anonymous@RULINUX.NET~# Last login: 2024-11-05 20:43:43
Регистрация Вход Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск
[#] [Добавить метку] [Редактировать]
Скрыть

А как настроен ваш фаервол?

Я боюсь что из-за неправильной настройки сабжа грязные малолетние хакеры и КГБ смогут пролезть ко мне на компьютер и украсть секретные данные. Постим свои конфигурации.

text

root@ressurected:/home/vasily # ipfw show
00100  144   15264 allow ip from any to any via lo0
00200  303   28493 allow ip from any to any via bridge0
00300    0       0 deny tcp from any to any in frag via re1
00400 1028 1015795 allow tcp from me 44210-44215 to any out via re1
00500  973   95766 allow tcp from any to me dst-port 44210-44215 in via re1
00600 1318  174440 allow udp from me 44210 to any out via re1
00700 1040  206165 allow udp from any to me dst-port 44210 in via re1
00800  723  574885 divert 8668 ip from any to any in via re1
00900    0       0 check-state
01000    0       0 skipto 20000 tcp from any 1024-65535 to any dst-port 53 out via re1 keep-state
01100   44    4642 skipto 20000 udp from any 1024-65535 to any dst-port 53 out via re1 keep-state
01200    0       0 skipto 20000 udp from me 67,68 to any dst-port 67,68 out via re1 keep-state
01300   87    9531 skipto 20000 tcp from any 1024-65535 to any dst-port 80,443,22,43,9418 out via re1 keep-state
01400    0       0 skipto 20000 tcp from any to any dst-port 123 out via re1 keep-state
01500    0       0 skipto 20000 udp from any to any dst-port 123 out via re1 keep-state
01600    1      56 skipto 20000 icmp from any to any out via re1 keep-state
01700  128   14804 skipto 20000 icmp from any to me in icmptypes 3,8 via re1 keep-state
01800   42   33149 deny log logamount 100 ip from any to any
20000  198   17247 divert 8668 ip from any to any out via re1
20010  605  351754 allow ip from any to any
65535   85   51178 allow ip from any to any
 


lo0 - локалхост, bridge0 - LAN, re1 - интернет. Порты 44210-44215 -- торренты

Vasily(*) (2016-06-08 07:23:31)

Mozilla/5.0 (X11; FreeBSD amd64; rv:40.0) Gecko/20100101 Firefox/40.0

[Ответить на это сообщение]
[#] [Добавить метку] [Редактировать] Ответ на: А как настроен ваш фаервол? от Vasily 2016-06-08 07:23:31
avatar
Скрыть

Re:А как настроен ваш фаервол?

у мну такое было, правда 9 лет назад =) соль в том, что закрывается вообще все и входящее и выходящее, а потом по мере надобности открывается для каждой проги нужный порт... проверку по мак адресу не реализовывал

text

#!/bin/sh

INET_IP="21.12.25.4"
INET_IFACE="eth0"
INET_BROADCAST="21.12.25.255"

LAN_IP="10.0.0.1"
LAN_IP_RANGE="10.0.0.0/24"
LAN_IFACE="eth1"

LO_IFACE="lo"
LO_IP="127.0.0.1"

IPTABLES="/sbin/iptables"

/sbin/depmod -a

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ipt_string

/sbin/modprobe ipt_owner
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc

echo "1" > /proc/sys/net/ipv4/ip_forward

echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD ACCEPT

$IPTABLES -N bad_tcp_packets

$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 20 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 8080 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 8081 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 4661 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 4662 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 4711 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 4712 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 6588 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 3128 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 3389 -j allowed

$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 53 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 123 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4665 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4672 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 3389 -j ACCEPT

$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d $INET_BROADCAST --destination-port 135:139 -j DROP

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT

$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

$IPTABLES -A INPUT -i $INET_IFACE -d 224.0.0.0/8 -j DROP

$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG  --log-level DEBUG --log-prefix "IPT FORWARD packet died: "

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP

$IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 4662 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING --dst $INET_IP -p udp --dport 4672 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 4661 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 4662 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p udp -d $INET_IP --dport 4672 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p udp -d $INET_IP --dport 4665 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 4711 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 4712 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 3389 -j DNAT --to-destination 10.0.0.6

$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 4661 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 4662 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p udp --dport 4672 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p udp --dport 4665 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 4711 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 4712 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 3389 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p udp --dport 3389 -j ACCEPT

# переслать входящие UDP пакеты(порт 5060 и 16500) на интерфейс eth0 (X.X.X.X)
# во внутреннюю сеть на 172.16.0.200 на соответствующие порты
# iptables -t nat -A PREROUTING -p udp -d x.x.x.x --dport 5060 -j DNAT --to-destination 172.16.0.200
# iptables -t nat -A PREROUTING -p udp -d x.x.x.x --dport 16500 -j DNAT --to-destination 172.16.0.200
#
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 4661 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 4662 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 3389 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p udp -d $INET_IP --dport 4672 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p udp -d $INET_IP --dport 3389 -j DNAT --to-destination 10.0.0.6
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 4661 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 4662 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p udp --dport 4672 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p udp --dport 3389 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 3389 -j ACCEPT
 

vilfred(*)(2016-06-08 07:58:07)
Отредактировано vilfred по причине "не указана"
Mozilla/5.0 (X11; Fedora; Linux x86_64; rv:46.0) Gecko/20100101 Firefox/46.0
[#] [Добавить метку] [Редактировать] Ответ на: Re:А как настроен ваш фаервол? от vilfred 2016-06-08 07:58:07
avatar
Скрыть

Re:А как настроен ваш фаервол?

> $IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
Ага, тоже хотел такое у себя сделать, но что-то не понял как в ipfw подружить это с натом.

> $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
> $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
Угу, тоже по совету каких-то умников разрешил только 8, потом посмотрел, что вполне годные пакеты режутся, например типа 3. А кто может рассказать, зачем вообще фильтровать icmp?

Vasily(*)(2016-06-08 09:45:51)

Mozilla/5.0 (X11; FreeBSD amd64; rv:40.0) Gecko/20100101 Firefox/40.0
[#] [Добавить метку] [Редактировать] Ответ на: А как настроен ваш фаервол? от Vasily 2016-06-08 07:23:31
avatar
Скрыть

Re:А как настроен ваш фаервол?

Я ничего в этом не понимаю, поэтому сижу с открытой сеткой, включая беспарольный ви-фи. И пароль от роутера у меня 1234. И пароль от интернета тоже 1234. А поскольку логин интернета есть производная адреса, то зайти в мою учётку не составит особого труда. Я так сам однажды ошибся в одной букве в логине и включил интернет чуваку на другом конце города, думая что это у меня отключено. Извини, чувак! Короче, т. к. я ничего не понимаю, то и не могу догадаться поломали меня соседские школьники или ещё нет. Но когда-нибудь, когда наступит светлое будущее, я займусь настройкой ip_чего-то-там. Точно-точно. И бекапы начну делать. Вот прям сразу, как жареный петух клюнет в самое больное место, так и начну.

anonymous(*)(2016-06-08 12:48:08)
Отредактировано anonymous по причине "не указана"
[#] [Добавить метку] [Редактировать] Ответ на: Re:А как настроен ваш фаервол? от anonymous 2016-06-08 12:48:08
avatar
Скрыть

Re:А как настроен ваш фаервол?

Я наоборот в этом все понимаю и поэтому сижу с дефолтными policy ACCEPT.

Наигрался уже давно с апичейнсами и апитаблесами, для секурности на десктопе это очень сомнительно, как мне кажется.

И да, бекапы я тоже не делаю, всё тлен и суета.

Dr.uid(*)(2016-06-08 14:08:10)
Отредактировано Dr.uid по причине "не указана"
Mozilla/5.0 (Windows NT 6.1; rv:38.0) Gecko/20100101 Firefox/38.0
[#] [Добавить метку] [Редактировать] Ответ на: А как настроен ваш фаервол? от Vasily 2016-06-08 07:23:31
avatar
Скрыть

Re:А как настроен ваш фаервол?

zsh: command not found: ipfw

SystemV(*)(2016-06-08 18:00:36)

Mozilla/5.0 (X11; Linux x86_64; rv:46.0) Gecko/20100101 Firefox/46.0
[#] [Добавить метку] [Редактировать] Ответ на: Re:А как настроен ваш фаервол? от SystemV 2016-06-08 18:00:36
avatar
Скрыть

Re:А как настроен ваш фаервол?

Хмм, и в самом деле:

text

C:\>ipfw
'ipfw' is not recognized as an internal or external command,
operable program or batch file.
 

anonymous(*)(2016-06-08 18:42:34)

[#] [Добавить метку] [Редактировать] Ответ на: Re:А как настроен ваш фаервол? от anonymous 2016-06-08 18:42:34
avatar
Скрыть

Re:А как настроен ваш фаервол?

В винде ктстаи через павершел можно рулить, я как то строку форвардинга портов для винды гуглил.

Dr.uid(*)(2016-06-08 19:12:15)

Mozilla/5.0 (Windows NT 6.1; rv:38.0) Gecko/20100101 Firefox/38.0
[#] [Добавить метку] [Редактировать] Ответ на: Re:А как настроен ваш фаервол? от Dr.uid 2016-06-08 14:08:10
avatar
Скрыть

Re:А как настроен ваш фаервол?

> Наигрался уже давно с апичейнсами и апитаблесами, для секурности на десктопе это очень сомнительно, как мне кажется.
не, это не для десктопа настройки, это для локалки настройки файрвола с параноидальным админом.

закрыть все для начала и ходить спрашивать юзеров в офисе, а что вам надо, а какая программа, а по какому порту она взаимодействует, а с кем, а зачем вам это надо.

какаяннить ирц сидит долбится изнутри локалки на порт, а я вижу, подхожу, а там девушка сидит, чатится , ну я ей открываю

работал я админом, было дело

vilfred(*)(2016-06-09 00:51:23)

Mozilla/5.0 (X11; Fedora; Linux x86_64; rv:46.0) Gecko/20100101 Firefox/46.0
[#] [Добавить метку] [Редактировать] Ответ на: Re:А как настроен ваш фаервол? от vilfred 2016-06-09 00:51:23
avatar
Скрыть

Re:А как настроен ваш фаервол?

С тех пор уже system-config-firewall изобрели.

anonymous(*)(2016-06-09 01:32:23)

Mozilla/5.0 (X11; Fedora; Linux x86_64; rv:46.0) Gecko/20100101 Firefox/46.0
[#] [Добавить метку] [Редактировать] Ответ на: Re:А как настроен ваш фаервол? от anonymous 2016-06-09 01:32:23
avatar
Скрыть

Re:А как настроен ваш фаервол?

хм, не знал, руками делать както все проще и понятнее чего и что. короче линукс медленно но верно грядет к вендекапцу... какието реестры в гноме ввели

сейчас сижу на десктопе MATE и все как привык...

vilfred(*)(2016-06-09 01:48:30)

Mozilla/5.0 (X11; Fedora; Linux x86_64; rv:46.0) Gecko/20100101 Firefox/46.0
[#] [Добавить метку] [Редактировать] Ответ на: Re:А как настроен ваш фаервол? от vilfred 2016-06-09 01:48:30
avatar
Скрыть

Re:А как настроен ваш фаервол?

А такие как я только с помощью гуя и выживают..

anonymous(*)(2016-06-09 11:20:29)

Mozilla/5.0 (X11; Fedora; Linux x86_64; rv:46.0) Gecko/20100101 Firefox/46.0
[#] [Добавить метку] [Редактировать] Ответ на: Re:А как настроен ваш фаервол? от anonymous 2016-06-08 12:48:08
avatar
Скрыть

Re:А как настроен ваш фаервол?

> А поскольку логин интернета есть производная адреса
ниасилил типа производная пароля, скорость роста пароля, в длинну, по ширине, есть суть адрес т.е. кто дальше живет тому и длиньше?

vilfred(*)(2022-08-13 07:38:11)

Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0
Этот тред читают 2 пользователя:
Анонимных: 2
Зарегистрированных: 0




(c) 2010-2020 LOR-NG Developers Group
Powered by TimeMachine

Valid HTML 4.01 Transitional Правильный CSS!