Avatar billede the-machine Nybegynder
06. juni 2002 - 11:50 Der er 20 kommentarer og
1 løsning

BSD-firewall

jeg har sat en BSD firewall med IPFW op men har problemer med hvilke udp-porte jeg skal have åben.
for at folk kan surfe normalt igennem den.

Når jeg har sat en range fra 0-5000 virker det fint, men det er rimelig mange porte at have åben.
derfor ville jeg gerne at man kunne nævne nogle enkelte porte, der er nødvendige...

mvh Brian
Avatar billede bufferzone Praktikant
06. juni 2002 - 12:09 #1
Det kommer jo helt an på hvilke tjenester du ønsker at køre, herer en liste over reserverede porte, så kan du se hvilke porte du har brug for at åbne

http://sec.dynamicweb.dk/Default.asp?ID=119

Hilsen
Kim fra http://www.bufferzone.dk
http://www.fotx.net/bufferzone
Avatar billede the-machine Nybegynder
06. juni 2002 - 12:18 #2
Jeg er lidt træt af at kigge på den liste. den er nemlig lang og jeg har snart kigget mig en svulst til på 50 forskellige ekspl. af den.
Jeg har bare brug for at vide hvilke udp-porte jeg skal have åben ud over port 80 til alm http trafik.
Jeg ved at de ligge et sted mellem 0-5000 men ikke hvilke.

der skal ikke bruges andre sevices jeg har fundet de rigtige tcp-porte. men der skal åbenbart også åbnes en del udp porte.... Hvilke?
Avatar billede the-machine Nybegynder
06. juni 2002 - 12:21 #3
Men det kunne du selvfølgelig ikke vide Kim :-)
Avatar billede signout Nybegynder
06. juni 2002 - 12:53 #4
Luk op for port 80 (http), 443 (https) 53 UDP og TCP (DNS) så kan folk surfe.
Avatar billede the-machine Nybegynder
06. juni 2002 - 13:00 #5
Det lader desværre til ikke helt at være nok.
jeg kan ikke gå ind på en helt normal side som www.jubii.dk
Avatar billede the-machine Nybegynder
06. juni 2002 - 13:02 #6
kan det være en eller anden simpel ipfw rule som skal med jeg bare har overset?
Avatar billede signout Nybegynder
06. juni 2002 - 13:05 #7
Det ville være lettere at afgøre hvis vi kunne se dine regler... :)
Kan du paste dem ind her, så ville det være fjong.
Avatar billede the-machine Nybegynder
06. juni 2002 - 13:19 #8
Her er en skrabet model uden alle de regler jeg har sat op for domænekontroler og andre servere.

###################################################
# Suger de oplysninger der skal bruges fra rc.conf#
###################################################

if [ -z "${source_rc_confs_defined}" ]; then
    if [ -r /etc/defaults/rc.conf ]; then
        . /etc/defaults/rc.conf
        source_rc_confs
    elif [ -r /etc/rc.conf ]; then
        . /etc/rc.conf
    fi
fi
# sæt evt. quied mode
case ${firewall_quiet} in
[Yy][Ee][Ss])
    fwcmd="/sbin/ipfw -q"
    ;;
*)
    fwcmd="/sbin/ipfw"
    ;;
esac

# Flush'er
${fwcmd} -f flush

# Natd adresse oversættelse
if [ -n "${natd_interface}" ]; then
    ${fwcmd} add 500 divert natd all from any to any via ${natd_interface}
fi

###########################################################################
# Kun i sjældne tilfælde skulle det være nødvendigt at ændre disse regler #
###########################################################################

${fwcmd} add 1000 pass all from any to any via lo0
${fwcmd} add 2000 deny all from any to 127.0.0.0/8
${fwcmd} add 3000 deny ip from 127.0.0.0/8 to any

###############################################################################
#####################
# Globale variabler #
#####################

# Externe interface, net, subnetmask og IP
oif="xl0"
onet="x.x.x.x"
omask="255.255.255.0"
oip="x.x.x.x"

# Interne interface, net, subnetmask og IP
iif="xl1"
inet="10.0.0.0"
imask="255.255.255.0"
iip="10.0.0.1"

# firewall'en

$fwcmd add 3900 pass udp from any to any 53-5000
$fwcmd add 3910 allow tcp from any to any 53

# Tillader HTTP forbindelser
$fwcmd add 4100 pass tcp from any to any 80
$fwcmd add 4110 pass udp from any to any 80

# Tillader SSL forbindelser
$fwcmd add 4200 pass tcp from any to any 443

# en eller anden http port som nogen hjemmesider bruger
$fwcmd add 4300 pass tcp from any to any 8000,8001,8080



# tillader icmp (at pinge)
$fwcmd add 5000 pass icmp from any to any

# Tillader alle tcp forbindelser som er etableret, at fortsætte
$fwcmd add 7000 allow tcp from any to any established

# Tillader at jeg kan bruge port-collection på firewall'en
$fwcmd add 7100 allow tcp from $oip to any
############################################################################
# end of firewall #
###################
Avatar billede signout Nybegynder
06. juni 2002 - 13:22 #9
Jeg var nu mere interesseret i en liste fra ipfw - den er mere overskuelig
ipfw sh
viser den
Avatar billede the-machine Nybegynder
06. juni 2002 - 13:22 #10
som det kan ses har jeg åbnet udp range 53-5000 rimlig mange porte. men det er den enste måde jeg kan få det til at virke
Avatar billede the-machine Nybegynder
06. juni 2002 - 13:38 #11
00500 124 60899 divert 8668 ip from any to any via xl0
01000  0    0 allow ip from any to any via lo0
02000  0    0 deny ip from any to 127.0.0.0/8
03000  0    0 deny ip from 127.0.0.0/8 to any
03900  15  2929 allow udp from any to any 53-5000
03910  0    0 allow tcp from any to any 53
04100  94 20136 allow tcp from any to any 80
04110  0    0 allow udp from any to any 80
04200  0    0 allow tcp from any to any 443
04300  0    0 allow tcp from any to any 8000,8001,8080
04400  1    40 allow tcp from any to any 5190
04410  0    0 allow tcp from any to any 20-21
05000  6  168 allow icmp from any to any
07000 109 95046 allow tcp from any to any established
07100  0    0 allow tcp from 217.61.63.8 to any
65535  8  461 deny ip from any to any
firewall#

Undskyld forsinkelsen men der skulle lige leges med nogle editors og noget cut'n paste :-)
Avatar billede sv Nybegynder
06. juni 2002 - 16:00 #12
du kan tillade alt trafik indefra og ud ? og så kun tillade established trafik ind..
tror nok det funker...
Avatar billede the-machine Nybegynder
06. juni 2002 - 18:55 #13
sv<-- det ved jeg ikke hvordan man gør. den kommando jeg kender virker kun med tcp og ikke udp
Avatar billede signout Nybegynder
06. juni 2002 - 19:02 #14
Du har en forkert rækkefølge af dine regler. Du starter med at diverte al trafik. Det betyder at lige så snart en pakke rammer den første regel bliver den ikke parset af resten af reglerne.
Lav det om så den laver dine restrictions først og diverter til sidst.
Avatar billede the-machine Nybegynder
06. juni 2002 - 19:07 #15
min natd regel til sidst så?
men hvad har det at gører med min udp
den regel hvor den siger allow udp from any to any 53-5000
vis jeg retter den til f.eks 53-4000 så kan man ikke surfe længere. det kan da ikke have noget med min divert at gører.
Avatar billede signout Nybegynder
06. juni 2002 - 19:23 #16
det er fordi du har angivet source-adresse forkert
Du skal have 2 regler i stedet for allow udp from any to any 53-5000
den skal i stedet hedde
allow udp from interntnet to any 53
allow udp from any 53 to interntnet
hvor interntnet er ipnet/netmask - f.eks. 192.168.1.0/24 hvis dine interne IP numre er 192.168.0.x og din netmask er 255.255.255.0
Avatar billede the-machine Nybegynder
06. juni 2002 - 19:29 #17
oki.... det må jeg prøve..... du kan se på din point i morgen om det virkede :-)
Avatar billede signout Nybegynder
06. juni 2002 - 19:31 #18
Det gør det :)
Avatar billede the-machine Nybegynder
07. juni 2002 - 08:36 #19
Desværre {Signout} nu virker det overhovedet ikke. ikke engang når jeg ændrer det til 53-5000. Jeg ved ikke hvorfor. hvis der ikke kommer nogle løsninger får du pointene, som tak for hjælpen.
så må jeg studere igen.... jeg burde have mine skolepenge igen. :-)

Flushed all rules.
00500 divert 8668 ip from any to any via xl0  #det er det rigtige sted til divert
01000 allow ip from any to any via lo0
02000 deny ip from any to 127.0.0.0/8
03000 deny ip from 127.0.0.0/8 to any
03900 allow udp from 10.0.0.0/24 to any 53      #de to regler som volder så meget sorg
03910 allow udp from any 53 to 10.0.0.0/24      #og smerte :-)
04100 allow tcp from any to any 80
04110 allow udp from any to any 80
04200 allow tcp from any to any 443
04300 allow tcp from any to any 8000,8001,8080
04400 allow tcp from any to any 5190
04410 allow tcp from any to any 20-21
05000 allow icmp from any to any
07000 allow tcp from any to any established
07100 allow tcp from 217.61.63.8 to any
firewall#

men jeg vil stadig være meget taknemmelig for evt. løsninger
Avatar billede the-machine Nybegynder
07. juni 2002 - 10:37 #20
Jeg fandt den ultimative løsning.......
En kommando der hedder keep-state til udp port 53 (allow udp from any to any 53 keep-state)
og så fandt jeg ud af at jeg havde brug for netbios så port udp 137-139 skulle åbnes.
Så jeg er nu en meget lykkeligere mand der har set lyset.... tak for hjælpen alle :-)
Avatar billede bjd Nybegynder
10. juli 2002 - 21:58 #21
What?!?
Skulle du have åbnet for Netbios UDEFRA??
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester