https://opennet.ru/openforum/vsluhforumID1/82764.html Когда что правильно применять?<br><br>Вот, уже какую неделю пытаюсь разобраться с фаерволом ipfw, прогресс, конечно, есть но не такой внушительный, как хотелось бы.<br><br>Вопрос возник после прочтения мана по ipfw,из мана понял что эти управляющие функции позволяют управлять инициализацией соединения, но в каких случая что следует применять так и не разобрался :(<br><br>Уважаемые гуру, подскажите, пожайлуста!!<br><br>Для конкретикм:<br>как правильно прописать правило для разрешения установления соединения от пользователя внутренней сети к внешнней по протоколу http, и разрешение получения ответа именно на этот запрос, а не просто входящие соединения по http. И аналогично по другим распространённым протоколам, таким как ftp, https, smpt, pop3, ssh, и т.д.<br><br>С уважением, Alex123. <br><br> https://opennet.ru/openforum/vsluhforumID1/82764.html#12 Tue, 11 Nov 2008 14:00:36 GMT &gt;&gt;# icmp <br>&gt;&gt; ${ipfw} add 220 deny icmp from any to any in icmptype <br>&gt;&gt;5,9,13,14,15,16,17 <br>&gt;<br>&gt;Не боитесь в случае диагностики сети - облажаться? <br><br>ДА сеть то на 4-7 компов -- чё её диагностировать :)<br><br><br> https://opennet.ru/openforum/vsluhforumID1/82764.html#11 Tue, 11 Nov 2008 09:42:27 GMT &gt;# icmp <br>&gt; ${ipfw} add 220 deny icmp from any to any in icmptype <br>&gt;5,9,13,14,15,16,17 <br><br>Не боитесь в случае диагностики сети - облажаться?<br> https://opennet.ru/openforum/vsluhforumID1/82764.html#10 Mon, 10 Nov 2008 19:26:43 GMT во время загрузки ядра есть строка загрузки файервола, там написано логирование включено или нет, если нет - только пересобирать<br><br> https://opennet.ru/openforum/vsluhforumID1/82764.html#9 Mon, 10 Nov 2008 18:08:36 GMT &gt;allow &#124; accept &#124; pass &#124; permit - синонимы <br>&gt;<br>&gt;мужик, одно дело поставить на путь истинный, другое дело копаться в чужом <br>&gt;хламе <br>&gt;читай доки, экпериментируй, только так можно научиться <br><br>Спасибо, а как насчёт логирования можно его поставить без пересборки ядра??, а то у меня ядро 27ч компилится -- проц оч. старый<br><br> https://opennet.ru/openforum/vsluhforumID1/82764.html#8 Mon, 10 Nov 2008 18:01:26 GMT allow &#124; accept &#124; pass &#124; permit - синонимы<br><br>мужик, одно дело поставить на путь истинный, другое дело копаться в чужом хламе<br>читай доки, экпериментируй, только так можно научиться<br><br><br> https://opennet.ru/openforum/vsluhforumID1/82764.html#7 Mon, 10 Nov 2008 12:12:48 GMT &gt;[оверквотинг удален]<br>&gt;Несколько "но". Номера могут быть любые, как получится. <br>&gt;Для многих правил с keep-state надо только одно с check-state. <br>&gt;ext-intf - название вашего и-фа, смотрящего наружу. <br>&gt;Сеть 192.168.0.0/24 приватная, т.е. будет натится. Если нат в ppp то все <br>&gt;ок. Если через диверт, то надо учитывать тот факт что после <br>&gt;диверта пакет идет дальше по правилам с уже другим ип и <br>&gt;динамика может не сработать. Не готов сказать на 100%, надо проверять, <br>&gt;но думаю что keep-state и check-state надо ставить по разные стороны <br>&gt;от диверта. <br>&gt;Для эксперимента добавляй log в тело правила и tail -f /var/log/security <br><br>а чем отличаются permit и allow, по словарю одно и тоже :(<br>натю через кернел нат, список правил в этой теме<br><br>http://ua.opennet.ru/openforum/vsluhforumID10/4041.html<br><br>, но он не работает :(<br><br><br> https://opennet.ru/openforum/vsluhforumID1/82764.html#6 Sun, 09 Nov 2008 20:46:03 GMT В общем-то да.<br>Несколько "но". Номера могут быть любые, как получится.<br>Для многих правил с keep-state надо только одно с check-state.<br>ext-intf - название вашего и-фа, смотрящего наружу.<br>Сеть 192.168.0.0/24 приватная, т.е. будет натится. Если нат в ppp то все ок. Если через диверт, то надо учитывать тот факт что после диверта пакет идет дальше по правилам с уже другим ип и динамика может не сработать. Не готов сказать на 100%, надо проверять, но думаю что keep-state и check-state надо ставить по разные стороны от диверта.<br>Для эксперимента добавляй log в тело правила и tail -f /var/log/security<br> https://opennet.ru/openforum/vsluhforumID1/82764.html#5 Sun, 09 Nov 2008 20:01:01 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;add 100 check-state <br>&gt;add 110 permit udp from 10.0.0.0/24 to any 53 out via ext-intf <br>&gt;keep-state <br>&gt;<br>&gt;Исходящие запросы ДНС будут матчиться по 110-му правилу и пропускаться наружу, одновременно <br>&gt;будет создаваться динамическая запись о пропущенном пакете. <br>&gt;Когда прийдет ответ, при проверке check-state будет найдена динамическая запись с соотв. <br>&gt;ип/портами и пакет будет пропущен внутрь. <br>&gt;<br><br>СПАСИБО!!!<br>Т.е. правильно ли я понимаю, что правила для хттп можно записать так:<br><br>add 100 check-state <br>add 110 allow tcp from 192.168.0.0/24 to any 80,8080 out via ext-intf keep-state <br><br><br><br><br> https://opennet.ru/openforum/vsluhforumID1/82764.html#4 Sun, 09 Nov 2008 17:50:55 GMT &gt;Когда что правильно применять? <br><br>keep-state создает динамическое правило, в котором сохраняются ип получателя/отправителя, порты, протокол и т.п. Если при проверке ответного пакета встречается правило check-state, то происходит поиск по атрибутам среди всех динамических правил. При этом считается что ответный пакет проходит через правило с keep-state, которое создало динамическую запись и таким образом счетчики в нем увеличатся. Пример<br><br>add 100 check-state<br>add 110 permit udp from 10.0.0.0/24 to any 53 out via ext-intf keep-state<br><br>Исходящие запросы ДНС будут матчиться по 110-му правилу и пропускаться наружу, одновременно будет создаваться динамическая запись о пропущенном пакете.<br>Когда прийдет ответ, при проверке check-state будет найдена динамическая запись с соотв. ип/портами и пакет будет пропущен внутрь.<br><br>setup применяется только для протокола tcp и, фактически, идентифицирует первый пакет в устанавливаемом соединениии. Дальше все пакеты идут с флагом established. Пример - разрешить установку сое