ipfw (was: Re: Upgrade programu z portu)
Miroslav Prýmek
m.prymek at gmail.com
Sun Mar 8 01:11:22 CET 2009
Diky moc za tipy, s ipfw jsem novacek, takze s rulesety jsem se zatim
neseznamil, ale zni to jako
presne to, co potrebuju.
dik
Mirek
On 4.3.2009, at 11:43, Dan Lukes wrote:
> Miroslav Prýmek napsal/wrote, On 03/04/09 07:53:
>> BTW, kdyz uz jsme u toho, zlobi me treba ipfw s jednou veci:
>> mam X pravidel s "setup keep-state" a predposledni pravidlo by melo
>> byt (muze byt) podle handbooku
>> deny tcp from any to any established
>> cili "zahodit vsechno, co se tvari jako established ale pritom se
>> nenamatchovalo na check-state"
>> No ale ma to tu (docela blbou) nevyhodu, ze pri restartu firewallu
>> se vyhazou pravidla
>> a timpadem vsechna existujici spojeni spadnou prave diky tomu
>> predtim popsanymu
>> pravidlu, protoze se nenamatchuji a zaroven jsou established.
>> Tak si rikam, co je vetsi zlo - jestli to pravidlo zmenit z "deny"
>> na "allow" (hodne firewallu
>> na linuxu se tak dela, tak co?) a nebo radsi pocitat s tim, ze
>> restart firewallu umrtvi existujici spojeni
>
> Nejsem priznivcem stavoveho firewallu v ipfw. Prilis snadno muze byt
> cilem uspesneho DoS utoku. Snazim se vnitrni sit mit v takovem
> stavu, abych tento typ filtru na hranicnim routeru vubec nepotreboval.
>
> Kdyz uz bych se ale do podobneho problemu dostal, resil bych ho
> pomoci rulesetu. Dynamicka pravidla zanikaji expiraci nebo tehdy,
> kdyz zanikne "generujic pravidlo" (to, ktere je vytvorilo). Takze
> pokud je chci zachovat, je treba aby generujic pravidlo nezaniklo.
>
> To jde nastesti celkem trivialne - ten "restart" firewallu se proste
> udela jako presunuti rulesetu 0 do nejakeho jineho cisla, jeho
> zneaktivneni (pravidla neaktivniho rulesetu se neuplatnuji ale stale
> existuji a tudiz jimy generovana dynamicka pravidla take
> nezaniknou). Smazani neaktivniho rulesetu udelam az o nejakou dobu
> pozdeji.
>
> To nezarucuje, ze i tak nestrihnu nejaka navazana spojeni, ale
> jejich pocet bude vyrazne nizsi.
>
> Me to pripada trivialni reseni, ale pripoustim, ze to muze byt i
> proto, ze uz rulesety tak jako tak pouzivan. To, co ty nazyvas
> "resetem firewallu" a delas to patrne smazanim vsech ruli a
> naplnenim novymi je mi nesympaticke, protoze existuje doba, kdy je
> firewall v nekonzistentnim stavu (jen castecne naplneny) - a co hur
> - pokud v prubehu plneni firewallu dojde k jakekoliv chybe, skoncis
> s neuplnym firewallem.
>
> Takze ja delam reload zasadne jinak. Misto "bezneho" ipfw -f flush
> mam:
>
> ${fwcmd} delete set 1
> ${fwcmd} set move 0 to 1
> ${fwcmd} set enable 1 disable 0
> ${fwcmd} delete set 0
>
> pak mam "bezne naplneni firewallu"
>
> a kdyz se to bez problemu povede, tak koncim sekvenci
>
> ${fwcmd} set enable 0 disable 1
> ${fwcmd} delete set 1
>
>
> Je to vlastne presne to, co potrebujes, jen bys ten zaverecny
> "delete set 1" musel opozdit. A pripadne rozmyslet co se stane, kdyz
> se pokusis firewall reloadovat nekolikrat rychle po sobe.
>
> Ja bych to nejspis resil takhle nejak.
>
> A jeste bych si dovolil poznamenat (a rovnou rikam, ze to je
> kontroverzni nazor a neocekavam, ze s nim budou vsichni souhlasit),
> ze akce "deny" do firewallu patri jen ve velmi vyjimecnych
> situacich. V beznych povazuju za samozrejme pouzit "unreach filter-
> prohib".
>
> Az budes jednou hledat, proc se nemuzes spojit z mista A na hodne
> vzdalene misto B a vsechno co zjistis je, ze kdesi po ceste (kterou
> nemas pod kontrolou) ti proste pakety mizi, ale ty nevis kde, tak
> pochopis proc je to dulezite.
>
> Dan
>
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
More information about the Users-l
mailing list