Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

Настройка Firewall в FreeBSD

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix
Предыдущая тема :: Следующая тема  
Автор Сообщение
Bers81



Зарегистрирован: 10.03.2005
Сообщения: 46
Откуда: Санкт-Петербург

СообщениеДобавлено: Пт Фев 09 2007 15:14    Заголовок сообщения: Настройка Firewall в FreeBSD Ответить с цитатой

Здравствуйте не подскажите как мне открыть 21, 443, 9091, 25 и 110 порт на freeBSD. Извияюсь за тупой вопрос, но с BSD ни азу не работал. Заранее спасибо! FreeBSD 4.05 (после запятой не уверен).
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
ANDronis



Зарегистрирован: 16.02.2005
Сообщения: 158

СообщениеДобавлено: Пт Фев 09 2007 15:45    Заголовок сообщения: Ответить с цитатой

предположу что у Вас Iptables
http://www.opennet.ru/docs/RUS/iptables/
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
a-m-d



Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb

СообщениеДобавлено: Пт Фев 09 2007 17:42    Заголовок сообщения: Ответить с цитатой

А я предположу, что ipfw. Что и как напишу из дома, если там инет работает - сейчас очень домой хоцца.
_________________
Век живи - век учись!.. Дураком помрёшь.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Bers81



Зарегистрирован: 10.03.2005
Сообщения: 46
Откуда: Санкт-Петербург

СообщениеДобавлено: Пт Фев 09 2007 19:28    Заголовок сообщения: Ответить с цитатой

a-m-d писал(а):
А я предположу, что ipfw. Что и как напишу из дома, если там инет работает - сейчас очень домой хоцца.

По моему ваше предположение верно. По крайнем мере ipfw я в "дебрях" FreeDSB видел.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
a-m-d



Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb

СообщениеДобавлено: Пт Фев 09 2007 20:46    Заголовок сообщения: Ответить с цитатой

Набери
ipfw show
и помотри какие правила уже есть.
также пробегись по
man ipfw

Добавление правила, разрешающего соединение по 110 порту tcp с pop3-сервисом на хосте 192.168.1.5 из сети 192.168.1.0/24 входящие через интерфейс xl0:
ipfw add 10000 allow tcp from 192.168.1.0/24 to 192.168.1.5 110 in via xl0

где-то стОит разрешить ответные пакеты. IMHO, для tcp удобно разрешить установившиеся соединения:
ipfw add 10101 allow tcp from any to any established

При написании правил необходимо учитывать порядок их следования. Если прописать пример 10000 после, скажем, строки
900 deny ip from 192.168.1.0/24 to any
то фигвам будет, а не почта.
_________________
Век живи - век учись!.. Дураком помрёшь.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Bers81



Зарегистрирован: 10.03.2005
Сообщения: 46
Откуда: Санкт-Петербург

СообщениеДобавлено: Сб Фев 10 2007 13:18    Заголовок сообщения: Ответить с цитатой

[quote="a-m-d"]Набери
ipfw show
и помотри какие правила уже есть.
[quote]
Извиняюсь за совсем уж тупой вопрос, а как тут переходят в нужную мне папка где лижит сам конфиг? Правила я посмотрел, там впринципе понятно как это сделать, но вот действительно что не понятно как попать в нужную папку и как открыть сам конфиг для редактирования.
Я так понимаю что все эти правила прописаны в файлах rc.firewall и rc.firewall6. но как до них добраться и отредактировать понятия не имею? Еще раз извеняюсь за тупой вопрос.

_____________________________________________________________
Все знать нельзя, но надо хотя бы к этому стремиться
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
a-m-d



Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb

СообщениеДобавлено: Сб Фев 10 2007 17:35    Заголовок сообщения: Ответить с цитатой

Тэкс. Лучше всего начать с http://www.ru.freebsd.org/ru/
конкретнее с
http://www.ru.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/basics.html

Попробуй набрать mc
Если он, Midnight Commander, установлен, попадешь в более привычную обстановку Smile

Иначе:
смена каталога cd
просмотр каталога (листинг) ls
редактирование... ну, варианты есть. Для правки конфига привычнее выглядит ee

конфиги скорее всего лежат в /etc
rc.firewall6 - это для IPv6

Итого:
ls /etc/rc.*
убеждаемся в наличии rc.conf rc.firewall
ee /etc/rc.conf
ee /etc/rc.firewall
пытаемся в этом разобраться.
_________________
Век живи - век учись!.. Дураком помрёшь.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Bers81



Зарегистрирован: 10.03.2005
Сообщения: 46
Откуда: Санкт-Петербург

СообщениеДобавлено: Сб Фев 10 2007 20:33    Заголовок сообщения: Ответить с цитатой

Пасиб. В понедельник опробую. Сегодня смотрел вроде бы пока все доступно для понимания.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
a-m-d



Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb

СообщениеДобавлено: Пн Фев 12 2007 18:43    Заголовок сообщения: Ответить с цитатой

Тут вроде было сообщение. Rolling Eyes
Разобрался?
_________________
Век живи - век учись!.. Дураком помрёшь.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Bers81



Зарегистрирован: 10.03.2005
Сообщения: 46
Откуда: Санкт-Петербург

СообщениеДобавлено: Вт Фев 13 2007 13:40    Заголовок сообщения: Ответить с цитатой

a-m-d писал(а):
Тут вроде было сообщение. Rolling Eyes
Разобрался?

неа. сижу туплю. Я так понимаю что мне rc.firewall6 вообще тогать не надо, это по моему, для длинных имен. Соответственно мне нужны тока rc.conf и rc.firewall.
Глядя на вот это логично прендположить что мне нужно вставить недостающие порты в rc.firewall. При этом по порядку их следования, от меньшего к большему. Но меня кое что смущает. Тут нет еще нескольких портов которые точно открыты. Вот и Туплю.
И еще один вопрос: можно ли делать изменения через FTP тупо открывая файл в блакноте и вносить в него изменения. Embarassed
Вот тело rc.firewall

# Allow TCP through if setup succeeded
${fwcmd} add pass tcp from any to any established

# Allow IP fragments to pass through
${fwcmd} add pass all from any to any frag

# Allow setup of incoming email
${fwcmd} add pass tcp from any to ${ip} 25 setup

# Allow setup of outgoing TCP connections only
${fwcmd} add pass tcp from ${ip} to any setup

# Disallow setup of all other TCP connections
${fwcmd} add deny tcp from any to any setup

# Allow DNS queries out in the world
${fwcmd} add pass udp from ${ip} to any 53 keep-state

# Allow NTP queries out in the world
${fwcmd} add pass udp from ${ip} to any 123 keep-state

# Everything else is denied by default, unless the
# IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
# config file.
;;
*обрезано*
# Allow TCP through if setup succeeded
${fwcmd} add pass tcp from any to any established

# Allow IP fragments to pass through
${fwcmd} add pass all from any to any frag

# Allow setup of incoming email
${fwcmd} add pass tcp from any to ${oip} 25 setup

# Allow access to our DNS
${fwcmd} add pass tcp from any to ${oip} 53 setup
${fwcmd} add pass udp from any to ${oip} 53
${fwcmd} add pass udp from ${oip} 53 to any

# Allow access to our WWW
${fwcmd} add pass tcp from any to ${oip} 80 setup

# Reject&Log all setup of incoming connections from the outside
${fwcmd} add deny log tcp from any to any in via ${oif} setup

# Allow setup of any other TCP connection
${fwcmd} add pass tcp from any to any setup

# Allow DNS queries out in the world
${fwcmd} add pass udp from ${oip} to any 53 keep-state

# Allow NTP queries out in the world
${fwcmd} add pass udp from ${oip} to any 123 keep-state

# Everything else is denied by default, unless the
# IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
# config file.
;;
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
a-m-d



Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb

СообщениеДобавлено: Вт Фев 13 2007 14:31    Заголовок сообщения: Ответить с цитатой

Bers81 писал(а):
Я так понимаю что мне rc.firewall6 вообще тогать не надо,..

Если не используете ipv6, то не надо.

Bers81 писал(а):
Глядя на вот это логично прендположить что мне нужно вставить недостающие порты в rc.firewall. При этом по порядку их следования, от меньшего к большему...

В порядке следования портов? Нет, заблуждаешься. Порядок следования правил зависит исключительно от того, чего ты хочешь добиться. Пакет проходит правила фаервола по порядку, от правила с мЕньшим номером к правилу с бОльшим... подробнее посмотри тут: http://ipfw.ism.kiev.ua/ipfw.html
http://www.opennet.ru/base/net/ipfw_guide.txt.html

Bers81 писал(а):
...Но меня кое что смущает. Тут нет еще нескольких портов которые точно открыты. Вот и Туплю...

Есть еще скрипты, запускающиеся при старте системы, возможно что-то дописано в них. /etc/rc.local например. Наконец, правила могут быть дописаны "от руки".
Еще неизвестен тип фаервола (open/closed).

Bers81 писал(а):
И еще один вопрос: можно ли делать изменения через FTP тупо открывая файл в блакноте и вносить в него изменения. Embarassed

Можно попробовать, но не стОит. Во-первых, символ "конец строки" в win и unix разные. Во-вторых, тебе все равно надо как-то активизировать изменения (очисткой правил и перезапуском rc.firewall или рестартом системы).

Bers81 писал(а):
Вот тело rc.firewall

это не все тело. Что-то пока не пойму зачем задваиваются правила?
например эти:
# Allow TCP through if setup succeeded
${fwcmd} add pass tcp from any to any established

# Allow IP fragments to pass through
${fwcmd} add pass all from any to any frag

Также поясни смысл переменных (может я их по-своему трактую Smile ) и откуда куда по указанным в первом посте портам должно быть разрешено ходить.
_________________
Век живи - век учись!.. Дураком помрёшь.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Bers81



Зарегистрирован: 10.03.2005
Сообщения: 46
Откуда: Санкт-Петербург

СообщениеДобавлено: Вт Фев 13 2007 14:57    Заголовок сообщения: Ответить с цитатой

Что конкретно нужно указать что бы помочь в разрешении моей траблы. Так как по ходу дела без поллитры тут вообще не разберешься. Ладно бы сам конфигурил, олно дело. А я пытаюсь разобраться в том что уже есть.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
a-m-d



Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb

СообщениеДобавлено: Вт Фев 13 2007 16:26    Заголовок сообщения: Ответить с цитатой

${ip} это внутренний адрес хоста?
${oip} внешний?

Эта машина роутер? Прокси и/или nat на ней не "живут"?
Что указано в параметре firewall_type в файле rc.conf ? (или какое правило _действует_ последним? _действует_ означает, что до самого последнего в списке может никогда ничего не доходить)

По ftp куда надо обращаться? только на этот хост или через него на любой ftp-сервер в инете?
Тот же вопрос применительно ко всем остальным сервисам (портам).
_________________
Век живи - век учись!.. Дураком помрёшь.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Bers81



Зарегистрирован: 10.03.2005
Сообщения: 46
Откуда: Санкт-Петербург

СообщениеДобавлено: Чт Фев 15 2007 10:47    Заголовок сообщения: Ответить с цитатой

${ip} это внутренний адрес хоста? да
${oip} внешний? да

Эта машина выступает проксей. Через нее ходят в нет.
По поводу ftp: нужно что бы через эту машину можно было попасть на любой FTP сервер в инете.
То же самое и по портам
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
a-m-d



Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb

СообщениеДобавлено: Пт Фев 16 2007 16:02    Заголовок сообщения: Ответить с цитатой

Уже который раз пытаюсь тебе что-нибудь ответить, да бросаю. Потому как я ж не знаю что там у тебя действительно установлено и как работает. А сам ты подробности не выдаешь. Пример как сделать я уже приводил.

Ща, подожди, клещи достану. Все из тебя вытягивать ими приходится Smile

Вот и сейчас написал тебе вот тут кучу уточнений. Перечитал... А теперь опять стер и вот тебе ссылка:
http://bsdportal.ru/kb.php?mode=article&k=6&sid=44ebac82f18451835bbf1ceb608a4ab5

Гы Smile Эта ссылка уже мертва, держи проверенную:
http://bardak.blood.ru/work/freebsd/router.htm

На эту же тему можно порыться на opennet.
PS свистни в личку свое мыло, я тебе то, что по мертвой ссылке было пришлю.
_________________
Век живи - век учись!.. Дураком помрёшь.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Triobsd



Зарегистрирован: 27.02.2007
Сообщения: 1

СообщениеДобавлено: Вт Фев 27 2007 20:03    Заголовок сообщения: Ответить с цитатой

1) 21 ftp--- идем /etc/ в консоли набираем ee inetd.conf
#ftp stream tcp nowaite ............ --- убираем значок "#" получается
ftp stream tcp nowaite ............
в файле rc.conf должна быть строка inetd_enable="YES"
перезагружаем
2) 25 и 110
sendmail postfix exim - почтовые програмулины выбирай и ставь
дальше
в консоли набери ipfw list --- из под рута и выложи людям
потому как не понятно есть у тебя фаерволл или ты пытаешься настроить с нуля
а команды будут иметь вид
ipfw add 101 allow all from any 25 to any
ipfw add 102 allow all from any to any 25
101 и 102 это номер правила не принципиально что у тебя они будут такими же когда увидишь список правил увидишь и номер и коректируй наздоровье , но они будут существовать до первой перезагрузки !
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597
Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов
This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...