#46 18.02.09 16:07
#47 19.02.09 00:42
#48 19.02.09 01:33
Re: ipfw
я нупко, про ipfw2 даже не слышал никогда. А всё интересное что увидишь - кидай обязательно :)
А то что у тебя...
Вот с гугла ссылка http://www.nabble.com/Bind-8-td1154394.html похожая.
На сколько я понимаю, это разновидность дос атаки через нагрузку ДНС. Попробуй выруби bind, если есть... в чём то с ДНС косяк
...NXDomain это non existent domain...
Попробуй забанить jin.hostel.nstu.ru и порт 49354 - я бы своими ламерскими мозгами первым делом это попробовал =)
Offline
#49 19.02.09 01:47
Re: ipfw
VS, бинд я закрою для работы из внешки, на запросы с него, мне вот кажется кто то реально досит не только меня, а всю сеть...А админа у нас пока нет))) так что боюсь еще долго досить нас будут...
статью взял от сюда www.lissyara.su/@id=1680 когда хотел впн поднять, мне она понравилась там сразу три в одном, ядро + ipfw+vpn очень познавательно)
так же кинул на копилку и еще ман по ipfw там описано многое из того что использовалось в статье)
Исправлено Wic (19.02.09 01:58)
Offline
#50 19.02.09 02:15
Re: ipfw
а, я давненько почитывал этот сайт, прикольный.
Кстати, собственно, нафиг тебе ДНС? я как-то в клубе обхожусь провайдерским, ВПН, SSH это всё круто и пользуюсь... а вот днс...
Кстати, не факт что валят, возможно просто криво сконфигурирован. Имхо, ДНС это один из самых тёмных лесов.
ЗЫ Так а что ты, вот и шёл бы в админы =)
Offline
#51 19.02.09 08:51
Re: ipfw
Кстати о ДНС, кто нить юзал чего-нить кроме бинда? А то памяти жрет немеряно. Мне зоны никакие держать не надо, только кешировать. Отъедает треть памяти на машине. Unbound попробовать надо, вот сегодня займусь пожалуй. Да и кривой бинд, и тормознутый что писец. Анбаунд в три раза производительнее будет. :)
Offline
#52 19.02.09 23:34
Re: ipfw
VS, у меня конфига переписана уже на сто раз))Кста по той статье понял как настраиваются правила для ната и как можно без натд обходиться, и я наконец то сделал поиск в п2п))))
со внешки днс закрыт доступ только из локалки. Он стоит чисто для тестов, сейчас руки не доходят сделать сопряжение дхцп+днс. Да не зовут меня админом, я тут такое сразу устрою))))))Сейчас Леху первак заменяет, который с ним жил, тут то делать ничего не надо особо, только вот такие мега лаги надо устранять, а то за*****ет...Если мои нервы не выдержут возьму ключи от "микроволновок" и пойду искать того кто такую гадость делает)
GreenDay, у меня бинд в форварде 3,1% кушает. То что бинд не очень все знают, но для начала он само то
Исправлено Wic (19.02.09 23:39)
Offline
#53 20.02.09 01:31
#54 01.04.09 14:32
Re: ipfw
Подскажите в чем может быть проблема.
Имеем. Роутер на FreeBSD 6.2. Локальная сеть, 1 канал в инет.
Задача. Пробрасывать DNS-запросы с сервера 2k3 до провайдера. Сейчас работает BIND, как кэширущий, зон не держит, памяти жрет много.
Решение: Добавляем в конфиг
05100 0 0 allow udp from 192.168.0.0/24 to any dst-port 53 in via rl0 setup
где rl0 внутренний интерфейс.
Не проходят запросы. Смотрим логи /var/log/security
Apr 1 09:02:02 freebsd kernel: ipfw: 5300 Deny UDP 192.168.0.251:1036 128.8.10.90:53 in via rl0
Все deny до правила 5100 либо по нулям, либо к этому пакету не имеют отношения. Ну и из лога видно, что пакет денайдится на 5300 правиле, что больше 5100.
Т.е. должен попасть все же на это правило.
З.Ы. такая же проблема с FTP. FTP открыт таким же правилом, только не UDP, а TCP и порты указаны 20,21.
Исправлено GreenDay (01.04.09 14:33)
Offline
#55 01.04.09 16:41
#56 01.04.09 17:27
#57 01.04.09 17:40
#58 01.04.09 19:27
#59 01.04.09 19:47
#60 02.04.09 19:33
#61 03.04.09 08:47
#62 03.04.09 10:59
#63 03.04.09 11:13
Re: ipfw
Хм. А смысл тогда вообще держать данную хню? :)
С ftp разобрался. Там вся проблема была в пассив ftp. Особенно мне понравилось, что на ftp.hp.com например свое пространство портов, на ftp-freebsd.org - свое и так далее. Короче тогда открывать надо для доступа все пространство 1024-65535. Но это не фаер, а дырка тогда. Вирусы попрут только в путь.
Есть ли на базе ipfw решение какое нить для passive-ftp?
Offline
#64 04.04.09 14:01
Re: ipfw
GreenDay, 1024-65535 это клиентские порты, с чего ты взял что дырка?
посмотреть какой диапазон пассивных портов указан серверу.
для диапазона 20000-29999, соотв правила
allow tcp from any to any estblished,
allow tcp from me to any setup
allow tcp from any to me 21,20000-29999 setup
Исправлено kai (04.04.09 14:04)
Offline
#65 05.04.09 20:08
#66 06.04.09 08:17
Re: ipfw
Max, ну, чего сказать. IPFW начал пользоваться, потому что все гайды были с его участием. Сейчас перейти на PF как-то влом..
Про релейтед спасибо, сейчас проверю.
kai написал(а):
allow tcp from any to any estblished,
allow tcp from me to any setup
allow tcp from any to me 21,20000-29999 setup
Я говорю про выход на пассивный FTP, свой пассив-FTP мне организовывать незачем.
kai написал(а):
GreenDay, 1024-65535 это клиентские порты, с чего ты взял что дырка?
Это большая дырка. Все вирусы для ботнетов "работают" по клиентским портам.
Offline
#67 06.04.09 09:51
Re: ipfw
в ipfw нету RELATED насколько я знаюь
setup = tcp syn (даже не -m state --state NEW, то ест только для TCP)
established = установленное (НЕ то же самое, что и -m state --state NEW потому что только для TCP)
RELATED вообще нету
это потому что в линуксовом iptables это из conntrack выдергивается, а в freebsd с ipfw такой штуки нет, она реализовывалась через natd в юзерспейсе
Offline
#68 10.10.09 16:01
Re: ipfw
Max, что делает RELATED? в ipfw2 есть встроенный nat, дополнтительный демон теперь не нужен.
Вопрос: есть роутер настроен работает, но traceroute на нем не хочет работать при включеном ipfw, хотя у клиентов всё норм работает.пишет traceroute: sendto: Permission denied
Icmp правила в ipfw
Код::
${fwcmd} add deny icmp from any to 255.255.255.255 via ${out_interface}
#NAT
${fwcmd} nat 8008 config ip ${Serverout_ip} log same_ports unreg_only ${redirectports}
${fwcmd} add nat 8008 all from ${myIP} to ${hostel}
${fwcmd} add nat 8008 all from ${hostel} to ${Serverout_ip}
ICMP filter
${fwcmd} add deny icmp from any to any frag
${fwcmd} add allow icmp from any to any icmptype 0,8,5,11Исправлено Wic (10.10.09 16:06)
Offline
#69 11.10.09 17:12
Re: ipfw
RELATED соединение - это связанное соединение
например когда работает ФТП, то коннект идет на 21-й порт. При установке соединения это new. Когда соединение установлено - это established. Далее, когда начинаем качать файлы, то открваются дополнительные соединения, причем часто не от клиента к серверу, а от сервера к клиенту. Причем с разых портов и на разные порты. И обычным способом нельзя узнать, разрешать эти соединения или нет. В частности в ipfw. А вот в iptables такие соединения будут иметь статус RELATED, то есть "связанными" с уже установленным соединением FTP. Поэтому их как бы следует пропускать.
Такие вот "дополнительные" соединения бывают не только для фтп, но и для многих других протоколов верхнего уровня (например pptp, talk и проч)
Offline
#70 11.10.09 23:12
#71 12.10.09 00:39
Re: ipfw
Wic, через RELATED нельзя, но вообщем выделить пакеты можно, только сложно
тут нужна связка -m ipp2p -m connmark . Сам не пробовал, за работоспособность не ручаюсь, скорее всего возникнут проблемы, так как -m ipp2p срабатывает не на первом пакете (вернее не всегда на первом, насколько я понял, почтав о принципе его работы)
вообще намного проще в данной ситуации в настройках DC-клиента установить статичный порт для входящих соединений и разрешить его на роутере (ну или если комп сидит за НАТом, то "пробросить" порт) Работает 100% и настраивается на порядок проще.
Правда если за НАТом сидит не 1-2 машины, а целая подсеть из пары сотен компов, то так делать уже не очень удобно будет. С другой стороны, если там и правда несколько сотен компов, то глупо всем ходить на внешний DC-хаб, так как связи между самими этими машиными не будет к сожалению.
Offline
