Re: nastaveni firewallu

Wed, 09 Jul 2008 00:51:17 -0700 

Jaroslav Votruba napsal/wrote, On 07/09/08 06:45:
>>     ping je ICMP. Presneji receno dve ICMP - protoze zvlast request a 
>> reply.

> mam tam
> ${fwcmd} 950 allow icmp from any to any in via ${oif} icmptypes 0,3,4,8,11
> a ping by mel byt 0 a 8 ICMP, nicmene ping neprojde. Nemel by byt nekde 
> vyse?

Mozna. Mas tcpdump, mas tam pristup, tudiz mas daleko snazsi moznost 
ladit. Vezmi pravidlo, ktere povoluje vse a postupne ho posouvej nahoru. 
Ve chvili, kdy icmp zacnou fungovat mas misto, ktere je blokuje. Pak se 
musi srozhodnotu co s tim.


> Dale, jak ma byt vysoko divertovaci pravidlo? Mam ho za blokaci techto 
> pravidel (viz nize), ale nepropusti me to z vnitrni site ven

        Divertovaci pravidlo zajistuje predani paketu z jadra tomu daemonovi, 
co zajistuje preklad. To znamena, ze musi byt umisteno tak, aby se 
vsechny potrebne pakety do toho daemona dostaly. Jinymi slovy - nad nim 
nesmi byt ani zadne pravidlo, tkere by blokovalo pakety, ktere se do nej 
dostat naji - ale nesmi tam byt ani pravidlo, ktere by takove pakety 
povolovalo (protoze prochazeni pravidel nalezenim takoveho pravidla 
konci a k divertu se paket uz nedostane).

        Typicky tedy divert byva dost vysoko.

        Zbyva dodat, ze kazdy paket prochazi firewallem dvakrat - na vstupu do 
kernelu z karty a na druhe strane - na vystupu z kernelu do karty. To 
prvni je smer 'in', to druhe 'out'. Prijimaci interface specifikuje 
klauzuje 'recv $if', odchozi interface 'xmit $if'. Na vstupni strane 
(in) je znam jen prijimaci interface, na odchozi strane oba. Direktiva 
'via' znamena "prijimaci nebo odchozi interface".

        Takze s 'via' je treba byt opatrny - aby delal opravdu jen to co chces.

> Jeste mi neni jasné, proc kdyz mam v configu IPFW na zacatku flush -f, 
> tak pokud nactu pravidla z tohoto configu, tak pri nacitani pomoci ssh, 
> se pravidla flushnou, zustane jen posledni 65 xxx ktere firewall uzavre. 

        To tezko rict. Obcas byva potiz, ze neuplne sestaveny firewall blokuje 
komunikaci, ktera je potreba pro to spojeni, pres ktere to delas. Coz 
ale neplati, pokud "defaultni" pravidlo vsechno otevira.

        Pokdu to neni tohle, je to neco jineho - pust ten script v debugovacim 
rezimu (sh -x ...)n a uvidis co dela ...

                                                Dan


-- 
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Odpovedet emailem