Deac Опубликовано 1 октября, 2010 · Жалоба Ознакомься что делает вышеуказанная опция.Детская болезнь боязни собственной неумелости, этим надо просто переболеть. Все контролируемые мной сервера более или менее удалены, некоторые больше чем на 100км. Есть общепринятые правила внесения изменений в файервол, читай маны, доки, материала достаточно и обязательно обкатывай всё на стенде. Если уж чувствуешь свою неготовость - имей "удалённые руки". Указанная функция включает правило по умолчанию 65535 deny from any to anyПо остальному если ты такой идеальный что никогда не катаешься за 100 км потому что "ой все пропало" я тебе завидую А у меня например биллинг управляет правилами ipfw и ежедневно необходимо добавлять изменять общие правила а иногда и обновлять систему. А после обновления может оказаться что синтаксис в rc.firewall самую чуточку изменился а net.inet.ip.fw.enable 1 У меня лично валидола бы не хватило так работать с сервером за 100 км. Да не нужен валидол, написано же: "Есть общепринятые правила...", прояви любознательность. Ещё одна детская болезнь, считаешь себя "первопроходимцем", FreeBSD придумана не сегодня и опыт накоплен порядочный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 1 октября, 2010 (изменено) · Жалоба Да не нужен валидол, написано же: "Есть общепринятые правила...", прояви любознательность.Ещё одна детская болезнь, считаешь себя "первопроходимцем", FreeBSD придумана не сегодня и опыт накоплен порядочный. Просто нужно было объяснить автору топика что так можно делать только если ты на 100% уверен что не может быть никаких ошибок ни со стороны управляющего файрволом ПО ни со стороны админа. Изменено 1 октября, 2010 пользователем denis_vid Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 1 октября, 2010 · Жалоба Да не нужен валидол, написано же: "Есть общепринятые правила...", прояви любознательность.Ещё одна детская болезнь, считаешь себя "первопроходимцем", FreeBSD придумана не сегодня и опыт накоплен порядочный. Просто нужно было объяснить автору топика что так можно делать только если ты на 100% уверен что не может быть никаких ошибок ни со стороны управляющего файрволом ПО ни со стороны админа. Именно так и никак иначе, "свой путь" - это хорошо, если ты уже прочувствовал каждую строчку в исходниках, а до этого - делай как в докак и будет тебе щастье. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 1 октября, 2010 (изменено) · Жалоба Именно так и никак иначе, "свой путь" - это хорошо, если ты уже прочувствовал каждую строчку в исходниках, а до этого - делай как в докак и будет тебе щастье. :)Не стоит так навязывать свое мнение) Автор топика вряд ли знает до байта как работает фря и вряд ли прочитал даже нужные ему маны иначе его бы здесь не было.Включать правило по умолчанию для ipfw лично я не рекомендую никому и по вышеописанным мной причинам и потому что эт оне железка за 10-20-30 к$ а открытое! бесплатное! ПО которое никому ничего не должно и в котором регулярно находят и исправляют баги и еще потому что в случае непонятных процессов в сети траблшутинг затрудняется дропающим все что не прописано в конфиге ipfw. Если вы хотите что то фильтровать и знать что делайте это PIX-ом или ASA как это и описано в "правильных" с точки зрения дизайна сети доках) А что бы закрыть халявщикам доступ правильно достаточно двух строк закрывающих пользовательскую подсеть в конце списка правил а не и дропать все Изменено 1 октября, 2010 пользователем denis_vid Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 1 октября, 2010 · Жалоба Указанная функция включает правило по умолчанию 65535 deny from any to any Указанная фраза означает что у тебя "свой путь" во FreeBSD, путь проб и ошибок, фатальных ошибок. Постарайся побольше читать доков и ПРОБОВАТЬ всё что прочёл на стенде. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 1 октября, 2010 (изменено) · Жалоба Указанная функция включает правило по умолчанию 65535 deny from any to any Указанная фраза означает что у тебя "свой путь" во FreeBSD, путь проб и ошибок, фатальных ошибок. Постарайся побольше читать доков и ПРОБОВАТЬ всё что прочёл на стенде. Лучше не советуйте тогда ничего кроме как читать доки а вместо того чтобы в каждом посте умничать не по существу вы перестали бы советовать а если что то советуете то предупреждайте о последствияхЧеловек по вашему совету перекомпилилировал ядро, перегрузил машину и счастлив что никто не сидит на халявву А когда у него все отвалится и он скажет как же так вы ему просто ответите что надо было проверять на стенде и читать доки? Изменено 1 октября, 2010 пользователем denis_vid Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 1 октября, 2010 · Жалоба IPFIREWALL_DEFAULT_TO_ACCEPT - ОТКЛЮЧАЕТ добавление "deny all from any to any", читая доки это можно выяснить, никто инфу не прячет. Т.е. "Луиджи и компания" полагают(и абсолютно правильно делают), что если уж чел включил файрвол, то он это сделал осознанно, чтобы блокировать. А вот для таких как ты предусмотрели "задний проход", но настоятельно не рекомендовали им пользоваться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 1 октября, 2010 (изменено) · Жалоба IPFIREWALL_DEFAULT_TO_ACCEPT - ОТКЛЮЧАЕТ добавление "deny all from any to any", читая доки это можно выяснить, никто инфу не прячет.Т.е. "Луиджи и компания" полагают(и абсолютно правильно делают), что если уж чел включил файрвол, то он это сделал осознанно, чтобы блокировать. А вот для таких как ты предусмотрели "задний проход", но настоятельно не рекомендовали им пользоваться. Спасибо вы думали я этого не знал?Ответ был в контексте "отключить опцию" это понятно похоже всем кроме вас И хамить не надо - вам все таки в мягкой форме указали что вы посоветовали глупость , просто признайте это Или вы серьезно считаете что шейпер во фре должен выступать в качестве файрвола только потому что в ОС запрещающее правило стоит по умолчанию?? Видимо дискутировать бесполезно просто надеюсь что никто ваших советов не слушает Изменено 1 октября, 2010 пользователем denis_vid Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 1 октября, 2010 · Жалоба А не пофигу ли? Если нужно (или хочется) - включил, если не нужно (и нехочется) - выключил, у каждого свои подходы к постоению правил. Если понимаешь, что делаешь - в любом случае настроишь правильно, в не зависимости от наличия вышеописанной опции. В случае криворукости никакие рекомендации не помогут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 1 октября, 2010 · Жалоба Почитайте про ipf vs ipfw Многое прояснится, подход принципиально разный, в ipf как раз ВКЛЮЧАЕТСЯ DEFAULT_TO_BLOCK Я к тому, что прежде чем искать "свой путь", хорошо бы пройти по рекомендуемому, хотя бы 1(один) раз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 1 октября, 2010 · Жалоба Почитайте про ipf vs ipfwМногое прояснится, подход принципиально разный, в ipf как раз ВКЛЮЧАЕТСЯ DEFAULT_TO_BLOCK Я к тому, что прежде чем искать "свой путь", хорошо бы пройти по рекомендуемому, хотя бы 1(один) раз. Никто не спорит просто толкать в воду что бы научился плавать не мой метод Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 1 октября, 2010 · Жалоба Если чел СРАЗУ не научится делать правильно, потом изменить подход крайне сложно. Именно крепкий фундамент, с пониманием происходящего - залог долгой и безглючной работы серверов, особенно удалённых больше чем на 1 км. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 1 октября, 2010 (изменено) · Жалоба Убедится что net.inet.ip.fastforwarding: 1 netstat -s -p ip 235773 packets forwarded (107080 packets fast forwarded) Цитата(Deac @ 30.9.2010, 8:40) *Не использовать IPFIREWALL_DEFAULT_TO_ACCEPT Это очень и очень глупо. Особенно если сервер где то там куда надо добираться. Лучше one pass 1 и правила 65533 65534 запрещающие все что не попало выше в клиентских сетях Я считаю, применительно к себе, что IPFIREWALL_DEFAULT_TO_ACCEPT - может дать меньше осложнений, нежели её отсутствие. Изменено 1 октября, 2010 пользователем Ivan_83 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 1 октября, 2010 · Жалоба Лично мне параноидальная опция приносила только кучу неудобств, чем пользы. Потому по мне лучше отрезать все запрещенное, чем колупаться с добавлением разрешающих правил при малейшем чихе. Даже с соблюдением "Общепринятых" Рязанских правил были случаи отваливания консоли, а какое удовольствие работать с вышеупомянутыми правилами по какому-нибудь GPRS каналу из новозадрыщенска. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 3 октября, 2010 · Жалоба "Параноидальная опция", или всё же "отсутствие параноидальной опции", или "параноидальное отсутствие опции" - уж определяйтесь. :) Вот скажите мне, как художники - маляру, хэндбук то читали? А вот сюда: /usr/share/examples заглядывали? Или там только Рязанские правила?! ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dm1try Опубликовано 3 октября, 2010 · Жалоба Автору: http://onlamp.com/pub/a/bsd/2006/08/24/ipf...-firewalls.html - лучше так, да и при переносе на другое (Сisco например) оборудование с таким подходм - проблем будет меньше. P.S> Нигде НЕ рекомендовано включать IPFIREWALL_DEFAULT_TO_DENY, на безопасноть системы и на другие функции firewall-а она существенно никак не влияет, но снижает удобство работы с ним. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 4 октября, 2010 · Жалоба Вы это ваше P.S. Рязанским коллегам объясните, а то они все к хендбукам посылают, да к скриптам подпорочным. Поди Мерседесы с БМВ только у официалов чинят ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 4 октября, 2010 (изменено) · Жалоба Гы! :) Не хотел отвечать на столь явную чухню, но похоже уровень местной публики существенно ниже моих представлений об избравших BSD way. Указанной опции вообще не существует. :) А в опусе по ссылке присутствует строчка, кот. заставляет усомниться что речь идёт про like BSD. :) Читайте хэндбук, набирайтесь опыта и не придётся стоять в очереди за бесплатной похлёбкой. ;) Изменено 4 октября, 2010 пользователем Deac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dm1try Опубликовано 5 октября, 2010 · Жалоба Угу, ЧЯДНТ? 00100 1322461232 279012119949 allow ip from table(3) to any00200 2640026 239217372 allow ip from any to any via lo0 00300 8687802 415925933 allow ip from table(1) to me in 00400 67408122 5255689162 allow ip from me to any out 00500 577902348611 234878835668023 skipto 10000 ip from any to any in recv vlan2 00600 381720617272 256187664699168 skipto 15000 ip from any to any out xmit vlan2 00700 577317237602 234847034189555 skipto 20000 ip from any to any out xmit vlan5 00800 386769960395 256518138727615 deny ip from any to any 10000 1843509316 130220561639 deny ip from table(2) to any 10100 728548625 36475588484 deny tcp from any to any dst-port 135-139 10200 183731788 15693154206 deny udp from any to any dst-port 135-139 10300 1064141 263015428 deny udp from any 135-139 to any 10400 13411750 595891297 deny tcp from any 135-139 to any 10500 27567513 1156874078 deny tcp from any 445 to any 10600 1291272864 62084317094 deny tcp from any to any dst-port 445 10600 7345551 961176247 deny udp from any to any dst-port 111,513,1433-1434,2000-2002 10700 277582 13718164 deny tcp from any to any dst-port 111,160-162,513 10800 573807379936 234630926031081 allow ip from any to any 15000 182156170680 123044493551012 netgraph tablearg ip from any to table(40) 15100 5045401232 2510787670729 netgraph tablearg ip from any to table(10) 15200 13158192093 9018971133162 netgraph tablearg ip from any to table(15) 15300 5615356652 4281412909770 netgraph tablearg ip from any to table(20) 15400 14662550342 10751560831899 netgraph tablearg ip from any to table(25) 15500 21956164342 15542693840586 netgraph tablearg ip from any to table(30) 15600 22680171525 15565900328586 netgraph tablearg ip from any to table(35) 15700 116441987151 75468607054275 allow ip from any to any 20000 152367710327 59903709385063 netgraph tablearg ip from table(41) to any 20100 4038323532 547562069311 netgraph tablearg ip from table(11) to any 20200 11033205185 2096917684930 netgraph tablearg ip from table(16) to any 20300 5052903707 1148516140910 netgraph tablearg ip from table(21) to any 20400 12728467577 3204362328716 netgraph tablearg ip from table(26) to any 20500 21555684216 7973481431060 netgraph tablearg ip from table(31) to any 20600 22462795216 9183674984951 netgraph tablearg ip from table(36) to any 20700 348055383041 150781376636623 allow ip from any to any 65535 496881987 233833891921 allow ip from any to any Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 5 октября, 2010 · Жалоба Гы! :)Не хотел отвечать на столь явную чухню, но похоже уровень местной публики существенно ниже моих представлений об избравших BSD way. Указанной опции вообще не существует. :) А в опусе по ссылке присутствует строчка, кот. заставляет усомниться что речь идёт про like BSD. :) Читайте хэндбук, набирайтесь опыта и не придётся стоять в очереди за бесплатной похлёбкой. ;) Просветите дремучих чухонцев - какое значение по хэндбуку имеет опция IPFIREWALL_DEFAULT_TO... по умолчанию Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 5 октября, 2010 (изменено) · Жалоба Да по сути никакого, кому как удобнее, тот так и юзает, на вкус и цвет, как говорится... Просто кому-то из славного города Рязани хочется подоказывать коллегам что якобы надо так, и именно так, иначи это получится колхоз и совсем не тру... Вы почитайте тематические автофорумы, там тоже много подобных товарищей, из серии - светодиод вместо лампочки вкрутил - колхоз, не тру и все в таком духе. Вот также и тут, если типа я не юзаю параноидальную опцию и скрипт change_rules из вышеупомянутых share/examples, значит я яростный колхозник фряхи :) Изменено 5 октября, 2010 пользователем dsk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 5 октября, 2010 (изменено) · Жалоба Да по сути никакого, кому как удобнее, тот так и юзает, на вкус и цвет, как говорится...Я думаю что опытный специалист по из города Рязань если сказал "А", должен сказать и "Б" т.е. объяснить нам заблудившимся в неведении без стенда и хэндбука - существует или нет в природе IPFIREWALL_DEFAULT_TO_DENY или нет. Т.е. подразумевает ли отсутствие в конфигурационном файле ядра что значения не существует. Крайне важно знать мнение гуру. Изменено 5 октября, 2010 пользователем denis_vid Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 5 октября, 2010 (изменено) · Жалоба Просто кому-то из славного города Рязани хочется подоказывать коллегам что якобы надо так, и именно так, иначи это получится колхоз и совсем не тру...Вы почитайте тематические автофорумы, там тоже много подобных товарищей, из серии - светодиод вместо лампочки вкрутил - колхоз, не тру и все в таком духе. Вот также и тут, если типа я не юзаю параноидальную опцию и скрипт change_rules из вышеупомянутых share/examples, значит я яростный колхозник фряхи :) У меня лично впечатление что человек не знаком с практической стороной вопроса. Изменено 5 октября, 2010 пользователем denis_vid Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 5 октября, 2010 · Жалоба grep -r "IPFIREWALL_DEFAULT_TO_" /usr/src/sys /usr/src/sys/conf/NOTES:# IPFIREWALL_DEFAULT_TO_ACCEPT causes the default rule (at boot) to/usr/src/sys/conf/NOTES:options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by default /usr/src/sys/conf/options:IPFIREWALL_DEFAULT_TO_ACCEPT opt_ipfw.h /usr/src/sys/modules/ipfw/Makefile:#CFLAGS+= -DIPFIREWALL_DEFAULT_TO_ACCEPT /usr/src/sys/netinet/ipfw/ip_fw2.c:#ifdef IPFIREWALL_DEFAULT_TO_ACCEPT /usr/src/sys/netinet/ipfw/ip_fw2.c #ifdef IPFIREWALL_DEFAULT_TO_ACCEPTstatic int default_to_accept = 1; #else static int default_to_accept; #endif .... .... SYSCTL_INT(_net_inet_ip_fw, OID_AUTO, default_to_accept, CTLFLAG_RDTUN, &default_to_accept, 0, "Make the default rule accept all packets."); TUNABLE_INT("net.inet.ip.fw.default_to_accept", &default_to_accept); .... .... /* fill and insert the default rule */ rule->act_ofs = 0; rule->rulenum = IPFW_DEFAULT_RULE; rule->cmd_len = 1; rule->set = RESVD_SET; rule->cmd[0].len = 1; rule->cmd[0].opcode = default_to_accept ? O_ACCEPT : O_DENY; chain->rules = chain->default_rule = chain->map[0] = rule; chain->id = rule->id = 1; grep -r "IPFW_DEFAULT_RULE" /usr/src/sys /usr/src/sys/netinet/ip_fw.h:#define IPFW_DEFAULT_RULE 65535 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikevlz Опубликовано 6 октября, 2010 · Жалоба Гуру из города пирогов с глазами возможно хотел указать на тот факт, что за время между стартом сети и загрузкой правил фаервола машинка беззащитна. Вот у Dm1try, к примеру, до дефолтного(разрешающего) правила долетело немножко пакетов. Скипту никаких там нету, которые могли бы пропустить трафик именно к дефолтному правилу. В фидоэхах в свое время были срачи по поводу дефолтного правила. Аргументация была вида "успеют установиться нежелательные соединения, которые фаервол с keep-state правилами не отрежет. Потому как они уже установились. А с дефолт-правилом deny они не смогут установиться". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...