Toon posts:

[FreeBSD] IPFW SSH connection-lost

Pagina: 1
Acties:

zondag 9 mei 2004 19:53

Acties:
  • capedro
  • Registratie: Oktober 2000
  • Laatst online: 17-12-2025

capedro

Topicstarter
Alloa,

Ik heb op verschillende servers de volgende rules:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89

#######################################################################
#
# Let's check the state

add check-state
#######################################################################
# Traffice from the NET to the server
#######################################################################
### ALLOWED TRAFFIC

## ALLOW THE ROOT TO DO EVERYTHING
#add allow log logamount 0 tcp from me to any out via tun0 setup keep-state uid root

## Port 22 Secure Shell
# inbound
add allow log logamount 0 tcp from any to me 22 in setup keep-state via tun0
# outbound
add allow log logamount 0 tcp from me to any 22 out setup keep-state via tun0


## Port 20-21 FTP OUT
add allow log logamount 0 tcp from me to any 20 out setup keep-state via tun0
add allow log logamount 0 tcp from any 20 to me setup keep-state via tun0
add allow log logamount 0 tcp from me to any 21 out setup keep-state via tun0

## Port 25 SMTP
# Inbound traffic
add allow log logamount 0 tcp from any to me 25 in setup keep-state via tun0
# Outbound traffic
add allow log logamount 0 tcp from me to any 25 out setup keep-state via tun0

## Port 43 WHOIS
# inbound
add allow log logamount 0 tcp from any 43 to me in via tun0
# outbound
add allow log logamount 0 tcp from me to any 43 out via tun0


## Port 53 DNS
add allow log logamount 0 udp from any to me 53 in via tun0
# For some reason we need to must allow connections from port 53 abroad to
# establish a SSH connection.
add allow log logamount 0 udp from any 53 to me in via tun0
add allow log logamount 0 udp from me to any 53 out via tun0

## Port 79 Finger
# inbound
add allow log logamount 0 tcp from any to me 79 in setup keep-state via tun0
# outbound
add allow log logamount 0 tcp from me to any 79 out setup keep-state via tun0

## Port 80 WWW
# inbound
add allow log logamount 0 tcp from any to me 80 in setup keep-state via tun0
# outbound
add allow log logamount 0 tcp from me to any 80 out setup keep-state via tun0

## Port 123 NTP
# outbond

add allow log logamount 0 udp from me 123 to any 123 out via tun0
add allow log logamount 0 udp from any 123 to me 123 in via tun0

## Port 993 IMAPS
add allow log logamount 0 tcp from any to me 993 in setup keep-state via tun0

## Port 443 HTTPS
add allow log logamount 0 tcp from me to any 443 out setup keep-state via tun0

## Port 5999 CVSUP
add allow log logamount 0 tcp from me to any 5999 out setup keep-state via tun0

## Port 9993 IMAPS Test
add allow log logamount 0 tcp from 82.92.10.145 to me 9993 in setup keep-state via tun0

### END OF ALLOWED TRAFFIC
#######################################################################

#######################################################################
### DENIED TRAFFIC

# Deny TCP traffic
add deny log logamount 0 tcp from any to me in via tun0

# Deny UDP traffic
add deny log logamount 0 udp from any to me in via tun0

# Deny echo-requests using the icmp-protocol
add deny log logamount 0 icmp from any to me in via tun0 icmptypes 8


NB Per server is het weer verschillend qua services die ze draaien....


Maar nu het probleem.. met SSH -connecties verlies ik de verbinding, terminal 'bevriest', terwlijl als ik dan weer inlog ik volgens het systeem nog steeds aanwezig ben :(

Nu heb ik dit probleem echter niet op 1 van de servers die niet 'add check-state' en 'setup keep-state' heeft staan in de rules... 8)

Maar goed... wat moet ik er nu aan wijzigen om wel state-ful de SSH rules te kunnen gebruiken. :+

Het gaat om FreeBSD 4.8

[ Voor 2% gewijzigd door capedro op 09-05-2004 19:54 . Reden: Versie van FreeBSD er bij gezet ;) ]

My weblog

zondag 9 mei 2004 20:14

Acties:
  • serkoon
  • Registratie: April 2000
  • Niet online

serkoon

mekker.

Keep-stating met ipfw geeft wel vaker wat probleempjes.. De manpage heeft echter wellicht de oplossing: sysctl net.inet.ip.fw.dyn_keepalive. Als je die sysctl op 1 zet, zal ipfw elke 5 seconden keep state packets sturen, vanaf 20 seconden voordat de state wordt opgeheven. Daardoor zal de verbinding open blijven, ook al gaat er geen data over.

Je zou eventueel ook sysctls als net.inet.ip.fw.dyn_ack_lifetime kunnen tunen..

zondag 9 mei 2004 20:57

Acties:
  • capedro
  • Registratie: Oktober 2000
  • Laatst online: 17-12-2025

capedro

Topicstarter
serkoon schreef op 09 mei 2004 @ 20:14:
Keep-stating met ipfw geeft wel vaker wat probleempjes.. De manpage heeft echter wellicht de oplossing: sysctl net.inet.ip.fw.dyn_keepalive. Als je die sysctl op 1 zet, zal ipfw elke 5 seconden keep state packets sturen, vanaf 20 seconden voordat de state wordt opgeheven. Daardoor zal de verbinding open blijven, ook al gaat er geen data over.

Je zou eventueel ook sysctls als net.inet.ip.fw.dyn_ack_lifetime kunnen tunen..
Thnx, ik ga er mee aan de slag :)

My weblog

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq