Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Bers81
Зарегистрирован: 10.03.2005 Сообщения: 46 Откуда: Санкт-Петербург
|
Добавлено: Пт Фев 09 2007 15:14 Заголовок сообщения: Настройка Firewall в FreeBSD |
|
|
Здравствуйте не подскажите как мне открыть 21, 443, 9091, 25 и 110 порт на freeBSD. Извияюсь за тупой вопрос, но с BSD ни азу не работал. Заранее спасибо! FreeBSD 4.05 (после запятой не уверен). |
|
Вернуться к началу |
|
 |
ANDronis
Зарегистрирован: 16.02.2005 Сообщения: 158
|
|
Вернуться к началу |
|
 |
a-m-d
Зарегистрирован: 09.09.2004 Сообщения: 1498 Откуда: SPb
|
Добавлено: Пт Фев 09 2007 17:42 Заголовок сообщения: |
|
|
А я предположу, что ipfw. Что и как напишу из дома, если там инет работает - сейчас очень домой хоцца. _________________ Век живи - век учись!.. Дураком помрёшь. |
|
Вернуться к началу |
|
 |
Bers81
Зарегистрирован: 10.03.2005 Сообщения: 46 Откуда: Санкт-Петербург
|
Добавлено: Пт Фев 09 2007 19:28 Заголовок сообщения: |
|
|
a-m-d писал(а): | А я предположу, что ipfw. Что и как напишу из дома, если там инет работает - сейчас очень домой хоцца. |
По моему ваше предположение верно. По крайнем мере ipfw я в "дебрях" FreeDSB видел. |
|
Вернуться к началу |
|
 |
a-m-d
Зарегистрирован: 09.09.2004 Сообщения: 1498 Откуда: SPb
|
Добавлено: Пт Фев 09 2007 20:46 Заголовок сообщения: |
|
|
Набери
ipfw show
и помотри какие правила уже есть.
также пробегись по
man ipfw
Добавление правила, разрешающего соединение по 110 порту tcp с pop3-сервисом на хосте 192.168.1.5 из сети 192.168.1.0/24 входящие через интерфейс xl0:
ipfw add 10000 allow tcp from 192.168.1.0/24 to 192.168.1.5 110 in via xl0
где-то стОит разрешить ответные пакеты. IMHO, для tcp удобно разрешить установившиеся соединения:
ipfw add 10101 allow tcp from any to any established
При написании правил необходимо учитывать порядок их следования. Если прописать пример 10000 после, скажем, строки
900 deny ip from 192.168.1.0/24 to any
то фигвам будет, а не почта. _________________ Век живи - век учись!.. Дураком помрёшь. |
|
Вернуться к началу |
|
 |
Bers81
Зарегистрирован: 10.03.2005 Сообщения: 46 Откуда: Санкт-Петербург
|
Добавлено: Сб Фев 10 2007 13:18 Заголовок сообщения: |
|
|
[quote="a-m-d"]Набери
ipfw show
и помотри какие правила уже есть.
[quote]
Извиняюсь за совсем уж тупой вопрос, а как тут переходят в нужную мне папка где лижит сам конфиг? Правила я посмотрел, там впринципе понятно как это сделать, но вот действительно что не понятно как попать в нужную папку и как открыть сам конфиг для редактирования.
Я так понимаю что все эти правила прописаны в файлах rc.firewall и rc.firewall6. но как до них добраться и отредактировать понятия не имею? Еще раз извеняюсь за тупой вопрос.
_____________________________________________________________
Все знать нельзя, но надо хотя бы к этому стремиться |
|
Вернуться к началу |
|
 |
a-m-d
Зарегистрирован: 09.09.2004 Сообщения: 1498 Откуда: SPb
|
Добавлено: Сб Фев 10 2007 17:35 Заголовок сообщения: |
|
|
Тэкс. Лучше всего начать с http://www.ru.freebsd.org/ru/
конкретнее с
http://www.ru.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/basics.html
Попробуй набрать mc
Если он, Midnight Commander, установлен, попадешь в более привычную обстановку
Иначе:
смена каталога cd
просмотр каталога (листинг) ls
редактирование... ну, варианты есть. Для правки конфига привычнее выглядит ee
конфиги скорее всего лежат в /etc
rc.firewall6 - это для IPv6
Итого:
ls /etc/rc.*
убеждаемся в наличии rc.conf rc.firewall
ee /etc/rc.conf
ee /etc/rc.firewall
пытаемся в этом разобраться. _________________ Век живи - век учись!.. Дураком помрёшь. |
|
Вернуться к началу |
|
 |
Bers81
Зарегистрирован: 10.03.2005 Сообщения: 46 Откуда: Санкт-Петербург
|
Добавлено: Сб Фев 10 2007 20:33 Заголовок сообщения: |
|
|
Пасиб. В понедельник опробую. Сегодня смотрел вроде бы пока все доступно для понимания. |
|
Вернуться к началу |
|
 |
a-m-d
Зарегистрирован: 09.09.2004 Сообщения: 1498 Откуда: SPb
|
Добавлено: Пн Фев 12 2007 18:43 Заголовок сообщения: |
|
|
Тут вроде было сообщение.
Разобрался? _________________ Век живи - век учись!.. Дураком помрёшь. |
|
Вернуться к началу |
|
 |
Bers81
Зарегистрирован: 10.03.2005 Сообщения: 46 Откуда: Санкт-Петербург
|
Добавлено: Вт Фев 13 2007 13:40 Заголовок сообщения: |
|
|
a-m-d писал(а): | Тут вроде было сообщение.
Разобрался? |
неа. сижу туплю. Я так понимаю что мне rc.firewall6 вообще тогать не надо, это по моему, для длинных имен. Соответственно мне нужны тока rc.conf и rc.firewall.
Глядя на вот это логично прендположить что мне нужно вставить недостающие порты в rc.firewall. При этом по порядку их следования, от меньшего к большему. Но меня кое что смущает. Тут нет еще нескольких портов которые точно открыты. Вот и Туплю.
И еще один вопрос: можно ли делать изменения через FTP тупо открывая файл в блакноте и вносить в него изменения.
Вот тело rc.firewall
# Allow TCP through if setup succeeded
${fwcmd} add pass tcp from any to any established
# Allow IP fragments to pass through
${fwcmd} add pass all from any to any frag
# Allow setup of incoming email
${fwcmd} add pass tcp from any to ${ip} 25 setup
# Allow setup of outgoing TCP connections only
${fwcmd} add pass tcp from ${ip} to any setup
# Disallow setup of all other TCP connections
${fwcmd} add deny tcp from any to any setup
# Allow DNS queries out in the world
${fwcmd} add pass udp from ${ip} to any 53 keep-state
# Allow NTP queries out in the world
${fwcmd} add pass udp from ${ip} to any 123 keep-state
# Everything else is denied by default, unless the
# IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
# config file.
;;
*обрезано*
# Allow TCP through if setup succeeded
${fwcmd} add pass tcp from any to any established
# Allow IP fragments to pass through
${fwcmd} add pass all from any to any frag
# Allow setup of incoming email
${fwcmd} add pass tcp from any to ${oip} 25 setup
# Allow access to our DNS
${fwcmd} add pass tcp from any to ${oip} 53 setup
${fwcmd} add pass udp from any to ${oip} 53
${fwcmd} add pass udp from ${oip} 53 to any
# Allow access to our WWW
${fwcmd} add pass tcp from any to ${oip} 80 setup
# Reject&Log all setup of incoming connections from the outside
${fwcmd} add deny log tcp from any to any in via ${oif} setup
# Allow setup of any other TCP connection
${fwcmd} add pass tcp from any to any setup
# Allow DNS queries out in the world
${fwcmd} add pass udp from ${oip} to any 53 keep-state
# Allow NTP queries out in the world
${fwcmd} add pass udp from ${oip} to any 123 keep-state
# Everything else is denied by default, unless the
# IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
# config file.
;; |
|
Вернуться к началу |
|
 |
a-m-d
Зарегистрирован: 09.09.2004 Сообщения: 1498 Откуда: SPb
|
Добавлено: Вт Фев 13 2007 14:31 Заголовок сообщения: |
|
|
Bers81 писал(а): | Я так понимаю что мне rc.firewall6 вообще тогать не надо,.. |
Если не используете ipv6, то не надо.
Bers81 писал(а): | Глядя на вот это логично прендположить что мне нужно вставить недостающие порты в rc.firewall. При этом по порядку их следования, от меньшего к большему... |
В порядке следования портов? Нет, заблуждаешься. Порядок следования правил зависит исключительно от того, чего ты хочешь добиться. Пакет проходит правила фаервола по порядку, от правила с мЕньшим номером к правилу с бОльшим... подробнее посмотри тут: http://ipfw.ism.kiev.ua/ipfw.html
http://www.opennet.ru/base/net/ipfw_guide.txt.html
Bers81 писал(а): | ...Но меня кое что смущает. Тут нет еще нескольких портов которые точно открыты. Вот и Туплю... |
Есть еще скрипты, запускающиеся при старте системы, возможно что-то дописано в них. /etc/rc.local например. Наконец, правила могут быть дописаны "от руки".
Еще неизвестен тип фаервола (open/closed).
