---

Hej.

I forbindelse med arbejdet fik jeg brug for at konfigurerer en firewall
med mere avancerede features end der gives gennem System Preferences.

Mine bestræbelser kan ses her:

http://ousia.dk/djn/?p=32

Der er dog et problem med firewallen. Hvis jeg ændrer i scriptet og så
kører scriptet igen, låser maskinen, og jeg ved virkeligt ikke hvorfor
:(

Nogen der har en ide om hvorfor?

/Daniel

--
Mario Kart DS Friend Code: 034419-814862

---

> Der er dog et problem med firewallen. Hvis jeg ændrer i scriptet og så
> kører scriptet igen, låser maskinen, og jeg ved virkeligt ikke hvorfor
>:(
>
> Nogen der har en ide om hvorfor?

Hvad er det du ændrer?
Kan du ikke smide det nye script et sted hvor man kan se dine ændringer?

/Martin

---

On 2006-03-15 21:01:20 +0100, Martin Schyth <fumsen@hotmail.com> said:

>> Der er dog et problem med firewallen. Hvis jeg ændrer i scriptet og så
>> kører scriptet igen, låser maskinen, og jeg ved virkeligt ikke hvorfor
>> :(
>>
>> Nogen der har en ide om hvorfor?
>
> Hvad er det du ændrer?
> Kan du ikke smide det nye script et sted hvor man kan se dine ændringer?

Altså, standard firewall opsætningen kan ses fra terminalen sådan her:

Babbage djn$ sudo ipfw list
02000 allow ip from any to any via lo*
02010 deny ip from 127.0.0.0/8 to any in
02020 deny ip from any to 127.0.0.0/8 in
02030 deny ip from 224.0.0.0/3 to any in
02040 deny tcp from any to 224.0.0.0/3 in
02050 allow tcp from any to any out
02060 allow tcp from any to any established
02070 allow tcp from any to any dst-port 22 in
02080 allow tcp from any to any dst-port 32145 in
02090 allow tcp from any to any dst-port 54321-54400 in
02100 allow tcp from any to any dst-port 54045 in
02110 allow tcp from any to any dst-port 6881-6999 in
12190 deny tcp from any to any
20000 deny icmp from any to me in icmptypes 8
65535 allow ip from any to any
Babbage djn$

Det script jeg snakker om er der der står på min blog, altså:

#!/bin/sh

IPFW='/sbin/ipfw -q'

AUBNET=<aubnetip>/24
HOME=<myhomeip>
PRIV=192.168.0.0/16

$IPFW -f flush

$IPFW add 2000 allow ip from any to any via lo*
$IPFW add 2010 deny log ip from 127.0.0.0/8 to any in
$IPFW add 2020 deny log ip from any to 127.0.0.0/8 in
$IPFW add 2030 deny log ip from 224.0.0.0/3 to any in
$IPFW add 2040 deny log tcp from any to 224.0.0.0/3 in
$IPFW add 2050 allow log tcp from any to any out
$IPFW add 2060 allow log tcp from any to any established
$IPFW add 2070 allow log tcp from any to any dst-port 22 in
$IPFW add 2080 allow log tcp from any to any dst-port 8080 in
$IPFW add 2090 allow log tcp from any to any dst-port 6881-6999 in
$IPFW add 2100 allow log tcp from any to any dst-port 80 in
$IPFW add 2110 allow log tcp from any to any dst-port 427 in
$IPFW add 2120 allow log tcp from any to any dst-port 443 in
$IPFW add 2130 allow log tcp from $AUBNET to any dst-port 139 in
$IPFW add 2131 allow log tcp from $HOME to any dst-port 139 in
$IPFW add 2132 allow log tcp from $PRIV to any dst-port 139 in
$IPFW add 2140 allow log tcp from any to any dst-port 5900-5910 in
$IPFW add 12190 deny log tcp from any to any
$IPFW add 20000 deny log icmp from any to me in icmptypes 8


Og det er når jeg kører det ovenstående script, i forbindelse med
tuning af firewall'en det går galt.

Fx, en tilføjelse af flere åbne porte, en begrænsning på hvilke ip'er
der kan tilgå andre porte.

/Daniel

--
Mario Kart DS Friend Code: 034419-814862

---

Daniel Nielsen <djn@daimi.au.dk> writes:

> Og det er når jeg kører det ovenstående script, i forbindelse med
> tuning af firewall'en det går galt.

Sidder du lokalt på maskinen når du kører dit script eller arbejder du
remote?

Har du prøvet at håndkøre dit script? Hvornår går det galt?

--
Peter Makholm | Det sae banken osse: Hvis du overhovet vil have noen
peter@makholm.net | glæde af din fremtid ska du ikke vente til i morgen.
http://hacking.dk | -- Divus, 2004-10-26

---

On 2006-03-16 19:58:35 +0100, Peter Makholm <peter@makholm.net> said:

> Daniel Nielsen <djn@daimi.au.dk> writes:
>
>> Og det er når jeg kører det ovenstående script, i forbindelse med
>> tuning af firewall'en det går galt.
>
> Sidder du lokalt på maskinen når du kører dit script eller arbejder du
> remote?
>
> Har du prøvet at håndkøre dit script? Hvornår går det galt?

Lokalt... og jeg har faktisk ikke håndkørt det... jeg må prøve i næste
uge. Jeg er ikke i nærheden af maskinen før.

/Daniel

--
Mario Kart DS Friend Code: 034419-814862

---

Daniel Nielsen <djn@daimi.au.dk> wrote:

> I forbindelse med arbejdet fik jeg brug for at konfigurerer en firewall
> med mere avancerede features end der gives gennem System Preferences.

Har du overhovedet brug for en firewall på den enkelte maskiner? Er det
ikke nok med den der ligger i routeren?
--
Per Erik Rønne
http://www.RQNNE.dk

---

On 2006-03-16 07:04:36 +0100, per@RQNNE.invalid (Per Rønne) said:

> Daniel Nielsen <djn@daimi.au.dk> wrote:
>
>> I forbindelse med arbejdet fik jeg brug for at konfigurerer en firewall
>> med mere avancerede features end der gives gennem System Preferences.
>
> Har du overhovedet brug for en firewall på den enkelte maskiner? Er det
> ikke nok med den der ligger i routeren?

Det drejer sig om en maskine, på mit arbejde. Maskinen har en offentlig
IP, og jeg har ikke adgang til netværkskonfigurarionen.

/Daniel
--
Mario Kart DS Friend Code: 034419-814862