Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Покритикуйте rc.firewall, плз 05.06.03 17:38 Число просмотров: 1335
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
Вот мои ИМХО:
> Задача: дать доступ из внутренней сети 192.168.0.0/24 и
> модемного подключения -> в интеренет. Кое что - через
> нат, www - через прокси. DNS - внутренний + форварды во
> вне.
>
> Гляньте на уязвимость. Может че попроще можно написать.
> Может где лучше динамические правила использовать... ну и
> т.д.
>
> ############
> # Flush out the list before we begin.
> ${fwcmd} -f flush
>
> ############
> # Only in rare cases do you want to change these rules
> ${fwcmd} add 100 pass all from any to any via lo0
> ${fwcmd} add 200 deny all from any to 127.0.0.0/8
> ${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
>
> ############
>
> oif="ed1"
> iif="ed0"
> own_net="192.168.0.0/24"
> dialip="192.168.0.128"
> ftp="ftp,ftp\\-data"
> mail="pop3,smtp"
> diverted_ports="${ftp},${mail},https"
> proxy="3128"
>
> # outer HACKERS !!!
> ${fwcmd} add deny all from xxx.xxx.xxx.xxx to any
> ${fwcmd} add deny all from any to xxx.xxx.xxx.xxx
>
> # Top-secret inner IP's
> ${fwcmd} add deny all from xxx.xxx.xxx.xxx to any
> ${fwcmd} add deny all from any to xxx.xxx.xxx.xxx
>
> ############
> # DIVERTING PACKETS FOR diverted_ports
> case ${natd_enable} in
> [Yy][Ee][Ss])
> if [ -n "${natd_interface}" ]; then
> oif=${natd_interface}
> ${fwcmd} add divert natd tcp from any
> ${diverted_ports} to me in recv ${oif}
> ${fwcmd} add divert natd tcp from
> ${own_net} to any ${diverted_ports} out xmit ${oif}
Следующие два правила ИМХО лишние и даже вредные.
>${fwcmd} add pass tcp from me to any ${diverted_ports} out xmit ${oif}
>${fwcmd} add pass tcp from any ${diverted_ports} to ${own_net} in recv ${oif}
> # ICMP - enable if you need it
> #${fwcmd} add divert natd icmp from any to
> any via ${oif}
> fi
> ;;
> esac
>
> # Allow access to DNS for me
> ${fwcmd} add pass udp from me to any domain out xmit ${oif}
> ${fwcmd} add pass udp from any domain to me in recv ${oif}
>
> # Allow access to WWW for me
> ${fwcmd} add pass tcp from me to any www out xmit ${oif}
> ${fwcmd} add pass tcp from any www to me in recv ${oif}
> established
>
> # ICMP - enable if you need it
> #${fwcmd} add deny icmp from any to any frag
> #${fwcmd} add pass icmp from any to any
>
> # Redirect www-queries to my proxy
> ${fwcmd} add 350 fwd 127.0.0.1,${proxy} tcp from ${own_net}
> to any www,${proxy} in recv ${iif}
> # and for dialup
> ${fwcmd} add 351 fwd 127.0.0.1,${proxy} tcp from ${dialip}
> to any www,${proxy} in recv ppp0
>
> # Allow DNS for my own net
> ${fwcmd} add pass udp from ${own_net} to me domain in recv
> ${iif}
> ${fwcmd} add pass udp from me domain to ${own_net} out xmit
> ${iif}
> # and for dialup
> ${fwcmd} add pass udp from ${dialip} to me domain in recv
> ppp0
> ${fwcmd} add pass udp from me domain to ${dialip} out xmit
> ppp0
>
Для следующих 4-х правил два замечания:
1. Может убрать отсюда www,${proxy} ? Они же редиректятся на проксю.
2. Может добавить флажок established для входящих пакетов (правило 1 и 3)
> # Direct access to internet resources from my own net
> ${fwcmd} add pass tcp from any
> www,${proxy},${ftp},${mail},https to ${own_net} out xmit
> ${iif}
> ${fwcmd} add pass tcp from ${own_net} to any
> www,${proxy},${ftp},${mail},https in recv ${iif}
> # and for dialup
> ${fwcmd} add pass tcp from any www,${proxy},${ftp},${mail}
> to ${dialip} out xmit ppp0
> ${fwcmd} add pass tcp from ${dialip} to any
> www,${proxy},${ftp},${mail} in recv ppp0
>
> # Everything else is denied by default
ЗЫ: Стоило бы наверное пронумеровать правила прежде чем постить, тогда не пришлось бы квотить всю эту байду :)
Примечание. Почему бы не написать одно правило
pass tcp from any to any established
и убрать кучу отдельных правил на эту же тему?
|
|
|
подробно о проекте
Анализ криптографических сетевых...
