Názory k článku Začínáme bezpečně s FreeBSD (9)

preklep:

...MIB položku net.inet.ip.forwarting na 1

patri:

...MIB položku net.inet.ip.forwarding na 1

+

nacteni pravidel: ipf -f /etc/ipf.rules
smazani a nacteni: ipf -F a && ipf -f /etc/ipf.rules

jirib

pri pastovani se mi nejak ztratily odstavce pravidel, bude brzo napraveno :) sakra!

ipf jsem nikdy neprisel na chut, prilis mi pripomina ten bastl z linuxu (ipchains | iptable) a co mi schazi absolutne nejvic je cislovani pravidel, ktere ma ipfw.

naprosto dokonala vec... potrebuju neco vyzkouset a bojim se ze si pod sebou uriznu vetev:

shutdown -r +10
ipfw add 405 deny ip from any to any
pockam deset minut a muzu laborovat dal na stroji kterej je 100vky kilometru zvdalen.

Uznavam, ze to neni totez, ale treba

sudo sh -c "pfctl -f /etc/pf.test && sleep 10 && pfctl -f /etc/pf.conf"

Pokud pravidla chodi, tak sleep prerusim a je to. Pokud ne, tak se znovu nahodi puvodni ruleset.
Existuji ale jeste elegantnejsi reseni pomoci napr. tables nebo anchors.
A jde to i bez restartu :o]

ale ano, samozdrejme (ani u ipfw nezbytne nepotrebuji restart, staci 'at cas sh /etc/rc.firewall' ci 'at cas ipfw delete num'... to jsem uvedl pouze jako trivialni priklad) vadi mi ze nemuzu "vkladat" pravidla rucne mezi jiz stavajici.

ipfw add num ...
mi prijde jednodusi a rychlejsi, jez editovat /etc/ipf.rule.test_to_jsem_udelal_dneska a ten pak spustit. navic zmenu v shellovsky historii budu jen velmi tezko hledat

nerikam ze ipfw je vselek a ze ipf sux. nekomu zas nemusi vyhovovat ipfw.

Tak já to říkám: ipfw rulez, ipf sux!

Číslování, goto - v tom se tak skvěle píše i ladí.

goto? ja znam akorat skipto a to pouzivam velmi opatrne...

obecne mam v algoritmu radeji neveru (gosub), nez rozvod (goto)

Jasny, kazdemu co jeho jest, kazdemu vyhovuje neco jineho.

pokud me nekdo dosuje icmp packetama, tak mu snazive zvednu pocet vyrizovanych packetu za sekundu, a budu si krom linky nechavat varit i procesor, jo ? vyyyyyynikajici reseni, proste tam nastavime maxint a bude ;-))))

Nechcem brat chut autorovi clanku, ale na http://www.obfuscation.org/ipf/ je howto ipf, ktore je naozaj vynikajuce. Svojho casu som ho cital ako detektivku. Je putave, ma dobru naslednost a ma podstatne vacsi zaber ako tento clanok.
Snad len ta anglictina, ale neverim ze sa s ipf budu hrat ludia, ktori nevedia po anglicky.

asi myslis to, co ma FreeBSD zde /usr/share/examples/ipfilter/ipf-howto.txt :))

sefe, proc bych mel opisovat to howto? Kdyz se z casti prelozene tady? http://www.freebsd.cz/cs/CZ/doc/firewall/ipf.html

neboj v pristim dile ty pravidla poladim :)

jirib

mám menší problém ...

chcem robiť nfs s ipf,
ipf.rules:

pass in quick on ed0 proto udp from xbsd port = 2049 to any keep state keep frags
pass in quick on ed0 proto udp from xbsd port = 111 to any keep state keep frags
pass in quick on ed0 proto udp from xbsd port = 1013 to any keep state keep frags
pass in quick on ed0 proto udp from xlin port = 2049 to any keep state keep frags
pass in quick on ed0 proto udp from xlin port = 111 to any keep state keep frags
pass in quick on ed0 proto udp from xlin port = 722 to any keep state keep frags
pass out quick on ed0 proto udp from any to xlin keep state keep frags
block in log quick on ed0 proto udp from any to any


ak je server xbsd == FreeBSD, mount, umount aj praca na nfs ide bez problemov
ak je server xlin == Fedora2 mount aj umount ide, ale pri kopírovaní súborov to zamrzne, ipmon vypisuje nejake udp fragmenty ale bez portu!
1013 a 722 sú udp porty pre mountd na serveroch ...