dariusii
Silver Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Евсюков Денис 30.05.2006 16.25
Настройка wipfw, консольный фаервол под windows, портированный из FreeBSD
[i]
Установка очень проста. Нужно распаковать в любую папку
содержимое архива и затем запустить один из предлагаемых скриптов
install. Есть два скрипта, каждый из которых создан для задания
определенного действия по умолчанию. Есть скрипт разрешающий (т.е. если
в правилах что то не блокировано, то значит разрешено) и запрещающий
(наоборот, если явно не разрешено, значит блокировать), я уже по
привычке, вынесенной из аутпоста выбрал режим блокирования,
соответственно нужно прописывать разрешающие правила...
После запуска скрипта он прописывает пути в реестр, чтобы помнить, куда
его поставили и прописывает программу как сервис в системе, после чего
производит запуск установленного сервиса. В памяти программа занимает
очень мало, порядка 2 мегабайт в оперативной памяти и порядка 400–500 килобайт в
виртуальной памяти... С аутпостом не сравнить конечно, но у нас нет
интерфейса к программе и сама программа не контролирует работу
приложений в системе. Точнее интерфейс написан уже создателями самого
фаервола, но он идет отдельно. Данный интерфейс
служит только для создания правил работы, и не позволяет мониторить
работу фаервола. А по поводу второго вопроса хочется сказать, что фаер пришел из
среды FreeBSD, в которой так же как в Linux не производиться контроль за
работающими приложениями и основная задача фаервола – защита
машины от атак извне. Все остальное зависит от пользователя и от программ по борьбе
с троянами и вирусами...
Итак, программа установлена, теперь пришла пора настройки. Настройка
производиться путем правки файла rc.wf. Нужно править именно этот файл, т.к. он запускается
при запуске системы и конфигурирование производиться именно им. Я
пробовал создавать свой скрипт конфигурации системы, типа файла .bat, он
производит настройку, но только на время работы компьютера, после
перезагрузки все изменения теряются. Чего не происходит в случае правки
данного файла...
Запуск скрипта производиться с помощью файла sh.exe, это порт командного
процессора из FreeBSD, поэтому в начале файла требуется описание
программы, которая используется для обработки данного скрипта.
Если в начале строки стоит знак # – значит все что идет дальше по строке
является комментарием...
#!/bin/sh
#
#
Далее прописываем переменную для уменьшения кода, данная переменная
содержит вызов фаера с командой добавления правила
cmd="./ipfw add"
Для изменения правил нужно эти правила сначала очистить, а потом уже по
новой прописать, поэтому очищаем все правила...
# First flush the firewall rules
./ipfw -q -f flush
Разрешаем все сетевые пакеты на локальной машине...
#Localhost rules
$cmd pass all from any to any via lo*
Теперь задаем основное правило, т.е. программу мы поставили в режиме
блокировки, и теперь нам надо разрешать то, что нужно. Для себя я выбрал
режим разрешить все себе (т.е. все исходящие разрешены) и открыть порты
для входящих соединений в определенных сервисах...
#Для начала разрешаем все нам самим
$cmd allow all from me to any
Теперь разбираемся с пингом. Аутпост использует режим невидимости и в то
же время позволяет пинговать нам самим... Выберем тот же режим и здесь.
Напоминаю, что исходящие уже разрешены, поэтому прописываем только
входящие. У пинга есть несколько типов пакета, и все зависит от типа
пакета. Есть пакеты типа запрос, ответ, и т.п. Нам нужно разрешить
только ответ от нашего запроса и соответственно запретить запрос...
# ICMP разрешаем пинг...
$cmd allow icmp from any to me icmptypes 0,3,4,11 in
Далее я думаю понятно... Разрешаем те порты для входящих, сервисы
которых как мы предполагаем будут работать на машине, включая http, мыло
и все остальное... Если этого не сделать, то запрос мы отправим, а вот
получить ответ уже не сможем и тем самым сервис работать просто напросто
не будет...
# Разрешаем получать IPшники по DHCP
$cmd pass udp from any 68 to any 67
$cmd pass udp from any 67 to any 68
# Разрешаем DNS
# DNS
$cmd allow tcp from any to any 53
$cmd allow tcp from any 53 to any
$cmd allow udp from any to any 53
$cmd allow udp from any 53 to any
# Разрешаем входящие ftp, ssh, email, tcp-dns, http, https, pop3, pop3s
(если вы чем либо из этого не пользуетесь то убираем то что не нужно...)
$cmd allow tcp from any 20,21,22,25,80,123,443,110,119,995 to me
$cmd allow tcp from any 5223,8010,8080 to me
# Разрешаем входящие сервера времени
$cmd allow udp from any 13,37,525 to me
$cmd allow tcp from any 13,37 to me
В АИСТе (интернет-провайдер г. Тольятти) используется технология VPN соединений для установления
интернет-соединений, она подразумевает использование прокола gre,
который не завязан на определенный порт, поэтому прописываем правило для
ip не используя указание порта. Для большей безопасности разрешаем
установку соединения только с сервером АИСТа (192.168.0.1)...
