https://www.opennet.me/openforum/vsluhforumID12/5262.html Сюжет фильма ужасов:<br>Начинающий админ ставит на машину FreeBSD6.2 (ввиду экономии средств) Настраивается раздача интернета (nat,ipfw), почта (sendmail), Apache, Samba (для хранения бд 1С).<br>На определенном этапе пришло в голову что хорошо бы иметь Сквид, дабы смотреть по access.log кто куда и сколько раз, плюс неплохо фильтровать то куды собственно юзеров пускать а куды нет. Ибо начальство подняло крик о том что "тормозит интернет".<br>Далее следует трах с документацией...<br><br>После довольно долгих и трудных родов получил "около"рабочие конфиги. Но вот беда где то что-то пропустил и теперь попадаю в http://cbl.abuseat.org лист раз в сутки.<br><br>Пользователи уличенные в скачивании вирей приговорены к шрафам и лишены всего кроме локалки, шефу на машине несмотря на сопротивление прикручен отдельный фаервол который не позволяет ему соваться по порно сайтам и др. С вирями порядок наведен, юзеры не могут ничего установить или деинсталировать, все настройки закрыты для изменений, фаервол и антивирус обновляются раз в с https://www.opennet.me/openforum/vsluhforumID12/5262.html#10 Tue, 18 Dec 2007 14:26:45 GMT все почтовые серваки<br>подключаясь к твоему серверу имеют айпи модема(проверь логи), а на самом почтовике<br>стоит правило релеить всю почту только с локальных айпи, аот они и релеются - а ты в БД<br>антиспамеров.<br><br>Как проверить и что по этому поводу можно сделать не подскажите?<br> https://www.opennet.me/openforum/vsluhforumID12/5262.html#9 Wed, 12 Dec 2007 08:11:56 GMT Просмотрел твой фаервол - можешь выбросить из него все кроме:<br>ipfw flush <br>ipfw add 100 check-state <br>#Если прозрачный прокси оставь - но имхо втопку<br>ipfw add 150 fwd 192.168.0.2,3128 ip from 192.168.0.0/24 to any dst-port 80 <br>#Единственная строка с натом и та закоментаренная хз.<br>#ipfw add 510 divert natd ip from 192.168.0.0/24 to any out via rl0 <br>#Запрет стучаться в сеть под видом "своих" адресов через внешний интерфейс<br>#смысла в этом мало но можешь оставить <br>ipfw add 210 deny ip from 192.168.0.0/24 to any in via rl0 <br>#Разрешил своей сети ходить через внутренний интерфейс <br>ipfw add 211 allow ip from 192.168.0.0/24 to me keep-state via rl1 <br>#Разрешение хождения пакетов от своей подсети &gt;_&lt; ваще бред<br>ipfw add 300 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via lo <br>#Разрешение хождения пакетов от моих адресов через внешний интерфейс <br>ipfw add 310 allow tcp from me to any keep-state <br>ipfw add 320 allow icmp from any to any <br>#Разрешить идти от меня куда угодно <br>ipfw add 340 allow ip from me to https://www.opennet.me/openforum/vsluhforumID12/5262.html#8 Tue, 11 Dec 2007 14:24:59 GMT Перекроил файлик с правилами фаервола (проверьте на ошибки пожалуйста)<br><br>ipfw flush<br><br>ipfw add 100 check-state<br><br>#Закрыл обращения с внешнего интерфейса на ло0<br>ipfw add 101 deny ip from any to 127.0.0.0/8 via rl0<br><br>#Переслал на сквид все что пришло от моих юзеров<br>ipfw add 150 fwd 192.168.0.2,3128 ip from 192.168.0.0/24 to any dst-port 80<br>#ipfw add 510 divert natd ip from 192.168.0.0/24 to any out via rl0<br><br><br># Запрет X-сканирования:<br>add 151 reject log tcp from any to any tcpflags fin, syn, rst, psh, ack, urg via rl0<br><br># Запрет N-сканирования:<br>add 152 reject log tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg via rl0<br><br># Запрет FIN-сканирования:<br>add 153 reject log tcp from any to any not established tcpflags fin via rl0<br><br># Защита от спуфинга<br>add 154 deny log ip from any to any not verrevpath in<br><br># Ограничение числа одновременных соединений:<br>add 155 allow ip from any to any setup limit src-addr 10 via rl0<br><br><br>#Запрет на все исмп кроме пинга<br>#echo reply (0), destination unr https://www.opennet.me/openforum/vsluhforumID12/5262.html#7 Tue, 11 Dec 2007 11:49:01 GMT &gt;&gt;Двусторонний нат обозначает почтовый релей - если непонятно отпишу подробнее. <br>&gt;<br>&gt;Самое интересное у тебя в конфиге ipfw после слова и.