![]() |
feebsd вопросы
Я новичёк в бсд и у меня есть несколько вопросов:
1) Как увидеть какие порты действуют и открыты? 2) Где брать и как устанавливать обновления? 3) Как настроить IPF что бы безопасно работали: браузер, icq, irc, torrent клиент, skype? |
|
во 2 вопросе я имел ввиду системные обновленя, а в 3 вопросе я знаю, как настраивать фаервол, но не понимаю суть настройки фаевола (т.е. что блокировать, что пропускать)
|
http://www.freebsd.org/doc/ru_RU.KOI...ook/cvsup.html
releng указывать обязательно - http://www.freebsd.org/releng/ по аналогии с http://www.freebsd.org/doc/ru_RU.KOI.../cvs-tags.html То есть на данный момент RELENG_7_1 Цитата:
браузер - 80 порт, хотя может и 8080, и 443, и 53 в остальных смотри порты по умолчанию. |
Цитата:
443 порт это секурный хттпс на 80 порту обычно висит апач, ну или какой либо другой веб сервер. 8080 обычно используется прокси сервером. Цитата:
разрешить исходящие соединения с моего интерфейса любого потра по протоколу tcp на любой ИП адрес порт 80 Примерно так. |
по совету leonty IPF настроил для начала так:
block in log all block out log all pass out proto tcp/udp но браузер не работает...как быть? |
block in log all
block out log all Вот и смотри лог. Хотя по ipf не советчик. |
так-с, давай разбиремся
block in log all #заблокировал все входящие соединения с протоколированием block out log all #заблокировал все исходящие соединения с протоколированием pass out proto tcp/udp #разрешил исходящие соединения по протоколам tcp/udp На синтаксис сейчас не буду обращать внимания, разберем логику работы. 1. Необходимо уточнить в документации к IPF, где задается правило по умолчанию. Например в PF это самое перове, потом идут исключения, в IPFW вроде как наоборот, правило по умолчнаию задается последним. 2. Третьим правилом ты разрешил все исходящие соединения, так? а ответ как придет? 3. Как уже сказал Igor_I, смотри лог. Еще не забываем про tcpdump/ |
Цитата:
Сначало пропускаешь что-то, потом запрещаешь что-то, а в конце используется правило по умолчанию для того что осталось. |
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
вопрос: как его заставить работать под одним портом? |
Цитата:
Цитата:
Этим я хотел сказать, что тебе не надо заставлять браузер работать на каком то определенном порту. |
да, и еще, Вам не показалось слишком странным следующее утверждение?
Цитата:
Цитата:
|
Цитата:
Цитата:
Цитата:
Цитата:
block in log all block out log all pass out proto tcp/udp pass in proto tcp/udp браузер работает. А если так: pass out proto tcp/udp pass in proto tcp/udp block in log all block out log all не работает. Делайте выводы |
Цитата:
Цитата:
Связывая все воедино, получаем пример для работы браузера Код:
pass out quick on dc0 proto tcp from any to any port = 80 flags S keep state Разрешить исходящие соединения без дальнейшей проверки по правилам(quick) на интерфейсе dc0 по протоколу tcp от меня на любой сервер на 80 порт и сохранить состояние (keep state) Ндеюсь гуру поправят если что. Цитата:
|
Цитата:
На сколько я понял блокирующее правило по умолчанию это: block in all block out all В ru и en версии Hendbook написано: что правило по умолчанию должно распологаться в конце всех правил т.е. так: pass out proto tcp/udp pass in proto tcp/udp block in all block out all Как я уже сказал в таком случае браузер не работает, поэтому можно прийти к выводу что правило по умолчанию должно находиться выше всех правил. Цитата:
Что означает flags S? От чего может защитить данное правило? Еще наверное нужно добавить /udp? |
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
|
Цитата:
Цитата:
Цитата:
options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC> ether 00:23:7l:g3:s0:re inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500 lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 inet6 ::1 prefixlen 128 inet 127.0.0.1 netmask 0xff000000 Цитата:
Цитата:
pass out quick on dc0 proto tcp from any to any port = 80 flags S keep state block in all block out all Правильно хоть? |
1. лог трафика включают либо админы-параноики, либо для тестирования набора правил фаервола. После настройки лучше убрать это, ибо и систему тормозит и место сожрет с "считанные секунды".
2. Из вывода ifconfig... у тебя инет через адсл? 3. Цитата:
В общем если на скорую руку набросать, то у меня получилось следующее Код:
Если будут какие то неточности, прошу прощения. Писал это при температуре 39 ): |
Цитата:
А зачем нужны всякие lo0, dc0? Цитата:
|
|
А как быть с программами которые являются не только клиентом но и сервером например icq?
|
Цитата:
не совсем я понял что конкретно интересует. Как настроить фаервол для сервера чтоли? Ну видимо открыть порт 5190 для входящих соединений. Хотя еще раз повторюсь, задача не ясна. |
Нет. Как настроить фаервол чтоб ася, skype и др. правильно работали?(для обычного пользователя)
|
Цитата:
|
Цитата:
|
кто пишет? когда пишет?
|
пишет терминал при команде: ipf -Fa -f /etc/ipf.rules
|
хм, прикольно. А если убрать его из конфига, тогда как реагирует?
|
ты оказывается забыл указать в строчке №6 направление пакетов.
сделал так: pass in quick on vr0 proto icmp from any to any pass out quick on vr0 proto icmp from any to any теперь так жалуется: syntax error error at "on", line 12(без комментариев) сделал так: block in on vr0 all block out on vr0 all Теперь вроде все обработалось! :) |
|
Мой XCHAT не коннектиться!
так правильно? pass out quick on vr0 proto tcp from any to any port = 6667 flags S keep state |
Покажи правило для него.
|
обновись
зы: работает |
Время: 01:49. |
Время: 01:49.
© OSzone.net 2001-