Sziasztok.
Találtam egy egyszerű ipfw scriptet amit jelenleg használok (lásd lentebb) és szeretném kiegészíteni olyan szabályokkal amik a legtöbbször előforduló támadások ellen megvédi a gépet, pl ping flood. Szeretnék védekezni ha támadják a gépet, iptables -el debianon már megy de FreeBSD-n is szeretném megtanulni. A dokumentációban nem igen írnak a támadási módokról és hogy az ellen hogyan lehet védekezni.
IPF="ipfw -q add" ipfw -q -f flush #loopback $IPF 10 allow all from any to any via lo0 $IPF 20 deny all from any to 127.0.0.0/8 $IPF 30 deny all from 127.0.0.0/8 to any $IPF 40 deny tcp from any to any frag # statefull $IPF 50 check-state $IPF 60 allow tcp from any to any established $IPF 70 allow all from any to any out keep-state $IPF 80 allow icmp from any to any # open port ftp (20,21), ssh (22), mail (25) # http (80), dns (53) etc $IPF 110 allow tcp from any to any 21 in $IPF 120 allow tcp from any to any 21 out $IPF 130 allow tcp from any to any 22 in $IPF 140 allow tcp from any to any 22 out $IPF 150 allow tcp from any to any 25 in $IPF 160 allow tcp from any to any 25 out $IPF 170 allow udp from any to any 53 in $IPF 175 allow tcp from any to any 53 in $IPF 180 allow udp from any to any 53 out $IPF 185 allow tcp from any to any 53 out $IPF 200 allow tcp from any to any 80 in $IPF 210 allow tcp from any to any 80 out # deny and log everything $IPF 500 deny all from any to any
A legutolsó sorból kitöröltem a log tagot mert szerintem eléggé meg tudja fogni a gépet hogy minden eldobott vagy visszautasított csomagot logolnia kell. Mielőtt szóba jönne hogy miért alap tűzfal és miért nem pf, a válasz annyi lenne hogy az még ennél is bonyolultabb.
Szerk: Találtam egy jó kis GUI-t hozzá hátha valakinek kell majd. http://sourceforge.net/project/showfiles.php?group_id=113599&package_id…
- 1259 megtekintés
Hozzászólások
Szervusz!
Esetleg EZT tudom a figyelmedbe ajánlani, ebben van pár jó megoldás.
Illetve: Link 1, Link 2, Link 3, Link 4, Link 5, És a kedvencem.
/mazursky
- A hozzászóláshoz be kell jelentkezni
Igen ezeket azt hiszem megtaláltam a google keresővel. Igazából a támadási módokat nem ismerem, s így erre szabályokat írni igen nehéz.
- A hozzászóláshoz be kell jelentkezni
"Mielőtt szóba jönne hogy miért alap tűzfal és miért nem pf, a válasz annyi lenne hogy az még ennél is bonyolultabb."
ezt hogyan?
csak egy pelda
ipfw:
$IPF 110 allow tcp from any to any 21 in
$IPF 120 allow tcp from any to any 21 out
$IPF 130 allow tcp from any to any 22 in
$IPF 140 allow tcp from any to any 22 out
pf:
pass proto tcp from any to any port {21 22}
#toy like ppl make me boy like
- A hozzászóláshoz be kell jelentkezni
Jogos.
Én is szívtam az IPFW-vel, de végül csak összekalapáltam, hogy menjen.
Persze mostmár megszoktam az IPFW-t, de a PF úgy_mondják jobb, mert csomagszűrő is. Otthonra nekem (pláne, hogy router mögött van a gép) szinte mindegy.
/mazursky
- A hozzászóláshoz be kell jelentkezni
> megszoktam az IPFW-t, de a PF úgy_mondják jobb, mert csomagszűrő is
WTF????
IPFW = IP FireWall (csomagszuro alapon)
PF = Packet Filter - tehat ez attol csomagszuro, hogy a neveben benne van - a masiknak meg nem????
Mind a ketto csomagszuro. Mind a ketto allapottarto (stateful) szuro, es mind a kettoben meg lehet csinalni sok mindent.
- A hozzászóláshoz be kell jelentkezni
Nagyon szep pelda arra, hogy hogyan ne csinaljunk ftp-t es ssh-t atengedni kepes csomagszuro szabalyokat.
Amugy IPFW-vel is irhatod ugyanigy:
$IPF 100 allow tcp from any to any port 21,22
De attol meg ez szar.
- A hozzászóláshoz be kell jelentkezni
nyilvan most nem arra ment ki h hogyan kell ftp-t es ssh-t filterezni csak arra probaltam ravilagitani h semmivel sem nehezebb ugyanazt a szar rulet megirni pf-ben ;)
#toy like ppl make me boy like
- A hozzászóláshoz be kell jelentkezni
divert,natd tol kaptam szivinfartust nem kene userspace helpert hasznalni ilyemihez szerintem .
pf mar tuzfalnak nez ki :) Es iptables utan konyebb lesz hasznalnod is.
- A hozzászóláshoz be kell jelentkezni