FreeBSD 5.2.1 tűzfal

FreeBSD-all

FreeBSD 5.2.1 tűzfal

  • 1048 megtekintés

( Névtelen (nem ellenőrzött) | 2004. 04. 29., cs – 11:19 )

Teljesen igazad van...de ha ugyvéled pusztitóan hat az agysejtjeidre néhány ember reményteli kérése/kérdése a guruk felé akkor miért olvasod ezeket a topicokat miért válaszolsz miért pusztítod és terheled az agyad ilyen dühitő dolgokkal ???? Pffffffff!

Tisztelettel: macroharddoors

( Névtelen (nem ellenőrzött) | 2004. 04. 27., k – 12:55 )

ha jól értelmezem az általad leírtakat, akkor freebsd-n ipfw-vel nem lehet konkrétan mac szűréstw végezni, csak mac szűkítést...ez szomorú, akkor maradok az iptables-nél....jó öreg debian....:))

( tgyurci v | 2004. 04. 27., k – 13:32 )

Most nezem az ipfw man oldalat es ott talaltam egy ilyet:
{ MAC | mac } dst-mac src-mac
azaz elvileg lehet forras es cel alapjan is szurni, bar en csak ebbol vagyok okos, nem hasznalok ipfw-t.

( fifteen | 2004. 04. 27., k – 14:55 )

man ipfw:

{ MAC | mac } dst-mac src-mac
Match packets with a given dst-mac and src-mac addresses, speci-
fied as the any keyword (matching any MAC address), or six groups
of hex digits separated by colons, and optionally followed by a
mask indicating how many bits are significant, as in

MAC 10:20:30:40:50:60/33 any

Note that the order of MAC addresses (destination first, source
second) is the same as on the wire, but the opposite of the one
used for IP addresses.

Legkozelebb olvasd el a dokumentaciot, es csak utana kerdezoskodni, ha valami meg mindig nem tiszta.
Egyebkent meg, ha stabil rendszert akarsz, akkor jelenleg meg inkabb 4.x-STABLE. Fw szempontbol a pf-et leszamitva tud mindent, amit a CURRENT.

( Névtelen (nem ellenőrzött) | 2004. 04. 27., k – 14:59 )

[quote:51d0343f9a="Anonymous"]ha jól értelmezem az általad leírtakat, akkor freebsd-n ipfw-vel nem lehet konkrétan mac szűréstw végezni, csak mac szűkítést...ez szomorú, akkor maradok az iptables-nél....jó öreg debian....:))

Rosszul értelmezed. De attól még maradhatsz a debiannal, de minek :-)
Zahy

( Névtelen (nem ellenőrzött) | 2004. 05. 02., v – 14:28 )

csináld ezt :

cd /etc
cp rc.firewall /root/ vagy ahova akarod
rm rc.firewall
touch rc.firewall
ee rc.firewall

és a szabályok elé tedd be ezt is

/sbin/ipfw és ide jönnek a szabályok

páááááááá

( Névtelen (nem ellenőrzött) | 2004. 04. 27., k – 16:36 )

nem véletlenül használom a current-et, ugyanis csak az támogatja az ATHEROS chipsettet.......a dokumentációt elolvastam de nem sikerült az alapján a mac szűrést beállítani, pont ezért mertem félve feltenni a kérdést, egyébbként nem értem mi a fa@ért van kiakadva néhányotok azon ha valaki kérdez valamit, nem ezért van ez a segítőkész magyar unix/linux társadalom,
hogy segítsünk egymásnak, ha legközelebb te teszel fel valami számomra triviális f@szságot én nem foglak arrongáns f@szarcú módon lehurrogni, hanem segíteni fogok még ha a szádba is kell rágnom, na erről ennyit köszönöm az eddigi kiemelkedő segítséget.

Tisztelettel: macroharddoors

( Névtelen (nem ellenőrzött) | 2004. 04. 27., k – 17:08 )

Baromira nem értem, min vagy megsértődve. Már az első válaszban leírtam a _korrekt_ szintaxist, a követlkezőben pedig azt, hogy félreérted, mert lehet MAC alapú szűrést. Persze ha nem akarod érteni a választ, akkor minek teszed fel a kérdést?
Zahy

( Névtelen (nem ellenőrzött) | 2004. 04. 27., k – 17:10 )

szerintem ez nem neked cimezte o hanem fifteennek bar o is leirta csak utana meg irt kis kommentet :D

( raven | 2004. 04. 27., k – 18:16 )

ismét itt.
Találtam konfigurálásról leírást ipfw-hez, csak azt nem tudom, hogy fent van-e ill. fut-e a gépemen :(
Ezt hogyan tudnám eldönteni?
Egyébként ha beírok egy ilyet, hogy
ipfw add deny tcp from xxx.xxx.xxx.xxx to any
akkor azt írja ki, hogy
ipfw: getsockopt(IP_FW_ADD): Protocol not available
üdv, raven

( Névtelen (nem ellenőrzött) | 2004. 04. 27., k – 18:36 )

igen fentvan a gepeden, freebsdbe alapbol benevan :)
tolsd be a kernelbe is elotte :DDD
kldload ipfw
ha jolemlexek igy :D

udv ixc

( raven | 2004. 04. 27., k – 18:58 )

ooo, király :)
még 1 kérdés: hogy lehet mindent visszaállítani az eredetibe? (tehát, hogy ne legyen benne rule- vagy csak a default(ok) )

raven

( Névtelen (nem ellenőrzött) | 2004. 04. 27., k – 19:03 )

hat en eleve ugy csinalom hogy csinalok neki egy filet es odairom a dolgokat (lehet alapbol o is azt csinalja csak akkor nemtom hovarakja a filet(bar biztos ilyesmi alapon megy :D)) amugy vannak a ipfw delete parancsok es kitorlod vele a dolgokat :D
amugy ha gondot okoz, akkor latam nemregiben egy x-es ipfw managert :P
talan qtfw volt a neve

( raven | 2004. 04. 27., k – 19:49 )

ez jó is lenne, csak nem fordítja be :(
na leírom mi történt: betöltöttem a kernelbe, próbaképpen minden forgalmat tiltson ezt hozzáadtam és aztán flush, de csak így konzolból és nem tudom hova mentette (onnan gondolom, hogy elmentette mert unloadolom aztán megint load és megint nem megy). Viszont a ipfw show-ra csak azt a deny ip form any to any-t írja ki.
Próbáltam azt is, hogy adok hozzá mindent engedélyez rule-t, de ezzel sem oldódott meg :S
-raven-

( MantaRay | 2004. 04. 27., k – 19:58 )

Hali!

Ha jol ertem, akkor most azt szeretned elerni, hogy mukodjon a tuzfal, de engedjen at mindent?
Probald igy:
[code:1:0269665299]ipfw add 00300 allow ip from any to any[/code:1:0269665299]
A sorszam mindegy, csak kisebb legyen, mint 65535.
Alapallapotba pedig igy hozod:
[code:1:0269665299]ipfw -f flush[/code:1:0269665299]
Jelen esetben az alapallapot egyenlo a halokabel elvagasaval. :)

Udv,
MantaRay

( MantaRay | 2004. 04. 27., k – 20:00 )

Egyebkent en speciel jobban szeretem, ha az ipfw tamogatas bele van forgatva a kernelbe, nem pedig modulkent toltodik be. Bar nem tudom, hogy egyaltalan szamit-e valamit.
Valaki esetleg?

MantaRay

( raven | 2004. 04. 27., k – 20:21 )

ha csinálok egy új rule-t és utána flusholok akkor az előzőek elvesznek vagy megmaradnak és hozzáadja őket?
üdv, raven

( MantaRay | 2004. 04. 27., k – 20:33 )

A flush parancs torli az osszes szabalyt, csak az elore definialt marad benne, ami jelen esetben a mindent tilto sor.
Eloszor nyomj flush-t, es utana add hozza a tobbi szabalyt.

MantaRay

( raven | 2004. 04. 27., k – 20:39 )

óóóó, már értem!
Köszi szépen! :D:D:D:D

jeee!

üdv, raven :)

( MantaRay | 2004. 04. 27., k – 20:45 )

Nincs mit. :)
Majd meselj, hogy mit sikerult kihozni belole!

