forum.opennet.ru - "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
Сообщение от opennews (ok) on 16-Апр-09, 16:52
Несколько новых уязвимостей: - В пакетном фильтре OpenBSD PF найдена (http://helith.net/txt/openbsd_4.3-current_pf_null_pointer_de...) уязвимость, приводящая к краху ядра системы при обработке специально оформленного IP пакета (к краху приводит сканирование через "nmap -sO"). Патч можно загрузить здесь (ftp://ftp.openbsd.org/pub/OpenBSD/patches/4.4/common/013_pf....). - В широком спектре продуктов Oracle (СУБД 9i, 10g и 11g, Application Server, E-Business Suite и т.п.) исправлено (http://secunia.com/advisories/34693/) три опасные уязвимости, которые могут привести к выполнению кода через специальный POST запрос к opmn процессу через 6000 порт, выполнению подставных SQL запросов через манипуляции с пакетом DBMS_AQIN или получению доступа непривилегированного пользователя к APEX паролям. - В JSON парсере PHP до версии 5.2.9 обнаружена (http://www.mandriva.com/en/security/advisories?name=MDVSA-20...) уязвимость, позволяющая злоумышленнику вызва... URL: Новость: https://www.opennet.ru/opennews/art.shtml?num=21289
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., netc, 16:52 , 16-Апр-09, (1)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., Аноним, 16:55 , 16-Апр-09, (2)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., PereresusNeVlezaetBuggy, 17:47 , 16-Апр-09, (7)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., cvsup, 08:19 , 17-Апр-09, (23)
Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., Аноним, 20:35 , 20-Апр-09, (31)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., PereresusNeVlezaetBuggy, 01:03 , 21-Апр-09, (32)
Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., PereresusNeVlezaetBuggy, 01:11 , 21-Апр-09, (33)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., PereresusNeVlezaetBuggy, 18:00 , 16-Апр-09, (10)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., xxx, 16:59 , 16-Апр-09, (3)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., Аноним, 17:09 , 16-Апр-09, (6)
Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., PereresusNeVlezaetBuggy, 17:48 , 16-Апр-09, (8)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., netc, 17:05 , 16-Апр-09, (4)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., PereresusNeVlezaetBuggy, 17:53 , 16-Апр-09, (9)
Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., Аноним, 18:51 , 16-Апр-09, (12)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., netc, 19:32 , 16-Апр-09, (14)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., Faceconrol, 19:55 , 17-Апр-09, (28)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., iZEN, 18:55 , 16-Апр-09, (13)
Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., linked, 23:27 , 16-Апр-09, (22)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., netc, 09:32 , 17-Апр-09, (24)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., netc, 17:07 , 16-Апр-09, (5)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., PereresusNeVlezaetBuggy, 18:06 , 16-Апр-09, (11)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., netc, 19:52 , 16-Апр-09, (15)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., PereresusNeVlezaetBuggy, 20:26 , 16-Апр-09, (16)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., netc, 20:36 , 16-Апр-09, (17)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., iZEN, 21:07 , 16-Апр-09, (18)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., netc, 21:49 , 16-Апр-09, (19)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., PereresusNeVlezaetBuggy, 22:08 , 16-Апр-09, (20)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., Dorlas, 22:28 , 16-Апр-09, (21)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., netc, 09:35 , 17-Апр-09, (25)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., rm, 09:48 , 17-Апр-09, (26)
Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., Dorlas, 16:55 , 17-Апр-09, (27)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., xeonvs, 20:23 , 17-Апр-09, (29)

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..., PereresusNeVlezaetBuggy, 20:28 , 17-Апр-09, (30)

Сообщения по теме [Сортировка по ответам | RSS]

1. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от netc (ok) on 16-Апр-09, 16:52

а как же любимая фраза опенбсд-ов
что мол за восемь лет не было найдено не одной уязвимости ;(
ну ни кто не ангел конечно

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от Аноним (??) on 16-Апр-09, 16:55

> мол за восемь лет не было найдено не одной уязвимости ;(
Опенбсд - это такой неуловимый Джо.Никому нахрен не нужен - потому и неуловим.А юзали б это на 50% серверов - вы бы узнали о ней много нового, не с лучшей стороны.А редкая экзотичная система хакерам малоинтересна - траха много а ради чего?Сервер с этим найти?!Проще в лотерею миллион выиграть наверное.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от xxx (??) on 16-Апр-09, 16:59

Сейчас у них на сайте: "Only two remote holes in the default install, in more than 10 years!".
Поэтому ничего страшного, они либо просто отмажутся, либо добавят +1 к числу дырок.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от netc (ok) on 16-Апр-09, 17:05

не ну вообще поражает как так простым сканированием выбить фаер

а вообще у кого какое мнение по поводу pf
често скажу прешел на него с iptables, синтаксис - крут ни чего не скажешь
Но как то не так все понятно как с iptables - там ты царь, а тут даже схемы нет как пакеты обрабатываються
ИМХО Ну вообщем iptables очень наворочен, и очень гидок в отличии от pf
мне так показалось

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от netc (ok) on 16-Апр-09, 17:07

много раз пытался переписать правила которые у меня работали в iptables на pf
ни фига - тут блин философия другая совершенно
причем дай бог чтобы философия не мешала реальным нуждам ;)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от Аноним (??) on 16-Апр-09, 17:09

>Сейчас у них на сайте: "Only two remote holes in the default
>install, in more than 10 years!".
"Нет безбажных программ.Есть недообследованные." (c) мне неизвестен.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 17:47

>> мол за восемь лет не было найдено не одной уязвимости ;(
>
>Опенбсд - это такой неуловимый Джо.Никому нахрен не нужен - потому и
>неуловим.А юзали б это на 50% серверов - вы бы узнали
>о ней много нового, не с лучшей стороны.А редкая экзотичная система
>хакерам малоинтересна - траха много а ради чего?Сервер с этим найти?!Проще
>в лотерею миллион выиграть наверное.
Я пишу эти строки из-под OpenBSD. У меня на работе используется OpenBSD. На прошлой работе тоже используется OpenBSD. Некоторые мои друзья-коллеги в России, я бы даже сказал в Москве, тоже юзают OpenBSD. И если вы не в курсе, среди BSD-систем OpenBSD занимает второе место после FreeBSD: http://en.wikipedia.org/wiki/File:Bsd_distributions_usage.svg . Вы когда-нибудь использовали OpenSSH? Ведь использовали наверняка. А он тоже разрабатывается в рамках OpenBSD. sudo тоже сейчас курируется одним из разработчиков OpenBSD (Todd Miller). Ну а собственно PF был портирован даже на Windows. Да-да.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 17:48

>Сейчас у них на сайте: "Only two remote holes in the default
>install, in more than 10 years!".
>Поэтому ничего страшного, они либо просто отмажутся, либо добавят +1 к числу
>дырок.
Не путайте DoS с Remote code execution.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 17:53

>[оверквотинг удален]
>
>често скажу прешел на него с iptables, синтаксис - крут ни чего
>не скажешь
>
>Но как то не так все понятно как с iptables - там
>ты царь, а тут даже схемы нет как пакеты обрабатываються
>
>ИМХО Ну вообщем iptables очень наворочен, и очень гидок в отличии от
>pf
>мне так показалось
Посмотрите внимательно diff, трабла (в очередной раз) связана с обработкой IPv6. Может, это смерть одного из KAME'овцев так влияет до сих пор, может, ещё что.
Схема обработки пакетов детально разжёвана в man'e, равно как и в доступной в Сети книге "Building Firewalls with OpenBSD and PF". Кстати, в CURRENT произошли заметные изменения, о которых я, кажется, так и забыл новость сюда накатать, сейчас исправлюсь.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 18:00

>а как же любимая фраза опенбсд-ов
>что мол за восемь лет не было найдено не одной уязвимости ;(
>
>
>ну ни кто не ангел конечно
Читайте внимательно: "Only two remote holes in the default install, in more than 10 years!"
Во-первых, "в установке по умолчанию". PF в установке по умолчанию не включён. Хотя бы потому, что прикрывать им нечего, по дефолту (идея которого хоть и не была придумана опёнковцами, но явно с их примера пошла в жизнь) в OpenBSD включён только sshd, да и то не обязательно. :)
Во-вторых, к сожалению, две уязвимости таки найдено. :( И вторая была тоже связана с IPv6 и ICMP…
В-третьих, уже в течение десяти лет. ;)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 18:06

Первая ссылка гугла (отмотано чуть назад по истории сообщений) по запросу "iptables denial of service":
http://lists.netfilter.org/pipermail/netfilter-devel/2004-Ap...
Вторая ссылка гугла:
http://secunia.com/advisories/9429/
И т.д.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от Аноним (??) on 16-Апр-09, 18:51

>не ну вообще поражает как так простым сканированием выбить фаер
>
Что тебя поражает то? А если б изощренный способ был, тебя это не поразило? Все равно нихера не понимаешь смысла этой атаки и ее механизма (природы ее, так сказать). Будто ты бы такой баги не допустил, можно подумать
Такие умные все, блин, пошли... Что не коммент, то обязательно мнение от гипер-мега-крутого программера

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от iZEN (ok) on 16-Апр-09, 18:55

>Но как то не так все понятно как с iptables - там ты царь, а тут даже схемы нет как пакеты обрабатываються
Правила PF имеют структуру описания из 7 разделов. В IPTABLES пишешь — как бог на душу положит.
Почти как отличия C от Asm.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от netc (??) on 16-Апр-09, 19:32

>>не ну вообще поражает как так простым сканированием выбить фаер
>>
>
>Что тебя поражает то? А если б изощренный способ был, тебя это
>не поразило? Все равно нихера не понимаешь смысла этой атаки и
>ее механизма (природы ее, так сказать). Будто ты бы такой баги
>не допустил, можно подумать
>
>Такие умные все, блин, пошли... Что не коммент, то обязательно мнение от
>гипер-мега-крутого программера
если честно, то я себя мега программером не считаю
я вообще начинающий сис. админ
я просто удивлен, тому, что с каждым днем мне хоть и сложнее работать, но в то же время и интересней работая, каждый день заходить на любимый опеннет и следить за тем, что происходит в мире опенсорс;)
а вот по теме того, что меня поражает как раз таки что ни кому верить нельзя. полагаться можно только на себя ;) - просто факт.
вообщем то о опенбсд я узнал пытавшись устроиться на работу в одну контору сисадмином
причем там много спрашивали а знаете ли вы о таких аттаках, а о таких знаете
и вот настал тот час, когда я смело и абсолютно без зазрения совести могу послать ссылку на эту дыру, тому кто со мной вел собеседование и рассказывал мне, что у нас все под контролем
;)

да хочу сказать, что сейчас у меня два сервака именно с pf.
и замечу, что установив pf я понял очень много вещей, о которых раньше мог только догадываться
во всем есть свои плючы и минусы

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от netc (??) on 16-Апр-09, 19:52

>Первая ссылка гугла (отмотано чуть назад по истории сообщений) по запросу "iptables
>denial of service":
>http://lists.netfilter.org/pipermail/netfilter-devel/2004-Ap...
>
>Вторая ссылка гугла:
>http://secunia.com/advisories/9429/
>
>И т.д.
т.е. ты хочешь сказать, что у iptables все запущено пуще pf-а
ну в принципе как ниже заметили c и asm, соглашусь, на asm легче допустить ошибку ;)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 20:26

>[оверквотинг удален]
>>
>>Вторая ссылка гугла:
>>http://secunia.com/advisories/9429/
>>
>>И т.д.
>
>т.е. ты хочешь сказать, что у iptables все запущено пуще pf-а
>
>ну в принципе как ниже заметили c и asm, соглашусь, на asm
>легче допустить ошибку ;)
Насчёт того, запущеннее или нет — не возьмусь быть беспристрастным судьёй, а сравнение C и Asm, ИМХО, действительно довольно удачное, именно с такими выводами. :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от netc (??) on 16-Апр-09, 20:36

вообщем то единственное, что меня не устраивает в подходе к изучению pf так это то, что перевыв уже кучу мануалов и статей я ни где не нащел схемы как обрабатываються пакеты
т.е. как в iptables
я конечно понимаю, что она будет принципиальна иная
я имею в виду что то типа схемы а третей главе вот этого мануала
https://www.opennet.ru/docs/RUS/iptables/
или вот позамороченней
http://jengelh.medozas.de/images/nf-packet-flow.svg
ну вообще у меня раньше была средняя схемка, ну там было все понятно
что касаеться openBSD то ни в man pf, ни в faq на сайте, ни в man pf.conf ни чего такого я не нашел
хоть бы главу что ли посвятили схеме, - ни фига только словестно, я конечно все понимаю, но блин собрать словестные вещи воедино ИМХО - это сложно.
причем до сих пор из за этого страдаю
т.е. как то все по отдельности описано, ну не нашел я еще полного мана, видимо прийдеться искать ту книжку про PF типа Understanding PF помоему. может там что то подобное будет

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от iZEN (ok) on 16-Апр-09, 21:07

>вообщем то единственное, что меня не устраивает в подходе к изучению pf
>так это то, что перевыв уже кучу мануалов и статей я
>ни где не нащел схемы как обрабатываються пакеты
>
>ну не нашел я еще
>полного мана, видимо прийдеться искать ту книжку про PF типа Understanding
>PF помоему. может там что то подобное будет
man: http://www.freebsd.org/cgi/man.cgi?query=pf.conf
faq: ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf
пример: http://www.lissyara.su/?id=1833

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от netc (??) on 16-Апр-09, 21:49

>[оверквотинг удален]
>>так это то, что перевыв уже кучу мануалов и статей я
>>ни где не нащел схемы как обрабатываються пакеты
>>
>>ну не нашел я еще
>>полного мана, видимо прийдеться искать ту книжку про PF типа Understanding
>>PF помоему. может там что то подобное будет
>
>man: http://www.freebsd.org/cgi/man.cgi?query=pf.conf
>faq: ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf
>пример: http://www.lissyara.su/?id=1833
сто раз читал ;)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 22:08

>[оверквотинг удален]
>>>
>>>ну не нашел я еще
>>>полного мана, видимо прийдеться искать ту книжку про PF типа Understanding
>>>PF помоему. может там что то подобное будет
>>
>>man: http://www.freebsd.org/cgi/man.cgi?query=pf.conf
>>faq: ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf
>>пример: http://www.lissyara.su/?id=1833
>
>сто раз читал ;)
Ну вот кортинго тогда. Откуда выдрал - не помню, кажется, было в презентациях, выложенных на openbsd.org. http://77.108.65.40/dnl/flow.png
Главное, что нужно понять (не только в случае миграции с iptables на PF или обратно), это то, что плясать надо от конечной цели. То есть формулировать задачу «надо так-то и так-то разрулить взаимодействие таких-то сетей», а не «как адаптировать заточенное под iptables решение для PF».

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от Dorlas (??) on 16-Апр-09, 22:28

Схема прохождения пакета...Ну тут вошел, оттуда вышел :)
Принципы простые:
1) Список правил проверяется и применяется на пакет на каждой сетевой, через которую он пройдет
2) NAT на сетевой применяется первый (т.е. меняются заголовки) - и после список правил проверяется уже на пакет с измененным адресом/портом.
Вот и вся схема.
PS: Недавно мигрировал сервер с iptables/shorewall - около 600 правил на PF - получилось: 7 таблиц + 10 макросов + 40 правил.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от linked (ok) on 16-Апр-09, 23:27

>Но как то не так все понятно как с iptables - там ты царь,
> а тут даже схемы нет как пакеты обрабатываються
Порядок прохождения пакетов в PF
http://img210.imageshack.us/img210/3568/flow.png

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от cvsup (ok) on 17-Апр-09, 08:19

Ты им все равно ничего не докажешь. Они же чуваки (см. соседнюю ветку) и фанатично влюблены в свою промывающую мозг священную корову.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от netc (ok) on 17-Апр-09, 09:32

спасибо огромное ;)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от netc (ok) on 17-Апр-09, 09:35

а че вполне реальная статистика
у меня на iptables было куча непонятного бреда
причем когда настраивал уже тогда понял
что пройдет время и как все буду вспоминать и камменты не помогут
так и есть почти ;)
хотя конечно с iptables больше провозился, с pf пока сложно
но ни чего тяжело в учении , легко в бою

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от rm (??) on 17-Апр-09, 09:48

Dorlas
даже добавлю что, если ты не верно написал порядок правил в pf,то pf просто не загрузит правила:))
наверное поэтому у народа не часто возникают вопросы "как проходит пакет" :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от Dorlas (??) on 17-Апр-09, 16:55

Если внимательно прочитать документацию на PF хотя бы один раз - то сразу будет формироваться правильный список правил и их порядок.
Пример:
     ############# 1) Макросы и списки ##############
if_ext_local="ng0"
if_ext_unlim="ng1"
if_inet="xl1"
if_lan="xl0"
     ############# 2) Таблицы (tables) #######################
     ############# 3) Опции PF (pf options) ##################
     ############# 4) Scrub (нормализация) ###################
scrub in all fragment reassemble min-ttl 15 max-mss 1400
scrub in all no-df
scrub all reassemble tcp
     ############# 5) Очереди (queries) ######################
     ############# 6) Трансляция адресов (NAT) ###############
nat on $if_ext_local inet from 192.168.0.0/24 -> ($if_ext_local)
nat on $if_ext_unlim inet from 192.168.0.0/24 -> ($if_ext_unlim)
     ############# 7) Правила фильтрации (filtering rules) ###
  #######Блокирующие правила#######
  ### Блокировать любые пакеты (правило по умолчанию) ###
block drop log all
  ### Блокировать любые пакеты без обратного адреса ###
block in from no-route to any
block in from urpf-failed to any
  #######Разрешающие правила#######
  ### Разрешить любые пакеты по loopback-интерфейсу ###
pass quick on lo0 all
  ### Разрешим любые пакеты по внутреннему интерфейсу ###
pass quick on $if_lan all
  ### Правила для VPN-клиента
pass out on $if_inet proto tcp from $if_inet to {10.8.0.1} port 1723
pass on $if_inet proto gre all
  ### Доступ к портам сервера с локалки Уфанет ###
pass in on $if_ext_local proto tcp from any to any port 873 modulate state
pass in on $if_ext_local proto tcp from any to any port 80 modulate state
pass in on $if_ext_local proto tcp from any to any port {21 20000><21000} modulate state
  ### Разрешить Ping на внешних интерфейсах###
pass on {$if_ext_local $if_ext_unlim} inet proto icmp all icmp-type 8 code 0
  ### Разрешаем любые пакеты от VPN-интерфейсов ###
pass out on $if_ext_local from ($if_ext_local) to any keep state
pass out on $if_ext_unlim from ($if_ext_unlim) to any keep state

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от Faceconrol on 17-Апр-09, 19:55

>если честно, то я себя мега программером не считаю
>я вообще начинающий сис. админ
Народная мудрость гласит что иногда тебе надо МНОГО читать, слушать и спрашивать и МАЛО выражать своё мнение. И тогда со временем начнут спрашивать у тебя :)
По делу - ошибка в IPv6. Оно ещё принесет не одну и не две проблемы ... но двигаться все же нада :(

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

29. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от xeonvs (ok) on 17-Апр-09, 20:23

>Если внимательно прочитать документацию на PF хотя бы один раз - то
>сразу будет формироваться правильный список правил и их порядок.
>
>Пример:
>
>
>  ### Разрешить любые пакеты по loopback-интерфейсу ###
>pass quick on lo0 all
>
зачем нагружать PF фильтрацией заведомо разрешенного траффика?
правельнее это правило переписать так: set skip on { lo0 }
т.е если условия задачи  позволяют не фильтровать трафик на определенном интерфейсе, то его надо добавить в skip

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от PereresusNeVlezaetBuggy (ok) on 17-Апр-09, 20:28

