ipf.rules in FreeBSD 4.4 funtioneren niet ! - Serversoftware en clouddiensten

donderdag 8 november 2001 22:41

Acties:

FreeBSD Rules !

Topicstarter

Hoi hieronder mijn ipf.rules (FreeBSD 4.4 ipf-supp. in kernel gecompiled)

als ik allow all rules in mijn ipf.rules zet kan ik naar deze machine (193.173.210.132 netmask 255.255.255.192) ssh-en met onderstaande ruleset niet !! waarom niet ???

(ik ssh vanaf een host 193.173.210.129 255.255.255.192)
deze host komt op de server (193.173.210.132) voor in /etc/hosts

ook kan ik met een allow all ruleset wel de apache webserver bereiken en met onderstaande set niet !!

ik heb bij compilen van kernel de IPF_DEFAULT_BLOCK optie meegegeven, standaard = blocken dus !

in /var/log/firewall_logs is niet veel bijzonders te zien!
##############################################################################
# FIREWALL RULES - MARK
##############################################################################
#
# $Id: ipf.rules,v 1.5 2001/06/19 17:02:32 root Exp $
#
# $Log: ipf.rules,v $
# Revision 1.5 2001/06/19 17:02:32 root
# Added a rule for xmj (mahjongg)
#
# Revision 1.4 2001/06/15 22:02:11 root
# Added rule to allow inbound NTP
#
# Revision 1.3 2001/06/15 18:02:45 root
# Fixed rule for ntp, it should have been on outbound all along.
#
# Revision 1.2 2001/06/15 12:36:34 root
# Added rule to allow SMTP to the MAILER jail
#
# Revision 1.1 2001/06/15 12:34:02 root
# Initial revision
#
#
# Outside interface: rl0 -> rl0
# Outside ipno 193.173.210.132
# Netmask 255.255.255.192
#
# Default Policies
block in log all
pass out all

# accept packets comming on the loopback interface
pass in on lo0 all

# deny illegal packets from the outside
block in log quick on rl0 from 0.0.0.0/32 to any
block in log quick on rl0 from 255.255.255.255/32 to any
block in log quick on rl0 from 127.0.0.0/8 to any
block in log quick on rl0 from any to 0.0.0.0/32
block in log quick on rl0 from any to 255.255.255.255/32
block in log quick on rl0 from any to 127.0.0.0/8

# deny packets that should never be inbound
block in log quick on rl0 from 192.168.0.0/16 to any
block in log quick on rl0 from 172.16.0.0/12 to any
block in log quick on rl0 from 10.0.0.0/8 to any

# block the draft-manning-dsua091.txt nets on outside interface
block in quick on rl0 from 0.0.0.0/8 to any
block in quick on rl0 from 169.254.0.0/16 to any
block in quick on rl0 from 192.0.2.0/24 to any
block in quick on rl0 from 224.0.0.0/4 to any
block in quick on rl0 from 240.0.0.0/4 to any
block in quick on rl0 from any to 0.0.0.0/8
block in quick on rl0 from any to 169.254.0.0/16
block in quick on rl0 from any to 224.0.0.0/4
block in quick on rll0 from any to 240.0.0.0/4
block out log quick on rl0 from any to 0.0.0.0/8
block out log quick on rl0 from any to 169.254.0.0/16
block out log quick on rl0 from any to 192.0.2.0/24
block out log quick on rl0 from any to 224.0.0.0/4
block out log quick on rl0 from any to 240.0.0.0/4

# block outbound RIP (routing protocol, mag NOOIT naar buiten)
block out log quick on rl0 proto tcp from any to any port = 520
block out log quick on rl0 proto udp from any to any port = 520

# Allow some types of ICMP (mogelijk nog een type toestaan)
pass in quick on rl0 proto icmp all icmp-type 0
pass in quick on rl0 proto icmp all icmp-type 3
pass in quick on rl0 proto icmp all icmp-type 8
pass in quick on rl0 proto icmp all icmp-type 11

###
### Marks firewall
###
# 193.173.210.132/32 ?? mijn netmask is 255.255.255.192

# Allow connections to SSH
#pass in on rl0 proto tcp from any to 193.173.210.132/32 port = 22 flags S/SA keep state
pass in on rl0 proto tcp from any to any port = 22 flags S/SA keep state

# Allow connections to apache
pass in on rl0 proto tcp from any to 193.173.210.132/32 port = 80 flags S/SA keep state

# Allow connections to sendmail
pass in on rl0 proto tcp from any to 193.173.210.132/32 port = 25 flags S/SA keep state

# Allow replies to requests of bind
pass out on rl0 proto udp from 193.173.210.132/32 to any port = 53 keep
state

# Prevent outside machines from initiating TCP connections to this machine
block in on rl0 proto tcp all flags S/SA
block out on rl0 proto tcp all flags SA/SA

# Allow return packets from connections we initiated
pass out on rl0 proto tcp all keep state

# REJECT ident request (don't just drop them)
block return-rst in on rl0 proto tcp from any to any port = 113

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

donderdag 8 november 2001 22:48

Acties:

ACM

Software Architect

Werkt hier

Laat al je denies es loggen en analyseer die als je wilt ssh-en, heb je ook het ssh retourverkeer open gezet?
(poort 512 - 1024) en nee, ik heb je ruleset niet bekeken

donderdag 8 november 2001 23:06

Acties:

xychix

FreeBSD Rules !

Topicstarter

antwoorden van ssh ?? keep state doet dat toch ?

en pass out all ??? die zou dit anders toch moeten doorlaten ??

loggen van ssh conn ?? block in logg all (eerste regel)

zou toch ook ssh moeten loggen bij binnenkomst (als de ssh specefieke regel nvt. is ?)

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

vrijdag 9 november 2001 08:40

Acties:

xychix

FreeBSD Rules !

Topicstarter

# Allow replies to requests of bind
pass out on rl0 proto udp from 193.173.210.132/32 to any port = 53 keep
state

is die enter voor 'state' misschien de boosdoener ?? een willekeurige client maakt een connectie, server wil dat ip reverse resolven maar bind krijgt het er niet door ! ?? maybe

meer hints ??

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

vrijdag 9 november 2001 11:57

Acties:

Verwijderd

Heb je deze:

code:

1 2	block in on rl0 proto tcp all flags S/SA block out on rl0 proto tcp all flags SA/SA

al eens geprobeert voor deze te zetten:

code:

# Allow connections to SSH
#pass in on rl0 proto tcp from any to 193.173.210.132/32 port = 22 flags S/SA keep state
pass in on rl0 proto tcp from any to any port = 22 flags S/SA keep state

# Allow connections to apache 
pass in on rl0 proto tcp from any to 193.173.210.132/32 port = 80 flags S/SA keep state

# Allow connections to sendmail
pass in on rl0 proto tcp from any to 193.173.210.132/32 port = 25 flags S/SA keep state

# Allow replies to requests of bind
pass out on rl0 proto udp from 193.173.210.132/32 to any port = 53 keep 
state

Ik gebruik nooit de config files voor mijn FreeBSD firewall setup, ik gebruik altijd een startup scriptje, omdat ik de ipfw commandline opties veel logischer vind eerlijk gezegd.

Bij de commandline tool moet je altijd een "serienummer"/rule number opgeven. Bij elke verbinding gaat je firewall gewoon de ruleset van boven naar beneden na en ik kan me voorstellen dat hij zodra hij "block in on rl0 proto tcp all flags S/SA /
block out on rl0 proto tcp all flags SA/SA" tegen komt aan het einde van de rit hij dan zegt.. ok.. geen TCP in of uit... dus geen SSH voor jouw

vrijdag 9 november 2001 13:59

Acties:

xychix

FreeBSD Rules !

Topicstarter

stiekeme kick....

en ivm. vorige post ipf houd toch geen synchronische leesvolgorde aan maar werk met prioriteiten en flags ??

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

vrijdag 9 november 2001 17:57

Acties:

serkoon

mekker.

ipfilter begint vooraan de ruleset en leest hem door tot achteraan. Maar. .. ipfilter is zeker wel anders dan ipfw. ipfilter is nl een zeef mbt de rules.
Een rule als "block in all" wordt gelezen als: "dit pakketje zullen we eens gaan blokkeren". Als daarna een rule staat "allow quick in all" dan wordt hij gewooon doorgelaten. Een "quick" wil dus zeggen dat als de rule matched, ipfilter niet doorgaat met andere rules uitproberen. Zonder "quick" gaat ipfilter gewoon door. Als hij dan aan het einde van de ruleset is en pakketje heeft het vlaggetje "block", dan wordtie geblockt.

IPfw doet het echter anders. IPFW stopt met doorzoeken zodra een rule matched. Je bouwt dus ook je firewall achterstevoren op met ipfw vergeleken met ipfilter. IPFW is het: allow <dingen die je wilt toestaan> en daarachter een totale deny. In ipfilter is het eerst de deny en daarna de allows.