняваш всичко, после пускаш, каквото трябва едно по едно, иначе става ужасна патаклама.
IPFW не е органициран така, че да забраняваш всичко и след това да пускаш каквото ти трябва.
При него важи, пускаш каквото искаш и забраняваш останалото.
защото ако забраним всичко с правило
ipfw add 1 deny all from any to any
Всички пакати ще попадат в това правило и няма да обхождат следващи номера.
Не е примерно като при ipf или pf, където ако не се ползва опцията quick то обхожда и останалите правила, като се зачита последното попадение.

mrowcp
Със:
Код:
ipfw show
Може да видиш реда на правилата в ipfw.


Правилата могат да заемат номерация от 1 до 65535
Обхождането става от низходящ към възходящ ред, при попадение на даден ИП пакет в  правило, то веднага се изпълнява без да обхожда останалите правила след нето.
като 65535 може да бъде

deny ip from any to any
или
allow ip from any to any
в зависимост от това с каква опция е ядрото:
options    IPFIREWALL_DEFAULT_TO_DENY
или
options    IPFIREWALL_DEFAULT_TO_ACCEPT
Това правило не може да се манипулира.

Друга интересна опция е
skipto
с нея може да се укажеш даден пакет, които съвпада с правилото да не обхожда всички правила, а да "прескача" проверката на всички до посочения номер.
Пример:
ipfw add 10 skipto 10000 all from 192.168.100.1 to any
при проверка
с това правило след попадение на ИП пакет ще прескочи всички следващи номера до 9999 и ще продължи проверката от 10000 нагоре, докато се получи следващо попадение в правило.

Точно тук може да оказваш примерно:
ipfw add 10 skipto 10000 all from 192.168.100.1 to any
ipfw add 10 skipto 20000 all from 192.168.10.1 to any
ipfw add 10 skipto 30000 all from 192.168.1.1 to any

Не съм проверявал как би се държал ipfw,
при примерно такава ситуация
ipfw add 10 allow all from 192.168.1.1 to any
ipfw add 10 allow all from any to 192.168.1.1
Активен

"Две неща на този свят са безкрайни - човешката глупост и вселената. За второто не съм съвсем сигурен" А. Айнщайн

savago

  • Напреднали
  • *****
  • Публикации: 84
  • Distribution: mainly OpenBSD,FreeBSD
    • Профил
Re: ipfw питанка
« Отговор #7 -: Sep 11, 2010, 19:46 »
За по лесна бърза работа ползаме таблици.
#--- reseting ---

        $cmd flush
        $cmd pipe flush
        $cmd queue flush
        $cmd table all flush
       
#----Table 1-------------------------   
        $cmd table 1 add 1.2.3.1/24
        $cmd table 1 add 1.2.3.2/24
        $cmd table 1 add 1.2.3.4/24
        $cmd table 1 add 1.2.3.5/24
        $cmd table 1 add 1.2.3.6/27

примерно за изходящ 25

Код:
$cmd add deny log tcp from "table(1)" to any 25

или конекций
Код:
$cmd add allow tcp from "table(1)" to any setup limit src-addr 150
 $cmd add allow udp from "table(1)" to any limit src-addr 100
« Последна редакция: Sep 12, 2010, 10:18 от savago »
Активен

mrowcp

  • Напреднали
  • *****
  • Публикации: 450
    • Профил
Re: ipfw питанка
« Отговор #8 -: Sep 12, 2010, 07:00 »
От таблиците почти нищо не разбрах.Определено има още за учене :)
Защо всичките таблици са под номер 1 ?Как се чете този запис?В таблица под номер 1 добави всички IP-та от клас C ?

В крайна сметка никой не отговори на няколко въпроса: 1) Кога/как се ползва дублиране на номерата на правилото?
Как може да стане следното: Имам две ПС-та, на едното искам да има достъп до... примерно abv, на другото не, но да си има интернет и локална мрежа:

ipfw add 10 allow all from 192.168.1.2 to any
ipfw add 11 allow all from any to 192.168.1.2
ipfw add 12 allow all from 192.168.1.3 to any
ipfw add 13 allow all from any to 192.168.1.3

ipfw add 14 deny all from 192.168.1.3 to IPabv
ipfw add 15 deny all from IPabv to 192.168.1.3
ipfw add 65535 deny all from any to any # този ред значи ли, че ако присъединя ново ПС и го няма описано тук, то няма да има никаква връзка?

На доста неща намерих отговор след тестове :)
Първо ред 15 е ненужен, достатъчно е машината да няма достъп до IP, обратната връзка е без значение.
Второ ред 14 който забранява трябва да е преди 12 и 13 които разрешават.Дефакто първо забраняваме достъпа до определени места, след това разрешаваме до всички останали ( интересно, че обратното ми звучи по логично, но след тестовете се оказа, че логиката ми куца ).

Правилo с номер 65535 си е дефаут и не може да се манипулира ( както си е зададено от кернела, така си е ) - това колегата Slevin_
За еднаквите номера, то си пише в хелпа:
Multiple Rules can have the same number, in which case they are checked (and listed) according to the order in which they have been added.


П.С. Сега забелязвам, че кернела е прекомпилиран само с тези оций:

Код:
#New Options
options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=10
options         IPDIVERT
options         DUMMYNET
options         HZ=1000

но няма нито options    IPFIREWALL_DEFAULT_TO_DENY и options    IPFIREWALL_DEFAULT_TO_ACCEPT
Дефакто ipfw add 65535 deny all from any to any не работи?
« Последна редакция: Sep 12, 2010, 10:15 от mrowcp »
Активен

Some Things Just Are The Way They Are

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Отностно IPFW(IPFW2)
Системни настройки
PeLaLa 5 4320 Последна публикация Apr 13, 2004, 15:36
от
FreeBSD 5.1 and IPFW
Настройки на софтуер
dope_hat 1 3096 Последна публикация May 07, 2004, 04:24
от thc
Ipfw и лимит на сесийте
Настройки на софтуер
mos 4 3016 Последна публикация Feb 19, 2007, 17:52
от mos
ipfw и MAC
Системни настройки
mrowcp 6 3679 Последна публикация Oct 26, 2009, 08:03
от mrowcp
ipfw настройки против DoS Flood
Настройки на софтуер
XTYLING 10 5119 Последна публикация Mar 22, 2011, 18:37
от XTYLING