Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Покритикуйте rc.firewall, плз 05.06.03 17:38 Число просмотров: 1335
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
Вот мои ИМХО:
> Задача: дать доступ из внутренней сети 192.168.0.0/24 и > модемного подключения -> в интеренет. Кое что - через > нат, www - через прокси. DNS - внутренний + форварды во > вне. > > Гляньте на уязвимость. Может че попроще можно написать. > Может где лучше динамические правила использовать... ну и > т.д. > > ############ > # Flush out the list before we begin. > ${fwcmd} -f flush > > ############ > # Only in rare cases do you want to change these rules > ${fwcmd} add 100 pass all from any to any via lo0 > ${fwcmd} add 200 deny all from any to 127.0.0.0/8 > ${fwcmd} add 300 deny ip from 127.0.0.0/8 to any > > ############ > > oif="ed1" > iif="ed0" > own_net="192.168.0.0/24" > dialip="192.168.0.128" > ftp="ftp,ftp\\-data" > mail="pop3,smtp" > diverted_ports="${ftp},${mail},https" > proxy="3128" > > # outer HACKERS !!! > ${fwcmd} add deny all from xxx.xxx.xxx.xxx to any > ${fwcmd} add deny all from any to xxx.xxx.xxx.xxx > > # Top-secret inner IP's > ${fwcmd} add deny all from xxx.xxx.xxx.xxx to any > ${fwcmd} add deny all from any to xxx.xxx.xxx.xxx > > ############ > # DIVERTING PACKETS FOR diverted_ports > case ${natd_enable} in > [Yy][Ee][Ss]) > if [ -n "${natd_interface}" ]; then > oif=${natd_interface} > ${fwcmd} add divert natd tcp from any > ${diverted_ports} to me in recv ${oif} > ${fwcmd} add divert natd tcp from > ${own_net} to any ${diverted_ports} out xmit ${oif} Следующие два правила ИМХО лишние и даже вредные.
>${fwcmd} add pass tcp from me to any ${diverted_ports} out xmit ${oif}
>${fwcmd} add pass tcp from any ${diverted_ports} to ${own_net} in recv ${oif}
> # ICMP - enable if you need it > #${fwcmd} add divert natd icmp from any to > any via ${oif} > fi > ;; > esac > > # Allow access to DNS for me > ${fwcmd} add pass udp from me to any domain out xmit ${oif} > ${fwcmd} add pass udp from any domain to me in recv ${oif} > > # Allow access to WWW for me > ${fwcmd} add pass tcp from me to any www out xmit ${oif} > ${fwcmd} add pass tcp from any www to me in recv ${oif} > established > > # ICMP - enable if you need it > #${fwcmd} add deny icmp from any to any frag > #${fwcmd} add pass icmp from any to any > > # Redirect www-queries to my proxy > ${fwcmd} add 350 fwd 127.0.0.1,${proxy} tcp from ${own_net} > to any www,${proxy} in recv ${iif} > # and for dialup > ${fwcmd} add 351 fwd 127.0.0.1,${proxy} tcp from ${dialip} > to any www,${proxy} in recv ppp0 > > # Allow DNS for my own net > ${fwcmd} add pass udp from ${own_net} to me domain in recv > ${iif} > ${fwcmd} add pass udp from me domain to ${own_net} out xmit > ${iif} > # and for dialup > ${fwcmd} add pass udp from ${dialip} to me domain in recv > ppp0 > ${fwcmd} add pass udp from me domain to ${dialip} out xmit > ppp0 >
Для следующих 4-х правил два замечания:
1. Может убрать отсюда www,${proxy} ? Они же редиректятся на проксю.
2. Может добавить флажок established для входящих пакетов (правило 1 и 3)
> # Direct access to internet resources from my own net > ${fwcmd} add pass tcp from any > www,${proxy},${ftp},${mail},https to ${own_net} out xmit > ${iif} > ${fwcmd} add pass tcp from ${own_net} to any > www,${proxy},${ftp},${mail},https in recv ${iif} > # and for dialup > ${fwcmd} add pass tcp from any www,${proxy},${ftp},${mail} > to ${dialip} out xmit ppp0 > ${fwcmd} add pass tcp from ${dialip} to any > www,${proxy},${ftp},${mail} in recv ppp0 > > # Everything else is denied by default ЗЫ: Стоило бы наверное пронумеровать правила прежде чем постить, тогда не пришлось бы квотить всю эту байду :)
Примечание. Почему бы не написать одно правило
pass tcp from any to any established
и убрать кучу отдельных правил на эту же тему?
|
|
|