https://www.opennet.me/openforum/vsluhforumID10/4008.html -1) Я лаймер :(<br> 0) Я очень боюсь хакеров :)<br>Ну к чёрту лирику, теперь по существу:<br>ОС: FreeBSD 7 stabel, в ядро включён фаервол и НАТ, <br>внутренняя сеть: 192.168.1.2:192.168.1.7, внутренний интерфейс rl1<br>внешняя сеть: 10.0.0.0:10.255.255.255, внешний интерфейс rl0<br>интернет: через ВПН<br><br>Задача1:<br>написать необходимые правила для фаерволла для натирования через rl0:<br>Я прочёл в одной из статей, что для написания правил для фаервола, закрывающиих путь в локалку хакерам, и вообще дающих им миниум сведеньей о системе, необходимо связаться с "гуру", чтобы те поделились парой сотен стандартных правил.<br><br>Задача2:<br>Написать правила для фаервола не дающие никакой возможности узнать пользователям из внешней сети, что к ней подключён комп с НАТ, через который лазеют другие компы, т.е. даже для тех кто очень желает узнать что у мменя наставленно надо закрыть все возможности, и не плохо бы было замаскировать шлюз с БСД под обычный комп с ОС WinXP<br><br>Задача3: <br>на компе с БСД стоит ssh, штука как оказалась классная https://www.opennet.me/openforum/vsluhforumID10/4008.html#23 Mon, 20 Oct 2008 18:19:50 GMT &gt;а так как у меня комп с БСД 233МГц <br>&gt;и 128МБ то я даже не пытался ставить Х-сы. <br><br>Про проверку FTP-, HTTP-трафика на вирусы забудьте сразу. Не на этом железе.<br> https://www.opennet.me/openforum/vsluhforumID10/4008.html#22 Thu, 16 Oct 2008 12:21:12 GMT Очередная редакция правил,<br>Есть паравопросов по составлению:<br>1) правило &#8470;19:<br># ip-session limit<br>#add 19 allow ip from any to any setup limit src-addr 10<br>скорее всего не правильно, как работает настройка ограничений по ИП сесиям?<br>2)правила &#8470;&#8470;30-31 -- не могу заставить работать привязку по МАК<br>3)что означает переменная me? Правильно ли я её использую?<br>4)Когда надо задовать НАТ, меняет ли пакет (а точнее то как видит его фаервол) свой ИП после прохождения НАТа?<br><br>Вот мой список правил (версия 0 alpha):<br><br>rc.firewall.myconf<br>#=====Firewall Configuration<br>#var<br>inthost="192.168.1.1"<br>macint="00:8E:48:38:AA:3D"<br>intnet="192.168.1.0/29"<br>outhost="10.15.4.8"<br>admcomp="192.168.1.5"<br>macadm="00:B0:18:99:7A:11"<br>outinterface="rl0"<br>intinterface="rl1"<br><br>#Rules Begin<br><br>#antihack<br>#No Fragmentation<br>add 10 deny ip from any to any frag<br>#Deny ISMP hack<br>add 11 deny icmp from any to any in icmptype 5,9,13,14,15,16,17<br>#Deny interip mask hack<br>add 12 reject ip from ${intnet} to any in via ${out https://www.opennet.me/openforum/vsluhforumID10/4008.html#21 Wed, 15 Oct 2008 09:57:21 GMT &gt;<br>&gt;pf вроде может ttl менять <br><br>А средствами ipfw никак?<br><br><br> https://www.opennet.me/openforum/vsluhforumID10/4008.html#20 Wed, 15 Oct 2008 08:08:54 GMT &gt;&gt;По второй задаче. <br>&gt;&gt;Самый простой способ вычислить NAT это проверить TTL у пакетов, ставьте его <br>&gt;&gt;принудительно в одно число как для транзитных так и для исходящих <br>&gt;&gt;пакетов. А вот выдать шлюз под стандартную хрюшку вряд ли получится, <br>&gt;&gt;нет стандартных для хрюши дырок да и tcp/ip стек отличается. <br>&gt;<br>&gt;по изменению ттл нашёл только: <br>&gt;http://www.opennet.ru/openforum/vsluhforumID1/52247.html#1, но там задача не решина :( <br><br>pf вроде может ttl менять<br> https://www.opennet.me/openforum/vsluhforumID10/4008.html#19 Tue, 14 Oct 2008 11:37:17 GMT &gt;По второй задаче. <br>&gt;Самый простой способ вычислить NAT это проверить TTL у пакетов, ставьте его <br>&gt;принудительно в одно число как для транзитных так и для исходящих <br>&gt;пакетов. А вот выдать шлюз под стандартную хрюшку вряд ли получится, <br>&gt;нет стандартных для хрюши дырок да и tcp/ip стек отличается. <br><br>по изменению ттл нашёл только:<br>http://www.opennet.ru/openforum/vsluhforumID1/52247.html#1, но там задача не решина :(<br><br> https://www.opennet.me/openforum/vsluhforumID10/4008.html#18 Tue, 14 Oct 2008 10:44:31 GMT &gt;Товарисчь, может уже стоит самому поразбираться-поэкспериментировать вместо того чтобы офтопить? <br><br>Ну вот, так сказать мои правила версии "-1 alpha":<br>rc.firewall.myconf:<br>#=====Firewall Configuration<br>#var<br>inthost="192.168.1.1"<br>intnet="192.168.1.0/29"<br>outhost="10.15.4.8"<br>admcomp="192.168.1.5"<br><br>#Rules Begin<br>#dynamic on<br>add 1 check-state<br><br>#antihack<br>#Deny ISMP hack<br>add 10 deny icmp from any to any in icmptype 5,9,13,14,15,16,17<br>#Deny interip mask hack<br>add 11 reject ip from ${intnet} to any in via rl0<br># Deny X-scaning<br>add 12 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg<br># Deny N-scaning<br>add 13 reject tcp from any to any tcpflags !'fin', !'syn', !'rst', !'psh', !'ack', !'urg'<br># Deny FIN-scaning<br>add 14 reject tcp from any to any not established tcpflags fin<br># Prevent from spoofing<br>add 15 deny ip from any to any not verrevpath in<br># ip-session limit<br>add 16 allow ip from any to any setup limit src-addr 10<br><br><br>#SSH<br>add 20 allow tcp from ${admcomp} to ${inthost} 22 in vi https://www.opennet.me/openforum/vsluhforumID10/4008.html#17 Fri, 10 Oct 2008 09:11:25 GMT &gt;[оверквотинг удален]<br>&gt;нет стандартных для хрюши дырок да и tcp/ip стек отличается. <br>&gt;<br>&gt;По третей задаче. <br>&gt;Не занимайтесь ерундой, у самого ssh мер безопасности более чем достаточно, не <br>&gt;нужно сюда фаервол пихать. <br>&gt;<br>&gt;По четвертой задаче. <br>&gt;На основе фаерволла не реализуемо в принципе. Лучше всего для этих протоколов <br>&gt;поставить SQUID(или другой проски, например oops), а уже его подружить с <br>&gt;антивирусом. <br><br>СПАСИБО<br>По четвёртой задаче я именно так и собирался сделать<br><br> https://www.opennet.me/openforum/vsluhforumID10/4008.html#16 Fri, 10 Oct 2008 03:53:52 GMT По первой задаче.<br>Ух, сколько всякого насоветовали, хотя единственное полезное предоставил Pahanivo<br>Для начала неплохо бы узнать что во фре есть три(а не два как видится некоторым) различных фаерволла: ipfw, ipf и pf. Первые два примерно равносильны, а вот последний, пришедший из опенка, очень продвинут именно в плане безопасности. То что на других отбрасывается десятком правил на pf можно отбросить одним единственным. С учетом вашей паранойи и того, что вы позже сказали про ваш шлюз я бы порекомендовал поставить на нем именно OpenBSD и почитать доку по pf. <br><br>По второй задаче. <br>Самый простой способ вычислить NAT это проверить TTL у пакетов, ставьте его принудительно в одно число как для транзитных так и для исходящих пакетов. А вот выдать шлюз под стандартную хрюшку вряд ли получится, нет стандартных для хрюши дырок да и tcp/ip стек отличается. <br><br>По третей задаче.<br>Не занимайтесь ерундой, у самого ssh мер безопасности более чем достаточно, не нужно сюда фаервол пихать.<br><br>По четвертой задаче.<br>На основ https://www.opennet.me/openforum/vsluhforumID10/4008.html#15 Thu, 09 Oct 2008 18:21:46 GMT Товарисчь, может уже стоит самому поразбираться-поэкспериментировать вместо того чтобы офтопить?<br><br><br>