[leonty]

Цитата Fet:

Ты же сам сказал: »

хм, ну ведь логично же предположить, что если разрешаешь исходящие пакеты, необходимо позаботиться о том, чтобы не блокироваись ответные. Просто для меня это как бы очевидно и я даже не подумал что ты на этом споткнешься.

Цитата Fet:

Когда смотрел netstat у браузера постоянно менялся порт, да еще и не один! »

Правильно. Так и должно быть. Когда мы открываем браузер и открываем первую страничку, то браузер обращается к OC, чтобы та выделила свободный порт. Порт выбирается произвольно, но, обычно, по порядку. Если никто из сетевых приложений не работает, то система выделит для этого окна порт 1024. Этот номер уникально идентифицирует конкретное приложение и конкретное окно в приложении. Когда открываем другое окно , то приложение снова обращается за портом. Система выделяет первый свободный порт. Можно предположить, что это будет порт 1025. Но, браузер никогда не обратится к вебсерверу на порт, отличный от 80-го. Ибо это чтото вроде стандарта, что все веб серверы во всем мире обрабатывают клиентские запорсы на 80-ом порту.
Этим я хотел сказать, что тебе не надо заставлять браузер работать на каком то определенном порту.

[leonty]

да, и еще, Вам не показалось слишком странным следующее утверждение?

Цитата:

и правилом по умолчанию block all (пропускать все).

я вот как то засомневался сразу. Посмотрел хэндбук. Действительно, там так написано. Тогда я глянул в англоязычный вариант. И чтоже

Цитата:

The loadable module was created with logging enabled and the default pass all options. You do not need to compile IPF into the FreeBSD kernel just to change the default to block all, you can do that by just coding a block all rule at the end of your rule set.

Разницу видите? (:

[Fet]

Цитата leonty:

если разрешаешь исходящие пакеты, необходимо позаботиться о том, чтобы не блокироваись ответные

как это сделать в IPF?

Цитата leonty:

Этим я хотел сказать, что тебе не надо заставлять браузер работать на каком то определенном порту.

как тогда создавать правила, если порты при каждом запуске разные?

Цитата leonty:

да, и еще, Вам не показалось слишком странным следующее утверждение?

Именно!

Цитата leonty:

я вот как то засомневался сразу. Посмотрел хэндбук. Действительно, там так написано. Тогда я глянул в англоязычный вариант.

Однажды тоже самое проделал. Если сделать так:
block in log all
block out log all
pass out proto tcp/udp
pass in proto tcp/udp браузер работает.
А если так:
pass out proto tcp/udp
pass in proto tcp/udp
block in log all
block out log all не работает. Делайте выводы

[leonty]

Цитата Fet:

как это сделать в IPF? »

использовать опцию keep state. Если в правиле присутсвует опция keep state, первый пакет соответствующий правилу создаёт запись в таблице состояний связывающую источник и получателя пакета. Теперь не только пакеты идущие от источника к получателю, но и обратные пакеты будут соответствовать созданной записи в таблице состояний и не будут подвергаться проверке.

Цитата Fet:

как тогда создавать правила, если порты при каждом запуске разные? »

не указывать порт источника исходящего соединения, а только порт назначения.
Связывая все воедино, получаем пример для работы браузера

Код:

pass out quick on dc0 proto tcp from any to any port = 80 flags S keep state

Декодируя запись выше в человеческий язык, получаем
Разрешить исходящие соединения без дальнейшей проверки по правилам(quick) на интерфейсе dc0 по протоколу tcp от меня на любой сервер на 80 порт и сохранить состояние (keep state)
Ндеюсь гуру поправят если что.

Цитата Fet:

Однажды тоже самое проделал. Если сделать так: »

Расскажи словами, как ты понимаешь данный набор правил.

[Fet]

Цитата leonty:

Расскажи словами, как ты понимаешь данный набор правил.

Блокировать все пакеты и заносить в лог кроме tcp/udp пакетов.
На сколько я понял блокирующее правило по умолчанию это:
block in all
block out all
В ru и en версии Hendbook написано: что правило по умолчанию должно распологаться в конце всех правил т.е. так:
pass out proto tcp/udp
pass in proto tcp/udp
block in all
block out all
Как я уже сказал в таком случае браузер не работает, поэтому можно прийти к выводу что правило по умолчанию должно находиться выше всех правил.

Цитата leonty:

Связывая все воедино, получаем пример для работы браузера

Я думаю что интерфейс указывать необязательно учитывая что он у меня один?
Что означает flags S?
От чего может защитить данное правило?
Еще наверное нужно добавить /udp?

[leonty]

Цитата Fet:

Блокировать все пакеты и заносить в лог кроме tcp/udp пакетов. »

эмн, icmp чтоли логировать?

Цитата Fet:

поэтому можно прийти к выводу что правило по умолчанию должно находиться выше всех правил. »

т.е. ты хочешь сказать что в хэндбуке написана ересь? (: может просто конфиг не правильно составлен?

Цитата Fet:

Я думаю что интерфейс указывать необязательно учитывая что он у меня один? »

ifconfig покажи.

Цитата Fet:

Что означает flags S? »

см. man 5 ipf раздел matching parameters

Цитата Fet:

От чего может защитить данное правило? »

это правило ни от чего не защищает, оно лишь позволяет браузеру установить соединение с вебсервером.

Цитата Fet:

Еще наверное нужно добавить /udp? »

у тебя браузер udp пакеты посылает?

[Fet]

Цитата leonty:

эмн, icmp чтоли логировать?

наверное

Цитата leonty:

т.е. ты хочешь сказать что в хэндбуке написана ересь? (: может просто конфиг не правильно составлен?

Цитата leonty:

ifconfig покажи.

vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
ether 00:23:7l:g3:s0:re
inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000

Цитата leonty:

у тебя браузер udp пакеты посылает?

хез

Цитата leonty:

это правило ни от чего не защищает, оно лишь позволяет браузеру установить соединение с вебсервером.

если использовать в сочетании с блокировкой по умолчанию это прапвило? Например:
pass out quick on dc0 proto tcp from any to any port = 80 flags S keep state
block in all
block out all
Правильно хоть?

[leonty]

1. лог трафика включают либо админы-параноики, либо для тестирования набора правил фаервола. После настройки лучше убрать это, ибо и систему тормозит и место сожрет с "считанные секунды".

2. Из вывода ifconfig... у тебя инет через адсл?

3.

Цитата Fet:

Правильно хоть? »

Правильно. Но необходимо помнить про ДНС. Без него браузер покажет разве что Error 404.
В общем если на скорую руку набросать, то у меня получилось следующее

Код:

 
# разрешаем любой трафик на интерфейсе lo0
pass in quick on lo0 all
pass out quick on lo0 all

#разрешаем прохождение icmp пакетов через интерфейс vr0. Необходим для ping и #traceroute
pass quick on vr0 proto icmp from any to any

#разрешаем связь с днс серверами. Протокол tcp используется только для зонных пересылок #м/ж днс серверами. Клиенты используют только udp
pass out quick on vr0 proto udp from any to any port = 53 keep state

#DHCP
pass out log quick on vr0 proto udp from any to any port = 68 keep state

#http
pass out quick on vr0 proto tcp from any to any port = 80 flags S keep state
# https/ssl
pass out quick on vr0 proto tcp from any to any port = 443 flags S keep state
#ftp
pass out quick on vr0 proto tcp from any to any port = 21 flags S keep state
#mail
pass out quick on vr0 proto tcp from any to any port = 110 flags S keep state
pass out quick on vr0 proto tcp from any to any port = 25 flags S keep state

#default
block on dc0 all

Ну вот. Как то так.

Если будут какие то неточности, прошу прощения. Писал это при температуре 39 ):

[Fet]

Цитата leonty:

2. Из вывода ifconfig... у тебя инет через адсл?

да
А зачем нужны всякие lo0, dc0?

Цитата leonty:

39

Зверь

[leonty]

Цитата Fet:

А зачем нужны всякие lo0, dc0? »

lo0 это так называемый Loop-back интерфейс. Он имитирует сетевой интерфейс
локально, не выходя за границы нашего компьютера. О нем можно прочитать
здесь
dc0 это вымышленный интерфейс, взят "от балды"