т.д &gt;_&lt;<br><br>ipfw add 65535 deny ip from any to any нескопировалось пере итд :)<br><br>Насчет ната буду признателен если объясните<br><br> https://www.opennet.me/openforum/vsluhforumID12/5262.html#6 Tue, 11 Dec 2007 10:29:48 GMT &gt;Двусторонний нат обозначает почтовый релей - если непонятно отпишу подробнее. <br><br>Самое интересное у тебя в конфиге ipfw после слова и.т.д &gt;_&lt;<br> https://www.opennet.me/openforum/vsluhforumID12/5262.html#5 Tue, 11 Dec 2007 10:28:05 GMT Двусторонний нат обозначает почтовый релей - если непонятно отпишу подробнее.<br> https://www.opennet.me/openforum/vsluhforumID12/5262.html#4 Tue, 11 Dec 2007 10:11:25 GMT &gt;прийдется и это правильно. админ должен(! имхо) знать что через его оборудование <br>&gt;наружу льется. <br><br>Совершенно согласен, есть одно но пока мануалы по портам, тиси-пи ай-пи и ipfw не помогают :)<br><br>Запретил на внешнем интерфейсе любые все кроме своих 192.168.0.0/24 <br>На сквиде оставил только 80 порт из всех перечисленных.<br>С помощью IPFW запретил порты от 5000...<br><br>&gt;&gt;(клиент-банки со странными портами,<br>&gt;их не так много. 1-3 как правило. <br><br>два десятка таких ломящихся бухгалтерско-налоговых утилитов... <br>(нет ли нигде толково расписанного гайда по trafshow ?(именно гайда, не мануала)Пока для отлова портов использую "колхозный метод" Zone Alarm (ставлю на машину "жертвы" и включая программы смотрю куда и по какому порту оно ломится).<br><br>&gt; только "свои сети" на внутреннем интерфейсе. <br><br>Я думал так оно в конфиге и есть уж :(<br><br>&gt;Рекомендую все же разнести по функционалу "сервер для интернет сервисов" и "сервер <br>&gt;для локальных сервисов" <br><br>Я бы с радостью развел, однако развести руководство на покупку сервер https://www.opennet.me/openforum/vsluhforumID12/5262.html#3 Fri, 07 Dec 2007 12:29:59 GMT &gt;Наверное проще, но не прийдется ли тогда описывать для локалки все что <br>&gt;"ломится в инет"? <br><br>прийдется и это правильно. админ должен(! имхо) знать что через его оборудование наружу льется.<br><br>&gt;(клиент-банки со странными портами,<br><br>их не так много. 1-3 как правило.<br><br>&gt;1С чтобы пускало на самбу<br><br>либо разделить функционал фаервола и роутера, либо разрешить весь трафик на внутреннем интерфейсе, либо разрешить только "свои сети" на внутреннем интерфейсе.<br><br>Рекомендую все же разнести по функционалу "сервер для интернет сервисов" и "сервер для локальных сервисов"<br><br>&gt;у меня не указано allow при сборке, по дефолту должен быть денай?<br><br>угу<br><br><br> https://www.opennet.me/openforum/vsluhforumID12/5262.html#2 Mon, 03 Dec 2007 17:08:31 GMT <br>&gt;проверить что фаервол собиран в режиме "default block". гораздо проще разрешить нужное, <br>&gt;чем запретить не нужное; <br><br>Наверное проще, но не прийдется ли тогда описывать для локалки все что "ломится в инет"?<br>(клиент-банки со странными портами, 1С чтобы пускало на самбу (с которой с оплоками и так гемор) идр.)<br>у меня не указано allow при сборке, по дефолту должен быть денай?<br>Вообщем подскажите как проверить где посмотреть?<br><br><br>