/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
[FreeBSD] firewall - ipfw?
Fra : Michael Andreasen


Dato : 22-01-03 14:15

Hey.. Jeg kender en del til iptables, men BSD verdenen er helt ny for mig.

Jeg kan forstå at jeg skal benytte ipfw, men synes også jeg har læst et
eller andet sted at kernen skal rekompileres. Spørgsmålet er så om det er
nødvendigt?

Er der ikke en smart måde, eller lign (evt under install) hvorpå man kan
forberede en BSD boks til dette?

Grundlæggende skal jeg bare bruge noget der lukke for alt andet end httpd
trafik, er der nogen der kan hjælpe mig med et eksempel på dette?

På forhånd Mange tak
Michael Andreasen



 
 
Jesper Skriver (22-01-2003)
Kommentar
Fra : Jesper Skriver


Dato : 22-01-03 14:26

On Wed, 22 Jan 2003 14:15:03 +0100, Michael Andreasen wrote:
> Hey.. Jeg kender en del til iptables, men BSD verdenen er helt ny for mig.
>
> Jeg kan forstå at jeg skal benytte ipfw, men synes også jeg har læst et
> eller andet sted at kernen skal rekompileres. Spørgsmålet er så om det er
> nødvendigt?

Nej, det er det ikke

Hvis du i /etc/rc.conf enabler firewall'en, så bliver den
automatisk loadet som et kernel module.

--
Jesper Skriver, CCIE #5456
FreeBSD committer

Michael Andreasen (22-01-2003)
Kommentar
Fra : Michael Andreasen


Dato : 22-01-03 15:05

"Jesper Skriver" <harvest@wheel.dk> wrote in message
news:slrnb2t6ul.1uab.harvest@freesbee.wheel.dk...
> > Jeg kan forstå at jeg skal benytte ipfw, men synes også jeg har læst et
> > eller andet sted at kernen skal rekompileres. Spørgsmålet er så om det
er
> > nødvendigt?
>
> Nej, det er det ikke
> Hvis du i /etc/rc.conf enabler firewall'en, så bliver den
> automatisk loadet som et kernel module.

ok perfekt.. mange tak.. Jeg kan forstå jeg skal have fat i noget a'la

${IPFW} add 8000 deny tcp from any to any 1-1023 in via ${INTERFACE}

Er der en måde at lukke for alt default, men så kun åbne for en enkelt port?
Jeg har forsøgt mig lidt frem

# ipfw -a l

02000 107 10457 allow tcp from any to any out xmit fxp0
03000 133 7408 allow tcp from any to any established
04000 0 0 allow ip from any to any frag
07900 1 60 allow tcp from any to any 80-80 in recv fxp0
08000 0 0 deny tcp from any to any 1-1023 in recv fxp0
65535 3650 1421633 allow ip from any to any

Hviket skulle lukke for 1-1023 undtagen port 80, men det virker ikke
rigtigt..

Er der nogen der kan guide mig lidt i den rigtige retning?

Mvh
Michael Andreasen



Jakob Wolffhechel (22-01-2003)
Kommentar
Fra : Jakob Wolffhechel


Dato : 22-01-03 16:49


"Michael Andreasen" <maskinen2000@hotmail.com> wrote in message
news:b0m8e4$28c$1@sunsite.dk...

> # ipfw -a l
>
> 02000 107 10457 allow tcp from any to any out xmit fxp0
> 03000 133 7408 allow tcp from any to any established
> 04000 0 0 allow ip from any to any frag
> 07900 1 60 allow tcp from any to any 80-80 in recv fxp0
> 08000 0 0 deny tcp from any to any 1-1023 in recv fxp0
> 65535 3650 1421633 allow ip from any to any
>
> Hviket skulle lukke for 1-1023 undtagen port 80, men det virker ikke
> rigtigt..

såvidt jeg har forstået læser den nedad.... så jeg vil mene du skal bytte
rundt på 7900 og 8000 reglerne... men jeg kan osse være heeelt galt
afmarcheret.. :)

/j



Jakob Wolffhechel (22-01-2003)
Kommentar
Fra : Jakob Wolffhechel


Dato : 22-01-03 22:53

----- Original Message -----
From: "Michael Andreasen" <maskinen2000@hotmail.com>

> 02000 107 10457 allow tcp from any to any out xmit fxp0
> 03000 133 7408 allow tcp from any to any established
> 04000 0 0 allow ip from any to any frag
> 07900 1 60 allow tcp from any to any 80-80 in recv fxp0
> 08000 0 0 deny tcp from any to any 1-1023 in recv fxp0
> 65535 3650 1421633 allow ip from any to any
>
> Hviket skulle lukke for 1-1023 undtagen port 80, men det virker ikke
> rigtigt..

Altså nu sidder jeg selv og krøller helt sammen over pf til openbsd, bl.a.
fordi jeg skal bruge altq. Det, jeg sagde før,var vist noget frygteligt
sludder.. Um.... Man kan se, at dine 7900 og 8000 regler slet ikke bliver
matchet...

Det er vist noget med, at du skal bruge:
${fwcmd} add 2500 pass tcp from any to any 80 setup

... i dit firewall script.

/j

--
"when a fool points to the moon his finger often makes mistakes"



Søg
Reklame
Statistik
Spørgsmål : 177556
Tips : 31968
Nyheder : 719565
Indlæg : 6408866
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste