=?iso-8859-9?Q?Re:_=5Bfreebsd=5D_firewall_mu_yoksa_ba=FEka_bir=FEey_mi=3F?=

[Engin OZTURK]

Bir Barış ŞİMŞEK yazısıdır...   options IPFIREWALL_DEFAULT_TO_ACCEPT Normal olarak ipfw destegi ile actiginiz bir kernel hicbir paketin gecisine izin vermeyecektir. Yani gecerli olan kural "deny ip from any to any". Ozellikle 'ipfw' programini 'allow' ozelligi ile kullanarak bazi paketlerin gecisine izin vermelisiniz. Eger bunu istemiyorsaniz kernel'iniz gecerli secenek olarak butun paketleri yukaridaki secenek ile kabul edebilir. Bu durumda tehlikeli ip, port ve protokollerin ozellikle kapatilmasi gerekir. Bu ise guvenlik kontrolunu zora sokar. Ustelik dunyadaki tum ip'lerden saldiri gelebilecegini goz onune alirsaniz elinizle sadece sinirli sayida yasak kurali yazabileceginiz icin sisteminizi tamamen koruyamayacaksiniz. Once her seyi yasaklamak, sonra gerekenleri acmak kontrolu en kolay mekanizmadir. Sisteminizde neyin kapali neyin acik oldugunu kolaylikla bileceksiniz. Yazmaniz gereken kural sayisi da oldukca az olacak. Bu durumda kernelden  IPFIREWALL_DEFAULT_TO_ACCEPT ilgili satırı kaldırıp derleyip denermisiniz...   kaynak : http://acikkod.org/show_article.php?cat=3&id=4             ----- Original Message ----- From: Mesut GÜLNAZ To: [EMAIL PROTECTED] Sent: Tuesday, May 11, 2004 8:41 AM Subject: Re: [freebsd] firewall mu yoksa başka birşey mi? dns ler doğru.. dışarda bir ip yi pinglediğim zaman adresi çözebiliyor ve pingliyor. anlamadım gitti. yeniden kurcam bu gidişle. ama yeniden kursam bile bundan farklı birşey yapmayacağım. ama dns leri neden check ediyor anlamadım. makine pingleniyor. bunun yanında default gateway ler doğru . halletmek için başka ne yapabilirim.   ----- Original Message ----- From: Serhat Umar To: [EMAIL PROTECTED] Sent: Monday, May 10, 2004 6:44 PM Subject: Re: [freebsd] firewall mu yoksa başka birşey mi? Merhaba,   ssh baglantisi kuramadiginiz suncunun kendisi internete cikarken problem yasiyormu? dnsleri cozebiliyormu? timeout vermesi siz baglanti yaptiginiz sirada sizin ip adresinizi dnsden cozmek istemesi ve bu sirada timeout a düsmesi olabilir, birkac adres pingleyin bakalim cözebilecekmi cözemesse resolv.conf u kontrol edin dogru dns vermismisiniz....   Selamlar Serhat   ----- Original Message ----- From: Mesut GÜLNAZ To: [EMAIL PROTECTED] Sent: Monday, May 10, 2004 6:31 PM Subject: [freebsd] firewall mu yoksa başka birşey mi? arkadaşlar bunun ile ilgili olaram mail atmıştım ama cevap alamadım ve hala da uğraşmaya devam ediyorum!   kernel i http://tomclegg.net/squid-tproxy de dedigi gibi derledim ve kernel dosyasinin içerisinde options IPFIREWALL options IPFIREWALL_FORWARD options IPFIREWALL_DEFAULT_TO_ACCEPT ve   options         NMBCLUSTERS=65536 options         UFS_DIRHASH options         RANDOM_IP_ID options         TCP_DROP_SYNFIN ler var. ama ne ssh ne de baska bir baglanti kuramiyorum su anda. /etc/rc.conf un içerisinde birsey yazmama gerek var mi? baglanti sorunlarindan örnek vermek gerekirse! u-2.05b# ssh -v -l mes 192.0.0.2 OpenSSH_3.5p1 FreeBSD-20030924, SSH protocols 1.5/2.0, OpenSSL 0x0090704f debug1: Reading configuration data /etc/ssh/ssh_config debug1: Rhosts Authentication disabled, originating port will not be trusted. debug1: ssh_connect: needpriv 0 debug1: Connecting to 192.0.0.2 [192.0.0.2] port 22. debug1: Connection established. debug1: identity file /root/.ssh/identity type -1 debug1: identity file /root/.ssh/id_rsa type -1 debug1: identity file /root/.ssh/id_dsa type -1 debug1: Remote protocol version 1.99, remote software version OpenSSH_3.5p1 FreeBSD-20030924 debug1: match: OpenSSH_3.5p1 FreeBSD-20030924 pat OpenSSH* debug1: Enabling compatibility mode for protocol 2.0 debug1: Local version string SSH-2.0-OpenSSH_3.5p1 FreeBSD-20030924 debug1: SSH2_MSG_KEXINIT sent debug1: SSH2_MSG_KEXINIT received debug1: kex: server->client aes128-cbc hmac-md5 none debug1: kex: client->server aes128-cbc hmac-md5 none debug1: SSH2_MSG_KEX_DH_GEX_REQUEST sent debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP debug1: dh_gen_key: priv key bits set: 134/256 debug1: bits set: 1590/3191 debug1: SSH2_MSG_KEX_DH_GEX_INIT sent debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY debug1: Host '192.0.0.2' is known and matches the DSA host key. debug1: Found key in /root/.ssh/known_hosts:1 debug1: bits set: 1625/3191 debug1: ssh_dss_verify: signature correct debug1: kex_derive_keys debug1: newkeys: mode 1 debug1: SSH2_MSG_NEWKEYS sent debug1: waiting for SSH2_MSG_NEWKEYS debug1: newkeys: mode 0 debug1: SSH2_MSG_NEWKEYS received debug1: done: ssh_kex2. debug1: send SSH2_MSG_SERVICE_REQUEST debug1: service_accept: ssh-userauth debug1: got SSH2_MSG_SERVICE_ACCEPT Connection closed by 192.0.0.2 debug1: Calling cleanup 0x804c158(0x0) #ipfw flush dedikten sonra bile aynı!   bu arada hosts.allow  dosyası şu şeklide   ALL : ALL : allow   hosts.deny dosyası yok.   rc.conf dosyasının içerisi ise firewall_enable="YES" firewall_script="/etc/ipfw.rules"   ssh bağlantı kurulamayan serverın loglarında time out before auth... diyor hep.   2 gündür bununla uğraşıyorum!   yardım edebilirseniz sevinirim.   iyi akşamlar!