https://www.opennet.ru/openforum/vsluhforumID10/3738.html Добрый день! Ребята, я поднял шлюз x.x.x.x и подключил к интернету, проверил с windows машины с программой nmap. Получил следующий результат (хотел спросить у Вас, насколько надежен мой шлюз, и могу ли я смело поднимать на нем почтовый сервер и открыть 25 порт внешнему миру? ):<br> <br>Starting Nmap 4.60 ( http://insecure.org ) at 2008-04-08 17:14 (Initiating Ping Scan at 17:15<br>Scanning x.x.x.x[2 ports]<br>Completed Ping Scan at 17:15, 1.00s elapsed (1 total hosts)<br>Initiating SYN Stealth Scan at 17:15<br>Scanning x.x.x.x[1715 ports]<br>Discovered open port 22/tcp on x.x.x.x<br>Completed SYN Stealth Scan at 17:15, 1.03s elapsed (1715 total ports)<br>Initiating Service scan at 17:15<br>Scanning 1 service on x.x.x.x<br>Completed Service scan at 17:15, 0.21s elapsed (1 service on 1 host)<br>Initiating OS detection (try #1) against x.x.x.x<br>Retrying OS detection (try #2) against x.x.x.x<br>SCRIPT ENGINE: Initiating script scanning.<br>Host x.x.x.xappears to be up ... good.<br>Interesting ports on x.x.x.x:<br>Not shown: 1705 filtered ports https://www.opennet.ru/openforum/vsluhforumID10/3738.html#13 Mon, 05 May 2008 19:43:01 GMT &gt;ipfw add allow udp from any 53 to x.x.x.x<br>&gt;ipfw add allow udp from x.x.x.x to any 53 <br>&gt;Это правило небезопасное! Злоумышленник сможет подделать udp пакет который пройдет ваше правило! <br><br>Угу. Я бы написал так:<br>ipfw add allow udp from x.x.x.x 53 to any 53 out via fxp1 keep-state<br><br>либо<br><br>ipfw add allow udp from x.x.x.x 53 to any 53 out via fxp1 setup keep-state<br><br>где fxp1 - внешний интерфейс.<br><br>Один из вариантов работает хуже, но что именно - не помню, надо посмотреть конфиг.<br><br>А еще лучше - вместо 'any 53' писать 'z.z.z.z 53', где z.z.z.z - IP DNS-сервера провайдера, т.к. от прова ждать подставы можно менее всего. Но тут может возникнуть либо временный затык в открытии сайтов, отправке почты и пр., либо вообще будет работать со сбоями, так что вполне возможно, придется вернуться к схеме с 'any 53', но это в любом случае лучше делать с помощью 'out ...', как указано выше.<br><br>&gt;ipfw add allow icmp from any to any<br><br>Убрать это подальше, нафиг кому-то вас пинговать?!<br><br>&gt;ipfw add deny log tcp from any to https://www.opennet.ru/openforum/vsluhforumID10/3738.html#12 Thu, 01 May 2008 12:50:11 GMT ipfw add allow udp from any 53 to x.x.x.x<br>Это правило небезопасное! Злоумышленник сможет подделать udp пакет который пройдет ваше правило!<br> https://www.opennet.ru/openforum/vsluhforumID10/3738.html#11 Wed, 30 Apr 2008 12:47:28 GMT Если вы сканите хост x.x.x.x, то проходит ли команда 'telnet x.x.x.x 25'?<br><br>Потом я бы указанное выше правило (ipfw add pass tcp from any to any 22,25 setup) разбил бы на два (когда что-то глючит, надо упрощать себе жизнь):<br><br>ipfw add pass tcp from any to any 22 setup<br>ipfw add pass tcp from any to any 25 setup<br><br>и проверил бы снова.<br><br>Ну и если telnet не пройдет, то может, sendmail не слушает 25 порт?<br> https://www.opennet.ru/openforum/vsluhforumID10/3738.html#10 Wed, 30 Apr 2008 04:39:01 GMT &gt;А вы можете конфиг ipfw написать? А то трудно понять, что к <br>&gt;чему, там же зависит результат от порядка расположения правил. <br><br>Правила фильтрации:<br>!/bin/sh<br>echo<br>echo ' My settings '<br>echo<br>ipfw -q flush<br>ipfw add allow all from any to any via lo0<br>ipfw add deny all from 127.0.0.0/8 to any<br>ipfw add deny all from any to 127.0.0.0/8<br>ipfw add deny all from any to 10.0.0.0/8 via rl1<br>ipfw add deny all from any to 172.16.0.0/12 via rl1<br>#ipfw add deny all from any to 192.168.0.0/16 via rl1<br>#ipfw add deny all from 192.168.0.0/16 to any via rl1<br>ipfw add deny all from 172.16.0.0/12 to any via rl1<br>ipfw add deny all from 10.0.0.0/8 to any via rl1<br>ipfw add divert natd all from any to any via rl1<br>ipfw add allow icmp from any to any<br>ipfw add allow udp from any 53 to x.x.x.x<br>ipfw add allow udp from x.x.x.x to any 53 <br>ipfw add allow tcp from y.y.y.y 23,110 to y.y.y.y via rl0<br>ipfw add allow all from y.y.y.y to any<br>ipfw add pass tcp from any to any 22,25 setup<br>ipfw add deny log tcp from any to any in via rl1 https://www.opennet.ru/openforum/vsluhforumID10/3738.html#9 Tue, 29 Apr 2008 06:26:37 GMT А вы можете конфиг ipfw написать? А то трудно понять, что к чему, там же зависит результат от порядка расположения правил.<br> https://www.opennet.ru/openforum/vsluhforumID10/3738.html#8 Tue, 29 Apr 2008 03:07:53 GMT &gt;Если вы сканили nmap-ом снаружи сети, то: <br>&gt;<br>&gt;С точки зрения информации о вашей системе, которую предоставил nmap, ваш будущий <br>&gt;почтовый сервер слишком много говорит про себя. Потом ftp-сервер - это <br>&gt;уже дыра в определенном смысле. <br>&gt;<br>&gt;И в конце-концов, чем меньше открыто на сервере сервисов "в мир", тем <br>&gt;лучше, а судя по ответу nmap - их и так достаточно. <br>&gt;Ну или хотя бы регулярно обновлять все программы, которые смотрят "в <br>&gt;мир". <br><br>После вашего совета добавил следующее (fxp1-внешний интерфейс шлюза):<br><br>ipfw add deny log tcp from any to any in via fxp1 setup<br><br>Запустил nmap, теперь он обнаруживает только сервис ssh 22-порт (выводит на экран зеленым цветом). А вот почтовый сервер почему nmap не обнаруживает? ведь я писал т.е. 25-порт прослушивается sendmailом:<br><br>ipfw add pass tcp from any to x.x.x.x 22,25 setup<br><br> https://www.opennet.ru/openforum/vsluhforumID10/3738.html#7 Wed, 23 Apr 2008 12:38:43 GMT Если вы сканили nmap-ом снаружи сети, то:<br><br>С точки зрения информации о вашей системе, которую предоставил nmap, ваш будущий почтовый сервер слишком много говорит про себя. Потом ftp-сервер - это уже дыра в определенном смысле.<br><br>И в конце-концов, чем меньше открыто на сервере сервисов "в мир", тем лучше, а судя по ответу nmap - их и так достаточно. Ну или хотя бы регулярно обновлять все программы, которые смотрят "в мир".<br> https://www.opennet.ru/openforum/vsluhforumID10/3738.html#6 Wed, 09 Apr 2008 11:46:29 GMT &gt;Перевожу ваш вопрос на язык понятный простому обывателю: "Вот вам ребята фотография <br>&gt;ковра в моей квартире, можно ли мне в этой квартире повесить <br>&gt;люстру?". Что можно ответить на такой вопрос? <br><br>Спасибо за внимание :)<br> https://www.opennet.ru/openforum/vsluhforumID10/3738.html#5 Wed, 09 Apr 2008 11:22:39 GMT Перевожу ваш вопрос на язык понятный простому обывателю: "Вот вам ребята фотография ковра в моей квартире, можно ли мне в этой квартире повесить люстру?". Что можно ответить на такой вопрос?<br>