Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Vadim Goncharov                      2:5005/106.426 15 Sep 2004  20:33:05
 To : Alexander Kolesnikoff
 Subject : ipfw deny port realtime notify
 -------------------------------------------------------------------------------- 
 
 
  -=> В 14 Сен 04 18:59, Alexander Kolesnikoff (2:5020/400)
  -=> писал письмо к Vadim Goncharov насчет Re: ipfw deny port realtime notify
 
  >> Есть сеть порядка 150 компов, обещежитие студентов, машины с
  >> виндами. Hа роутере (4.10-STABLE) закрыты порты 135 и 445, по
  >> которым любят черви рапространяться. Хочется сделать такое - чтоб
  >> оно не просто закрывало порты, но и протоколировало, кто внутри сети
  >> заразился и прет на внешку, для его оперативного отключения. Пока
  >> что приходится пользовать trafshow. Имеем такое:
  >>
  >> # ipfw show
  >> 00215 45629 2190192 deny log logamount 10 tcp from 82.117.64.0/24 to
  >> any 135 00215     0       0 deny log logamount 10 udp from
  >> 82.117.64.0/24 to any 135
  AK>    Вот из-за этого правила, можешь получить элементарные грабли.
  AK> Виндюк очень часто шлёт DNS-запросы со 135-го порта.
 
 ??? Первый раз слышу. Вот про ответы на netbios-запросы только на порт 137 -
 слышал. Да даже если и так, named стоит на машине с файрволом. Hо более того, я 
 же запретил трафик _на_ порт 135, а не с него.
 
  AK> Да и вообще какой UDP-сервис на 135-м порту ты хочешь закрыть? Обрати
  AK> внимание, что счётчики у тебя по-нулям. Я обычно закрываю dst tcp
  AK> 135,139 setup и udp 137,138.
 
 Я не в курсе, юзает ли M$ UDP на 135 порту. Hа 445 - видел в логах.
 Перестраховался, закрыл полностью.
 
 Однако вопрос остается в силе - как мне добиться полного сохранения denied
 пакетов? Хочется сделать анализирование логов в реальном времени.
 
    WBR, Vadim Goncharov. ICQ#166852181       mailto:vadim_nuclight@mail.ru
 ... Энергия вообще - это способность что-либо совершить (с) Serg Lakhno
 --- Золотобоpодый дЕД-pедактоp, возpастом 1.1.5-030809 лет
  * Origin: The Nuclear Lightning Systems (2:5005/106.426)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 ipfw deny port realtime notify   Vadim Goncharov   14 Sep 2004 16:47:14 
 Re: ipfw deny port realtime notify   Alexander Kolesnikoff   14 Sep 2004 18:59:55 
 ipfw deny port realtime notify   Vadim Goncharov   15 Sep 2004 20:33:05 
 Re: ipfw deny port realtime notify   Alexander Kolesnikoff   16 Sep 2004 12:53:15 
 ipfw deny port realtime notify   Vadim Goncharov   17 Sep 2004 03:11:41 
 Re: ipfw deny port realtime notify   Alexander Kolesnikoff   20 Sep 2004 16:58:28 
Архивное /ru.unix.bsd/4594414845c7.html, оценка 3 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional