Настройка фаервола ipfw

SSL, TLS, Web protect, etc.

Модераторы: Art.i, vasya

Настройка фаервола ipfw

Сообщение Mike05 » Сб мар 05, 2011 4:27 pm

Помогите, пожалуйста, настроить фаервол. От поддержки толкового ответа добиться не могу. После включения фаервола в панели исп-менеджера появился соответствующий раздел. Там указаны сервисы, для которых соединения открыты. По логике вещей для всех остальных должны быть по умолчанию закрыты. Но при этом файл настройки фаервола firewall.conf по умолчанию пустой.
ipfw show после первого запуска показывает аллау всем всё. А если фаервол рестартнуть, показывает такую картину:
# ipfw show
00100 186 247278 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 0 0 deny ip from any to ::1
00500 0 0 deny ip from ::1 to any
00600 0 0 allow ipv6-icmp from :: to ff02::/16
00700 0 0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 0 0 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 0 0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 0 0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65535 4023 885989 allow ip from any to any

Откуда берутся эти правила неясно, но все равно фактически всё открыто. А про указанные в панели сервисы фаервол ничего не знает. На вопрос почему поддержка ответила:
"В ISPmanager в меню Брандмауэр (firewall) я не вижу ни одного закрываюещего правила
Настройте там и уведите, что правила пропишутся в firewall.conf и все будет работать
". На повторный вопрос, как все же прописать это закрывающее правило - лаконичный ответ бесполезной ссылкой: http://ru.ispdoc.com/index.php/Брандмауэр_(firewall)_(ISPmanager)

В общем, что и как надо сделать в этой панели, чтобы таки оставить открытыми нужные сервисы, а все остальное закрыть для меня так и остается полной загадкой.

(А если кто-то еще пояснит почему разнятся показания ipfw show до и после рестарта фаервола, и откуда берутся приведенные выше правила - было бы вооще здорово.)
Mike05
 
Сообщений: 18
Зарегистрирован: Сб мар 05, 2011 3:43 pm

Re: Настройка фаервола ipfw

Сообщение Лена » Сб мар 05, 2011 9:13 pm

Mike05 писал(а):чтобы таки оставить открытыми нужные сервисы, а все остальное закрыть
Перечислите, пожалуйста, что именно вы хотите закрыть. Не "всё", а поименно.
Лена
Cool UNIX administrator
 
Сообщений: 810
Зарегистрирован: Вс дек 09, 2007 1:36 pm
Откуда: Киев

Re: Настройка фаервола ipfw

Сообщение Mike05 » Сб мар 05, 2011 9:28 pm

Лена писал(а):
Mike05 писал(а):чтобы таки оставить открытыми нужные сервисы, а все остальное закрыть
Перечислите, пожалуйста, что именно вы хотите закрыть. Не "всё", а поименно.


В панели перечислены стандартные сервисы, для них оставить соединения открытыми (коррекции при необходимости внесу), а все остальные порты - закрыть для внешних соединений (вот как этого добиться через панель - не понимаю).

Я не чрезмерно туп, просто не понимаю, как здесь всё вместе работает: панель, какой-то скрытый конфиг (или откуда там берутся указанные вначале правила), пустой обычный конфиг...
Mike05
 
Сообщений: 18
Зарегистрирован: Сб мар 05, 2011 3:43 pm

Re: Настройка фаервола ipfw

Сообщение Лена » Сб мар 05, 2011 9:44 pm

Mike05 писал(а):все остальные порты - закрыть для внешних соединений
Вы так и не ответили.

Так вот, все остальные порты никто не слушает. Это вам не винда. От магических телодвижений "закрыть" никакая безопасность никак не улучшится.
Лена
Cool UNIX administrator
 
Сообщений: 810
Зарегистрирован: Вс дек 09, 2007 1:36 pm
Откуда: Киев

Сообщение Mike05 » Вс мар 06, 2011 12:02 am

И все же фаервол в моем скромном понимании - это "разрешено что-то конкретное, и запрещено всё остальное". Вот как там через панель записать в конце "денай все" я так и не понял. Может, конечно, это и лишнее, я в самом деле юникс плохо знаю.
Mike05
 
Сообщений: 18
Зарегистрирован: Сб мар 05, 2011 3:43 pm

Сообщение Лена » Вс мар 06, 2011 12:24 am

Firewall в юниксах - для закрытия некоторых дыр в виндах неграмотных пользователей в локальной сети и конкретных специфических задач, а не для абстрактной "защиты" неизвестно от чего, как привыкли виндозники. На VDS локальной сети у вас нет. Юниксы так "защищать" не нужно. "Запретить всё, кроме" - в юниксах дурная привычка IMHO, только создающая проблемы. Это возможно, но только нафига? Часто из желания покомандовать чем-нибудь (разрешать и запрещать, судить, карать и миловать), или слепое неуместное копирование виндозных привычек.

Пытаясь использовать default deny, очень легко наделать себе проблем. А потом "спасите-помогите".
Лена
Cool UNIX administrator
 
Сообщений: 810
Зарегистрирован: Вс дек 09, 2007 1:36 pm
Откуда: Киев

Re: Настройка фаервола ipfw

Сообщение tomas » Ср мар 21, 2012 3:44 pm

Прочел в одном блоге правила:
# Запрет X-сканирования:
add 1001 reject log tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
# Запрет N-сканирования:
add 1002 reject log tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
# Запрет FIN-сканирования:
add 1003 reject log tcp from any to any not established tcpflags fin
# Защита от спуфинга
add 1004 deny log ip from any to any not verrevpath in
# Ограничение числа одновременных соединений:
add 1005 allow ip from any to any setup limit src-addr 10

это должно находится в /etc/ipfw.conf
у меня правила которые я создаю файрволом находятся в /etc/firewall.conf (ниже его содержимое)
add deny tcp from 81.169.143.225 to any
add deny tcp from 61.218.36.21 to any
add deny tcp from 220.226.188.32 to any
add deny tcp from 218.30.22.142 to any
add deny tcp from 202.103.226.187 to any
add deny tcp from 109.73.10.10 to any
add allow tcp from 213.87.0.0/16 to me 21
add allow tcp from 217.197.240.203 to me 21
add reset tcp from any to me 21
add allow tcp from 217.197.240.203 to me 22
add allow tcp from 213.87.0.0/16 to me 22
add reset tcp from any to me 22

как правильно прописать правила которые озвучил в самом начале?
tomas
 
Сообщений: 6
Зарегистрирован: Пн мар 19, 2012 8:02 pm

Re: Настройка фаервола ipfw

Сообщение ls » Ср мар 21, 2012 4:57 pm

established и setup limit не будут работать на VDS. Только на технологии виртуализации Xen
а прописываются правила в нужном вам синтаксисе - add ...правило
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Настройка фаервола ipfw

Сообщение tomas » Ср мар 21, 2012 5:30 pm

значит
# Запрет X-сканирования:
# Запрет N-сканирования:
# Запрет FIN-сканирования:
# Защита от спуфинга
# Ограничение числа одновременных соединений:

реализовать в правилах add нет возможности, может есть аналоги?
tomas
 
Сообщений: 6
Зарегистрирован: Пн мар 19, 2012 8:02 pm

Re: Настройка фаервола ipfw

Сообщение ls » Чт мар 22, 2012 3:41 am

В /etc/firewall.conf прописываете нужные вам правила с тем же синтаксисом. Однако established и setup работать на VDS не будут. Вы можете взять VDS на виртуализации KVM где полная эмуляция "железного" сервера и там это будет работать.
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Настройка фаервола ipfw

Сообщение tomas » Чт мар 22, 2012 5:53 am

такие правила сработают или все снова упрется в виртуализацию.
Код: выделить все
add reject log tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
add reject log tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
add allow tcp from any to me dst-port 21 limit src-addr 10
add allow tcp from any to me dst-port 22 limit src-addr 2
tomas
 
Сообщений: 6
Зарегистрирован: Пн мар 19, 2012 8:02 pm

Re: Настройка фаервола ipfw

Сообщение ls » Чт мар 22, 2012 9:10 am

limit src-addr работать не будет
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Настройка фаервола ipfw

Сообщение ls » Чт мар 22, 2012 9:10 am

limit src-addr работать не будет
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Настройка фаервола ipfw

Сообщение tomas » Чт мар 29, 2012 6:57 am

ls, дайте пожалуйста совет какой из трех типов виртуализации лучше заказать для более удобной\надежной защиты от флуда, взлома?
tomas
 
Сообщений: 6
Зарегистрирован: Пн мар 19, 2012 8:02 pm

Re: Настройка фаервола ipfw

Сообщение ls » Пт мар 30, 2012 3:36 am

Закажите на виртуализации KVM - так как там полностью эмулируется компьютер в который уже установлена ОС с немодифицированным ядром и не будет ограничений со стороны виртуализации и все нужные вам правила будут работать.
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS


Вернуться в Безопасность

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron