Помогите настроить ipfw на обычном домашнем компе под FreeBSD

0

0

FreeBSD 4.10 Пересобрал ядро с поддержкой ipfw Разумеется после этого он доступ перекрыл к инету весь, ну я и командой # ipfw add allow ip from any to any разрешаю доступ к инету и фактически моя машина находится открытой для атак и т.д. Проверял, после # ipfw add allow ip from any to any все порты становятся открытыми.

В изначальном состоянии после сброса всех правил - доступ к компу перектывается полностью, весь траффик. Каким образом надо открыть только то, чтобы можно было ходить по WEB но все другие порты были закрты для хакеров и т.д? Какими правилами наиболее обезопасить комп?

Если кто в этом понимает, может кините пару команд, формирующие соотв. правила?

Ссылка

←	Софт разработки БД

Маленький X-сервер

→

http://ipfw.ism.kiev.ua/index.html - po4itaj razbereshsja v samom IPFW

http://ipfw.ism.kiev.ua/prim.html - primeri

Kak tebe kto to mozhet posovetovat esli u kazhdogo konkretnaja zada4a.

Naibolee bezopasnij komp eto kogda nikakih pravil ne pishesh i rabotaet IPFW po umol4aniju i bez opcii v jadre IPFIREWALL_DEFAULT_TO_ACCEPT

A tak otkrivaj tolko te porti kotorie tebe nuzhni dlja etogo zagljani v /etc/services

illusia ★★
(20.07.04 19:57:08 MSD)

Ссылка

думаю можно воспользоватся динамическими правилами, например так:

ipfw add check-state
ipfw add allow tcp from me to any setup keep-state
ipfw add allow udp from me to any keep-state

пропускаются только исходящие пакеты от тебя, а на их основе уже создаются правила

читай мануал :)

anonymous
(20.07.04 21:15:28 MSD)

Ответ на: комментарий от anonymous 20.07.04 21:15:28 MSD

и ещё незабудь

ipfw add allow all from any to any via lo0

anonymous
(20.07.04 21:17:54 MSD)

Ответ на: комментарий от anonymous 20.07.04 21:17:54 MSD

Такс, вот копаюсь все еще... в /etc/rc.conf я вставил строку firewall_type=open что означате что пропускается все, НО, заходя на pcflank.com и пройдя тесты на трояны и скан портов - он пишет что все порты закрыты, все ОК :) а когда я ставлю firewall_type=client (в мануале сказано - базовая защита клиенской станции для выхода в инет) то инет вообще не работает. И еще не пойму одну вещь: почему # ipfw add allow ip from any to any дает доступ к инету, а # ipfw add allow ip from any to any via rl0 (rl0 - моя сетевуха) - то инет не работает.

И еще, вот я мыслю логически. У меня ядро сконфигурировано с параметром option IPFIREWALL (тоесть запрещено все что не разрешено, без протоколирования), гляжу в services и вижу что порт 80 udp и tcp необходимые для www. Я их разрешаю, инета все равно нет, появляется только после команды # ipfw add allow ip from any to any я запутался... я исходил из того, что firewall по умолчанию настроен на запрет всего и вся, весь трафф блокирован введя всего несколько правил для HTTP я обеспечу доступ в инет, но инет работает при вводе одного правила # ipfw add allow ip from any to any Причем сайты грузятся даже если я принудительно запрещаю этот порт # ipfw add deny tcp from any to any 80 разъясните, что я не так понимаю, вроде мыслю правильно...

и еще, зайдите на pcflank.comи пройдите стелс тест! когда я прохожу из мандраки (там какой то firewall я активировал нажатием одной кнопки в конфиге - даже не вникал тогда) - он пишет что все порты невидимы, но в ipfw пищет что порты видимы - это меня пугает, хотя другие тесты пишут что они закрыты, даже при firewall_type=open... вот..... разъясните плиз.....уфффф......

anonymous
(20.07.04 23:20:48 MSD)

Ответ на: комментарий от anonymous 20.07.04 21:15:28 MSD

Человек, как там тебя зовут (три правила написал) - ты помог! Все заработало и как это работает я понял! Хотя до сих пор не пойму почему не работало по моим мыслям :( Сейчас все в конфиги прописал чтоб все автоматом грузилось:) Спасибо, человек! :)

anonymous
(21.07.04 01:24:23 MSD)