Bers81 писал(а): | И еще один вопрос: можно ли делать изменения через FTP тупо открывая файл в блакноте и вносить в него изменения. |
Можно попробовать, но не стОит. Во-первых, символ "конец строки" в win и unix разные. Во-вторых, тебе все равно надо как-то активизировать изменения (очисткой правил и перезапуском rc.firewall или рестартом системы).
Bers81 писал(а): | Вот тело rc.firewall |
это не все тело. Что-то пока не пойму зачем задваиваются правила?
например эти:
# Allow TCP through if setup succeeded
${fwcmd} add pass tcp from any to any established
# Allow IP fragments to pass through
${fwcmd} add pass all from any to any frag
Также поясни смысл переменных (может я их по-своему трактую ) и откуда куда по указанным в первом посте портам должно быть разрешено ходить. _________________ Век живи - век учись!.. Дураком помрёшь. |
|
Вернуться к началу |
|
 |
Bers81
Зарегистрирован: 10.03.2005 Сообщения: 46 Откуда: Санкт-Петербург
|
Добавлено: Вт Фев 13 2007 14:57 Заголовок сообщения: |
|
|
Что конкретно нужно указать что бы помочь в разрешении моей траблы. Так как по ходу дела без поллитры тут вообще не разберешься. Ладно бы сам конфигурил, олно дело. А я пытаюсь разобраться в том что уже есть. |
|
Вернуться к началу |
|
 |
a-m-d
Зарегистрирован: 09.09.2004 Сообщения: 1498 Откуда: SPb
|
Добавлено: Вт Фев 13 2007 16:26 Заголовок сообщения: |
|
|
${ip} это внутренний адрес хоста?
${oip} внешний?
Эта машина роутер? Прокси и/или nat на ней не "живут"?
Что указано в параметре firewall_type в файле rc.conf ? (или какое правило _действует_ последним? _действует_ означает, что до самого последнего в списке может никогда ничего не доходить)
По ftp куда надо обращаться? только на этот хост или через него на любой ftp-сервер в инете?
Тот же вопрос применительно ко всем остальным сервисам (портам). _________________ Век живи - век учись!.. Дураком помрёшь. |
|
Вернуться к началу |
|
 |
Bers81
Зарегистрирован: 10.03.2005 Сообщения: 46 Откуда: Санкт-Петербург
|
Добавлено: Чт Фев 15 2007 10:47 Заголовок сообщения: |
|
|
${ip} это внутренний адрес хоста? да
${oip} внешний? да
Эта машина выступает проксей. Через нее ходят в нет.
По поводу ftp: нужно что бы через эту машину можно было попасть на любой FTP сервер в инете.
То же самое и по портам |
|
Вернуться к началу |
|
 |
a-m-d
Зарегистрирован: 09.09.2004 Сообщения: 1498 Откуда: SPb
|
Добавлено: Пт Фев 16 2007 16:02 Заголовок сообщения: |
|
|
Уже который раз пытаюсь тебе что-нибудь ответить, да бросаю. Потому как я ж не знаю что там у тебя действительно установлено и как работает. А сам ты подробности не выдаешь. Пример как сделать я уже приводил.
Ща, подожди, клещи достану. Все из тебя вытягивать ими приходится
Вот и сейчас написал тебе вот тут кучу уточнений. Перечитал... А теперь опять стер и вот тебе ссылка:
http://bsdportal.ru/kb.php?mode=article&k=6&sid=44ebac82f18451835bbf1ceb608a4ab5
Гы Эта ссылка уже мертва, держи проверенную:
http://bardak.blood.ru/work/freebsd/router.htm
На эту же тему можно порыться на opennet.
PS свистни в личку свое мыло, я тебе то, что по мертвой ссылке было пришлю. _________________ Век живи - век учись!.. Дураком помрёшь. |
|
Вернуться к началу |
|
 |
Triobsd
Зарегистрирован: 27.02.2007 Сообщения: 1
|
Добавлено: Вт Фев 27 2007 20:03 Заголовок сообщения: |
|
|
1) 21 ftp--- идем /etc/ в консоли набираем ee inetd.conf
#ftp stream tcp nowaite ............ --- убираем значок "#" получается
ftp stream tcp nowaite ............
в файле rc.conf должна быть строка inetd_enable="YES"
перезагружаем
2) 25 и 110
sendmail postfix exim - почтовые програмулины выбирай и ставь
дальше
в консоли набери ipfw list --- из под рута и выложи людям
потому как не понятно есть у тебя фаерволл или ты пытаешься настроить с нуля
а команды будут иметь вид
ipfw add 101 allow all from any 25 to any
ipfw add 102 allow all from any to any 25
101 и 102 это номер правила не принципиально что у тебя они будут такими же когда увидишь список правил увидишь и номер и коректируй наздоровье , но они будут существовать до первой перезагрузки ! |
|
Вернуться к началу |
|
 |
|