Помогите с ipfw

0

1

Что имеем:

$ freebsd-version
10.1-RELEASE-p16

$ cat /etc/rc.conf | grep firewall
firewall_enable="YES"
firewall_script="/etc/ipfw.rules"
firewall_logging="YES"

$ cat /etc/ipfw.rules
#!/bin/sh
ipfw -f flush

pif="igb0"

ipfw add 10 allow all from any to any via lo0

ipfw add 20 allow ip from me to any via $pif

ipfw add 30 allow tcp from 43.43.43.43 to me 22 in via $pif

ipfw add 7777 deny all from any to any via $pif

После включения firewall-а

# service ipfw start

имею невозможность достучаться (от сервера к миру) к чему угодно.

С помощью этих правил я хотел добиться простого - закрытия всех входящих подключений, кроме порта 22 с определенного (43.43.43.43 тут для примера) IP. ЧЯДНТ?

З.Ы. Handbook читал. Настолько скудной инфы не видел в жизни (английский вариант не намного лучше).

Ссылка

←	Файловая система XFS: вопрос применения

CentOS 7 оключить swap

→

Если ipfw работает так же как и pf (last matched rule winns) — поставь deny в начало.

Эквивалент на pf:

set skip on lo
block
pass in proto tcp to port ssh
pass out

beastie ★★★★★
(02.08.15 14:48:46 MSK)
Последнее исправление: beastie 02.08.15 14:49:45 MSK (всего исправлений: 1)

Ответ на: комментарий от beastie 02.08.15 14:48:46 MSK

поставь deny в начало

Спасибо! Подозреваю, что вообще ничего работать не будет. Сейчас проверю

Я вчера вообще сидел и думал на тему ipfw vs pf.
До этого firewall только на роутере юзал, через web GUI.

Как обычно, загуглил. Неким образом мне показалось, что pf сложнее.

Оказалось что один фиг...

reprimand ★★★★★
(02.08.15 14:56:25 MSK) автор топика

Ответ на: комментарий от reprimand 02.08.15 14:56:25 MSK

У pf прекрасная документация: http://www.openbsd.org/faq/pf/

beastie ★★★★★
(02.08.15 15:37:11 MSK)

Ссылка

Тебе надо не выеживаться и править готовый семпл-скрипт, если не хочешь читать и понимать суть ipfw. По сабжу: где-то ~25-35 должно быть allow tcp from any to any established, чтобы tcp не-syn не дропались. Сейчас у тебя все out проходят по правилу 20, все in режутся 7777. И tcp != syn!

// Все афаик и иирц, давно не ковырял.

~~arturpub~~ ★★
(02.08.15 15:56:06 MSK)

Ответ на: комментарий от arturpub 02.08.15 15:56:06 MSK

https://www.freebsd.org/doc/handbook/firewalls-ipfw.html

Со слов 30.4.3 example ruleset. Про established наврал, надо наоборот setup keep-state / check-state.

~~arturpub~~ ★★
(02.08.15 16:00:48 MSK)
Последнее исправление: arturpub 02.08.15 16:02:08 MSK (всего исправлений: 1)

Ответ на: комментарий от arturpub 02.08.15 16:00:48 MSK

Будет и с established работать, вариант с keep-state более секьюрный просто, можно и без него.

unC0Rr ★★★★★
(02.08.15 16:14:42 MSK)

Ссылка

Ответ на: комментарий от beastie 02.08.15 14:48:46 MSK

Если ipfw работает так же как и pf (last matched rule winns)

Но ведь это неверно. И зачем во всех темах с вопросами о ipfw лепить pf?

hizel ★★★★★
(02.08.15 16:29:25 MSK)

Ответ на: комментарий от hizel 02.08.15 16:29:25 MSK

Ну, я ведь сказал «если»?

Рабочий аналогичный пример я привёл на основании того что знаю. ipfw давным-давно не ковырял, не помню. Он и это не так важно — перевести одно в другое — не так уж и сложно. Главное, что бы принцип был понятен.

beastie ★★★★★
(02.08.15 16:44:01 MSK)

Ответ на: комментарий от beastie 02.08.15 16:44:01 MSK

Чтобы перевести одно в другое надо знать уже два синтаксиса - бессмысленно если ТС в одном буксует. pf и ipfw похожи также как iptables и pf. Принцип один, ога.

hizel ★★★★★
(03.08.15 10:00:50 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Файловая система XFS: вопрос применения

Admin

CentOS 7 оключить swap

→

Похожие темы