Не работает ipfw

SSL, TLS, Web protect, etc.

Модераторы: Art.i, vasya

Не работает ipfw

Сообщение Andrey™ » Вс дек 04, 2011 10:35 am

Здравствуйте.
У меня не работает ipfw. Ставлю правило блокировки 80 порта, а он всё равно открыт.
На сервере включён nginx и стоит mod_rapf.
Ответ нужен строчно! Я никак не могу разобраться с ddos.
Andrey™
 
Сообщений: 12
Зарегистрирован: Чт авг 25, 2011 11:06 am

Re: Не работает ipfw

Сообщение ls » Вс дек 04, 2011 12:04 pm

В Возможности включили firewall в ISPmanager?
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Не работает ipfw

Сообщение Andrey™ » Вс дек 04, 2011 5:05 pm

Включён, а ни.....а не работает. От вашей техподдержки ждёшь ответ неделями.
Andrey™
 
Сообщений: 12
Зарегистрирован: Чт авг 25, 2011 11:06 am

Re: Не работает ipfw

Сообщение ls » Вс дек 04, 2011 6:35 pm

Тикет находится у людей ответственных за VDSmanager, решат вопрос в понедельник - проблема глобальная по всему серверу где находится ваш VDS
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Не работает ipfw

Сообщение letopisec » Пн янв 09, 2012 3:36 pm

Собственно у меня таже проблема,правила заносятся,но не работают,в isp manager>возможности ipfw выключен и не включается. в /etc/rc.conf ipfw включен. Система freebsd
letopisec
 
Сообщений: 13
Зарегистрирован: Пн янв 09, 2012 3:32 pm

Re: Не работает ipfw

Сообщение ls » Пн янв 09, 2012 4:19 pm

Если команда ipfw show показывает правила, но число пакетов по-нулям и перезагрузка VDS проблему не решает - пишите в поддержку.
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Не работает ipfw

Сообщение Laterport » Ср фев 08, 2012 7:37 pm

Столкнулся с подобной проблемой. Заметил что ipfw не фильтрует пакеты должным образом, а т.е. не обрабатывает запрещающие правила. Написал в тех. поддержку и брандмауэр заработал. Я решил попробовать переустановить VDS и после заметил, что проблема повторяется. Написал снова в тех. поддержку, с вопросом о том, что неужели каждый раз при переустановке виртуального сервера придётся писать им, ответа так и не последовало должного, просто сказали "перенесли ваш сервер, теперь всё должно работать". Куда перенесли - не ясно. Уважаемые технари, что это такое и есть ли какой-нибудь выход?
Laterport
 
Сообщений: 26
Зарегистрирован: Ср фев 08, 2012 7:30 pm

Re: Не работает ipfw

Сообщение ls » Ср фев 08, 2012 9:01 pm

Пишите в поддержку при проблемах с ipfw, самостоятельно такой вопрос решить не получится.
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Не работает ipfw

Сообщение dimasya » Чт мар 08, 2012 12:52 am

ipfw приказал долго жить. цитирую ответ техподдержки:

"По поводу файервола, к сожалению, динамические правила теперь нельзя использовать на вдс. Было изменено ядро системы. это запрещенно виртуализацией.
Могу предложить альтернативу.
Закажите выделенный сервер
http://firstdedic.ru/"

использование VDS с белым IP адресом без адекватного файервола не считаю возможным. все это выглядит как преднамеренное вытеснение пользователей freebsd на более дорогие тарифные планы dedic и xen.
dimasya
 
Сообщений: 9
Зарегистрирован: Вт фев 03, 2009 10:05 am

Re: Не работает ipfw

Сообщение ls » Чт мар 08, 2012 3:16 am

FirstVDS не является разработчиками VDSmanager-FreeBSD и они действительно в последней версии ядра запретили использование динамических правил в связи с тем, что проблемы на одном VDS когда создается большое количество динамических правил (скажем в случае той же атаки на него или просто огромного количества подключений с разных IP-адресов) приводят к исчерпанию памяти ядра ОС (оно одно на все VDS) и падению всей ноды.
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Не работает ipfw

Сообщение dimasya » Чт мар 08, 2012 11:59 am

спасибо за технически грамотное объяснения ситуации с ipfw и динамическими правилами. только Ваше объяснение никак не помогает решению проблемы.
сконфигурировать ipfw для входящих соединений можно, а вот для исходящих без keep-state и check state - никак. предложите такую же технически грамотную альтернативу.
предлагать переходить на dedic и xen не надо. спасибо.
dimasya
 
Сообщений: 9
Зарегистрирован: Вт фев 03, 2009 10:05 am

Re: Не работает ipfw

Сообщение ls » Чт мар 08, 2012 7:42 pm

Просто закройте подключения к сервисам извне которые "не должны быть доступы из интернет" с помощью правил вида
allow tcp from 10.20.30.0/24 to me 22
reset tcp from any to me 22
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Не работает ipfw

Сообщение dimasya » Пт мар 09, 2012 10:52 am

ls писал(а):Просто закройте подключения к сервисам извне которые "не должны быть доступы из интернет" с помощью правил вида
allow tcp from 10.20.30.0/24 to me 22
reset tcp from any to me 22


открыть нужные входящие соединения можно без проблем. еще раз повторю свой вопрос: как без keep-state и check-state разрешить исходящие соединения? хост инициирует исходящие соединения от случайного порта в диапазоне 10000-65535 и ожидает входящие пакеты на этом же порту.

вот реальный пример правил для входящих соединений:
${f} add 2002 allow udp from any to any dst-port 53
${f} add 2023 allow tcp from any to me dst-port 25,80,443,465,993,995,22
${f} add 2025 allow tcp from ns4.nic.ru to me dst-port 53
${f} add 2026 allow tcp from ns8.nic.ru to me dst-port 53
${f} add 2027 allow tcp from 82.146.0.0/16 to me dst-port 53
${f} add 2050 deny ip from any to any
исходящие соединения, инициируемые хостом при этом не работают. с входящими проблем нет.
пришлось "вбить" костыль:
${f} add 2024 allow tcp from any to me dst-port 10000-65535
но это не решение проблемы, так как создается дыра в безопасности хоста.
dimasya
 
Сообщений: 9
Зарегистрирован: Вт фев 03, 2009 10:05 am


Вернуться в Безопасность

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1