From: Bjarne Wichmann Petersen <none@bsddk.nospam--mekanix.dk.lh.bsd-dk.dk> To: bsd-novice@bsd-dk.dk Subject: Re: IPFW spørgsmål Date: Fri, 1 Feb 2002 18:50:01 +0100
On Thursday 31 January 2002 18:36, you wrote:
> [meget lang udredning]
Tror næsten den er der. Et par gennemlæsninger mere og jeg tror jeg har
forstået ;)
> > Så nu vil jeg lave en semi-åben firewall, som tillader al trafik ud.
> > Lukker al trafik ind på porte <1024 og 6000-6063 (X), med visse
> > undtagelser. Og så ellers tillade fri trafik på resten.
> Du kan desværre, hvis det net der sidder bag firewall er en "RFC1918"
> type (i.e.: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) ->
> disse adresser kan ikke routes over det åben internet.
> (derfor bruger man NAT -> Network Address/port Translation)...
Dvs. på stort set alle dsl-forbindelser i DK osv.?
Løser NAT noget af det... og hvor meget migræne kan man regne med for at lære
og forstå NAT?
> > #Åbne trafik i det interne net
> > ${fwcmd} add allow all from ${ip} to ${net}:${mask}
> > ${fwcmd} add allow all from ${net}:${mask} to ${ip}
> Bare en ting -- har din maskine 1 eller 2 netkort ?
... faktisk 2, men det er kun det ene der benyttes.
> > #Tillad etableret TCP-trafik
> > ${fwcmd} add allow tcp from any to any established
Er der nogen idé i en lignede regel for udp?
> > #Tillad etableret trafik
> > #!Gør denne regel ikke ovenstående overflødig?
> > ${fwcmd} add allow all from any to any frag
> Nope -- den tillader kun fragments af pakker, ikke hele pakker.
Den kan jeg ikke helt greje... ovenstående regel, der tillader etableret
tcp-trafik... burde den ikke også lade tcp-fragmenter flyde igennem?
> > #Tillad al trafik ud
> > #!Er det "farligt"?
> > ${fwcmd} add allow all from ${ip} to any
> Ikke specielt -- ikke til dig selv, men måske til andre
> hvis din maskine bliver misbrugt af andre :)
Ok, så er jeg rolig, der sidder kun mig ved maskinen ;)
> > #ILS
> > #! Er det nødvendigt at angive port begge gange?
> > ${fwcmd} add allow tcp from any 389 to any 389
> Ja, hvis du vil skrive det i 1 linie.
> Ellers skal du skrive
> allow tcp from any to ${ip} 389
> allow tcp from ${ip} 389 to any
Hmm... nu ved jeg ikke helt hvordan ILS virker, men tcp/udp pakker, bliver de
afsendt fra samme port som de sendes til? Hvis ikke, er dine 2 regler ikke
bedre... eller hvad med bare
allow tcp from any to any 389 ?
> > #IRC
> > #!Er der problemer ved at have port 113 åben for TCP-trafik?
> > ${fwcmd} add allow tcp from any to ${ip} 113
> Kun hvis du har noget kørende (ident) på 113 :)
> Se min kommentar omkring "åbne services" sidst i denne mail.
> Hvad bruger du af identd ? Har du set it /etc/inetd.conf :
Umiddelbart vil jeg sigen ingen, alt i /etc/inetd.conf er commented ud. Så
lige at man kunne have en ~/.fakeid sammen med auth... den vil jeg lige kigge
nærmere på.
Men det undrer mig egentlig. Hvis jeg har lukket for 113 er der nogle
IRC-servere der nægter mig adgang. Men hvis jeg har åbent lukker de mig. Men
hvad forskel gør det når jeg nu ikke kører identd?
> > ${fwcmd} add deny log tcp from any to any 1-1024
> > ${fwcmd} add deny log udp from any to any 1-1024
> Hvis du tillader relevant in/out traffik _før_, så er der ikke
> noget problem i det. Men der findes en mere optimal mode at
> gøre det på :)
Ja? Du mener default deny?
> > #Tillad al anden trafik
> > ${fwcmd} add 65435 allow all from any to any
> Som sikkerhedsperson, vil jeg anbefale en "default deny"
> og derefter åbne op for kun de ting du skal bruge.
Jo, men det er lidt besværligt hele tiden at skulle holde øje med hvad der nu
bliver blokeret... og en "default deny" er jo en af blokeringerne ved
dynamiske forhaldninger.
> For at checke hvad for nogle services du har åbnet på din server,
> kan du bruge to kommandoer:
> netstat -an (kig i output for "tcp" og "udp")
Som sagt kører jeg "ingen" services (bruger udelukkende min BSD som desktop
computer).
netstat viser syslog (514), printer (515), X (6000) og bootpc/dhcpc (68). Det
er i hvert fald dem der står som "LISTEN".
> Anyway, når jeg får lidt mere tid, vil jeg sende dig en eksempel
> ruleset med IPFW og også IPFILTER.
Well, jeg bukker og skraber i hvert fald for det du har leveret indtil nu.
Har sat en del på plads. ;)
mvh
Bjarne
-- Homepage: http://www.mekanix.dk
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:25:06 CET