feebsd вопросы
 

Я новичёк в бсд и у меня есть несколько вопросов:
1) Как увидеть какие порты действуют и открыты?
2) Где брать и как устанавливать обновления?
3) Как настроить IPF что бы безопасно работали: браузер, icq, irc, torrent клиент, skype?

netstat
http://www.freebsd.org/doc/ru_RU.KOI.../portsnap.html
http://www.freebsd.org/doc/ru_RU.KOI...walls-ipf.html

во 2 вопросе я имел ввиду системные обновленя, а в 3 вопросе я знаю, как настраивать фаервол, но не понимаю суть настройки фаевола (т.е. что блокировать, что пропускать)

http://www.freebsd.org/doc/ru_RU.KOI...ook/cvsup.html
releng указывать обязательно - http://www.freebsd.org/releng/ по аналогии с http://www.freebsd.org/doc/ru_RU.KOI.../cvs-tags.html
То есть на данный момент RELENG_7_1
Фиг его знает :)
браузер - 80 порт, хотя может и 8080, и 443, и 53
в остальных смотри порты по умолчанию.

53 порт используется для связи с ДНС (udp)
443 порт это секурный хттпс
на 80 порту обычно висит апач, ну или какой либо другой веб сервер.
8080 обычно используется прокси сервером.

делаешь по умолчанию правило " запретить все". Далее разрешаешь только исходящие соединения со своего интерфейсаю. Например для браузера
разрешить исходящие соединения с моего интерфейса любого потра по протоколу tcp на любой ИП адрес порт 80
Примерно так.

по совету leonty IPF настроил для начала так:
block in log all
block out log all
pass out proto tcp/udp
но браузер не работает...как быть?

block in log all
block out log all
Вот и смотри лог.
Хотя по ipf не советчик.

так-с, давай разбиремся
block in log all #заблокировал все входящие соединения с протоколированием
block out log all #заблокировал все исходящие соединения с протоколированием
pass out proto tcp/udp #разрешил исходящие соединения по протоколам tcp/udp

На синтаксис сейчас не буду обращать внимания, разберем логику работы.

1. Необходимо уточнить в документации к IPF, где задается правило по умолчанию. Например в PF это самое перове, потом идут исключения, в IPFW вроде как наоборот, правило по умолчнаию задается последним.

2. Третьим правилом ты разрешил все исходящие соединения, так? а ответ как придет?

3. Как уже сказал Igor_I, смотри лог. Еще не забываем про tcpdump/

Так и есть.
Сначало пропускаешь что-то, потом запрещаешь что-то, а в конце используется правило по умолчанию для того что осталось.

->
Тут все не так как на практике. :shot: Например: Путем проб и ошибок я понял что нужно правило по умолчанию распологать в начале, а затем идут исключения. Ты же сам сказал: ЗЫ: Когда смотрел netstat у браузера постоянно менялся порт, да еще и не один!
вопрос: как его заставить работать под одним портом?

хм, ну ведь логично же предположить, что если разрешаешь исходящие пакеты, необходимо позаботиться о том, чтобы не блокироваись ответные. Просто для меня это как бы очевидно и я даже не подумал что ты на этом споткнешься.

Правильно. Так и должно быть. Когда мы открываем браузер и открываем первую страничку, то браузер обращается к OC, чтобы та выделила свободный порт. Порт выбирается произвольно, но, обычно, по порядку. Если никто из сетевых приложений не работает, то система выделит для этого окна порт 1024. Этот номер уникально идентифицирует конкретное приложение и конкретное окно в приложении. Когда открываем другое окно , то приложение снова обращается за портом. Система выделяет первый свободный порт. Можно предположить, что это будет порт 1025. Но, браузер никогда не обратится к вебсерверу на порт, отличный от 80-го. Ибо это чтото вроде стандарта, что все веб серверы во всем мире обрабатывают клиентские запорсы на 80-ом порту.
Этим я хотел сказать, что тебе не надо заставлять браузер работать на каком то определенном порту.

да, и еще, Вам не показалось слишком странным следующее утверждение?
я вот как то засомневался сразу. Посмотрел хэндбук. Действительно, там так написано. Тогда я глянул в англоязычный вариант. И чтоже
Разницу видите? (:

как это сделать в IPF?
как тогда создавать правила, если порты при каждом запуске разные?
Именно!
Однажды тоже самое проделал. Если сделать так:
block in log all
block out log all
pass out proto tcp/udp
pass in proto tcp/udp браузер работает.
А если так:
pass out proto tcp/udp
pass in proto tcp/udp
block in log all
block out log all не работает. Делайте выводы

использовать опцию keep state. Если в правиле присутсвует опция keep state, первый пакет соответствующий правилу создаёт запись в таблице состояний связывающую источник и получателя пакета. Теперь не только пакеты идущие от источника к получателю, но и обратные пакеты будут соответствовать созданной записи в таблице состояний и не будут подвергаться проверке.

не указывать порт источника исходящего соединения, а только порт назначения.
Связывая все воедино, получаем пример для работы браузера
Декодируя запись выше в человеческий язык, получаем
Разрешить исходящие соединения без дальнейшей проверки по правилам(quick) на интерфейсе dc0 по протоколу tcp от меня на любой сервер на 80 порт и сохранить состояние (keep state)
Ндеюсь гуру поправят если что.
Расскажи словами, как ты понимаешь данный набор правил.

Блокировать все пакеты и заносить в лог кроме tcp/udp пакетов.
На сколько я понял блокирующее правило по умолчанию это:
block in all
block out all
В ru и en версии Hendbook написано: что правило по умолчанию должно распологаться в конце всех правил т.е. так:
pass out proto tcp/udp
pass in proto tcp/udp
block in all
block out all
Как я уже сказал в таком случае браузер не работает, поэтому можно прийти к выводу что правило по умолчанию должно находиться выше всех правил.
Я думаю что интерфейс указывать необязательно учитывая что он у меня один?
Что означает flags S?
От чего может защитить данное правило?
Еще наверное нужно добавить /udp?

эмн, icmp чтоли логировать?
т.е. ты хочешь сказать что в хэндбуке написана ересь? (: может просто конфиг не правильно составлен?
ifconfig покажи.
см. man 5 ipf раздел matching parameters
это правило ни от чего не защищает, оно лишь позволяет браузеру установить соединение с вебсервером.
у тебя браузер udp пакеты посылает?

наверное
:)
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
ether 00:23:7l:g3:s0:re
inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
хез
если использовать в сочетании с блокировкой по умолчанию это прапвило? Например:
pass out quick on dc0 proto tcp from any to any port = 80 flags S keep state
block in all
block out all
Правильно хоть?

1. лог трафика включают либо админы-параноики, либо для тестирования набора правил фаервола. После настройки лучше убрать это, ибо и систему тормозит и место сожрет с "считанные секунды".

2. Из вывода ifconfig... у тебя инет через адсл?

3. Правильно. Но необходимо помнить про ДНС. Без него браузер покажет разве что Error 404.
В общем если на скорую руку набросать, то у меня получилось следующее
Ну вот. Как то так.

Если будут какие то неточности, прошу прощения. Писал это при температуре 39 ):

да
А зачем нужны всякие lo0, dc0?
Зверь :o

lo0 это так называемый Loop-back интерфейс. Он имитирует сетевой интерфейс
локально, не выходя за границы нашего компьютера. О нем можно прочитать
здесь
dc0 это вымышленный интерфейс, взят "от балды"

А как быть с программами которые являются не только клиентом но и сервером например icq?

у тебя сервер icq поднят?
не совсем я понял что конкретно интересует. Как настроить фаервол для сервера чтоли? Ну видимо открыть порт 5190 для входящих соединений. Хотя еще раз повторюсь, задача не ясна.

Нет. Как настроить фаервол чтоб ася, skype и др. правильно работали?(для обычного пользователя)

Так а в чем проблема то?

пишет: syntax error error at "quick", line 6

кто пишет? когда пишет?

пишет терминал при команде: ipf -Fa -f /etc/ipf.rules

хм, прикольно. А если убрать его из конфига, тогда как реагирует?

ты оказывается забыл указать в строчке №6 направление пакетов.

сделал так:
pass in quick on vr0 proto icmp from any to any
pass out quick on vr0 proto icmp from any to any

теперь так жалуется: syntax error error at "on", line 12(без комментариев)
сделал так:
block in on vr0 all
block out on vr0 all

Теперь вроде все обработалось! :)

хм, а у нас в PF работает (: ну и ладно

Мой XCHAT не коннектиться!
так правильно?
pass out quick on vr0 proto tcp from any to any port = 6667 flags S keep state

Покажи правило для него.

обновись
зы: работает