From: Bjarne Wichmann Petersen <none@bsddk.nospam--mekanix.dk.lh.bsd-dk.dk> To: bsd-novice@bsd-dk.dk Subject: IPFW spørgsmål Date: Wed, 30 Jan 2002 22:46:00 +0100
Hej
Jeg har lidt svært ved at fange konceptet omkring ipfw/firewall helt, og
hjælper ikke når eksempler, man-pages og anden hjælp sejler rundt i et dusin
aliaser. Så her nogle måske ret banale spørgsmål.
Netmask. Den har jeg svært ved at greje. Hvad er den? Og hvad er Subnet? Er
det det samme eller er der forskel? 127.0.0.0/8 er det det samme som en
"range" fra 127.0.0.0 til 127.0.0.255? Og /16 er det x.x.0.0-x.x.255.255? Og
så frem deles?
Indtil nu har jeg brugt en meget lukket firewall, som jeg har lidt problemer
med i forbindelse med icq, irc/dcc o.lign., hvor jeg vil skabe direkte
kontakt med en anden klient og det er lidt tilfældigt/dynamisk hvilken port
det sker på. Og når så begge er bag en firewall, kommer jeg tit ikke særligt
langt.
Så nu vil jeg lave en semi-åben firewall, som tillader al trafik ud. Lukker
al trafik ind på porte <1024 og 6000-6063 (X), med visse undtagelser. Og så
ellers tillade fri trafik på resten.
Er der umiddelbart nogle problemer i sådan er firewall? Har ikke nogen
services kørende, så?
Min firewall er lidt klippeklister fra bla. /etc/rc.firewall og så mine egne
regler. Nogle af reglerne forstår jeg ikke rigtig betydningen af.
Jeg har indsat min firewall nedenfor, så hvis nogen har lyst til at hjælpe
med en dybere forståelse af hvad der sker, bukker jeg og siger tak! ;)
# Definitioner
fwcmd="/sbin/ipfw"
#Network, netmask, ip
net="192.168.1.1"
mask="255.255.255.0"
ip="192.168.1.6"
#Flush
${fwcmd} -f flush
#Basis-regler
${fwcmd} add allow all from any to any via lo0
#!Hvad er disse godt for?
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny all from 127.0.0.0/8 to any
#Åbne trafik i det interne net
${fwcmd} add allow all from ${ip} to ${net}:${mask}
${fwcmd} add allow all from ${net}:${mask} to ${ip}
#Tillad etableret TCP-trafik
${fwcmd} add allow tcp from any to any established
#Tillad etableret trafik
#!Gør denne regel ikke ovenstående overflødig?
${fwcmd} add allow all from any to any frag
#Tillad DNS forespørgelser
${fwcmd} add allow udp from ${ip} to any 53 keep-state
##############
## Egne regler ##
##############
#Tillad al trafik ud
#!Er det "farligt"?
${fwcmd} add allow all from ${ip} to any
###############
#Gnomemeeting #
###############
#ILS
#! Er det nødvendigt at angive port begge gange?
${fwcmd} add allow tcp from any 389 to any 389
#ULS
${fwcmd} add allow tcp from any 522 to any 522
#Følgende skulle sådan set ikke være nødvendige da >1024 er åbne
#T.120, H.323, ACC
${fwcmd} add allow tcp from any 1503 to any 1503
${fwcmd} add allow tcp from any 1720 to any 1720
${fwcmd} add allow tcp from any 1731 to any 1731
#IRC
#!Er der problemer ved at have port 113 åben for TCP-trafik?
${fwcmd} add allow tcp from any to ${ip} 113
#Luk al anden trafik for <1024
#!Kommer jeg til at lukke for nødvendig trafik?
#!Er det bedre at benytte 'setup'?
${fwcmd} add deny log tcp from any to any 1-1024
${fwcmd} add deny log udp from any to any 1-1024
#Luk for adgang udefra til X
${fwcmd} add deny log tcp from any to ${ip} 6000-6063
#Tillad al anden trafik
${fwcmd} add 65435 allow all from any to any
Bjarne
-- Homepage: http://www.mekanix.dk
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:25:06 CET