URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 734
[ Назад ]

Исходное сообщение
"Помогите файрвол+ssh2"

Отправлено DMroot , 09-Июл-03 08:55 
Привет всем!
Проблема такая поставил файрвол ipfw на FreeBSD 4.8,
на нём же почтовый сервак, со следующими правилами:
...
${ipfw} add 200 deny icmp from any to me in icmptype 5,9,13,14,15,16,17
${ipfw} add 320 allow icmp from me to any
${ipfw} add 330 allow udp from me to any domain keep-state
${ipfw} add 340 allow udp from any to me domain
${ipfw} add 350 allow ip from me to any
${ipfw} add 400 allow tcp from any to me smtp,pop3
${ipfw} add 405 allow tcp from me to any smtp,pop3,domain,ssh
${ipfw} add 410 allow tcp from ${ournet} to me smtp,pop3,ssh,3306
...
где ournet - моя внутренняя сетка.
А при коннекте к серверу по ssh(при помощи putty) выдаёт:
Apr 14 16:07:14 serv sshd[733]: refused connect from my.zzzzzz.net (xxx.xxx.xxx.xxx)- так все стало после установки firewall, до этого естественно всё работало, и MySQL (3306)-тоже перестал, хотя почта 25,110 -ходит как надо ,что это может быть???
Заранее благодарен Димитрий

Содержание

Сообщения в этом обсуждении
"Помогите файрвол+ssh2"
Отправлено Mikle , 09-Июл-03 09:33 
>Привет всем!
>Проблема такая поставил файрвол ipfw на FreeBSD 4.8,
>на нём же почтовый сервак, со следующими правилами:
>...
>${ipfw} add 200 deny icmp from any to me in icmptype 5,9,13,14,15,16,17
>
>${ipfw} add 320 allow icmp from me to any
>${ipfw} add 330 allow udp from me to any domain keep-state
>${ipfw} add 340 allow udp from any to me domain
>${ipfw} add 350 allow ip from me to any
>${ipfw} add 400 allow tcp from any to me smtp,pop3
>${ipfw} add 405 allow tcp from me to any smtp,pop3,domain,ssh
>${ipfw} add 410 allow tcp from ${ournet} to me smtp,pop3,ssh,3306
>...
>где ournet - моя внутренняя сетка.
>А при коннекте к серверу по ssh(при помощи putty) выдаёт:
>Apr 14 16:07:14 serv sshd[733]: refused connect from my.zzzzzz.net (xxx.xxx.xxx.xxx)- так все
>стало после установки firewall, до этого естественно всё работало, и MySQL
>(3306)-тоже перестал, хотя почта 25,110 -ходит как надо ,что это может
>быть???
>Заранее благодарен Димитрий

Если у тебя далее стоит deny, то похоже, что правилом 410 ты разрешил подключение к себе на 22 и 3306, а правило 405 у тебя разрешает tcp от тебя to any на 22 и т.д. Но надо разрешить с твоего 22 to any не на 22, т.к. когда ты коннектишься к серваку на 22, сам идешь не с 22, а с любого.
Т. о. правило надо модифицировать

add 405 allow tcp from me ssh to any

То же и с 3306

А, сейчас заметил правило add 350 allow ip from me to any
Может исходящие пакеты проходят через него и вылетают из ipfw,
не доходя 405
Тогда хрен его знает
Попробуй поубирать и подобавлять конкретные правила
Попробуешь, поделись результатом



"Помогите файрвол+ssh2"
Отправлено DMroot , 09-Июл-03 17:06 
Теперь всё можно, но после перезапуска сети исчезает lo0(127.0.0.1),несмотря на то,что в rc.conf есть строчка
ifconfig_lo0="127.0.0.1"
Ну да я пока её загнал в rc в виде
exec ifconfig lo0 127.0.0.1
Настройки такие:
prox='xxx.xxx.xxx.xxx'
${ipfw} flush
${ipfw} add 100 check-state
${ipfw} add 200 deny icmp from any to me in icmptype 5,9,13,14,15,16,17
${ipfw} add 320 allow icmp from me to any
${ipfw} add 330 allow udp from me to any domain keep-state
${ipfw} add 340 allow udp from any to me domain
${ipfw} add 345 allow ip from any to any via lo0
#${ipfw} add 350 allow  from me to any
${ipfw} add 400 allow tcp from any to me smtp,pop3
${ipfw} add 405 allow tcp from me to any smtp,pop3,domain
${ipfw} add 410 allow tcp from ${prox} to me smtp,pop3,ssh
#${ipfw} add 65534 deny ip from any to me

Самое главное что теперь можно всё и отовсюду:
ipfw show:
00100   0     0 check-state
00200   0     0 deny icmp from any to me in icmptype 5,9,13,14,15,16,17
00320   0     0 allow icmp from me to any
00330   6   601 allow udp from me to any 53 keep-state
00340   0     0 allow udp from any to me 53
00345   0     0 allow ip from any to any via lo0
00400  75  6571 allow tcp from any to me 25,110
00405   0     0 allow tcp from me to any 25,110,53
00410 140 12340 allow tcp from xxx.xxx.xxx.xxx to me 25,110,22
65535 221 69672 allow ip from any to any
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ - вот эта строчка задолбала!
Не понятно откуда берётся...
Если после пересборки всё запрещено должно бы было быть... по идее должно было быть 3306 и ssh
65535 221 69672 deny ip from any to any , а тут наоборот...
xxx.xxx.xxx.xxx - это единственный ip, с которого можно на
Что делать, пробовал вписать
65535 deny ip from any to any - пишет ошибку
65534 deny ip from any to any - всё закрывается нафиг вообще...
Что делать?
ДА в конфиге ядра, которое установленно есть строчка:
options IPFIREWALL_DEFAULT_TO_ACCEPT    #allow everything by default/
это всё наверное из-за нее, а теперь опять нужно ядро пересобирать? Другим способом не решить проблему??



"Помогите файрвол+ssh2"
Отправлено Nikolai , 25-Сен-03 10:08 
для нормального loopback
${fwcmd} add allow all from any to any via lo0
последняя строка обозначает то что ты собирал ядро с опцией по котора по умолчанию разрешает прохождение ВСЕХ пакетов
кстати совету воспользоваться заготовкой /etc/rc.firewall
там много всякого интересного
в том числе защита от спуфинга и пр. неприятных вещей, очень помогает правильно настроить firewall
а ещё советую прочитать man firewall