информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
проблема с ipfw и redirect_port 01.11.05 11:47  
Автор: travek Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Есть такая проблема. Есть шлюз на FreeBSD 5.4, установлен ipfw.
Имееются набор правил:
$cmd 014 divert natd log ip from any to any in via $pif
$cmd 015 check-state
$cmd 021 $skip tcp from any to any out via $pif keep-state
$cmd 392 allow tcp from any to any 3389 in via $pif
$cmd 800 divert natd log ip from any to any out via $pif
$cmd 801 allow ip from any to any

Понятно, что я привёл выборку из набора правил. Смысл в том, что мне нужно перебросить RDP на сервер MS. Данный набор правил работает но мне не понятно следующее:
если заменить правило 392 на
$cmd 392 allow tcp from any to any 3389 in via $pif setup keep-state или
$cmd 392 allow tcp from any to any 3389 in via $pif setup limit src-addr 5 или
$cmd 392 allow tcp from any to any 3389 in via $pif keep-state
То не работает удалённый рабочий стол.
Почему такая странная реакция на добавление keep-state правил?? Причём у меня сложилось мнение, что это правило связано с правилом 021, хотя не должно, потому что keep-state должен создавать динамические правила.
Буду благодарен за ваши разъяснения!!
ниасилил 02.11.05 20:55  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
Недостаточно инфы для разумного ответа. Гипотеза: неправильные правила.
Где расположен сервер? в интра- или интернете? что такое $pif? каков конфиг natd?

Общие рекомендации: берём бумажку, и на ней рисуем временную диаграмму прохождения пакета через рулесет. для каждого интерфейса. для трёх пакетов tcp-хендшейка. Итого 6 диаграмм.
для каждого правила пишем:
1. Был ли матч?
2. Если 1 то был ли акцепт/денай/диверт ?
3. Если диверт, был ли реврайт (натд далеко не всегда делает реврайт - толи только входящие, толи только исходящие - see man)

Находим ошибку.
Если не находим ошибку - значит неправильно построили диаграмму. Вставляем рулесы с кейвордом count и максимально специфическими адресам для матча (мы ведь знаем откуда идет тестовый коннкешен). Проверяем. Обязательн оставим вокруг правил с check-state и дивертами.

Проверено - помогает. !0 раз так сделаешь - будешь в уме рулесеты дебажить. Да и то не всегда :)))

> Есть такая проблема. Есть шлюз на FreeBSD 5.4, установлен
> ipfw.
> Имееются набор правил:
> $cmd 014 divert natd log ip from any to any in via $pif
> $cmd 015 check-state
> $cmd 021 $skip tcp from any to any out via $pif keep-state
> $cmd 392 allow tcp from any to any 3389 in via $pif
> $cmd 800 divert natd log ip from any to any out via $pif
> $cmd 801 allow ip from any to any
>
> Понятно, что я привёл выборку из набора правил. Смысл в
> том, что мне нужно перебросить RDP на сервер MS. Данный
> набор правил работает но мне не понятно следующее:
> если заменить правило 392 на
> $cmd 392 allow tcp from any to any 3389 in via $pif setup
> keep-state или
> $cmd 392 allow tcp from any to any 3389 in via $pif setup
> limit src-addr 5 или
> $cmd 392 allow tcp from any to any 3389 in via $pif
> keep-state
> То не работает удалённый рабочий стол.
> Почему такая странная реакция на добавление keep-state
> правил?? Причём у меня сложилось мнение, что это правило
> связано с правилом 021, хотя не должно, потому что
> keep-state должен создавать динамические правила.
> Буду благодарен за ваши разъяснения!!
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach