06. juni 2002 - 11:50Der er
20 kommentarer og 1 løsning
BSD-firewall
jeg har sat en BSD firewall med IPFW op men har problemer med hvilke udp-porte jeg skal have åben. for at folk kan surfe normalt igennem den.
Når jeg har sat en range fra 0-5000 virker det fint, men det er rimelig mange porte at have åben. derfor ville jeg gerne at man kunne nævne nogle enkelte porte, der er nødvendige...
Jeg er lidt træt af at kigge på den liste. den er nemlig lang og jeg har snart kigget mig en svulst til på 50 forskellige ekspl. af den. Jeg har bare brug for at vide hvilke udp-porte jeg skal have åben ud over port 80 til alm http trafik. Jeg ved at de ligge et sted mellem 0-5000 men ikke hvilke.
der skal ikke bruges andre sevices jeg har fundet de rigtige tcp-porte. men der skal åbenbart også åbnes en del udp porte.... Hvilke?
Her er en skrabet model uden alle de regler jeg har sat op for domænekontroler og andre servere.
################################################### # Suger de oplysninger der skal bruges fra rc.conf# ###################################################
if [ -z "${source_rc_confs_defined}" ]; then if [ -r /etc/defaults/rc.conf ]; then . /etc/defaults/rc.conf source_rc_confs elif [ -r /etc/rc.conf ]; then . /etc/rc.conf fi fi # sæt evt. quied mode case ${firewall_quiet} in [Yy][Ee][Ss]) fwcmd="/sbin/ipfw -q" ;; *) fwcmd="/sbin/ipfw" ;; esac
# Flush'er ${fwcmd} -f flush
# Natd adresse oversættelse if [ -n "${natd_interface}" ]; then ${fwcmd} add 500 divert natd all from any to any via ${natd_interface} fi
########################################################################### # Kun i sjældne tilfælde skulle det være nødvendigt at ændre disse regler # ###########################################################################
${fwcmd} add 1000 pass all from any to any via lo0 ${fwcmd} add 2000 deny all from any to 127.0.0.0/8 ${fwcmd} add 3000 deny ip from 127.0.0.0/8 to any
# Externe interface, net, subnetmask og IP oif="xl0" onet="x.x.x.x" omask="255.255.255.0" oip="x.x.x.x"
# Interne interface, net, subnetmask og IP iif="xl1" inet="10.0.0.0" imask="255.255.255.0" iip="10.0.0.1"
# firewall'en
$fwcmd add 3900 pass udp from any to any 53-5000 $fwcmd add 3910 allow tcp from any to any 53
# Tillader HTTP forbindelser $fwcmd add 4100 pass tcp from any to any 80 $fwcmd add 4110 pass udp from any to any 80
# Tillader SSL forbindelser $fwcmd add 4200 pass tcp from any to any 443
# en eller anden http port som nogen hjemmesider bruger $fwcmd add 4300 pass tcp from any to any 8000,8001,8080
# tillader icmp (at pinge) $fwcmd add 5000 pass icmp from any to any
# Tillader alle tcp forbindelser som er etableret, at fortsætte $fwcmd add 7000 allow tcp from any to any established
# Tillader at jeg kan bruge port-collection på firewall'en $fwcmd add 7100 allow tcp from $oip to any ############################################################################ # end of firewall # ###################
00500 124 60899 divert 8668 ip from any to any via xl0 01000 0 0 allow ip from any to any via lo0 02000 0 0 deny ip from any to 127.0.0.0/8 03000 0 0 deny ip from 127.0.0.0/8 to any 03900 15 2929 allow udp from any to any 53-5000 03910 0 0 allow tcp from any to any 53 04100 94 20136 allow tcp from any to any 80 04110 0 0 allow udp from any to any 80 04200 0 0 allow tcp from any to any 443 04300 0 0 allow tcp from any to any 8000,8001,8080 04400 1 40 allow tcp from any to any 5190 04410 0 0 allow tcp from any to any 20-21 05000 6 168 allow icmp from any to any 07000 109 95046 allow tcp from any to any established 07100 0 0 allow tcp from 217.61.63.8 to any 65535 8 461 deny ip from any to any firewall#
Undskyld forsinkelsen men der skulle lige leges med nogle editors og noget cut'n paste :-)
Du har en forkert rækkefølge af dine regler. Du starter med at diverte al trafik. Det betyder at lige så snart en pakke rammer den første regel bliver den ikke parset af resten af reglerne. Lav det om så den laver dine restrictions først og diverter til sidst.
min natd regel til sidst så? men hvad har det at gører med min udp den regel hvor den siger allow udp from any to any 53-5000 vis jeg retter den til f.eks 53-4000 så kan man ikke surfe længere. det kan da ikke have noget med min divert at gører.
det er fordi du har angivet source-adresse forkert Du skal have 2 regler i stedet for allow udp from any to any 53-5000 den skal i stedet hedde allow udp from interntnet to any 53 allow udp from any 53 to interntnet hvor interntnet er ipnet/netmask - f.eks. 192.168.1.0/24 hvis dine interne IP numre er 192.168.0.x og din netmask er 255.255.255.0
Desværre {Signout} nu virker det overhovedet ikke. ikke engang når jeg ændrer det til 53-5000. Jeg ved ikke hvorfor. hvis der ikke kommer nogle løsninger får du pointene, som tak for hjælpen. så må jeg studere igen.... jeg burde have mine skolepenge igen. :-)
Flushed all rules. 00500 divert 8668 ip from any to any via xl0 #det er det rigtige sted til divert 01000 allow ip from any to any via lo0 02000 deny ip from any to 127.0.0.0/8 03000 deny ip from 127.0.0.0/8 to any 03900 allow udp from 10.0.0.0/24 to any 53 #de to regler som volder så meget sorg 03910 allow udp from any 53 to 10.0.0.0/24 #og smerte :-) 04100 allow tcp from any to any 80 04110 allow udp from any to any 80 04200 allow tcp from any to any 443 04300 allow tcp from any to any 8000,8001,8080 04400 allow tcp from any to any 5190 04410 allow tcp from any to any 20-21 05000 allow icmp from any to any 07000 allow tcp from any to any established 07100 allow tcp from 217.61.63.8 to any firewall#
men jeg vil stadig være meget taknemmelig for evt. løsninger
Jeg fandt den ultimative løsning....... En kommando der hedder keep-state til udp port 53 (allow udp from any to any 53 keep-state) og så fandt jeg ud af at jeg havde brug for netbios så port udp 137-139 skulle åbnes. Så jeg er nu en meget lykkeligere mand der har set lyset.... tak for hjælpen alle :-)
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
Ny bruger
Nybegynder
Opret
Preview