# VPN разрешаем vpn тунель
$cmd allow ip from 192.168.0.1 to me
Для работы с ослом (имеенно в режиме High ID), требуется при установке
соединения позволить серверу соединение по любым портам, т.к. сервер при
соединении проверяет порты, и если тот порт, что он проверяет будет
недоступен, то он дает вам low id, что сказывается на способности
качать... Поэтому серверу разрешаем соединения по всем портам, и
открываем порты осла 4662 и 4672 для остальных. Я открыл порты и tcp и
udp хотя сейчас сеть kad не используется, на всякий случай, по сути порт
4672 можно и не прописывать, на работе это никак не скажется...
# Разрешаем осла
$cmd allow tcp from 81.28.160.141 to any
$cmd allow tcp from any to any 4662
$cmd allow udp from any to any 4672
У меня стоит модем Zyxel P660-R, он внешний и я управляю его работой по
телнету и получаю все его события (логи) по snmp протоколу, которые
нужно разрешить... 10.0.0.1 – это ип-адрес модема...
# Разрешаем snmp
$cmd allow udp from 10.0.0.1 to any 162,514
# Разрешаем telnet
$cmd allow tcp from 10.0.0.1 23 to any
Ну и резрешаем порты для работы ирк-сервера...
# Разрешаем IRC...
$cmd pass tcp from any to any 6667–6669
$cmd pass tcp from any 6667–6669 to any
Собственно все. Все сервисы работают. И работают отлично. Причем
работают так же и ssl и https, они включены в список...
Я проверял эффективность работы фаера на внешних серверах, сканирующих
порты и выявляющих уязвимости, все сервера сказали, что все порты
защищены, уязвимости нет... И это при том условии, что расходуется
минимум памяти, минимум процессорного времени и при всем этом прога еще
распространяется по лицензии FreeBSD, т.е. бесплатно...
После данного эксперимента я решил остаться именно на этом фаерволе...
Так выглядели правила фаервола в первой редакции, и с тех пор я немного
доработал правила, чем сейчас делюсь с Вами...
Я буду рассмартивать только те части, что претерпели изменения, все
остльное просто вырезал...
# Разрешаем входящие ftp, ssh, email, tcp-dns, http, https, pop3, pop3s
$cmd allow tcp from any 22,25,80,123,443,110,119,995 to me established
$cmd allow tcp from any 143,993,3128,5223,8010,8080,8081 to me established
$cmd allow tcp from 81.28.160.194 32000 to me established
$cmd allow tcp from any 20,21 to me
Итак, во первых к правилам добавляем пукт established, он означает
требование в каждом пакете содержать биты RST или ASK, т.е. входящие
пакеты будут приниматься только в том случае, если был запрос от Вас
самих... Именно поэтому порты фтп вынесены отдельно, с данным условием
фтп не работает... Добавились порты работы с прокси серверами, ssl почты
и добавлено правило для работы с веб-интерфейсом почты автограда...
Здесь все понятно из комментариев, опять же подключения только как ответ
на запрос пользователя...
# Разрешаем получение ключей PGP с серверов
$cmd allow tcp from any 389,11371 to me established
# Разрешаем входящие сервера времени
$cmd allow udp from any 13,37,525 to me
$cmd allow tcp from any 13,37 to me
Доработано правило для организации VPN соединений, спасибо большое Илье
Котлярову за подсказку! Теперь вместо открытия всего трафика с сервера,
открываем подключения только для нужных протоколов и портов...
# VPN разрешаем vpn тунель
$cmd allow 47 from 192.168.0.1 to me
$cmd allow tcp from 192.168.0.1 1723 to me
Правила для осла претерпели существенные изменения... Добавлены правила
позволяющие работу с любыми портами, обращающимся к нашему 4662 и
наоборот, при этом все «опасные» порты прикрыты... Соединение теперь
стабильное, всегда High ID, и количество соединений максимально, потерь
нет... 81.28.160.141 – сервер осла.
# Разрешаем осла
$cmd allow udp from 81.28.160.141 4665 to any
$cmd allow tcp from any 1024–65535 to any 4662
$cmd allow tcp from any 4661,4662 to any 1024–65535
$cmd allow udp from any to any 4672
И теперь самое главное, очень удобно логировать то, что было запрещено,
для этого переписываем правило по умолчанию с параметром log. После
чего, все пакеты deny фиксируются в файлах типа wipfw20060527.log в
каталоге C:\WINDOWS\security\logs\
И теперь, если после настройки фаера у вас како-нить сервис не работает,
смотрите файл wipfw(сегодняшняядата).log, где фиксируете по времени
обращения, какие порты были закрыты и почему, после чего уже намного
легче исправлять или добавлять новые правила...
Вот строка для логирования блокированных пакетов:
# Log denny all
$cmd drop log all from any to any
Если будут замечания, буду рад Вас выслушать... |
Всего записей: 2458 | Зарегистр. 08-11-2003 | Отправлено: 23:04 07-09-2006 | Исправлено: dariusii, 20:46 24-09-2006 |
|
