rulinux.net - Форум - Admin - А как настроен ваш фаервол?

Re:А как настроен ваш фаервол?

Sat, 13 Aug 2022 03:38:11 +0300

> А поскольку логин интернета есть производная адреса
ниасилил типа производная пароля, скорость роста пароля, в длинну, по ширине, есть суть адрес т.е. кто дальше живет тому и длиньше?

Re:А как настроен ваш фаервол?

Thu, 09 Jun 2016 07:20:29 +0300

А такие как я только с помощью гуя и выживают..

Re:А как настроен ваш фаервол?

Wed, 08 Jun 2016 21:48:30 +0300

хм, не знал, руками делать както все проще и понятнее чего и что. короче линукс медленно но верно грядет к вендекапцу... какието реестры в гноме ввели

сейчас сижу на десктопе MATE и все как привык...

Re:А как настроен ваш фаервол?

Wed, 08 Jun 2016 21:32:23 +0300

С тех пор уже system-config-firewall изобрели.

Re:А как настроен ваш фаервол?

Wed, 08 Jun 2016 20:51:23 +0300

> Наигрался уже давно с апичейнсами и апитаблесами, для секурности на десктопе это очень сомнительно, как мне кажется.
не, это не для десктопа настройки, это для локалки настройки файрвола с параноидальным админом.

закрыть все для начала и ходить спрашивать юзеров в офисе, а что вам надо, а какая программа, а по какому порту она взаимодействует, а с кем, а зачем вам это надо.

какаяннить ирц сидит долбится изнутри локалки на порт, а я вижу, подхожу, а там девушка сидит, чатится , ну я ей открываю

работал я админом, было дело

Re:А как настроен ваш фаервол?

Wed, 08 Jun 2016 15:12:15 +0300

В винде ктстаи через павершел можно рулить, я как то строку форвардинга портов для винды гуглил.

Re:А как настроен ваш фаервол?

Wed, 08 Jun 2016 14:42:34 +0300

Хмм, и в самом деле:

text

C:\>ipfw

'ipfw' is not recognized as an internal or external command,

operable program or batch file.

Re:А как настроен ваш фаервол?

Wed, 08 Jun 2016 14:00:36 +0300

zsh: command not found: ipfw

Re:А как настроен ваш фаервол?

Wed, 08 Jun 2016 10:08:10 +0300

Я наоборот в этом все понимаю и поэтому сижу с дефолтными policy ACCEPT.

Наигрался уже давно с апичейнсами и апитаблесами, для секурности на десктопе это очень сомнительно, как мне кажется.

И да, бекапы я тоже не делаю, всё тлен и суета.

Re:А как настроен ваш фаервол?

Wed, 08 Jun 2016 08:48:08 +0300

Я ничего в этом не понимаю, поэтому сижу с открытой сеткой, включая беспарольный ви-фи. И пароль от роутера у меня 1234. И пароль от интернета тоже 1234. А поскольку логин интернета есть производная адреса, то зайти в мою учётку не составит особого труда. Я так сам однажды ошибся в одной букве в логине и включил интернет чуваку на другом конце города, думая что это у меня отключено. Извини, чувак! Короче, т. к. я ничего не понимаю, то и не могу догадаться поломали меня соседские школьники или ещё нет. Но когда-нибудь, когда наступит светлое будущее, я займусь настройкой ip_чего-то-там. Точно-точно. И бекапы начну делать. Вот прям сразу, как жареный петух клюнет в самое больное место, так и начну.

Re:А как настроен ваш фаервол?

Wed, 08 Jun 2016 05:45:51 +0300

> $IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
Ага, тоже хотел такое у себя сделать, но что-то не понял как в ipfw подружить это с натом.

> $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
> $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
Угу, тоже по совету каких-то умников разрешил только 8, потом посмотрел, что вполне годные пакеты режутся, например типа 3. А кто может рассказать, зачем вообще фильтровать icmp?

Re:А как настроен ваш фаервол?

Wed, 08 Jun 2016 03:58:07 +0300

у мну такое было, правда 9 лет назад =) соль в том, что закрывается вообще все и входящее и выходящее, а потом по мере надобности открывается для каждой проги нужный порт... проверку по мак адресу не реализовывал

text

#!/bin/sh

INET_IP="21.12.25.4"

INET_IFACE="eth0"

INET_BROADCAST="21.12.25.255"

LAN_IP="10.0.0.1"

LAN_IP_RANGE="10.0.0.0/24"

LAN_IFACE="eth1"

LO_IFACE="lo"

LO_IP="127.0.0.1"

IPTABLES="/sbin/iptables"

/sbin/depmod -a

/sbin/modprobe ip_tables

/sbin/modprobe ip_conntrack

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_mangle

/sbin/modprobe iptable_nat

/sbin/modprobe ipt_LOG

/sbin/modprobe ipt_limit

/sbin/modprobe ipt_state

/sbin/modprobe ipt_string

/sbin/modprobe ipt_owner

/sbin/modprobe ipt_REJECT

/sbin/modprobe ipt_MASQUERADE

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ip_conntrack_irc

/sbin/modprobe ip_nat_ftp

/sbin/modprobe ip_nat_irc

echo "1" > /proc/sys/net/ipv4/ip_forward

echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp

echo "1" > /proc/sys/net/ipv4/ip_dynaddr

$IPTABLES -P INPUT DROP

$IPTABLES -P OUTPUT DROP

$IPTABLES -P FORWARD ACCEPT

$IPTABLES -N bad_tcp_packets

$IPTABLES -N allowed

$IPTABLES -N tcp_packets

$IPTABLES -N udp_packets

$IPTABLES -N icmp_packets

$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset 

$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"

$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

$IPTABLES -A allowed -p TCP --syn -j ACCEPT

$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A allowed -p TCP -j DROP

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 20 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 8080 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 8081 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 4661 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 4662 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 4711 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 4712 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 6588 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 3128 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 3389 -j allowed

$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 53 -j ACCEPT

$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 123 -j ACCEPT

$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT

$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT

$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4665 -j ACCEPT

$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4672 -j ACCEPT

$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 3389 -j ACCEPT

$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d $INET_BROADCAST --destination-port 135:139 -j DROP

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT

$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets

$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets

$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

$IPTABLES -A INPUT -i $INET_IFACE -d 224.0.0.0/8 -j DROP

$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG  --log-level DEBUG --log-prefix "IPT FORWARD packet died: "

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT

$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT

$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP

$IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 4662 -j DNAT --to-destination 10.0.0.6

$IPTABLES -t nat -A PREROUTING --dst $INET_IP -p udp --dport 4672 -j DNAT --to-destination 10.0.0.6

$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 4661 -j DNAT --to-destination 10.0.0.6

$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 4662 -j DNAT --to-destination 10.0.0.6

$IPTABLES -t nat -A PREROUTING -p udp -d $INET_IP --dport 4672 -j DNAT --to-destination 10.0.0.6

$IPTABLES -t nat -A PREROUTING -p udp -d $INET_IP --dport 4665 -j DNAT --to-destination 10.0.0.6

$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 4711 -j DNAT --to-destination 10.0.0.6

$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 4712 -j DNAT --to-destination 10.0.0.6

$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 3389 -j DNAT --to-destination 10.0.0.6

$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 4661 -j ACCEPT

$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 4662 -j ACCEPT

$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p udp --dport 4672 -j ACCEPT

$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p udp --dport 4665 -j ACCEPT

$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 4711 -j ACCEPT

$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 4712 -j ACCEPT

$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 3389 -j ACCEPT

$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p udp --dport 3389 -j ACCEPT

# переслать входящие UDP пакеты(порт 5060 и 16500) на интерфейс eth0 (X.X.X.X)

# во внутреннюю сеть на 172.16.0.200 на соответствующие порты

# iptables -t nat -A PREROUTING -p udp -d x.x.x.x --dport 5060 -j DNAT --to-destination 172.16.0.200 

# iptables -t nat -A PREROUTING -p udp -d x.x.x.x --dport 16500 -j DNAT --to-destination 172.16.0.200 

#

$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 4661 -j DNAT --to-destination 10.0.0.6

$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 4662 -j DNAT --to-destination 10.0.0.6

$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 3389 -j DNAT --to-destination 10.0.0.6

$IPTABLES -t nat -A PREROUTING -p udp -d $INET_IP --dport 4672 -j DNAT --to-destination 10.0.0.6

$IPTABLES -t nat -A PREROUTING -p udp -d $INET_IP --dport 3389 -j DNAT --to-destination 10.0.0.6

$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 4661 -j ACCEPT

$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 4662 -j ACCEPT

$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p udp --dport 4672 -j ACCEPT

$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p udp --dport 3389 -j ACCEPT

$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 3389 -j ACCEPT

А как настроен ваш фаервол?

Wed, 08 Jun 2016 03:23:31 +0300

Я боюсь что из-за неправильной настройки сабжа грязные малолетние хакеры и КГБ смогут пролезть ко мне на компьютер и украсть секретные данные. Постим свои конфигурации.

text

root@ressurected:/home/vasily # ipfw show

 144   15264 allow ip from any to any via lo0

 303   28493 allow ip from any to any via bridge0

   0       0 deny tcp from any to any in frag via re1

1028 1015795 allow tcp from me 44210-44215 to any out via re1

 973   95766 allow tcp from any to me dst-port 44210-44215 in via re1

1318  174440 allow udp from me 44210 to any out via re1

1040  206165 allow udp from any to me dst-port 44210 in via re1

 723  574885 divert 8668 ip from any to any in via re1

   0       0 check-state

   0       0 skipto 20000 tcp from any 1024-65535 to any dst-port 53 out via re1 keep-state

  44    4642 skipto 20000 udp from any 1024-65535 to any dst-port 53 out via re1 keep-state

   0       0 skipto 20000 udp from me 67,68 to any dst-port 67,68 out via re1 keep-state

  87    9531 skipto 20000 tcp from any 1024-65535 to any dst-port 80,443,22,43,9418 out via re1 keep-state

   0       0 skipto 20000 tcp from any to any dst-port 123 out via re1 keep-state

   0       0 skipto 20000 udp from any to any dst-port 123 out via re1 keep-state

   1      56 skipto 20000 icmp from any to any out via re1 keep-state

 128   14804 skipto 20000 icmp from any to me in icmptypes 3,8 via re1 keep-state

  42   33149 deny log logamount 100 ip from any to any

 198   17247 divert 8668 ip from any to any out via re1

 605  351754 allow ip from any to any

  85   51178 allow ip from any to any

lo0 - локалхост, bridge0 - LAN, re1 - интернет. Порты 44210-44215 -- торренты