|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Pavel Levshin 2:5030/581.17 19 Jul 2001 01:52:20
To : Andrew Karcev
Subject : firewall
--------------------------------------------------------------------------------
18 Jul 01, Andrew Karcev --> Alexei Ivanov:
AK> А что если так?
Так... перевожу:
1.
AK> #Allow all outgoing connection
AK> $fwcmd add pass all from ${inet} to any in via ${iif}
^^^^^^^^^^^^^
все из внутренней сети могут передавать любые пакеты на файрволл. См. ь10.
2.
AK> #Allow outgoing DNS requestes
AK> $fwcmd add pass udp from ${iip} 53 to ${inet} out via ${iif}
разрешить ответы DNS по UDP с файрволла во внутреннюю сеть. См. ь4.
3.
AK> #Разpешить ответ на соединение.
AK> $fwcmd add pass tcp from any to ${inet} in via ${oif} tcpflags ack
см. ь5
4.
AK> # For ICQ
AK> $fwcmd add pass udp from ${inet} to any
AK> $fwcmd add pass udp from 205.188.153.0/24 4000 to ${inet}
AK> $fwcmd add pass udp from 205.188.179.0/24 4000 to ${inet}
разрешить все UDP из внутренней сети. Тем самым, правило ь2 поглощается правилом
ь4.
Кстати, аська при такой настройке, скорее всего, будет здорово тормозить. Она
использует прямые передачи между клиентами (вроде бы, udp, но точно не помню, да
и при такой настройке это безразлично), соответственно, сообщения в твою сеть
проходить не будут. По истечении тайм-аута письма будут отправляться через
сервер. Лично меня эти тормоза уже изрядно достали... Для аськи нужно ставить
прокси-сервер.
5.
AK> # Allow TCP through if setup succeeded
AK> $fwcmd add pass tcp from any to any established
Это правило включает в себя правило ь3, поскольку все пакеты с установленным
битом ACK являются established.
6.
AK> # Allow setup of incoming email
AK> $fwcmd add pass tcp from any to ${oip} 25 setup
7.
AK> # Allow access to our DNS
AK> $fwcmd add pass tcp from any to ${oip} 53 setup
Причем, извне допускаются только обращения через TCP. Следовательно, обычные
внешние клиенты, скорее всего, не смогут пользоваться твоим DNS. Сервер сможет
только отдавать зону своим secondary.
8.
AK> #ICMP.
AK> $fwcmd add reject log icmp from any to ${inet} in via ${oif} icmptypes
AK> 8
AK> $fwcmd add pass icmp from any to any
Запрещаешь только ping внутренней сети извне. Hу, это кому как, можно закрыть и
побольше. Кстати, писать пинги в лог полезно только в том случае, когда ты
регулярно анализируешь лог в поисках попыток сканирования. Иначе -- бесполезная
трата места.
Да, сюрприз: при таких правилах внутреннюю сеть можно попробовать просканировать
каким-нибудь stealth scan, и в логах ничего не останется. :)
9.
AK> #Reject&Log all setup of incoming connections from the outside
AK> $fwcmd add deny log tcp from any to any in via ${oif} setup
Остальные TCP извне закрыты.
10.
AK> # Allow setup of any other TCP connection
AK> $fwcmd add pass tcp from any to any setup
Это правило дополняет ь1. Все соединения TCP из внутренней сети и файрволла
разрешены. В итоге, ь4, ь5, ь8 и ь10 делают бесполезным правило ь1, которое
целиком ими покрывается.
11.
AK> # Allow DNS queries out in the world
AK> $fwcmd add pass udp from any 53 to ${oip}
AK> $fwcmd add pass udp from ${oip} to any 53
Это правило, кроме основной функции, все-таки разрешает некоторым внешним
клиентам доступ к DNS на файрволле. Правда, вдобавок к этому оно допускает
обращение к любому порту UDP на файрволле, если хакер догадался и потрудился
установить source port=53.
Политика, очевидно,
65536 deny all from any to any
Из внутренней сети разрешено все (что дает полную свободу троянцам, включая MS
Windows с ее NetBIOS over TCP). Извне разрешены ICMP, за исключением echo
request, и TCP established. Это сравнительно неплохо, но только сравнительно.
Изучать построение файрволлов все-таки надо. :)
---
* Origin: There Ain't No Such Place As A (2:5030/581.17)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
