Показано с 1 по 12 из 12.

Настройка wipfw(встроеный во FreeBSD файрволл)

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189

    Настройка wipfw(встроеный во FreeBSD файрволл)

    WIPFW это IPFW (фаер) клонированный с FreeBSD на винду! Настройка его в винде почти ничем не отличается, от настройки во фре.
    авторская статья (Автор: nori) про настройку WIPFW.


    И так почему я начал писать статью именно про этот файрволл?
    Ответ простой единственная *nix система в которой я хоть что то понимаю FreeBSD.
    IPFW - крайне удобный встроеный во FreeBSD файрволл. Как только я настроил его в БСД сразу захотелось такую же ВЕЩЬ и в винде.
    Гугль как всегда поможет... оказалось что IPFW уже портирован на винду!
    Нашел это http://wipfw.sourceforge.net/ . Скачал, поставил, настроил очччень понравилось (=.
    На момент написания этого , последняя доступная версия - WIPFW v0.2.4-beta.
    Бинарник доступен по адресу - http://prdownloads.sourceforge.net/w...y.zip?download
    Можно так же скачать GUI http://prdownloads.sourceforge.net/w...a.zip?download - НО! Я не качал ибо оно мне ненадо =)
    Сорцы на - http://prdownloads.sourceforge.net/w...e.zip?download. =)

    Чтож качаем!
    Скачал бинарники весом 224 килобайта (мало не правда ли?).
    Разархивируем их куда удобно.
    Допустим C:\wipfw.
    Поехали настраивать! (сразу оговорюсь может кто сочтет мои настройки дилетантскими)
    Для начала установим службу... запускаем install.cmd... бумс! и все готово (=
    Теперь смотрим файл rc.fw.. в начале он выглядит примерно так...
    #!/bin/sh
    #
    #
    # Config sample by dik

    $IPFW="./ipfw"
    $IPFW -f flush

    "$IPFW" add pass all from any to any via lo0
    "$IPFW" add check-state
    "$IPFW" add pass all from me to any out keep-state

    Оговорюсь правила настраиваются аналогично так же как и во FreeBSD! Поэтому вы можете настроить все сами не читая дальше! man ipfw - или читаем здесь !
    http://www.hmug.org/man/8/ipfw.html
    чтож ничего особенно полезного... оставляем только первые несколько строк
    #!/bin/sh
    #
    #
    # Config sample by dik

    $IPFW="./ipfw"
    $IPFW -f flush

    начнем дописывать:

    #Для начала разрешаем все нам самим
    $IPFW add allow all from me to any out

    # Зарпещаем все от всех (дикие параноики дальше могут не чиатть )
    $IPFW add deny all from any to me out

    # Далее начинаем разрешать!
    # Разрешаем получать IPшники по DHCP
    $IPFW add pass udp from any 68 to any 67
    $IPFW add pass udp from any 67 to any 68

    # Разрешаем DNS
    # DNS
    $IPFW add allow tcp from any to any 53
    $IPFW add allow tcp from any 53 to any
    $IPFW add allow udp from any to any 53
    $IPFW add allow udp from any 53 to any

    # Разрешаем входящие ftp, ssh, email, tcp-dns, http, https, pop3, pop3s (если вы чем либо из этого не пользуетесь то убираем то что не нужно...)
    $IPFW add allow tcp from any to any 20,21,22,25,80,443,110,995
    $IPFW add pass tcp from any 20,21,22,25,80,443,110,995 to any

    # ICMP разрешаем пинг... или соответственно запрещаем сменив allow на deny
    $IPFW add allow icmp from any to any icmptypes 0,3,4,8,11

    # VPN разрешаем vpn тунель
    $IPFW add allow tcp from any to any 1723
    #$IPFW add allow tcp from any 1723 to any # тут я могу ошибсяться.... поэтому закомментировал...

    # Разрешаем IRC...
    $IPFW add pass tcp from any to any 6667-6669 #коннект к ирк серверу не будет происходить мгновенно... поэтому можете сменить pass на просто allow
    $IPFW add pass tcp from any 6667-6669 to any

    $IPFW add deny all from any to any

    вот в принципе и все... остальное добавляется по желанию (=
    допустим разрешаем Quake 3

    $IPFW add allow udp from any to any 27960-27965
    $IPFW add allow udp from any 27960-27965 to any

    остально легко сделать по аналогу с тем что написал я...
    Так с правилами покончено (или нет если вы хотите что нибудь еще) =)

    переходим в дирректорию /bin/ и запускаем init.cmd.. бум если при обработке каких либо правил были допущены ошибки идем в rc.fw и правим..
    В принципе и все файрволл настроен... Скажу еще что служба ipfw жрет всего около двух мегабайт оперативки а работает все на ура.

    P.S. Любопытная статья надо попробывать.Правда по оценкам:"проще юзать адаптированные под винду фаерволлы...
    но это уже неплохо, судя по версии - до релиза еще далеко, так что будем ждать, а насчет злосчастных 224 килобайт - там гуевый интерфейс планируется, так что все нормально - а на вкус и цвет, как известно...
    http://forum.web-hack.ru/index.php?showtopic=21641
    Последний раз редактировалось SDA; 13.05.2005 в 23:09.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest
    Только не забывай ссылку на оригинал в конце давать

  4. #3
    zippovich
    Guest
    Не знал что под винду такое есть. Как раз сейчас искал бесплатный файерволл на винду!

    Кто знает проксю бесплатную на винду, поделитесь!

  5. #4
    Slukad
    Guest
    squid

  6. #5
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    79
    Ни разу не авторская статья. Интервью с автором я здесь выкладывал =) а этот нори, судя по стилю, какой-то юный [censored] из поколения журнальчика Ксакеп =)

    wipfw уже давно используется на энтерпрайз серверах несмотря на номер версии...

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Цитата Сообщение от zippovich Посмотреть сообщение
    Кто знает проксю бесплатную на винду, поделитесь!
    squid - зайти на http://www.acmeconsulting.it/SquidNT/download.html
    squidGUI - http://sourceforge.net/project/showf...roup_id=151683 (для тех кому это надо)
    А вообще если возникает вопрос о бесплатных прогах: sourceforge.net, чаще всего..

  8. #7
    Junior Member Репутация
    Регистрация
    01.07.2008
    Адрес
    Екатеринбург
    Сообщений
    2
    Вес репутации
    58

    Уточните...

    # Разрешаем DNS
    # DNS
    $IPFW add allow tcp from any to any 53
    $IPFW add allow tcp from any 53 to any
    $IPFW add allow udp from any to any 53
    $IPFW add allow udp from any 53 to any
    Почему пишем "from any to any 53", а затем "from any 53 to any"?
    Почему не написать "from any 53 to any 53"? Или "from me 53 to any 53" и "from any 53 to me 53"?
    Я пробовал -- не работает . Причина мне не понятна -- ведь DNS работает по 53 порту.

  9. #8
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от Van_Veber Посмотреть сообщение
    Почему пишем "from any to any 53", а затем "from any 53 to any"?
    Почему не написать "from any 53 to any 53"? Или "from me 53 to any 53" и "from any 53 to me 53"?
    Я пробовал -- не работает . Причина мне не понятна -- ведь DNS работает по 53 порту.
    Нет. Порт 53 - привилегированный (=системный, зарезервированный, служебный) порт для серверов. Клиент обычно подключается с портов в диапазоне от 1024 до 4999 (эфемерные порты).

    Paul
    Последний раз редактировалось XP user; 01.07.2008 в 20:14.

  10. #9
    Junior Member Репутация
    Регистрация
    01.07.2008
    Адрес
    Екатеринбург
    Сообщений
    2
    Вес репутации
    58
    Цитата Сообщение от p2u Посмотреть сообщение
    Нет. Порт 53 - привилегированный (=системный, зарезервированный, служебный) порт для серверов. Клиент обычно подключается с портов в диапазоне от 1024 до 4999 (эфемерные порты).

    Paul
    Спасибо, Paul, а где можно почитать про это по подробнее -- в большинстве руководств про это ничего не сказано (в том же Таненбауме говорится лишь про 53 порт; и во всех статьях, которые я видел тоже). Или клиентский порт зависит от операционной системы?

  11. #10
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Например здесь:

    Во многих версиях BIND запрос к другим DNS-серверам исходил с 53-го порта (порта, по которому принимаются запросы DNS, как TCP, так и UDP), в отличие от клиентских приложений, использующих произвольный порт отправителя (из незарегистрированного диапазона).
    незарегистрированный диапазон = 1024-4999
    После того, как достигается порта 4999, Windows обычно опять начинает с порта 1024. Как на Linux, не знаю.

    Paul

  12. #11
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.06.2007
    Сообщений
    101
    Вес репутации
    228
    Правила типа
    add allow udp from any to any 53
    add allow udp from any 53 to any
    - потенциальная дыра.
    Кстати, это ошибка довольно-таки часто встречается при конфигурации фаерволов. Разрешено подключение на любой ip-адрес, на любые порты от любого источника с портом 53. То есть злоумышленник может осуществить соединение на любой порт, всего лишь установив свой исходящий на 53.
    взято здесь
    Если это правило не для сервера, лучше написать так
    Код:
    add allow udp from me 1024-65535 to any 53 out
    add allow udp from any 53 to me 1024-65535 in
    или
    Код:
    add allow udp from me 1024-65535 to any 53 keep-state
    А ещё лучше вместо any указывать конкретный ip адрес DNS сервера
    Последний раз редактировалось Pili; 03.07.2008 в 11:00.

  13. #12
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от Pili Посмотреть сообщение
    А ещё лучше вместо any указывать конкретный ip адрес DNS сервера
    +1. Естественно ограничивать адреса до DNS-серверов провайдера.

    Paul

Похожие темы

  1. wipfw - файрвол из FreeBSD теперь под Windows ;)
    От Xen в разделе Межсетевые экраны (firewall)
    Ответов: 9
    Последнее сообщение: 01.05.2010, 02:51
  2. Ответов: 0
    Последнее сообщение: 08.02.2010, 15:21
  3. О чём говорит Файрволл?
    От PORSHEvchik в разделе Межсетевые экраны (firewall)
    Ответов: 2
    Последнее сообщение: 14.04.2009, 18:54
  4. Ответов: 0
    Последнее сообщение: 11.03.2007, 16:54

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01349 seconds with 19 queries