MantaRay

( raven | 2004. 04. 27., k – 20:51 )

á, frankón működik minden :)
el sem hiszem :)
Na még 1 kérdés: olyat hogy lehet csinálni hogy egy range-et adsz meg neki, tehát pl. 10.0.0.1-től 10.0.5.255-ig tiltsa a forgalmat (ez csak a from rész, a to pedig gondolom any)
-raven-

( MantaRay | 2004. 04. 27., k – 21:12 )

Ezt szerintem tedd tobb sorban, pl. igy:
[code:1:61d4403a95]
ipfw add 00301 allow ip from 10.0.5.0/24 to any
ipfw add 00302 deny ip from 10.0.0.0/8 to any
[/code:1:61d4403a95]
Ebbol az elso sor engedi a 10.0.5.x IP-vel rendelkezo gepeket, a masodik pedig tiltja az osszes 10.x.x.x IP-t. Mivel az elotte levo sorban atengedem, amit kell, ha 10.0.5.x IP-rol erkezik a keres, a masodik sorig el sem jut.

Ha nem jol mondom, javitsatok ki plz...

MantaRay

( Névtelen (nem ellenőrzött) | 2004. 04. 27., k – 22:09 )

en azt probalom megcsinalni hogy osszes tcp port legyen letiltva a tun0 devicen, es mondjuk 22-t es 80-ast engedje csak, de semmi reakcio, igy probaltam:
deny tcp from any to me via tun0
allow tcp from any to me dst-port 22,80

( Névtelen (nem ellenőrzött) | 2004. 04. 27., k – 22:09 )

ja es miert nem megy ez ? :D

( Névtelen (nem ellenőrzött) | 2004. 04. 27., k – 22:23 )

ja igen a kettot felkell cserelni, de utana se jo

( Névtelen (nem ellenőrzött) | 2004. 04. 27., k – 22:40 )

bocsi, hogy teliszemelteltem mar megvan a megoldas

( MantaRay | 2004. 04. 27., k – 22:59 )

Hi!

Ha csak egy geped van, es azt veded tuzfallal, akkor kb. igy allitsd be:
[code:1:f0e65eaaf4]
ipfw -f flush
ipfw add 00100 allow ip from any to any via lo0
ipfw add 00101 deny ip from any to 127.0.0.0/8
ipfw add 00200 check-state
ipfw add 00201 allow tcp from any to any in established
ipfw add 00202 allow tcp from any to any out keep-state setup
ipfw add 00300 allow udp from any to 195.228.240.248 53
ipfw add 00301 allow udp from 195.228.240.248 53 to any
ipfw add 00500 allow icmp from any to any icmptypes 3
ipfw add 00501 allow icmp from any to any icmptypes 4
ipfw add 00502 allow icmp from any to any icmptype 8 out
ipfw add 00503 allow icmp from any to any icmptypes 0,11 in
ipfw add 00600 allow tcp from any to any 22 in keep-state setup
[/code:1:f0e65eaaf4]
A fenti peldabol a 0030x sorok a DNS server elereset biztositjak, a 0050x sorok a pingelest engedik kifele, a 00600-as sor pedig az SSH-t befele. UDP csomagokat csak a DNS server fele engedek, ha netan kellene mas is, akkor bele lehet tenni.
A mindent tilto sor alapbol benne van, azt nem adom kulon hozza.

Udv,
MantaRay

( raven | 2004. 04. 28., sze – 18:23 )

az ipfw használatáról nincsen vhogy magyar leírás?

üdv, raven

( raven | 2004. 04. 26., h – 17:04 )

Hellósztok!

Az lenne a kérdésem, hogy milyen tűzfalat ajánlotok FreeBSD 5.2.1-hez konfigurálhatóságot, dokumentáltságot, használhatóságot figyelembevéve?

Üdv, raven

( MantaRay | 2004. 04. 28., sze – 23:48 )

Hali!

Magyar nyelvu doksit meg nem talaltam, igaz nem is nagyon kerestem. Szerintem jobban jarsz, ha akar szotarazva kibogaraszol egy angol nyelvut.
Itt van pl. ez:
http://members.iinet.net.au/~yance/pppoenat.html
Ez eleg egyszeruen van megfogalmazva, szerintem alap angol nyelvtudassal siman megertheto.
Ha igeny van ra, akkor az onlamp.com-on levo alapokat megprobalom leforditani, de mivel nem sok idom van, csak nehany het mulva tudok vele foglalkozni.

Udv,
MantaRay

( Névtelen (nem ellenőrzött) | 2004. 04. 29., cs – 07:51 )

Ha!

arra lennék kíváncsi ezt miért célszerű beforgatni a kernelbe:

options TCP_DROP_SYNFIN

( raven | 2004. 05. 01., szo – 21:14 )

megint én :)
már betölti boot-kor a tűzfalat, de nem tölti be a beállításokat/szabályokat, pedig scriptben van, ahogy le volt írva.

Még mindig nem tudom ezt a range-es dolgot, mert nem találtam infot erre, a / jelet és utána egy szám pedig nem igazán értem, hogy mit jelent :(

üdv, raven

( MantaRay | 2004. 04. 26., h – 21:22 )

Hali!

Sok tapasztalatom meg nincs a dologgal kapcsolatban, de jelenleg ipfw-t hasznalok FreeBSD 5.2.1 alatt, es abszolut meg vagyok vele elegedve. Igaz, hogy ez csak az itthoni halozatomat vedi. Az OnLamp.com-on a FreeBSD basics rovatban talalsz hozza szajbaragos cikkeket, azok alapjan eleg szepen be lehet loni.
Konkretan mire hasznalnad, milyen kornyezetben?

Udv,
MantaRay

( MantaRay | 2004. 05. 01., szo – 23:18 )

Hali!
[quote:d287fdc784="raven"]megint én :)
már betölti boot-kor a tűzfalat, de nem tölti be a beállításokat/szabályokat, pedig scriptben van, ahogy le volt írva.

A /etc/rc.conf -ban is benne vannak a megfelelo sorok? Illetve biztos, hogy jo az a script? Szerintem masold ide a megfelelo sorokat, latatlanban nem tudjuk megmondani, hol a baj. :)
[quote:d287fdc784="raven"]
Még mindig nem tudom ezt a range-es dolgot, mert nem találtam infot erre, a / jelet és utána egy szám pedig nem igazán értem, hogy mit jelent :(

Ezzel kapcsolatban ezt tudom ajanlani elolvasasra:
http://www.burningvoid.com/iaq/network-class.html

Udv,
MantaRay

( Névtelen (nem ellenőrzött) | 2004. 04. 26., h – 21:31 )

Hát kérlek szépen.
Elsősorban az ipfw-t ajánlanám, mert ez a sajátja, és ez tud (jelen pillanatban egyedüliként) együttműködni a dummynet nevű forgalomkorlátozó mechanizmussal.
Másodsorban az ipf-et, mert ugyanaz az ipf fut Solarison, HPUX-on esetleg egyében is, valamint mert nagyok kellemes ficsorok vannak benne.
Harmadsorban a pf-et. Bár az még az 5.2.1-be nem került bele, de annál valamivel frissebbhez már elérhető - ez pedig az OpenBSD-sek hiper-szuper csili-vili, kitakarít-betakarít csomagszűrője.
Ami a használhatóságot illeti, jó mindegyik, ami a dokumentáltságot, az meg pláne. (És persze talán meg kéne vitatni, hogy ki mit nevez tűzfalnak. Van, aki a csomagtűrő szűzfalat nem tekinti szűzfalnak, és van, aki igen.)
Zahy

( raven | 2004. 04. 26., h – 21:36 )

Hellósztok!
Köszönöm az eddigi hozzászólásokat.
Nekem kábeles netem van és LAN-t védik tűzfallal az internetről érkező adatokkal szemben, viszont a helyi hálós kemény srácok mindig próbálkoznak csatlakozni (eddigi XP - ZApro) amit elutasított a tűzfalam. Tehát elsősorban helyi hálóról érkező támadások ellen kellene valamint az internet irányából érkező kérelmeket is szeretném ellenőrizni.
A címeket mindjárt nézem is, amit MantaRay mondott.
Üdv, raven

( Névtelen (nem ellenőrzött) | 2004. 04. 29., cs – 10:13 )

[quote:4a7e87c3ad="Anonymous"]Ha!

arra lennék kíváncsi ezt miért célszerű beforgatni a kernelbe:

options TCP_DROP_SYNFIN

Mert ez a két bit együtt hálózati csomagban leginkább csak az nmap által generált, az oprendszer kitalálására szolgáló scan-ben használatos.

( Névtelen (nem ellenőrzött) | 2004. 04. 27., k – 03:32 )

sziasztok!

Idevág a nyűgöm, mac address szürést szeretnék beállítani FBSD 5.2.1 alatt, olvasgattam a manját de nem tudok eligazodni rajta, valaki csinált már ilyet esetleg ???

valami ilyen kellene:

ipfw add allow all from xx:xx:xx:xx:xx:xx to me
ipfw add allow all from me to xx:xx:xx:xx:xx:xx

persze ez igy nem müködik.....:))) de valami hasonlót ha tudnátok.....

( fifteen | 2004. 04. 29., cs – 10:56 )

Nah, akkor par eszrevetel, tanacs, tapasztalat:

1. Teljesen mind1, hogy modulkent, vagy kernelbe drotozva hasznalod. GENERIC kernel eseten modulba fordul, es a kldload ipfw paranccsal tudod betolteni. Ha minden boot utan hasznalni akarod, akkor /etc/rc.conf-ba kell az firewall_enable="YES" sor. Innentol kezdve, ha nincs kernelben, akkor betolti a modult bootkor.

2. Remote nem egeszseges a GENERIC modult betolteni, mivel ugye default deny. A manualban le van irva a parancs, amivel betoltheted, sima copy&paste.

3. A legegyszerubben adminisztralhato megoldas:
/etc/rc.conf:
firewall_enable="YES"
firewall_type="/etc/rc.firewall.script"

Az /etc/rc.firewall.script file-ba szepen beirkalod a szabalyokat, default modul eseten erdemes az elso sorba irni az engedelyezest, mert frissiteskor sorrol-sorra megy, es az elso hibas szabalynal lep ki, igy, ha az utolso sor az 'egyebkent szabad', akkor igen konnyen kizarhatod magad.

Ha frissiteni akarod a szabalyokat, akkor eleg a script file-t editalni, utana pedig az 'sh /etc/rc.firewall' parancs szepen takarit, es ujratolt a config szerint. Nem kell kulon script, elso sor flush, meg hasonlok.

A fenti modszer 'tovabbi elonye', hogy ezt annak idejen pont igy talaltak ki, boot alatt jokor, szepen fut le, semmi taknyolas.

4. Lehet, hogy sokaknak csak fikazasnak tunik, de en azert ismetelten leirom: Elobb olvass, aztan kerdezz. A BSD-k pont a legjobban dokumentalt OS-ek koze tartoznak. Az esetek tulnyomo tobbsegeben minden szepen le van vezetve a manualokban, a handbookban, vagy a FAQ-ban. Ezert is nincs annyi kulon HOWTO, mint linuxon pl. Firewall kell? man firewall, man ipfw, handbook/firewall resz. Ha ezeket mind szepen atnyalaztad 3x, akkor nem hiszem, hogy tul sok tovabbi kerdesed lenne a temaban. Nem arrol van szo, hogy nem szivesen segitunk, de, ha valami mar le van irva, es valaki csak lustasagbol nem veszi a faradtsagot, hogy elolvassa, ergo a masok idejet/agysejtjeit pazarolja, akkor a hiszti helyett inkabb nezzen kicsit magaba, esetleg latogasson el ide:
http://www.fifteen.hu/info/docs/rtfm.html

Sziasztok.

fif

( Névtelen (nem ellenőrzött) | 2004. 04. 27., k – 09:24 )

Mi lenne, ha rákeresnél a MAC szócskára? Ugyanis szerinte így kell:
ipfw add allow all from any to me MAC any xx:xx:xx:xx:xx:xx
(azaz ha jól értem, ezt nem adhatod meg forrás ill. célcímnek, csak szűkítőfeltételnek, ezzel szemben a kötelezően megadandó két MAC címnek pont fordított a sorrendje, mint amit az IP-címeknél használsz.)
Zahy