Сайт · Форум · Инструменты · Блог Форум WindowsFAQ

Назад   Форум WindowsFAQ > Тематический раздел > Безопасность

Тема закрыта
 
Действия над темой
alexxnight
Пользователь
Автор темы
 
Регистрация: апр 2009
Сообщений: 86
Сила репутации: 11
Репутация: 23
WIPFW. Настройка. 08-04-2009, 23:21 Инфо Контакт
День добрый.
Кто пользовался WIPFW, поделитесь тем как Вы настраивали: принципами настройки, концепцией. Если не сложно, то покажите примеры решения основных задач...

Спасибо. Если есть вопросы как я настраиваю, спрашивайте. Выложу примеры, обсудим...
alexxnight is offline

Исправлено alexxnight 02-09-2010 в 21:10.
Реклама
Зарегистрируйтесь, чтобы скрыть этот блок
Dzuba
МСР
 
Регистрация: авг 2004
Город: Kiev
Сообщений: 2 890
Сила репутации: 19
Репутация: 207
09-04-2009, 08:42 Инфо Контакт
Посмотрите это
http://ipfw.ism.kiev.ua/
Dzuba is offline
alexxnight
Пользователь
Автор темы
 
Регистрация: апр 2009
Сообщений: 86
Сила репутации: 11
Репутация: 23
09-04-2009, 18:27 Инфо Контакт
Нашел еще вот такую статью
http://www.intuit.ru/department/netw...walls/3/6.html
alexxnight is offline

Исправлено alexxnight 02-09-2010 в 21:11.
Pretender
Использователь
 
Регистрация: сен 2002
Город: Саратов
Сообщений: 3 208
Сила репутации: 20
Репутация: 78
10-04-2009, 00:02 Инфо Контакт
Цитата (автор alexxnight):
Зачем открывать исходящий трафик 1024-65535 для всех, если мне нужно только для одного IP-адреса уже отрытого ранее ftp-соединения по 21 порту?!
Это принцип работы пассивного соединения, если не нравится - юзайте активный режим. Можно диапазон сократить от 54000 до 65535.
Pretender is offline
Pretender
Использователь
 
Регистрация: сен 2002
Город: Саратов
Сообщений: 3 208
Сила репутации: 20
Репутация: 78
11-04-2009, 21:11 Инфо Контакт
Чего - активного режима?

Код:
ipfw add allow tcp from me to any 20,21 keep-state
Pretender is offline
alexxnight
Пользователь
Автор темы
 
Регистрация: апр 2009
Сообщений: 86
Сила репутации: 11
Репутация: 23
20-04-2009, 22:43 Инфо Контакт
кое-что написал...
Здесь основное, далее по форуму будут обсуждения частностей.


Основные принципы построения правил:
1. Все правила делятся на 3 типа: разрешающие, запрещающие и служебные.
1.1. С разрешающими и запрещающими все понятно – пропускаем трафик, либо запрещаем.
1.2. Служебные правила используются очень редко, в основном, для подсчета трафика, организации ветвлений и т.п. Их мы касаться не будем.
2. Разрешающие и запрещающие правила делятся еще на 2 типа:
2.1. Статические. Почти всегда это будут запрещающие правила.
2.2. Динамические. К этому типу будут относиться разрешающие правила, т.к. самая фишка ipfw – это механизм динамической фильтрации. О динамической и статической фильтрации очень хорошо описано в статьях, я не буду это описывать.
3. В самом начале списка правил (после отчистки -f flush) – localhost правила. И это будет единственное статическое разрешающее правило. Правило создается по умолчанию, при установке wipfw.
# Localhost rules
add allow all from any to any via lo*

4. Далее, запрещающие статические правила. Входящий трафик от/к localhost. Правила создаются по умолчанию, при установке wipfw.
# Prevent any traffic to 127.0.0.1, common in localhost spoofing
add deny log all from any to 127.0.0.0/8 in
add deny log all from 127.0.0.0/8 to any in

5. Затем, служебное правило проверки списка динамических правил. Правило создается по умолчанию, при установке wipfw.
add check-state
6. Вот теперь пойдет список ВСЕХ НАШИХ запрещающих статических правил:
6.1. запрещаем фрагментированные пакеты.
add drop all from any to any frag
6.2. запрещаем tcp пакеты с установленным флагом established (check-state уже пройден!)
add drop tcp from any to any established
6.3. закрываем порты 135,137,138,139. Причем, в данном примере и входящий и исходящий трафик.
add drop tcp from any to any 135,137,138,139
add drop udp from any to any 135,137,138,139

6.4. защита от сканирования
add drop tcp from any to any tcpflags fin
add drop tcp from any to any tcpflags fin,syn,rst,psh,ack,urg
add drop tcp from any to any tcpflags !fin,!syn,!rst,!psh,!ack,!urg

6.5. Возможно, какие то еще Ваши запрещающие статические правила.
7. Далее, список ВСЕХ НАШИХ разрешающих динамических правил. Выберете либо простой способ, либо более детальный.
7.1. Простой. Разрешает весь исходящий трафик. О входящем трафике нужно будет позаботиться самостоятельно! Правило создается по умолчанию, при установке wipfw.
add allow all from me to any out keep-state
7.2. Более детальный.

# DHCP. Замените адрес 10.0.0.1 на адрес Вашего DHCP сервера.
add allow udp from any 68 to any 67 out keep-state
add allow udp from 10.0.0.1 67 to any in keep-state

# DNS. Замените адрес 10.0.0.1 на адрес Вашего DNS сервера.
add allow udp from me to 10.0.0.1 53 out keep-state

# SSH
add allow tcp from me to any 22 out keep-state setup

# local net. Замените 192.168.0.0/24 на адрес/маску своей локальной сети.
add allow tcp from me to any 445 out keep-state setup
add allow tcp from 192.168.0.0/24 to me 445 in setup limit src-addr 32

# http, https
add allow tcp from me to any 80 out keep-state setup
add allow tcp from me to any 443 out keep-state setup

# mail
add allow tcp from me to any 25 out keep-state setup
add allow tcp from me to any 110 out keep-state setup
add allow tcp from me to any 995 out keep-state setup

# ftp
add allow tcp from me to any 21 out keep-state setup
add allow tcp from me 1030-65535 to any 1030-65535 out keep-state setup

# icq
add allow tcp from me to any 5190 out keep-state setup

# icmp.
add allow icmp from me to any out keep-state icmptypes 8

8. Заключение. Логирование трафика, не прошедшего ни одного правила. Правило создается по умолчанию, при установке wipfw.
add count log all from any to any

9. deny ip from any to any
alexxnight is offline

Исправлено alexxnight 02-09-2010 в 21:17. Причина: решил, таки, написать...
alexxnight
Пользователь
Автор темы
 
Регистрация: апр 2009
Сообщений: 86
Сила репутации: 11
Репутация: 23
20-07-2009, 21:49 Инфо Контакт
вопросы, коментарии...
alexxnight is offline
Dzuba
МСР
 
Регистрация: авг 2004
Город: Kiev
Сообщений: 2 890
Сила репутации: 19
Репутация: 207
28-07-2009, 15:07 Инфо Контакт
http://forum.windowsfaq.ru/showthread.php?t=60363
Dzuba is offline
illiaerne
Пользователь
 
Регистрация: ноя 2007
Город: подмосква
Сообщений: 62
Сила репутации: 12
Репутация: 13
01-09-2009, 09:32 Инфо Контакт
Есть несколько вопросов.
Моя ситуация выглядит так:
Есть сервак под управлением 2003срв, у него несколько сетевых интерфейсов:
а) внутренний (отвечающий за домашнюю сетку)
б) Внешний (городская сетка)
в) Виртуальный интерфейс VPN (собсно отсюда сосется инет и получается внешний ИП, естественно если не работает городская сетка, ниокаком VPNе речи быть не может)
г) loopback

Настроено это дело при помощи маршрутизации и удаленного доступа, средствами 2003срв, т.е. там прописан каждый интерфейс, включая виртуальный. На виртальном интерфейсе и на внешнем включены NAT, для того что бы все из внутренней сети могли выходить во внешнюю сеть и в инет. Брандмауэр виндовс потушен изначально.
Во внутренней сети находится веб-сервер, при помощи порт-адрес-трансляции перенаправил входящий трафик 80-го порта с виртуального интерфейса, на адрес 10.10.10.1 во внутренней сети. До этого момента работает прекрасно.
Далее установл wipfw и настроил, после этого на сайт не могу попасть извне, точнее попадаю, но после 20-40 секунд сайт перестает отзываться вообще. Потом проходит минут 15-20 и сайт опять работает так же не долго ... Мои подозрения, что трафик застрявает где то в фаерволе. ибо если бить телнетом 80-й порт, он вечно открыт. Можете подсказать, как при таком раскладе надо настраивать wipfw?
Потом ещё проблема с торрент-клиентом (установлен на серваке), создал правило add 10 tcp from any 22900 to me keep-state, но раздача всё равно не ведётся ... вижу, как растет количество пиров на торрент, но никто не может нормально с меня качать, максимум секунд 10-15 качают потом обрыв...
illiaerne is offline
alexxnight
Пользователь
Автор темы
 
Регистрация: апр 2009
Сообщений: 86
Сила репутации: 11
Репутация: 23
01-09-2009, 21:32 Инфо Контакт
а что в логах?
как настроено правило на web server?
что-то с правилом раздачи торентов не понятно:
add 10 tcp from any 22900 to me keep-state
все, по tcp, с порта 22900 могут обращаться к тебе на любой порт, трафик входящий (желательно это прописать in), через любой интерфейс (тоже желательно прописать через какой именно интерф.). логика верная? а исходящие как?
alexxnight is offline
NALIMAN
зоолог из зоопарка
 
Регистрация: июл 2003
Сообщений: 9 383
Сила репутации: 25
Репутация: 80
02-09-2009, 14:30 Инфо Контакт
вообще то IPFW это хорошо
когда он настроен и когда он на линуксе
а то что он на винде - наверняка налагает некторые ограничения функциональности .... всё таки портировано под совершенно другую ОСь ....
может быть поискать под винду что то иное?
а лучше поставиьт линукс, раз желание юзать IPFW непреодолимо

или там freebsd .......????
NALIMAN is offline
illiaerne
Пользователь
 
Регистрация: ноя 2007
Город: подмосква
Сообщений: 62
Сила репутации: 12
Репутация: 13
02-09-2009, 18:30 Инфо Контакт
Цитата (автор alexxnight):
а что в логах?
как настроено правило на web server?
Вот все правила которые есть:

add 1 check-state
add 9 allow all from any to any via lo*
add 10 allow all from me to any keep-state
add 12 allow all from 10.10.10.0/24 to me in keep-state
add 13 allow all from 10.10.10.1 to any in keep-state
add 14 allow tcp from any to [real-ip] 80 in keep-state
add 15 allow tcp from any to 10.10.10.1 80 out keep-state
add 16 allow all from 10.10.10.0/24 to any in keep-state
add 18 allow tcp from any to me 29000 keep-state
add 65534 deny all from any to any
illiaerne is offline
illiaerne
Пользователь
 
Регистрация: ноя 2007
Город: подмосква
Сообщений: 62
Сила репутации: 12
Репутация: 13
02-09-2009, 18:41 Инфо Контакт
Цитата (автор NALIMAN):
вообще то IPFW это хорошо
когда он настроен и когда он на линуксе
а то что он на винде - наверняка налагает некторые ограничения функциональности .... всё таки портировано под совершенно другую ОСь ....
может быть поискать под винду что то иное?
а лучше поставиьт линукс, раз желание юзать IPFW непреодолимо

или там freebsd .......????
это не ipfw, а wipfw, естественно и функционал разный!
под винду ничего инного работающего так же легко и весящего 30кб не нашел! ISA Server единственный конкурент, но тяжеловата для системы, поэтому отправилась за остальными.
Понимаешь, если мне нужно будет поставить линукс/БСД, я возьму и поставлю линукс/БСД. В данном случае винда. И под линуксом, мне больше нравиться iptables.
Я не хочу вступать в полемику линукс-виндовс, это глупо и неэтично. Появилась задача, её надо решить, т.к. не могу найти нормальный ман к wipfw, обратился за помощью сюда.
illiaerne is offline
alexxnight
Пользователь
Автор темы
 
Регистрация: апр 2009
Сообщений: 86
Сила репутации: 11
Репутация: 23
02-09-2009, 22:47 Инфо Контакт
# эта строчка должна быть вначале
add allow all from any to any via lo*
# далее минимальная защита от подмены локалхост
add deny log all from any to 127.0.0.0/8 in
add deny log all from 127.0.0.0/8 to any in

# вот теперь чекстэйт
add check-state
# никаких me, если у вас настроена маршрутизация. хорошо бы еще здесь добавить указание на интерфейс. да и вообще интерфейс в ващем случае нужно в каждом правиле указывать...
add allow all from any to any keep-state out

# а вот далее я не могу проследить логику.
# из локальной сетки куда угодно входящий трафик разрешить
add allow all from 10.10.10.0/24 to any in keep-state
# с веб(?) сервера куда угодно входящий трафик разрешить
add allow all from 10.10.10.1 to any in keep-state
# с любого на конкректный адрес входящий трафик разрешить
add allow tcp from any to [real-ip] 80 in keep-state
# с любого на веб(?) сервер исходящий трафик разрешить
add allow tcp from any to 10.10.10.1 80 out keep-state
# и повторение первого правила этой группы
add allow all from 10.10.10.0/24 to any in keep-state



# если торенты на этом компе, то me допустимо
add allow tcp from any to me 29000 keep-state in
# обязательно добавьте логирование, чтобы посмотреть, где трафик "теряется"
add count log all from any to any

# ну как без этого
add 65534 deny all from any to any
alexxnight is offline
illiaerne
Пользователь
 
Регистрация: ноя 2007
Город: подмосква
Сообщений: 62
Сила репутации: 12
Репутация: 13
03-09-2009, 08:30 Инфо Контакт
Цитата (автор alexxnight):
# а вот далее я не могу проследить логику.
Я уже и сам запутался в том, что там творится ...
Вот то что у меня твориться


Все клиенты локально сети, могут входить на сервак, и следовать куда хотят, по динамике
Цитата :
add allow all from 10.10.10.0/24 to any in keep-state
С любого адреса разрешить входить на [real-ip] по 80 порту (чувствую вот с этим правилом лоханулся... надо было с from any 80 to [real-ip] 80)
Цитата :
add allow tcp from any to [real-ip] 80 in keep-state
А вот это правило, специально для Порт-адрес-трансляции, пришел трафик по 80 порту на реальный ИП, далее он трансируется на веб-сервер, который находится во внутренней сети. в итоге трафик сначала кольцуется, потом направляется во внутреннюю сетку. что бы не писать несколько правил разрешил с любого выходить на веб-сервер по порту 80
Цитата :
add allow tcp from any to 10.10.10.1 80 out keep-state
Цитата :
# и повторение первого правила этой группы
add allow all from 10.10.10.0/24 to any in keep-state
да, касяк... недоглядел, оно по идее закоментированно.
illiaerne is offline
Тема закрыта


Назад   Форум WindowsFAQ > Тематический раздел > Безопасность
Сохранить ссылку на эту тему у себя в
Действия над темой

 
Быстрый переход

Похожие темы
Тема Автор темы Форум Ответов Последнее сообщение
Sorry, но ничего из прочитанного не помогает Mr_Crowly Администрирование и Локальные сети 11 01-04-2005 14:29
Шаблоны безопасности SIDERMAN Операционные системы Microsoft Windows 10 05-06-2004 12:21
Изменение английской AD на русскую YuriA Администрирование и Локальные сети 9 22-01-2004 08:31
Ошибка с кодом 1000 и предупреждение SceCli с кодом 1202 задолбали. FAQ читал ... (+) Paravoz Администрирование и Локальные сети 18 13-11-2003 20:14
Именам пользователей не сопоставлены коды защиты данных!!! schumacher76 Администрирование и Локальные сети 64 10-10-2003 16:48


Время 06:37. Временной пояс GMT +3.