>[оверквотинг удален]
>>
>>
>>  ### Разрешить любые пакеты по loopback-интерфейсу ###
>>pass quick on lo0 all
>>
>
>зачем нагружать PF фильтрацией заведомо разрешенного траффика?
>правельнее это правило переписать так: set skip on { lo0 }
>т.е если условия задачи  позволяют не фильтровать трафик на определенном интерфейсе,
>то его надо добавить в skip
Строго говоря, опция skip появилась в PF не сразу. У меня до сих пор на работе стоят две машины с фряхой (в свете определённых событий обновлять их нет смысла), которые эту опцию не поддерживают. Хотя вообще трудно приветствовать такую геронтофилию. :) Кстати, лучше писать обычно "set skip on { lo }", т.к. иногда удобно создавать дополнительные loopback-интерфейсы.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

31. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от Аноним (??) on 20-Апр-09, 20:35

>я бы даже сказал в Москве, тоже юзают OpenBSD.
Вспомнился анекдот про войну чукч и китайцев, там где одних сто а других миллиард.
P.S. кстати если следить за дырами то можно заметить что и в sudo и в openssh дыры находили, при том последние - не так уж и давно.С чего вы взяли что дыр нет в менее популярных а потому менее изученных кусках кода - вам виднее, а со стороны выглядит необоснованно и неубедительно.
P.P.S. А как ищут баги опенбсдшники - известно. Вот так: http://www.securitylab.ru/news/352795.php

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

32. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от PereresusNeVlezaetBuggy (ok) on 21-Апр-09, 01:03

>>я бы даже сказал в Москве, тоже юзают OpenBSD.
>
>Вспомнился анекдот про войну чукч и китайцев, там где одних сто а
>других миллиард.
… Миллионы мух не могут ошибаться…
>P.S. кстати если следить за дырами то можно заметить что и в
>sudo и в openssh дыры находили, при том последние - не
>так уж и давно.С чего вы взяли что дыр нет в
>менее популярных а потому менее изученных кусках кода - вам виднее,
>а со стороны выглядит необоснованно и неубедительно.
>
>P.P.S. А как ищут баги опенбсдшники - известно. Вот так: http://www.securitylab.ru/news/352795.php
Именно. Только эта бага существовала задолго до появления на свет OpenBSD (а также Linux), и относилась практически ко всем BSD-системам. Так что факт находки и исправления данной проблемы как раз OpenBSD'шниками, ИМХО, им в плюс. Не они авторы этого кода (автор кода сейчас трудится в первую очередь на благо FreeBSD и вообще стоял у её истоков).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

33. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."

Сообщение от PereresusNeVlezaetBuggy (ok) on 21-Апр-09, 01:11

>P.S. кстати если следить за дырами то можно заметить что и в
>sudo и в openssh дыры находили, при том последние - не
>так уж и давно.С чего вы взяли что дыр нет в
>менее популярных а потому менее изученных кусках кода - вам виднее,
>а со стороны выглядит необоснованно и неубедительно.
Находили, и что? Вы хотите кому-то открыть глаза, что нет совершенных программ? Открою вам великую тайну: открывать глаза здесь особо некому. Мы живём в мире несовершенных программ. Доверять нельзя никому.
И покажите мне, пожалуйста, с чего вы взяли, что я утверждаю, что в OpenBSD, OpenSSH, sudo и т.д. нет дыр. Ткните меня пальцем и я стыдливо умолкну.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	1. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от netc (ok) on 16-Апр-09, 16:52
	а как же любимая фраза опенбсд-ов что мол за восемь лет не было найдено не одной уязвимости ;( ну ни кто не ангел конечно
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от Аноним (??) on 16-Апр-09, 16:55
	> мол за восемь лет не было найдено не одной уязвимости ;( Опенбсд - это такой неуловимый Джо.Никому нахрен не нужен - потому и неуловим.А юзали б это на 50% серверов - вы бы узнали о ней много нового, не с лучшей стороны.А редкая экзотичная система хакерам малоинтересна - траха много а ради чего?Сервер с этим найти?!Проще в лотерею миллион выиграть наверное.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от xxx (??) on 16-Апр-09, 16:59
	Сейчас у них на сайте: "Only two remote holes in the default install, in more than 10 years!". Поэтому ничего страшного, они либо просто отмажутся, либо добавят +1 к числу дырок.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от netc (ok) on 16-Апр-09, 17:05
	не ну вообще поражает как так простым сканированием выбить фаер а вообще у кого какое мнение по поводу pf често скажу прешел на него с iptables, синтаксис - крут ни чего не скажешь Но как то не так все понятно как с iptables - там ты царь, а тут даже схемы нет как пакеты обрабатываються ИМХО Ну вообщем iptables очень наворочен, и очень гидок в отличии от pf мне так показалось
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от netc (ok) on 16-Апр-09, 17:07
	много раз пытался переписать правила которые у меня работали в iptables на pf ни фига - тут блин философия другая совершенно причем дай бог чтобы философия не мешала реальным нуждам ;)
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от Аноним (??) on 16-Апр-09, 17:09
	>Сейчас у них на сайте: "Only two remote holes in the default >install, in more than 10 years!". "Нет безбажных программ.Есть недообследованные." (c) мне неизвестен.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	7. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 17:47
	>> мол за восемь лет не было найдено не одной уязвимости ;( > >Опенбсд - это такой неуловимый Джо.Никому нахрен не нужен - потому и >неуловим.А юзали б это на 50% серверов - вы бы узнали >о ней много нового, не с лучшей стороны.А редкая экзотичная система >хакерам малоинтересна - траха много а ради чего?Сервер с этим найти?!Проще >в лотерею миллион выиграть наверное. Я пишу эти строки из-под OpenBSD. У меня на работе используется OpenBSD. На прошлой работе тоже используется OpenBSD. Некоторые мои друзья-коллеги в России, я бы даже сказал в Москве, тоже юзают OpenBSD. И если вы не в курсе, среди BSD-систем OpenBSD занимает второе место после FreeBSD: http://en.wikipedia.org/wiki/File:Bsd_distributions_usage.svg . Вы когда-нибудь использовали OpenSSH? Ведь использовали наверняка. А он тоже разрабатывается в рамках OpenBSD. sudo тоже сейчас курируется одним из разработчиков OpenBSD (Todd Miller). Ну а собственно PF был портирован даже на Windows. Да-да.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	8. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 17:48
	>Сейчас у них на сайте: "Only two remote holes in the default >install, in more than 10 years!". >Поэтому ничего страшного, они либо просто отмажутся, либо добавят +1 к числу >дырок. Не путайте DoS с Remote code execution.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	9. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 17:53
	>[оверквотинг удален] > >често скажу прешел на него с iptables, синтаксис - крут ни чего >не скажешь > >Но как то не так все понятно как с iptables - там >ты царь, а тут даже схемы нет как пакеты обрабатываються > >ИМХО Ну вообщем iptables очень наворочен, и очень гидок в отличии от >pf >мне так показалось Посмотрите внимательно diff, трабла (в очередной раз) связана с обработкой IPv6. Может, это смерть одного из KAME'овцев так влияет до сих пор, может, ещё что. Схема обработки пакетов детально разжёвана в man'e, равно как и в доступной в Сети книге "Building Firewalls with OpenBSD and PF". Кстати, в CURRENT произошли заметные изменения, о которых я, кажется, так и забыл новость сюда накатать, сейчас исправлюсь.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	10. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 18:00
	>а как же любимая фраза опенбсд-ов >что мол за восемь лет не было найдено не одной уязвимости ;( > > >ну ни кто не ангел конечно Читайте внимательно: "Only two remote holes in the default install, in more than 10 years!" Во-первых, "в установке по умолчанию". PF в установке по умолчанию не включён. Хотя бы потому, что прикрывать им нечего, по дефолту (идея которого хоть и не была придумана опёнковцами, но явно с их примера пошла в жизнь) в OpenBSD включён только sshd, да и то не обязательно. :) Во-вторых, к сожалению, две уязвимости таки найдено. :( И вторая была тоже связана с IPv6 и ICMP… В-третьих, уже в течение десяти лет. ;)
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	11. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 18:06
	Первая ссылка гугла (отмотано чуть назад по истории сообщений) по запросу "iptables denial of service": http://lists.netfilter.org/pipermail/netfilter-devel/2004-Ap... Вторая ссылка гугла: http://secunia.com/advisories/9429/ И т.д.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	12. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от Аноним (??) on 16-Апр-09, 18:51
	>не ну вообще поражает как так простым сканированием выбить фаер > Что тебя поражает то? А если б изощренный способ был, тебя это не поразило? Все равно нихера не понимаешь смысла этой атаки и ее механизма (природы ее, так сказать). Будто ты бы такой баги не допустил, можно подумать Такие умные все, блин, пошли... Что не коммент, то обязательно мнение от гипер-мега-крутого программера
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	13. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от iZEN (ok) on 16-Апр-09, 18:55
	>Но как то не так все понятно как с iptables - там ты царь, а тут даже схемы нет как пакеты обрабатываються Правила PF имеют структуру описания из 7 разделов. В IPTABLES пишешь — как бог на душу положит. Почти как отличия C от Asm.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	14. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от netc (??) on 16-Апр-09, 19:32
	>>не ну вообще поражает как так простым сканированием выбить фаер >> > >Что тебя поражает то? А если б изощренный способ был, тебя это >не поразило? Все равно нихера не понимаешь смысла этой атаки и >ее механизма (природы ее, так сказать). Будто ты бы такой баги >не допустил, можно подумать > >Такие умные все, блин, пошли... Что не коммент, то обязательно мнение от >гипер-мега-крутого программера если честно, то я себя мега программером не считаю я вообще начинающий сис. админ я просто удивлен, тому, что с каждым днем мне хоть и сложнее работать, но в то же время и интересней работая, каждый день заходить на любимый опеннет и следить за тем, что происходит в мире опенсорс;) а вот по теме того, что меня поражает как раз таки что ни кому верить нельзя. полагаться можно только на себя ;) - просто факт. вообщем то о опенбсд я узнал пытавшись устроиться на работу в одну контору сисадмином причем там много спрашивали а знаете ли вы о таких аттаках, а о таких знаете и вот настал тот час, когда я смело и абсолютно без зазрения совести могу послать ссылку на эту дыру, тому кто со мной вел собеседование и рассказывал мне, что у нас все под контролем ;) да хочу сказать, что сейчас у меня два сервака именно с pf. и замечу, что установив pf я понял очень много вещей, о которых раньше мог только догадываться во всем есть свои плючы и минусы
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	15. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от netc (??) on 16-Апр-09, 19:52
	>Первая ссылка гугла (отмотано чуть назад по истории сообщений) по запросу "iptables >denial of service": >http://lists.netfilter.org/pipermail/netfilter-devel/2004-Ap... > >Вторая ссылка гугла: >http://secunia.com/advisories/9429/ > >И т.д. т.е. ты хочешь сказать, что у iptables все запущено пуще pf-а ну в принципе как ниже заметили c и asm, соглашусь, на asm легче допустить ошибку ;)
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	16. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 20:26
	>[оверквотинг удален] >> >>Вторая ссылка гугла: >>http://secunia.com/advisories/9429/ >> >>И т.д. > >т.е. ты хочешь сказать, что у iptables все запущено пуще pf-а > >ну в принципе как ниже заметили c и asm, соглашусь, на asm >легче допустить ошибку ;) Насчёт того, запущеннее или нет — не возьмусь быть беспристрастным судьёй, а сравнение C и Asm, ИМХО, действительно довольно удачное, именно с такими выводами. :)
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	17. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от netc (??) on 16-Апр-09, 20:36
	вообщем то единственное, что меня не устраивает в подходе к изучению pf так это то, что перевыв уже кучу мануалов и статей я ни где не нащел схемы как обрабатываються пакеты т.е. как в iptables я конечно понимаю, что она будет принципиальна иная я имею в виду что то типа схемы а третей главе вот этого мануала https://www.opennet.ru/docs/RUS/iptables/ или вот позамороченней http://jengelh.medozas.de/images/nf-packet-flow.svg ну вообще у меня раньше была средняя схемка, ну там было все понятно что касаеться openBSD то ни в man pf, ни в faq на сайте, ни в man pf.conf ни чего такого я не нашел хоть бы главу что ли посвятили схеме, - ни фига только словестно, я конечно все понимаю, но блин собрать словестные вещи воедино ИМХО - это сложно. причем до сих пор из за этого страдаю т.е. как то все по отдельности описано, ну не нашел я еще полного мана, видимо прийдеться искать ту книжку про PF типа Understanding PF помоему. может там что то подобное будет
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	18. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от iZEN (ok) on 16-Апр-09, 21:07
	>вообщем то единственное, что меня не устраивает в подходе к изучению pf >так это то, что перевыв уже кучу мануалов и статей я >ни где не нащел схемы как обрабатываються пакеты > >ну не нашел я еще >полного мана, видимо прийдеться искать ту книжку про PF типа Understanding >PF помоему. может там что то подобное будет man: http://www.freebsd.org/cgi/man.cgi?query=pf.conf faq: ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf пример: http://www.lissyara.su/?id=1833
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	19. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от netc (??) on 16-Апр-09, 21:49
	>[оверквотинг удален] >>так это то, что перевыв уже кучу мануалов и статей я >>ни где не нащел схемы как обрабатываються пакеты >> >>ну не нашел я еще >>полного мана, видимо прийдеться искать ту книжку про PF типа Understanding >>PF помоему. может там что то подобное будет > >man: http://www.freebsd.org/cgi/man.cgi?query=pf.conf >faq: ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf >пример: http://www.lissyara.su/?id=1833 сто раз читал ;)
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	20. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Апр-09, 22:08
	>[оверквотинг удален] >>> >>>ну не нашел я еще >>>полного мана, видимо прийдеться искать ту книжку про PF типа Understanding >>>PF помоему. может там что то подобное будет >> >>man: http://www.freebsd.org/cgi/man.cgi?query=pf.conf >>faq: ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf >>пример: http://www.lissyara.su/?id=1833 > >сто раз читал ;) Ну вот кортинго тогда. Откуда выдрал - не помню, кажется, было в презентациях, выложенных на openbsd.org. http://77.108.65.40/dnl/flow.png Главное, что нужно понять (не только в случае миграции с iptables на PF или обратно), это то, что плясать надо от конечной цели. То есть формулировать задачу «надо так-то и так-то разрулить взаимодействие таких-то сетей», а не «как адаптировать заточенное под iptables решение для PF».
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	21. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от Dorlas (??) on 16-Апр-09, 22:28
	Схема прохождения пакета...Ну тут вошел, оттуда вышел :) Принципы простые: 1) Список правил проверяется и применяется на пакет на каждой сетевой, через которую он пройдет 2) NAT на сетевой применяется первый (т.е. меняются заголовки) - и после список правил проверяется уже на пакет с измененным адресом/портом. Вот и вся схема. PS: Недавно мигрировал сервер с iptables/shorewall - около 600 правил на PF - получилось: 7 таблиц + 10 макросов + 40 правил.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	22. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от linked (ok) on 16-Апр-09, 23:27
	>Но как то не так все понятно как с iptables - там ты царь, > а тут даже схемы нет как пакеты обрабатываються Порядок прохождения пакетов в PF http://img210.imageshack.us/img210/3568/flow.png
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	23. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от cvsup (ok) on 17-Апр-09, 08:19
	Ты им все равно ничего не докажешь. Они же чуваки (см. соседнюю ветку) и фанатично влюблены в свою промывающую мозг священную корову.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	24. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от netc (ok) on 17-Апр-09, 09:32
	спасибо огромное ;)
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	25. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от netc (ok) on 17-Апр-09, 09:35
	а че вполне реальная статистика у меня на iptables было куча непонятного бреда причем когда настраивал уже тогда понял что пройдет время и как все буду вспоминать и камменты не помогут так и есть почти ;) хотя конечно с iptables больше провозился, с pf пока сложно но ни чего тяжело в учении , легко в бою
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	26. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от rm (??) on 17-Апр-09, 09:48
	Dorlas даже добавлю что, если ты не верно написал порядок правил в pf,то pf просто не загрузит правила:)) наверное поэтому у народа не часто возникают вопросы "как проходит пакет" :)
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	27. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от Dorlas (??) on 17-Апр-09, 16:55
	Если внимательно прочитать документацию на PF хотя бы один раз - то сразу будет формироваться правильный список правил и их порядок. Пример: ############# 1) Макросы и списки ############## if_ext_local="ng0" if_ext_unlim="ng1" if_inet="xl1" if_lan="xl0" ############# 2) Таблицы (tables) ####################### ############# 3) Опции PF (pf options) ################## ############# 4) Scrub (нормализация) ################### scrub in all fragment reassemble min-ttl 15 max-mss 1400 scrub in all no-df scrub all reassemble tcp ############# 5) Очереди (queries) ###################### ############# 6) Трансляция адресов (NAT) ############### nat on $if_ext_local inet from 192.168.0.0/24 -> ($if_ext_local) nat on $if_ext_unlim inet from 192.168.0.0/24 -> ($if_ext_unlim) ############# 7) Правила фильтрации (filtering rules) ### #######Блокирующие правила####### ### Блокировать любые пакеты (правило по умолчанию) ### block drop log all ### Блокировать любые пакеты без обратного адреса ### block in from no-route to any block in from urpf-failed to any #######Разрешающие правила####### ### Разрешить любые пакеты по loopback-интерфейсу ### pass quick on lo0 all ### Разрешим любые пакеты по внутреннему интерфейсу ### pass quick on $if_lan all ### Правила для VPN-клиента pass out on $if_inet proto tcp from $if_inet to {10.8.0.1} port 1723 pass on $if_inet proto gre all ### Доступ к портам сервера с локалки Уфанет ### pass in on $if_ext_local proto tcp from any to any port 873 modulate state pass in on $if_ext_local proto tcp from any to any port 80 modulate state pass in on $if_ext_local proto tcp from any to any port {21 20000><21000} modulate state ### Разрешить Ping на внешних интерфейсах### pass on {$if_ext_local $if_ext_unlim} inet proto icmp all icmp-type 8 code 0 ### Разрешаем любые пакеты от VPN-интерфейсов ### pass out on $if_ext_local from ($if_ext_local) to any keep state pass out on $if_ext_unlim from ($if_ext_unlim) to any keep state
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	28. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от Faceconrol on 17-Апр-09, 19:55
	>если честно, то я себя мега программером не считаю >я вообще начинающий сис. админ Народная мудрость гласит что иногда тебе надо МНОГО читать, слушать и спрашивать и МАЛО выражать своё мнение. И тогда со временем начнут спрашивать у тебя :) По делу - ошибка в IPv6. Оно ещё принесет не одну и не две проблемы ... но двигаться все же нада :(
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	29. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от xeonvs (ok) on 17-Апр-09, 20:23
	>Если внимательно прочитать документацию на PF хотя бы один раз - то >сразу будет формироваться правильный список правил и их порядок. > >Пример: > > > ### Разрешить любые пакеты по loopback-интерфейсу ### >pass quick on lo0 all > зачем нагружать PF фильтрацией заведомо разрешенного траффика? правельнее это правило переписать так: set skip on { lo0 } т.е если условия задачи позволяют не фильтровать трафик на определенном интерфейсе, то его надо добавить в skip
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	30. "Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpse..."
	Сообщение от PereresusNeVlezaetBuggy (ok) on 17-Апр-09, 20:28
	>[оверквотинг удален] >> >> >> ### Разрешить любые пакеты по loopback-интерфейсу ### >>pass quick on lo0 all >> > >зачем нагружать PF фильтрацией заведомо разрешенного траффика? >правельнее это правило переписать так: set skip on { lo0 } >т.е если условия задачи позволяют не фильтровать трафик на определенном интерфейсе, >то его надо добавить в skip Строго говоря, опция skip появилась в PF не сразу. У меня до сих пор на работе стоят две машины с фряхой (в свете определённых событий обновлять их нет смысла), которые эту опцию не поддерживают. Хотя вообще трудно приветствовать такую геронтофилию. :) Кстати, лучше писать обычно "set skip on { lo }", т.к. иногда удобно создавать дополнительные loopback-интерфейсы.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору