The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от opennews (ok) on 16-Апр-09, 16:52 
Несколько новых уязвимостей:


-  В пакетном фильтре OpenBSD PF найдена (http://helith.net/txt/openbsd_4.3-current_pf_null_pointer_de...) уязвимость, приводящая к краху ядра системы при обработке специально оформленного IP пакета (к краху приводит сканирование через "nmap -sO"). Патч можно загрузить здесь (ftp://ftp.openbsd.org/pub/OpenBSD/patches/4.4/common/013_pf....).

-  В широком спектре продуктов Oracle (СУБД 9i, 10g и 11g, Application Server, E-Business Suite и т.п.) исправлено (http://secunia.com/advisories/34693/) три опасные уязвимости, которые могут привести к выполнению кода через специальный POST запрос к opmn процессу через 6000 порт, выполнению подставных SQL запросов через манипуляции с пакетом DBMS_AQIN или получению доступа непривилегированного пользователя к APEX паролям.

-  В JSON парсере PHP до версии 5.2.9 обнаружена (http://www.mandriva.com/en/security/advisories?name=MDVSA-20...) уязвимость, позволяющая злоумышленнику вызва...

URL:
Новость: http://www.opennet.ru/opennews/art.shtml?num=21289

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от netc (ok) on 16-Апр-09, 16:52 
а как же любимая фраза опенбсд-ов
что мол за восемь лет не было найдено не одной уязвимости ;(

ну ни кто не ангел конечно

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от Аноним (??) on 16-Апр-09, 16:55 
> мол за восемь лет не было найдено не одной уязвимости ;(

Опенбсд - это такой неуловимый Джо.Никому нахрен не нужен - потому и неуловим.А юзали б это на 50% серверов - вы бы узнали о ней много нового, не с лучшей стороны.А редкая экзотичная система хакерам малоинтересна - траха много а ради чего?Сервер с этим найти?!Проще в лотерею миллион выиграть наверное.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Апр-09, 17:47 
>> мол за восемь лет не было найдено не одной уязвимости ;(
>
>Опенбсд - это такой неуловимый Джо.Никому нахрен не нужен - потому и
>неуловим.А юзали б это на 50% серверов - вы бы узнали
>о ней много нового, не с лучшей стороны.А редкая экзотичная система
>хакерам малоинтересна - траха много а ради чего?Сервер с этим найти?!Проще
>в лотерею миллион выиграть наверное.

Я пишу эти строки из-под OpenBSD. У меня на работе используется OpenBSD. На прошлой работе тоже используется OpenBSD. Некоторые мои друзья-коллеги в России, я бы даже сказал в Москве, тоже юзают OpenBSD. И если вы не в курсе, среди BSD-систем OpenBSD занимает второе место после FreeBSD: http://en.wikipedia.org/wiki/File:Bsd_distributions_usage.svg . Вы когда-нибудь использовали OpenSSH? Ведь использовали наверняка. А он тоже разрабатывается в рамках OpenBSD. sudo тоже сейчас курируется одним из разработчиков OpenBSD (Todd Miller). Ну а собственно PF был портирован даже на Windows. Да-да.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от cvsup (ok) on 17-Апр-09, 08:19 
Ты им все равно ничего не докажешь. Они же чуваки (см. соседнюю ветку) и фанатично влюблены в свою промывающую мозг священную корову.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от Аноним (??) on 20-Апр-09, 20:35 
>я бы даже сказал в Москве, тоже юзают OpenBSD.

Вспомнился анекдот про войну чукч и китайцев, там где одних сто а других миллиард.

P.S. кстати если следить за дырами то можно заметить что и в sudo и в openssh дыры находили, при том последние - не так уж и давно.С чего вы взяли что дыр нет в менее популярных а потому менее изученных кусках кода - вам виднее, а со стороны выглядит необоснованно и неубедительно.

P.P.S. А как ищут баги опенбсдшники - известно. Вот так: http://www.securitylab.ru/news/352795.php

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от PereresusNeVlezaetBuggy email(ok) on 21-Апр-09, 01:03 
>>я бы даже сказал в Москве, тоже юзают OpenBSD.
>
>Вспомнился анекдот про войну чукч и китайцев, там где одних сто а
>других миллиард.

… Миллионы мух не могут ошибаться…

>P.S. кстати если следить за дырами то можно заметить что и в
>sudo и в openssh дыры находили, при том последние - не
>так уж и давно.С чего вы взяли что дыр нет в
>менее популярных а потому менее изученных кусках кода - вам виднее,
>а со стороны выглядит необоснованно и неубедительно.
>
>P.P.S. А как ищут баги опенбсдшники - известно. Вот так: http://www.securitylab.ru/news/352795.php

Именно. Только эта бага существовала задолго до появления на свет OpenBSD (а также Linux), и относилась практически ко всем BSD-системам. Так что факт находки и исправления данной проблемы как раз OpenBSD'шниками, ИМХО, им в плюс. Не они авторы этого кода (автор кода сейчас трудится в первую очередь на благо FreeBSD и вообще стоял у её истоков).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от PereresusNeVlezaetBuggy email(ok) on 21-Апр-09, 01:11 
>P.S. кстати если следить за дырами то можно заметить что и в
>sudo и в openssh дыры находили, при том последние - не
>так уж и давно.С чего вы взяли что дыр нет в
>менее популярных а потому менее изученных кусках кода - вам виднее,
>а со стороны выглядит необоснованно и неубедительно.

Находили, и что? Вы хотите кому-то открыть глаза, что нет совершенных программ? Открою вам великую тайну: открывать глаза здесь особо некому. Мы живём в мире несовершенных программ. Доверять нельзя никому.

И покажите мне, пожалуйста, с чего вы взяли, что я утверждаю, что в OpenBSD, OpenSSH, sudo и т.д. нет дыр. Ткните меня пальцем и я стыдливо умолкну.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Апр-09, 18:00 
>а как же любимая фраза опенбсд-ов
>что мол за восемь лет не было найдено не одной уязвимости ;(
>
>
>ну ни кто не ангел конечно

Читайте внимательно: "Only two remote holes in the default install, in more than 10 years!"

Во-первых, "в установке по умолчанию". PF в установке по умолчанию не включён. Хотя бы потому, что прикрывать им нечего, по дефолту (идея которого хоть и не была придумана опёнковцами, но явно с их примера пошла в жизнь) в OpenBSD включён только sshd, да и то не обязательно. :)

Во-вторых, к сожалению, две уязвимости таки найдено. :( И вторая была тоже связана с IPv6 и ICMP…

В-третьих, уже в течение десяти лет. ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от xxx (??) on 16-Апр-09, 16:59 
Сейчас у них на сайте: "Only two remote holes in the default install, in more than 10 years!".
Поэтому ничего страшного, они либо просто отмажутся, либо добавят +1 к числу дырок.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от Аноним (??) on 16-Апр-09, 17:09 
>Сейчас у них на сайте: "Only two remote holes in the default
>install, in more than 10 years!".

"Нет безбажных программ.Есть недообследованные." (c) мне неизвестен.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Апр-09, 17:48 
>Сейчас у них на сайте: "Only two remote holes in the default
>install, in more than 10 years!".
>Поэтому ничего страшного, они либо просто отмажутся, либо добавят +1 к числу
>дырок.

Не путайте DoS с Remote code execution.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от netc (ok) on 16-Апр-09, 17:05 
не ну вообще поражает как так простым сканированием выбить фаер


а вообще у кого какое мнение по поводу pf

често скажу прешел на него с iptables, синтаксис - крут ни чего не скажешь

Но как то не так все понятно как с iptables - там ты царь, а тут даже схемы нет как пакеты обрабатываються

ИМХО Ну вообщем iptables очень наворочен, и очень гидок в отличии от pf
мне так показалось

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Апр-09, 17:53 
>[оверквотинг удален]
>
>често скажу прешел на него с iptables, синтаксис - крут ни чего
>не скажешь
>
>Но как то не так все понятно как с iptables - там
>ты царь, а тут даже схемы нет как пакеты обрабатываються
>
>ИМХО Ну вообщем iptables очень наворочен, и очень гидок в отличии от
>pf
>мне так показалось

Посмотрите внимательно diff, трабла (в очередной раз) связана с обработкой IPv6. Может, это смерть одного из KAME'овцев так влияет до сих пор, может, ещё что.

Схема обработки пакетов детально разжёвана в man'e, равно как и в доступной в Сети книге "Building Firewalls with OpenBSD and PF". Кстати, в CURRENT произошли заметные изменения, о которых я, кажется, так и забыл новость сюда накатать, сейчас исправлюсь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от Аноним (??) on 16-Апр-09, 18:51 
>не ну вообще поражает как так простым сканированием выбить фаер
>

Что тебя поражает то? А если б изощренный способ был, тебя это не поразило? Все равно нихера не понимаешь смысла этой атаки и ее механизма (природы ее, так сказать). Будто ты бы такой баги не допустил, можно подумать

Такие умные все, блин, пошли... Что не коммент, то обязательно мнение от гипер-мега-крутого программера

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от netc (??) on 16-Апр-09, 19:32 
>>не ну вообще поражает как так простым сканированием выбить фаер
>>
>
>Что тебя поражает то? А если б изощренный способ был, тебя это
>не поразило? Все равно нихера не понимаешь смысла этой атаки и
>ее механизма (природы ее, так сказать). Будто ты бы такой баги
>не допустил, можно подумать
>
>Такие умные все, блин, пошли... Что не коммент, то обязательно мнение от
>гипер-мега-крутого программера

если честно, то я себя мега программером не считаю
я вообще начинающий сис. админ

я просто удивлен, тому, что с каждым днем мне хоть и сложнее работать, но в то же время и интересней работая, каждый день заходить на любимый опеннет и следить за тем, что происходит в мире опенсорс;)

а вот по теме того, что меня поражает как раз таки что ни кому верить нельзя. полагаться можно только на себя ;) - просто факт.

вообщем то о опенбсд я узнал пытавшись устроиться на работу в одну контору сисадмином

причем там много спрашивали а знаете ли вы о таких аттаках, а о таких знаете

и вот настал тот час, когда я смело и абсолютно без зазрения совести могу послать ссылку на эту дыру, тому кто со мной вел собеседование и рассказывал мне, что у нас все под контролем

;)


да хочу сказать, что сейчас у меня два сервака именно с pf.

и замечу, что установив pf я понял очень много вещей, о которых раньше мог только догадываться

во всем есть свои плючы и минусы

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от Faceconrol on 17-Апр-09, 19:55 
>если честно, то я себя мега программером не считаю
>я вообще начинающий сис. админ

Народная мудрость гласит что иногда тебе надо МНОГО читать, слушать и спрашивать и МАЛО выражать своё мнение. И тогда со временем начнут спрашивать у тебя :)

По делу - ошибка в IPv6. Оно ещё принесет не одну и не две проблемы ... но двигаться все же нада :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от iZEN (ok) on 16-Апр-09, 18:55 
>Но как то не так все понятно как с iptables - там ты царь, а тут даже схемы нет как пакеты обрабатываються

Правила PF имеют структуру описания из 7 разделов. В IPTABLES пишешь — как бог на душу положит.
Почти как отличия C от Asm.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от linked (ok) on 16-Апр-09, 23:27 
>Но как то не так все понятно как с iptables - там ты царь,
> а тут даже схемы нет как пакеты обрабатываються

Порядок прохождения пакетов в PF
http://img210.imageshack.us/img210/3568/flow.png

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от netc (ok) on 17-Апр-09, 09:32 
спасибо огромное ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от netc (ok) on 16-Апр-09, 17:07 
много раз пытался переписать правила которые у меня работали в iptables на pf

ни фига - тут блин философия другая совершенно

причем дай бог чтобы философия не мешала реальным нуждам ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Апр-09, 18:06 
Первая ссылка гугла (отмотано чуть назад по истории сообщений) по запросу "iptables denial of service":
http://lists.netfilter.org/pipermail/netfilter-devel/2004-Ap...

Вторая ссылка гугла:
http://secunia.com/advisories/9429/

И т.д.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от netc (??) on 16-Апр-09, 19:52 
>Первая ссылка гугла (отмотано чуть назад по истории сообщений) по запросу "iptables
>denial of service":
>http://lists.netfilter.org/pipermail/netfilter-devel/2004-Ap...
>
>Вторая ссылка гугла:
>http://secunia.com/advisories/9429/
>
>И т.д.

т.е. ты хочешь сказать, что у iptables все запущено пуще pf-а

ну в принципе как ниже заметили c и asm, соглашусь, на asm легче допустить ошибку ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Апр-09, 20:26 
>[оверквотинг удален]
>>
>>Вторая ссылка гугла:
>>http://secunia.com/advisories/9429/
>>
>>И т.д.
>
>т.е. ты хочешь сказать, что у iptables все запущено пуще pf-а
>
>ну в принципе как ниже заметили c и asm, соглашусь, на asm
>легче допустить ошибку ;)

Насчёт того, запущеннее или нет — не возьмусь быть беспристрастным судьёй, а сравнение C и Asm, ИМХО, действительно довольно удачное, именно с такими выводами. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от netc (??) on 16-Апр-09, 20:36 
вообщем то единственное, что меня не устраивает в подходе к изучению pf так это то, что перевыв уже кучу мануалов и статей я ни где не нащел схемы как обрабатываються пакеты

т.е. как в iptables

я конечно понимаю, что она будет принципиальна иная

я имею в виду что то типа схемы а третей главе вот этого мануала
http://www.opennet.ru/docs/RUS/iptables/

или вот позамороченней
http://jengelh.medozas.de/images/nf-packet-flow.svg

ну вообще у меня раньше была средняя схемка, ну там было все понятно
что касаеться openBSD то ни в man pf, ни в faq на сайте, ни в man pf.conf ни чего такого я не нашел

хоть бы главу что ли посвятили схеме, - ни фига только словестно, я конечно все понимаю, но блин собрать словестные вещи воедино ИМХО - это сложно.

причем до сих пор из за этого страдаю

т.е. как то все по отдельности описано, ну не нашел я еще полного мана, видимо прийдеться искать ту книжку про PF типа Understanding PF помоему. может там что то подобное будет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от iZEN (ok) on 16-Апр-09, 21:07 
>вообщем то единственное, что меня не устраивает в подходе к изучению pf
>так это то, что перевыв уже кучу мануалов и статей я
>ни где не нащел схемы как обрабатываються пакеты
>
>ну не нашел я еще
>полного мана, видимо прийдеться искать ту книжку про PF типа Understanding
>PF помоему. может там что то подобное будет

man: http://www.freebsd.org/cgi/man.cgi?query=pf.conf
faq: ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf
пример: http://www.lissyara.su/?id=1833


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от netc (??) on 16-Апр-09, 21:49 
>[оверквотинг удален]
>>так это то, что перевыв уже кучу мануалов и статей я
>>ни где не нащел схемы как обрабатываються пакеты
>>
>>ну не нашел я еще
>>полного мана, видимо прийдеться искать ту книжку про PF типа Understanding
>>PF помоему. может там что то подобное будет
>
>man: http://www.freebsd.org/cgi/man.cgi?query=pf.conf
>faq: ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf
>пример: http://www.lissyara.su/?id=1833

сто раз читал ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Апр-09, 22:08 
>[оверквотинг удален]
>>>
>>>ну не нашел я еще
>>>полного мана, видимо прийдеться искать ту книжку про PF типа Understanding
>>>PF помоему. может там что то подобное будет
>>
>>man: http://www.freebsd.org/cgi/man.cgi?query=pf.conf
>>faq: ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf
>>пример: http://www.lissyara.su/?id=1833
>
>сто раз читал ;)

Ну вот кортинго тогда. Откуда выдрал - не помню, кажется, было в презентациях, выложенных на openbsd.org. http://77.108.65.40/dnl/flow.png

Главное, что нужно понять (не только в случае миграции с iptables на PF или обратно), это то, что плясать надо от конечной цели. То есть формулировать задачу «надо так-то и так-то разрулить взаимодействие таких-то сетей», а не «как адаптировать заточенное под iptables решение для PF».

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от Dorlas (??) on 16-Апр-09, 22:28 
Схема прохождения пакета...Ну тут вошел, оттуда вышел :)

Принципы простые:

1) Список правил проверяется и применяется на пакет на каждой сетевой, через которую он пройдет
2) NAT на сетевой применяется первый (т.е. меняются заголовки) - и после список правил проверяется уже на пакет с измененным адресом/портом.

Вот и вся схема.

PS: Недавно мигрировал сервер с iptables/shorewall - около 600 правил на PF - получилось: 7 таблиц + 10 макросов + 40 правил.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от netc (ok) on 17-Апр-09, 09:35 
а че вполне реальная статистика

у меня на iptables было куча непонятного бреда

причем когда настраивал уже тогда понял

что пройдет время и как все буду вспоминать и камменты не помогут

так и есть почти ;)

хотя конечно с iptables больше провозился, с pf пока сложно

но ни чего тяжело в учении , легко в бою

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от rm (??) on 17-Апр-09, 09:48 
Dorlas
даже добавлю что, если ты не верно написал порядок правил в pf,то pf просто не загрузит правила:))
наверное поэтому у народа не часто возникают вопросы "как проходит пакет" :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от Dorlas (??) on 17-Апр-09, 16:55 
Если внимательно прочитать документацию на PF хотя бы один раз - то сразу будет формироваться правильный список правил и их порядок.

Пример:

     ############# 1) Макросы и списки ##############
if_ext_local="ng0"
if_ext_unlim="ng1"
if_inet="xl1"
if_lan="xl0"

     ############# 2) Таблицы (tables) #######################

     ############# 3) Опции PF (pf options) ##################

     ############# 4) Scrub (нормализация) ###################

scrub in all fragment reassemble min-ttl 15 max-mss 1400
scrub in all no-df
scrub all reassemble tcp

     ############# 5) Очереди (queries) ######################

     ############# 6) Трансляция адресов (NAT) ###############

nat on $if_ext_local inet from 192.168.0.0/24 -> ($if_ext_local)
nat on $if_ext_unlim inet from 192.168.0.0/24 -> ($if_ext_unlim)

     ############# 7) Правила фильтрации (filtering rules) ###

  #######Блокирующие правила#######

  ### Блокировать любые пакеты (правило по умолчанию) ###
block drop log all

  ### Блокировать любые пакеты без обратного адреса ###
block in from no-route to any
block in from urpf-failed to any

  #######Разрешающие правила#######

  ### Разрешить любые пакеты по loopback-интерфейсу ###
pass quick on lo0 all

  ### Разрешим любые пакеты по внутреннему интерфейсу ###
pass quick on $if_lan all

  ### Правила для VPN-клиента
pass out on $if_inet proto tcp from $if_inet to {10.8.0.1} port 1723
pass on $if_inet proto gre all

  ### Доступ к портам сервера с локалки Уфанет ###
pass in on $if_ext_local proto tcp from any to any port 873 modulate state
pass in on $if_ext_local proto tcp from any to any port 80 modulate state
pass in on $if_ext_local proto tcp from any to any port {21 20000><21000} modulate state

  ### Разрешить Ping на внешних интерфейсах###
pass on {$if_ext_local $if_ext_unlim} inet proto icmp all icmp-type 8 code 0

  ### Разрешаем любые пакеты от VPN-интерфейсов ###
pass out on $if_ext_local from ($if_ext_local) to any keep state
pass out on $if_ext_unlim from ($if_ext_unlim) to any keep state

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от xeonvs (ok) on 17-Апр-09, 20:23 
>Если внимательно прочитать документацию на PF хотя бы один раз - то
>сразу будет формироваться правильный список правил и их порядок.
>
>Пример:
>
>
>  ### Разрешить любые пакеты по loopback-интерфейсу ###
>pass quick on lo0 all
>

зачем нагружать PF фильтрацией заведомо разрешенного траффика?
правельнее это правило переписать так: set skip on { lo0 }
т.е если условия задачи  позволяют не фильтровать трафик на определенном интерфейсе, то его надо добавить в skip

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."  
Сообщение от PereresusNeVlezaetBuggy email(ok) on 17-Апр-09, 20:28 
>[оверквотинг удален]
>>
>>
>>  ### Разрешить любые пакеты по loopback-интерфейсу ###
>>pass quick on lo0 all
>>
>
>зачем нагружать PF фильтрацией заведомо разрешенного траффика?
>правельнее это правило переписать так: set skip on { lo0 }
>т.е если условия задачи  позволяют не фильтровать трафик на определенном интерфейсе,
>то его надо добавить в skip

Строго говоря, опция skip появилась в PF не сразу. У меня до сих пор на работе стоят две машины с фряхой (в свете определённых событий обновлять их нет смысла), которые эту опцию не поддерживают. Хотя вообще трудно приветствовать такую геронтофилию. :) Кстати, лучше писать обычно "set skip on { lo }", т.к. иногда удобно создавать дополнительные loopback-интерфейсы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру