Witaj na Forum Linuxiarzy
Zanim zalogujesz się, by pisać na naszym forum, zapoznaj się z kilkoma zasadami savoir-vivre'u w dziale Administracja.
Wiadomości z problemami zamieszczone w wątku "Przywitaj się" oraz wszelkie reklamy na naszym forum będą usuwane.

konfiguracja IPFilter

Zaczęty przez microsofter, Czerwiec 30, 2021, 01:20:43 PM

Poprzedni wątek - Następny wątek

microsofter

Posiadam firewall IpFilter. Czy ktos umie go skonfigurowac? Widze, ze nie ma GUI. Wszystko komendami albo edytujac plik z konfigiem. Masa czytania i nauki.

Drugie pytanie: jak to najlepiej poustawiac? Wydaje mi sie, za zamknac caly ruch przychodzacy oprocz serwerow NFS, SaMBy, WWW, FTP i Telnetu. Czy Unix potrzebuje, do prawidlowego dzialania, jeszcze cos otwarte?
były: MS Windows, Sun Solaris, Oracle Solaris; jest: OpenSolaris + m0n0wall + Solaris powered NAS

robson75

Arch Linux Xfce - 64Bit Linux User #621110

microsofter

Zgadza sie. Tyle zdazylem juz wyczytac. W starym Solarisie byl autorski SunShield, a ja mam juz ipfilter z BSD
https://www.linuxquestions.org/questions/solaris-opensolaris-20/solaris-10-and-iptables-611225/
Glowna komenda to ipf.

Iptables czy ipfilter, nie mialem do czynienia z zadnym z nich. Wczesniej korzystalem z Zapory Windows, Nortona i tego, co oferuje router. Wszystko bajecznie proste, ustawiane z GUI. Tutaj czeka mnie nauka od podstaw.

A jak masz u siebie to ustawione? co zamnkiete, co dozwolone?
były: MS Windows, Sun Solaris, Oracle Solaris; jest: OpenSolaris + m0n0wall + Solaris powered NAS

pavbaranov

http://fwbuilder.sourceforge.net/ - GUI m.in. na IPFilter. Działa na: Linux, FreeBSD, MS Windows oraz Mac OS X. Źródła są tu: https://sourceforge.net/projects/fwbuilder/files/Current_Packages/. Zdaje się, że to na Qt4 (niestety już bez wsparcia).

robson75

Cytat: microsofter w Czerwiec 30, 2021, 02:22:37 PM
A jak masz u siebie to ustawione? co zamnkiete, co dozwolone?
❯ iptables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
Arch Linux Xfce - 64Bit Linux User #621110

microsofter

#5
Cytat: pavbaranov w Czerwiec 30, 2021, 02:32:23 PM
http://fwbuilder.sourceforge.net/
Wow! To by bylo cos wspanialego. Jednak - jak wspomniales - nie ma tego softu na Solarisa. Widze do pobrania paczki dmg, exe, deb i rpm. Jest jeszcze tar.gz, lecz zawartosc wyglada na zrodla - czyli dla mnie nieprzydatne.

Ponadto:
CytatZdaje się, że to na Qt4
Tymczasem u mnie:
# pkginfo | grep Qt
#

O ile orientuje sie, Qt jest zwiazane z KDE. Znalazlem KDE dla Solarisa. Kiedys nawet probowalem zainstalowac, jeszcze pod VM. Nistety, poleglem juz na samym poczatku. Dla mnie to czarna magia.
http://ftp.sunet.se/mirror/archive/ftp.sunet.se/pub/vendor/sun/freeware/KDE/OLD.KDE_INSTALLATION_INSTRUCTIONS
Wyglada na to, ze w weekend trzeba bedzie zakasac rekawy i ogarnac to z linii komend.

ROBSON! Czy ja dobrze widze, ze masz otwarty caly ruch? Rownie dobrze mozesz wylaczyc firewall. Ja chcialem zablokowac wszytko, co zbedne. Po to jest zapora.
były: MS Windows, Sun Solaris, Oracle Solaris; jest: OpenSolaris + m0n0wall + Solaris powered NAS

robson75

Cytat: microsofter w Czerwiec 30, 2021, 07:24:07 PM
ROBSON! Czy ja dobrze widze, ze masz otwarty caly ruch? Rownie dobrze mozesz wylaczyc firewall. Ja chcialem zablokowac wszytko, co zbedne. Po to jest zapora.

CytatTabele składają się z łańcuchów , które są listami reguł, które są przestrzegane w kolejności. Tabela domyślna, filter zawiera trzy wbudowane łańcuchów: INPUT, OUTPUT i FORWARD które są uruchamiane w różnych momentach procesu filtrowania pakietów. Nat tabela zawiera PREROUTING, POSTROUTING i OUTPUT łańcuchy.
Arch Linux Xfce - 64Bit Linux User #621110

microsofter

Wlasnie myslalem o liscie regul. Co tam wpisac. Bo cos trzeba wpisac, zeby dzialal net i rozne uslugi. A widze, ze ipf.conf jest pusty. Wszystkie reguly musze wprowadzic samemu. Dla porownania, WinSrv ma z pudelka prawie 200 regul:

były: MS Windows, Sun Solaris, Oracle Solaris; jest: OpenSolaris + m0n0wall + Solaris powered NAS

pavbaranov

Jeśli u Ciebie nie ma Qt4 to zapomnij o fwbuilder. Choć... https://aur.archlinux.org/packages/fwbuilder-qt5/ jak widać jest też wersja na Qt5, a to jeszcze jest wspierane.
To, że są źródła, to jest super, albowiem jeśli nie ma u Ciebie paczki po prostu możesz to zbudować. Powyższy link daje Ci m.in. PKGBUILD, w którym zawarty jest sposób budowania paczki i przede wszystkim kompilowania programu. Możesz zatem spróbować. Być może uda się nam Tobie pomóc, jeśli będziesz jej potrzebować.

microsofter

Ale ja w ogole nie mam Qt, zadnego. To juz pewnie latwiej bedzie zainstalowac Qt 4. Moze zajrzyj w ten plik na FTP co podlinkowalem. Rozumiesz cos z tego? Jesli tak, to najwyzej zaloze osobny temat o instalacji KDE. W pliku pisze, ze to jest relatywnie prosta instrukcja. Jak juz bedzie KDE i Qt, to mozemy rozmawiac o fwbuilder.

Ponadto, przy okazji tamtego odtwarzacza dzialajacego z Cron, odkrylem ze nie mam polecenia make.

Mam inny pomysl. Moze rozpracuje strukture, jak powinien wygladac ipf.conf i wpisze tam reguly recznie. Na razie wpisalem tylko jedno:
block in all
Po wlaczeniu zapory, nastapilo calkowite odciecie. Umarl serwer SaMBy, a nawet przestaly otwierac sie strony www. Jak powinna wygladac lista regul, aby dzialalo wszystko co niezbedne? Cos takiego jak na Windows, wszystko jest zablokowane oprocz listy wyjatkow. Czy macie tak u siebie?
były: MS Windows, Sun Solaris, Oracle Solaris; jest: OpenSolaris + m0n0wall + Solaris powered NAS

pavbaranov

Jeśli Qt, to 5, a nie 4. To drugie bez sensu. Link mówi o instalacji KDE w wersji 3.x. Zamierzchła przeszłość.

robson75

Arch Linux Xfce - 64Bit Linux User #621110

microsofter

To jest Packet Filter z najnowszego wydania Solarisa. U mnie jest IPFilter.

Tu jest przykladowy konfig:
# net0 faces to public network. we want to allow web and mail
# traffic as stateless to avoid explosion of IPF state tables.
# mail and web is busy.
#
# allow stateful inbound ssh from trusted hosts/networks only
#
block in on net0 from any to any
pass in on net0 from any to 192.168.1.1 port = 80
pass in on net0 from any to 172.16.1.15 port = 2525
pass in on net0 from pool/1 to any port = 22 keep state
pass out on net0 from any to any keep state
pass out on net0 from 192.168.1.1 port = 80 to any
pass out on net0 from 192.168.1.1 port = 2525 to any

Wystarczy wziasc to za wzor i pootwierac wszystkie niezbedne porty. To znaczy te, na ktorych dziala WWW, SMB, telnet itp. Tylko ze nie znam ich numerow.

A swoja droga zaczynam zalowac, ze w czasie nauki pod wirtualka, na starych wersjach Solarisa, nie rozpracowalem firewalla. Z pewnoscia migracja SunShield -> IPFilter bylaby dzisiaj latwiejsza, niz nauka tego ostatniego od zera.
były: MS Windows, Sun Solaris, Oracle Solaris; jest: OpenSolaris + m0n0wall + Solaris powered NAS

microsofter

#13
Rozkminilem to. Musimy otworzyc ruch na nastepujacych portach: 80, 443 (zeby dzialala przegladarka www), 139, 445, 137 i 138  (dla serwera SaMBy) oraz 23 (Telnet).

Jednak wciaz nie otwieraly mi sie strony szyfowane. Telnet tez jakos kulawo. Droga do rozwiazania problemu jest logowanie blokowanych pakietow. W tym celu do /etc/syslog.conf musimy dodac
local0.debug     /tmp/IPFilter.log
Wpisujemy nazwe i lokalizacje naszego dziennika (ja wybralem RAM-dysk). Nastepnie musimy utworzyc ten plik i zrestartowac usluge dziennika:
svcadm restart system-log
Od tej pory widzimy wszystkie blokowane transfery (o ile zaznaczylismy taka opcje w ipf.conf). Tym sposobem odkrylem, ze przy przegladniu stron https://, dane ze zdalnego portu 443, trafiaja na lokalne o wysokich numerach, od 43000 do 45000. Otwarcie tego zakresu portow, przywrocilo Firefoxa do pelni sprawnosci.

Nowe pytania:

Dlaczego, przy przegladaniu stron z SSL, aktywne sa takie porty?
Jaki zakres portow zostawic otwarty?

Za kazdym razem w uzyciu jest inny numer portu.

ps. Aby pisac na forum, trzeba dopuscic frangentacje pakietow ICMP. IpFilter domyslnie odfiltrowuje takie pakiety. Nie moglem wyslac postu.
były: MS Windows, Sun Solaris, Oracle Solaris; jest: OpenSolaris + m0n0wall + Solaris powered NAS

microsofter

Aby dzialal Firefox, musza byc otwarte wszystkie porty powyzej 43000. Czasami, przy wejsciu na strone, ruch idzie nawet przez port 52000. Nie mozna otworzyc zadnej witryny, jesli dany port bedzie zablokowany. Nie wiem, czemu tak jest. Jak bede mial kiedys czas, to przeanalizuje ruch sieciowy pod Windowsem. Tam kwestia jest nieobecna, poniewaz, jak wiemy, firewall dziala zupelnie inaczej - aktywnie wspolpracuje z aplikacjami. Jesli jakis program ma zezwolenie na komunikacje, moze uzywac dowolnych portow (o ile nie zdefiniujemy konkretnej blokady). W Uniksie pokutuje filozofia KISS. Wszystkie porty od 43000 musimy trzymac na stale odblokowane - nie wiadomo, ktory bedzie potrzebny dla kolejnej witryny.

Oprocz FF, Unix nie potrzebuje do dzialania zadnych innych portow niz te, co wymienilem. Prosi sie jeszcze o odblokowanie NFS i poczty, lecz ja na razie nie uzywam ich. Po zefiniowaniu powyzszych regul, nic nie pojawia sie w dzienniku. W statystykach tez wszystko gra:

bad packets:            in 0    out 0
IPv6 packets:          in 14568 out 11392
input packets:         blocked 0 passed 41939 nomatch 14568 counted 0 short 0
output packets:         blocked 0 passed 30228 nomatch 30228 counted 0 short 0
input packets logged:  blocked 0 passed 0
output packets logged:  blocked 0 passed 0
packets logged:        input 0 output 0
log failures:          input 0 output 0
fragment state(in):     kept 0  lost 0  not fragmented 0
fragment state(out):    kept 0  lost 0  not fragmented 0
packet state(in):       kept 0  lost 0
packet state(out):      kept 0  lost 0
ICMP replies:   0       TCP RSTs sent:  0
Invalid source(in):     0
Result cache hits(in):  0       (out):  0
IN Pullups succeeded:   73      failed: 0
OUT Pullups succeeded:  60      failed: 0
Fastroute successes:    0       failures:       0
TCP cksum fails(in):    0       (out):  0
IPF Ticks:      17956
Packet log flags set: (0)
        none


Konfiguracja IPfilter okazala sie bardzo prosta. Wystarczy do tego notatnik i znajomosc syntaxu regul. Wprowadzane zmiany testujemy sprawdzajac zawartosc logu. Nie potrzeba ani GUI, ani nawet uzywac komendy ipf. Choc to ostatnie mam w planie opanowac. I radze to zrobic kazdemu. Z tego co widze, IPFilter jest nie tylko w Solarisie, ale we wszystkich najwazniejszych distrach: HP-UX, AIX, OpenServer czy FreeBSD. Jesli planujemy powazniejsza przygode z Unixem, predzej czy pozniej bedziemy musieli z niego korzystac.
były: MS Windows, Sun Solaris, Oracle Solaris; jest: OpenSolaris + m0n0wall + Solaris powered NAS

Zobacz najnowsze wiadomości na forum