[rofug] Re: Firewall Test

Cristian Coban Wed, 24 Nov 2004 13:22:55 -0800

> Pai cea mai buna solutie este man ipfw. Nu este
> deloc bine sa te bazezi 
> pe script-uri pentru firewall rules.
> 
> Pentru ca ele sa persiste si dupa reboot, pune-le
> intr-un fisier 
> /etc/ipfw.rules si configureaza /etc/rc.conf sa le
> incarce.
> 
> Ce inseamna default to deny? Inseamna ca ultima
> regula sa fie deny ip 
> from any to any. De obicei aceasta are un ID mare,
> de pilda 65000. 
> Inaintea ei, de ordinule sutelor, vei avea reguli
> care permit strict 
> anumite servicii.
> 
> Exemplu de /etc/rc.rules:
> 00100 add allow ip from any to any via lo0
> 00200 add check-state
> 00300 add allow tcp from me to any keep-state setup
> 00400 add allow udp from me to any keep-state
> 00500 add allow icmp from me to any keep-state
> 00800 add allow tcp from any to me 25 keep-state
> setup
> 01000 add allow tcp from any to me 80 keep-state
> setup
> 65000 add deny ip from any to any
> 
> Iar in /etc/rc.conf:
> firewall_enable="YES"
> firewall_type="OPEN"
> firewall_type="/etc/ipfw.rules"
> 
> 
> > N-am inteles ce inseamna sa-i fac un lan scan.
> Exista
> > un program pentru asta? Eventual un FreeBSDPort?
> 
> Adica sa scanezi cu nmap din reteaua locala.
> 
> 
> Cu stima,
> -- 
> Alin-Adrian Anton
> Spintech Systems


O.K. Am studiat ipfw, am modificat regulile, am si
scanat cu nmap unde imi apare "deschis" doar portul
111. N-am idee de ce. Poate ca e portul prin care
comunica nmap. Celelalte sunt "closed". Eu am o
problema cu chestia asta. Faptul ca un port en inchis
inseamna ca nu se poate intra pe el din exterior, dar
hostul tau apare ca "existent" pe retea. Eu vreau sa
apar ca "inexistent", unreacheabale etc. AM incercat
sa pun unreach host in reguli in loc de deny, dar
portul 0 si 1 apar tot closed orice as face eu. Ma
gandesc ca poate e un serviciu in FreeBSD care
foloseste porturile 0 si 1 si as putea sa-l opresc.
Nefiind server nici de mail si nici de internet, n-am
de ce sa-mi las deschise porturile 25 si 80. In plus,
desi am pus deny ICMP, totusi daca dai ping pe ip-ul
meu din exterior, raspunde. Pentru a fi complet
"ascuns" imi mai trebuie ceva in plus in afara de firewall?


                
__________________________________ 
Do you Yahoo!? 
The all-new My Yahoo! - Get yours free! 
http://my.yahoo.com 
 

__________________________________________________________
Send 'unsubscribe rofug' to [EMAIL PROTECTED] to unsubscribe

[rofug] Re: Firewall Test

Raspunde prin e-mail lui