Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » WIPFW / IPFW

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9

Открыть новую тему     Написать ответ в эту тему

biomednet



Schwarz Meister
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Главная ссылка проекта http://wipfw.sourceforge.net
WIPFW - MS Windows действующая версия известного IPFW для РТА FreeBSD. Вы можете использовать те же самые функциональные возможности и конфигурировать это как, только Вы работаете с IPFW. Проект wipfw представляет собой, похожий по синтаксису с FreeBSD ipfw, интерфейс для управления пакетным фильтром Windows 2000/XP/2003. Из функциональности в первых версиях отсутствует возможность ограничения трафика, форвадинга и некоторые другие специфичные функции появившиеся в последнее время во FreeBSD.
 
IPFW - фильтрация пакета и система учета, которая постоянно находится в kernelmode, и имеет утилиту управления user-land control, ipfw. Вместе, они позволяют Вам определять и сделать запрос правил, используемых ядром в его решениях маршрутизации.
 
Есть две связанных части к ipfw. Раздел межсетевой защиты выполняет фильтрацию пакета. Есть также IP, считающий раздел, который прослеживает использование маршрутизатора, основанного на правилах, подобных используемым в разделе межсетевой защиты. Это позволяет администратору контролировать, сколько трафика маршрутизатор добирается от определенной машины, или сколько трафика WWW это отправляет, например.
 
В результате пути, которым проектирован ipfw, Вы можете использовать ipfw на машинах немаршрутизатора, чтобы выполнить фильтрацию пакета на приходе и уходящих подключениях. Это - специальный случай более общего использования ipfw, и те же самые команды и методики должны использоваться в этой ситуации.
 

Всего записей: 2139 | Зарегистр. 12-08-2002 | Отправлено: 13:04 17-03-2005
LonelyRanger

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Парни, помогите составить правила, если таковые получатся:
Мне надо устроить типа как со спутниковым интернетом: исходящий по одному каналу, входящий по другому.
Есть один кабель провайдера и 2 логина по подключения, которые работают одновременно. Один ограничен по скорости (безлимит), другой обычный. Хочу чтобы исходящий от меня трафик шёл по обычному, а входящий по безлимитному.
 
Делал подобного прописыванием роутинга, но тут получается такая загвоздка: если коннект идёт с удалённого адреса (на который прописан роутинг по быстрому каналу) на безлимитный адрес, то скорость для последнего высокая. Но стоит только мне самому коннектиться к тому адресу, то весь трафик идёт по быстрому каналу, и, соответственно, оплачивается по мегабайтно. Так что это не выход.

Всего записей: 36 | Зарегистр. 04-03-2008 | Отправлено: 22:49 09-03-2008
SergP666

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
возникла трабла с uTorrent.  
какие правила для него написать чтобы работала скачка/отдача
 
на данный момент
 
#uTorrent
add allow tcp from any to me 55555
add allow tcp from me 55555 to any
add allow udp from any to me 55555
add allow udp from me 55555 to any
 
# 85.112.114.120 <- сам трекер
add allow ip from 85.112.114.120 to me
add allow ip from me to 85.112.114.120
 
 
в результе трекер есно пашет, даже выдает инфу о сидерах личерах и т.п.. нетлимитер показывает что ктото ломиться на порты, но кач/раздача панулям

Всего записей: 47 | Зарегистр. 18-09-2006 | Отправлено: 09:23 17-03-2008
redwhiterus



Красно-Белый
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SergP666
Там жирным выделено правило, правда не совсем как ты хотел но может пожет
Подробнее...
 
Добавлено:
Спасибо dariusii в свое время он помог мне!

----------
Sub specie aeternitatis ©
In vino veritas! ©
Чем выше ты, тем легче свалиться

Всего записей: 9954 | Зарегистр. 18-04-2007 | Отправлено: 11:05 17-03-2008
VoltTUX

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть сеть из двух компьютеров (192.168.0.1 и 192.168.0.2). На одном компе есть интернет (EV-DO), IP-адрес назначается динамически, DNS провайдера, к примеру 1.1.1.1. Хочу защитить локальную сеть. Написал следующие правила (файрволл ставлю с запрещающим правилом по умолчанию), насколько правильна такая конфигурация? Не будет  ли каких-то дыр в безопасности?

Код:
 
# сбрасывваем все правила
-f flush
 
# разрешаем обратную петлю
add 100 allow all from any to any via lo*
 
# антиспуффинг
add 110 deny log all from any to 127.0.0.0/8 in
add 110 deny log all from 127.0.0.0/8 to any in
 
# разрешаем запросы только к DNS провайдера
add allow udp from any to 1.1.1.1 53 out xmit ppp0
add allow tcp from any to 1.1.1.1 53 out xmit ppp0
 
# основные правила для браузеров
add allow tcp from any to any 80 out xmit ppp0
add allow tcp from any to any 443 out xmit ppp0
# дополнительные правила для браузеров
add allow tcp from any to any 8000,8010,8080 out via ppp0
 
# разрешаем работу с FTP
add allow tcp from any to any 21 out via ppp0
 
# разрешаем Jabber и ICQ
add allow tcp from any to any 5222,5223 out via ppp0
add allow tcp from any to any 5190 out via ppp0
 
# это чтобы посмотреть чего мы запрещаем, может мы не правы?
add count log ip from any to any
 

И еще такой вопрос, как разрешить пинги и трассировку из локальной сети, но чтобы извне моя сеть не была видна (аналог "невидимого" режима в Outpost)?

Всего записей: 29 | Зарегистр. 13-01-2006 | Отправлено: 10:41 31-03-2008
SergP666

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
И еще такой вопрос, как разрешить пинги и трассировку из локальной сети, но чтобы извне моя сеть не была видна (аналог "невидимого" режима в Outpost)?


Код:
add allow icmp from any to any icmptypes 0,3,4,8,11

 
тока не помню какой порт для входящих запросов (по памяти не помню искать лень Ж) ), вот если ево убрать то есно система не будет никому отвечать
зы. если закрыть порт для входящих запросов. то у пингующего будет выдаваться что разорвано соединение или т.п., если заблочить исходящие ответы, то у пингующего будет таймаут (вроде так)

Всего записей: 47 | Зарегистр. 18-09-2006 | Отправлено: 13:28 31-03-2008 | Исправлено: SergP666, 13:30 31-03-2008
redwhiterus



Красно-Белый
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
тока не помню какой порт для входящих запросов (по памяти не помню искать лень Ж) ), вот если ево убрать то есно система не будет никому отвечать

http://wipfw.sourceforge.net/doc-ru.html#roptions

----------
Sub specie aeternitatis ©
In vino veritas! ©
Чем выше ты, тем легче свалиться

Всего записей: 9954 | Зарегистр. 18-04-2007 | Отправлено: 20:22 12-07-2008
Desmont



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Скажите стоит ли ставить WIPFW, если сижу за FreeBSD?
 
P.S. Я так понимаю что на роутере это зарытость сугобо на нем (в правилах для локалы все открыто), на винде только антивирь, без фаера, а если поставить на Винду WIPFW , то закрою входящие (исходящие) конкретно на Винде.
 
Добавлено:
Еще вопрос: можно ли в WIPFW указывать порты диапазоном (1024-5000 )?

Всего записей: 171 | Зарегистр. 04-07-2006 | Отправлено: 11:54 16-07-2008 | Исправлено: Desmont, 11:56 16-07-2008
redwhiterus



Красно-Белый
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
P.S. Я так понимаю что на роутере это зарытость сугобо на нем (в правилах для локалы все открыто)

на роутере должна бы трансляция только в одну сторону, исходящую, а все не запрашиваемые входящие должны идти лесом(ес-но если веб или фтп сервак есть то 80 или 21 порты соответственно будут открыты для всех)
Цитата:
 если поставить на Винду WIPFW , то закрою входящие (исходящие) конкретно на Винде.

да при правильной настройке, примеры конфигов в топике, единственное но которое думаю вам известно, это отсутствие контроля приложение в wipfw, то есть он, пускает по определным портам если они разрешены все в сеть.

Цитата:
Еще вопрос: можно ли в WIPFW указывать порты диапазоном (1024-5000 )?

насколько я знаю, да.

----------
Sub specie aeternitatis ©
In vino veritas! ©
Чем выше ты, тем легче свалиться

Всего записей: 9954 | Зарегистр. 18-04-2007 | Отправлено: 14:38 16-07-2008
Desmont



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите пожалуйста, что за трабл, у мну грузит только 20 правил, а у меня их 35. Есть какое-то ограничение на размер. У меня 2.35 Кб Логи не пишутся, что не так?
Грузит до контер Страйк 1 ое правило (((, остального нету
 
Мой конфиг:
 
# First flush the firewall rules
-f flush
# Localhost rules
add allow all from any to any via lo*
# Prevent any traffic to 127.0.0.1, common in localhost spoofing
add deny log all from any to 127.0.0.0/8 in
add deny log all from 127.0.0.0/8 to any in
add check-state
#Эти правила запрещают все соединения, которые уже созданы.
add deny all from any to any frag
add deny tcp from any to any established
# Oткрываем нужные порты
#Mozilla
add allow tcp from me 1024-5000 to any 80,8080,443,8100,8081 keep-state
#FTP
add allow tcp from me 1024-65535 to any 21 keep-state
add allow tcp from any 20 to me 1024-65535 keep-state
#ICQ
add allow tcp from me 1024-65535 to 64.12.0.0/16 5190 keep-state
add allow tcp from me 1024-65535 to 205.188.0.0/16 5190 keep-state
#E-mail
add allow tcp from me 1024-65535 to any 25,110,143,993,995 keep-state
# SSH
add allow tcp from me to 10.0.1.1/24 22 setup keep-state
#DNS
add allow tcp from me 1024-5000 to ХХ.ХХ.ХХХ.ХХХ 53 setup keep-state
add allow udp from me 1024-5000 to ХХ.ХХ.ХХХ.ХХХ 53 keep-state
add allow tcp from me 1024-5000 to ХХ.ХХ.ХХХ.ХХХ 53 setup keep-state
add allow udp from me 1024-5000 to ХХ.ХХ.ХХХ.ХХХ 53 keep-state
add allow tcp from me 1024-5000 to ХХ.ХХ.ХХХ.ХХХ 53 setup keep-state
add allow udp from me 1024-5000 to ХХ.ХХ.ХХХ.ХХХ 53 keep-state
#add allow udp from any 53 to any
#Counter-Strike
add allow tcp from any to any 27030-27039 keep-state
add allow udp from any to any 1200,27000-27015 keep-state
#NetBios
add allow tcp from any to any 137,139 keep-state
add allow udp from any to any 137,138 keep-state
#Mttorent
add allow tcp from me 1024-5000 to any keep-state
add allow tcp from any to me 36760 keep-state
#Qip's transfer data
add allow tcp from any to me 49151,49152,19153,49154,49155,49156,49157 keep-state
#DHCP
add allow udp from any 67,68 to any 67,68 keep-state
#Time
add allow udp from me 123 to any 123 keep-state
#запрещаем пакеты с небезопасными флагами
add deny tcp from any to any tcpflags fin,urg,psh
add deny tcp from any to any tcpflags syn,rst
add deny tcp from any to any tcpflags syn,fin
add deny tcp from any to any tcpflags syn,rst,ack,fin,urg
#Icmp
add allow icmp from me to any keep-state
add allow icmp from 10.0.1.1/24 to me keep-state
add drop log all from any to any
add deny all from any to any

Всего записей: 171 | Зарегистр. 04-07-2006 | Отправлено: 10:03 17-07-2008 | Исправлено: Desmont, 10:04 17-07-2008
redwhiterus



Красно-Белый
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Desmont
запусти из командной строки файл config.cmd и отпиши ошибку которую выдает.

----------
Sub specie aeternitatis ©
In vino veritas! ©
Чем выше ты, тем легче свалиться

Всего записей: 9954 | Зарегистр. 18-04-2007 | Отправлено: 19:11 17-07-2008
Desmont



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
redwhiterus
большое спасибо за подсказку, выдало ошибку
error 65: unknown port ``27000-27015'' (win32: 11004)
 
Поставил вместо правила:
 
add allow udp from any to any 1200,27000-27015 keep-state
это
add allow udp from any to any 27000-27015,1200 keep-state
 Видимо он не понимает сначала один порт , а потом диапазон

Всего записей: 171 | Зарегистр. 04-07-2006 | Отправлено: 00:26 18-07-2008 | Исправлено: Desmont, 11:51 18-07-2008
ffvvvv2



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, а редиректа портов wipfw до сих пор не умеет?

Всего записей: 351 | Зарегистр. 04-11-2004 | Отправлено: 19:06 30-10-2008
dariusii



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А что случилось с ресурсом virushelper.net? кто-нибудь знает? Он переехал, или что?

Всего записей: 2392 | Зарегистр. 08-11-2003 | Отправлено: 12:37 20-11-2008 | Исправлено: dariusii, 12:51 20-11-2008
Desmont



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ffvvvv2
 
Нет, не умеет, планировалось в новых версиях, но что-то развитие проекта остановилось

Всего записей: 171 | Зарегистр. 04-07-2006 | Отправлено: 16:24 29-11-2008
bombording

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
добрый день
Не работают правила фаервола... (( Внутри сети всё нормально. Из вне нет доступа к серверу по ssh и т.д. Где нагрешил?
 
сервер с самой и сквидом. Без домена. две сетевухи.
em0 - WAN 192.168.50.170
xl0 - LAN 192.168.1.1
 
собирал ядро с
 
Код: Выделить всё
ident           ROUTER
makeoptions     DEBUG=-g                # Build kernel with gdb(1) debug symbols
options         IPFIREWALL                        
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPFIREWALL_DEFAULT_TO_ACCEPT  
options         IPDIVERT                      
options         IPFIREWALL_FORWARD            
options         DUMMYNET                    
 
 
 
rc.conf
 
Код: Выделить всё
firewall_enable="YES"
firewall_script="/etc/rules"
firewall_logging="YES"
natd_enable="YES"
natd_interface="em0"
 
 
/etc/rules
 
Код: Выделить всё
#!/bin/sh
 
ipfw -q -f flush
 
cmd=”ipfw -q add”
skip=”skipto 400&#8243;
wanip=”192.168.50.170&#8243; # внешний IP
lannet=”192.168.1.0/24&#8243; # внутренняя сеть
eif=”em0&#8243; # внешний интерфейс
 
$cmd 010 allow all from any to any via em0
 
$cmd 020 allow all from any to any via lo0
 
$cmd 030 deny ip from any to 127.0.0.0/8
$cmd 040 deny ip from 127.0.0.0/8 to any
 
$cmd 050 fwd 127.0.0.1,3129 tcp from $lannet to any 21,80,443,5190 out via $eif
 
$cmd 060 divert natd ip from any to any in via $eif
 
$cmd 070 check-state
 
############## Outgoing ################
 
$cmd 100 $skip icmp from any to any keep-state
 
$cmd 105 $skip udp from any to any 123 out via $eif keep-state
 
$cmd 110 $skip udp from any to any 53 out via $eif keep-state
$cmd 111 $skip tcp from any to any 53 out via $eif setup keep-state
 
$cmd 140 $skip all from $lannet to any 4899 out via $eif setup keep-state
$cmd 150 $skip all from $lannet to any 3389 out via $eif setup keep-state
$cmd 160 $skip all from $lannet to any 25 out via $eif setup keep-state
$cmd 170 $skip all from $lannet to any 110 out via $eif setup keep-state
 
$cmd 190 $skip all from $wanip to any out via $eif setup keep-state
 
############# Incoming ################
 
$cmd 200 deny all from 192.168.0.0/16  to any in via $eif  #RFC 1918 private IP
$cmd 201 deny all from 172.16.0.0/12   to any in via $eif  #RFC 1918 private IP
$cmd 202 deny all from 10.0.0.0/8      to any in via $eif  #RFC 1918 private IP
$cmd 203 deny all from 127.0.0.0/8     to any in via $eif  #loopback
$cmd 204 deny all from 0.0.0.0/8       to any in via $eif  #loopback
$cmd 205 deny all from 169.254.0.0/16  to any in via $eif  #DHCP auto-config
$cmd 206 deny all from 192.0.2.0/24    to any in via $eif  #reserved for docs
$cmd 207 deny all from 204.152.64.0/23 to any in via $eif  #Sun cluster
$cmd 208 deny all from 224.0.0.0/3     to any in via $eif  #Class D & E multicast
 
$cmd 215 deny tcp from any to any 113 in via $eif
 
$cmd 220 deny tcp from any to any 137 in via $eif
$cmd 221 deny tcp from any to any 138 in via $eif
$cmd 222 deny tcp from any to any 139 in via $eif
$cmd 223 deny tcp from any to any 81  in via $eif
 
$cmd 300 allow icmp from any to $wanip in via $eif icmptypes 0,8,11 limit src-addr 2
 
$cmd 310 allow tcp from any to $wanip 80 in via $eif setup limit src-addr 2
 
$cmd 320 allow tcp from any to $wanip 22 in via $eif setup limit src-addr 2
 
$cmd 330 allow tcp from any to $wanip 25 in via $eif setup limit src-addr 2
 
$cmd 340 allow tcp from any to $wanip 110 in via $eif setup limit src-addr 2
 
$cmd 350 allow tcp from any to $wanip 4899 in via $eif setup limit src-addr 2
 
$cmd 360 allow all from any to any established
 
########### Final ###############
$cmd 399 deny log all from any to any
$cmd 400 divert natd ip from any to any out via $eif
$cmd 410 allow all from any to any
$cmd 999 deny log all from any to any

Всего записей: 162 | Зарегистр. 20-07-2007 | Отправлено: 17:53 01-12-2008
Desmont



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bombording
 
А демон SSH запущен, проверь в процессах
 
top
ps -ax | grep ssh  
 
В rc.conf пропиши ssh
 
sshd_enable="YES" что бы при загрузке стартовал
 
Снаружи идет на железку все порты открыты? Юзер на Фре , под которым пробуешь залогиниться должен быть в группе whell  

Всего записей: 171 | Зарегистр. 04-07-2006 | Отправлено: 17:32 10-12-2008
izenkool

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, а кто знает, виндовый порт умеет фильтровать по пользователю(uid)?

Всего записей: 1 | Зарегистр. 13-12-2008 | Отправлено: 02:15 13-12-2008
asd777



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
народ подскажите как wipfw научить логи писать в место отличное от %systemroot%/system32/security/logs
 
???

Всего записей: 134 | Зарегистр. 28-09-2004 | Отправлено: 15:38 18-12-2008 | Исправлено: asd777, 16:39 18-12-2008
SysCommander

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Подскажите, а редиректа портов wipfw до сих пор не умеет?

 
port forwarding и NAT делаются тривиально виндовыми средствами (netsh)
 

Всего записей: 421 | Зарегистр. 20-07-2007 | Отправлено: 16:23 20-12-2008
franchisement



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Нужно заблочить диапазон IP: 10.10.x.x Какой синтаксис?

Всего записей: 364 | Зарегистр. 21-09-2004 | Отправлено: 10:20 25-12-2008
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9

Компьютерный форум Ru.Board » Компьютеры » Программы » WIPFW / IPFW


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru