Date: Mon, 28 May 2001 10:44:40 +0200 (CEST) From: Claus Guttesen <none@cguttesen--yahoo.dk.lh.bsd-dk.dk> Subject: ipfilter på FreeBSD 4.3 To: bsd-dk <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk>
Hej.
Jeg er - som andre osse har udtrykt det - positivt
overrasket over BSD-listen. Var ellers tilmeldt den
amerikanske FreeBSD, men der kom for meget irrelevant,
så faldt jeg heldigvis over denne liste.
Jeg har installeret ipfilter på min bærbare, og
ipfilter er relativt nemt at installere. En uførlig
beskrivelse kan findes på
http://www.openbsd.org/faq/faq6.html#6.2. Jeg har
fulgt denne, men er løbet ind i et kosmetisk problem.
Jeg har klippet filen /etc/ipf.rules ind, nogle af
linierne er dog for lange til at de kan vises korrekt
i yahoo-mail. Men syntaksen er korrekt, da jeg er i
stand til at ændre i regel-sættet og opnå en
forudsigelig effekt.
Mit problem består i SYNC/SYNC ACKNOWLEDGE i
tcp-stakken og implementeringen i ipfilter. I
vejledningen på openBSD's side står der at SYNC/SYNC-A
kan sættes ind så ipfilter kun skal inspicere denne
etablering i start-fasen. Når den først er etableret
med SYNC-A vil ipfilter blokere denne port, så
port-skannere for vanskelligere ved at sniffe.
Når jeg har enablet egenskaben S/SA på HTTP, så kan
jeg ikke benytte denne udefra, selvom mit net er
defineret korrekt. Når jeg fjerner S/SA så fungerer
det efter hensigten. Har jeg skrevet noget forkert i
/etc/ipf.rules?
# Min regel - start
pass in quick on fxp0 proto tcp from any to any port =
80 S/SA
# Min regel - slut
Som I ser, 80 (http) tilladt, men tilføjes S/SA så
sker der ingenting, lynx siger blot 'HTTP request
sent, waiting for response.'
Jeg har lignende regler for 22 (ssh) og 21 (ftp) som
fungerer.
Gør jeg noget forkert, eller skal 80 (http) sættes
anderledes op?
Hilsen
Claus
###########################
# begin ruleset
###########################
# Allow all traffic to and from loopback
pass out quick on lo0
pass in quick on lo0
# drop itsy bitsy frags
block in quick proto tcp all with short
# drop source routed packets
block in quick on fxp0 all with opt lsrr
block in quick on fxp0 all with opt ssrr
# don't allow anyone to spoof non-routeable addresses
block in quick on fxp0 from 127.0.0.0/8 to any
block in quick on fxp0 from 192.168.0.0/16 to any
block in quick on fxp0 from 172.16.0.0/12 to any
block in quick on fxp0 from 10.0.0.0/8 to any
block out quick on fxp0 from any to 127.0.0.1/8
block out quick on fxp0 from any to 192.168.0.0/16
block out quick on fxp0 from any to 172.16.0.0/12
block out quick on fxp0 from any to 10.0.0.0/8
# only allow our machines to connect via ssh
pass in quick on fxp0 proto tcp from
mit-fiktive-net/26 to any port = 22 flags S/SA
# allow others to use http and https
pass in quick on fxp0 proto tcp from any to any port =
21 flags S/SA
pass in quick on fxp0 proto tcp from any to any port =
80 flags S/SA
pass in quick on fxp0 proto tcp from any to any port =
443 flags S/SA
# finally lock the rest down with a default deny
block in quick on fxp0 from any to any
# and let out-going traffic out and maintain state on
established connections
# -- The flags S on the keep state is to ensure that
state tracking starts
# only on the first outbound packet in a tcp
session.
# unnecessary consumption of state table entries.
# -- The flag s only works on the tcp protocol, so
three entries are required to
# to cover all three protocols (tcp, udp, icmp).
pass out quick on fxp0 proto tcp from any to any
keep state
pass out quick on fxp0 proto udp from any to any
keep state
pass out quick on fxp0 proto icmp from any to any
keep state
# test, Claus den 27. april 2001
#pass out on fxp0 proto tcp from any to any keep state
#############################
# end ruleset
#############################
______________________________________________________
Går mail for langsomt for dig?
Så prøv Yahoo! Messenger - her kan du i løbet af få sekunder udveksle beskeder med de venner, der er online.
Messenger finder du på adressen: http://dk.messenger.yahoo.com
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:08 CET