ipfw-rules

Dieses Thema im Forum "Sicherheit" wurde erstellt von HangLoose, 04.07.2003.

  1. HangLoose

    HangLoose Thread Starter MacUser Mitglied

    Beiträge:
    52
    Zustimmungen:
    0
    MacUser seit:
    06.05.2003
    moin moin

    ich kenne mich zwar ein wenig mit iptables aus, aber mit ipfw sieht es (noch?) mau aus.

    erstmal mein netzaufbau

    PHP:

                                                                          
                                       
    |
                                       |
                                
    Router(linux)
                                       |
                                       |
                                     Switch 
                                       |
                                       |
                          ---------------------
                         |                     |
                         |                     |
                  
    Client(linux)              Ibook

    um eine sichere verbindung zwischen router und ibook zu schaffen, hab ich eine openvpn-tunnel *gegraben*. die verbindung steht auch soweit, kann die beiden tunneldevices jeweils anpingen.

    wo ich jetzt bloß nicht weiter komme, sind die ipfw rules. ich möchte quasi, das auf meinem ibook die gesamte kommunikation über den tunnel läuft, der rest soll gesperrt werden. achso *physikalisch* läuft der verkehr über die airportkarte mittels udp port 5000.

    so sieht mein script bisher aus:

    #erlaube Loopback

    add 1000 allow ip from any to any via lo0


    #erlaube alles über das Tunneldevice

    add 1030 allow ip from 192.168.2.24 to 192.168.2.21 via tun0 out
    add 1040 allow ip from 192.168.2.21 to 192.168.2.24 via tun0 in


    # ueber Airportkarte nur udp 5000 erlauben

    add 2010 allow udp from 192.168.1.4 to 192.168.1.1 5000 via en1 out
    add 2020 allow udp from 192.168.1.1 to 192.168.1.4 5000 via en1 in


    #verbiete den Rest und schreibe sie ins log

    add 3010 deny log all from any to any in
    add 3020 deny log all from any to any out


    wenn ich jetzt allerdings einen scan vom router aus mache, zeigt er mir einen haufen offener ports an.

    nmap -sU 192.168.1.4

    Starting nmap 3.20 ( www.insecure.org/nmap/ ) at 2003-07-04 22:34 CEST
    Interesting ports on ibook.local (192.168.1.4):
    (The 1465 ports scanned but not shown below are in state: closed)
    Port State Service
    53/udp open domain
    123/udp open ntp
    514/udp open syslog
    1023/udp open unknown
    6502/udp open netop-rc

    Nmap run completed -- 1 IP address (1 host up) scanned in 27.844 seconds

    nmap 192.168.1.4


    Starting nmap 3.20 ( www.insecure.org/nmap/ ) at 2003-07-04 22:38 CEST
    Interesting ports on ibook.local (192.168.1.4):
    (The 1607 ports scanned but not shown below are in state: closed)
    Port State Service
    4000/tcp open remoteanything
    6000/tcp open X11
    6502/tcp open netop-rc

    Nmap run completed -- 1 IP address (1 host up) scanned in 27.198 seconds


    ein *filtered* hätte ich ja noch verstanden, aber ein open :confused:


    ich hoffe mir kann jemand weiterhelfen.



    Gruß HL
     
  2. HangLoose

    HangLoose Thread Starter MacUser Mitglied

    Beiträge:
    52
    Zustimmungen:
    0
    MacUser seit:
    06.05.2003
    moin moin

    hm, irgendwie verstehe ich jetzt gar nichts mehr. ich hab jetzt mal probehalber nur 2 deny rules eingebaut.

    [ibook:/Users/rip] rip# ipfw -a l
    01010 0 0 deny ip from any to any
    01110 0 0 deny tcp from any to any out
    65535 0 0 allow ip from any to any

    und komischerweise, kann ich weiter surfen, ssh verbindung starten etc.

    jemand ne idee wie das kommt?


    Gruß HL
     
  3. HangLoose

    HangLoose Thread Starter MacUser Mitglied

    Beiträge:
    52
    Zustimmungen:
    0
    MacUser seit:
    06.05.2003
    moin moin

    so jetzt läuft alles, wie es soll. falls jemanden die regeln interessieren.

    if [ `/usr/sbin/sysctl -n net.inet.ip.fw.verbose` == 0 ] ; then
    /usr/sbin/sysctl -w net.inet.ip.fw.verbose=1
    fi

    #
    # # variables
    #
    fwcmd="/sbin/ipfw" # leave as is if using ipfw

    ###
    # Rules with descriptions
    #
    # Force a flush of the current firewall rules before we reload
    $fwcmd -f flush

    # Allow loop back to work
    $fwcmd add allow all from any to any via lo0

    # Prevent spoofing of loopback
    $fwcmd add deny log all from any to 127.0.0.0/8


    ###
    # User rules:

    $fwcmd add allow all from any to any via tun0
    $fwcmd add allow all from any to any via tun0

    $fwcmd add allow udp from 192.168.1.4 to 192.168.1.1 5000 via en1
    $fwcmd add allow udp from 192.168.1.1 to 192.168.1.4 5000 via en1

    $fwcmd add deny all from any to any via en1
    $fwcmd add deny all from any to any via en1

    #
    #####################################################
    #
    # End firewall script.



    Gruß HL
     
Die Seite wird geladen...
Ähnliche Themen - ipfw rules
  1. qfat
    Antworten:
    0
    Aufrufe:
    569
  2. Handom
    Antworten:
    1
    Aufrufe:
    728
  3. IcedEarth
    Antworten:
    0
    Aufrufe:
    456
  4. outriderx
    Antworten:
    2
    Aufrufe:
    793
  5. pb-titanium
    Antworten:
    5
    Aufrufe:
    461

Diese Seite empfehlen