---

Jeg står overfor at skulle have skruet en ipfw sammen i forbindelse med der
skal en stor dum fw på en 2mbit forbindelse.
Derfor skal jeg have lavet nogle regler der gør at f.eks de første
20ipadresser i et givent område de har fuld adgang ind og ud , hvor resten
af adresserne de skal være underlagt nogle ret strikse regler (der skal
faktisk kun være åben for port 80 udgående)
Nogen der har en idé til hvordan jeg konstruerer det smartest?
Ydermere så skal alt indgående trafik logges. I fbsd håndbogen der står at
man skal tænke sig godt om hvis man ønsker at logge alt indgående. Så er det
jeg gerne vil vide hvad der skal til af maskinkraft før at der ikke kommer
mærkbar forsinkelse på? (Her er det så taget for givet der er åbnet for
noget mere end port 80 udgående)



/Dennis

---

Dennis Pedersen wrote:

> Jeg står overfor at skulle have skruet en ipfw sammen i forbindelse med der
> skal en stor dum fw på en 2mbit forbindelse.
> Derfor skal jeg have lavet nogle regler der gør at f.eks de første
> 20ipadresser i et givent område de har fuld adgang ind og ud , hvor resten
> af adresserne de skal være underlagt nogle ret strikse regler (der skal
> faktisk kun være åben for port 80 udgående)

Noget ala:

00001 allow ip from 123.123.123.1 to any
....
00020 allow ip from 123.123.123.20 to any

00101 allow ip from any to 123.123.123.1
....
00120 allow ip from any to 123.123.123.20

00200 allow tcp from 123.123.123/24 to any 80
65535 deny ip from any to any

Det er nok smartere at specificere en CIDR-net istedet for 40 regler for
de første 20 maskiner (f.eks 123.123.123.0/27 for de første 32
adresser). Se evt. RFC 1872.

> Nogen der har en idé til hvordan jeg konstruerer det smartest?
> Ydermere så skal alt indgående trafik logges. I fbsd håndbogen der står at
> man skal tænke sig godt om hvis man ønsker at logge alt indgående. Så er det
> jeg gerne vil vide hvad der skal til af maskinkraft før at der ikke kommer
> mærkbar forsinkelse på? (Her er det så taget for givet der er åbnet for
> noget mere end port 80 udgående)

En god storage-båndbredde og -kapacitet i det mindste. Hvis du logger
alt er det i princippet let at lave DoS mod dig.

--
Hroi Sigurdsson
Fried ice cream is a reality! -- George Clinton

---

"Hroi Sigurdsson" <hroi@asdf.dk> wrote in message
news:3B1AE7FA.AF4FCA36@asdf.dk...
> Dennis Pedersen wrote:
>
> > Jeg står overfor at skulle have skruet en ipfw sammen i forbindelse med
der
> > skal en stor dum fw på en 2mbit forbindelse.
> > Derfor skal jeg have lavet nogle regler der gør at f.eks de første
> > 20ipadresser i et givent område de har fuld adgang ind og ud , hvor
resten
> > af adresserne de skal være underlagt nogle ret strikse regler (der skal
> > faktisk kun være åben for port 80 udgående)
>
> Noget ala:
>
> 00001 allow ip from 123.123.123.1 to any
> ...
> 00020 allow ip from 123.123.123.20 to any

Dvs så finder den selv ud af den skal tage alt der imellem hvis der er 3
punktummer?

> Det er nok smartere at specificere en CIDR-net istedet for 40 regler for
> de første 20 maskiner (f.eks 123.123.123.0/27 for de første 32
> adresser). Se evt. RFC 1872.

Det var self en mulighed

>
> > Nogen der har en idé til hvordan jeg konstruerer det smartest?
> > Ydermere så skal alt indgående trafik logges. I fbsd håndbogen der står
at
> > man skal tænke sig godt om hvis man ønsker at logge alt indgående. Så er
det
> > jeg gerne vil vide hvad der skal til af maskinkraft før at der ikke
kommer
> > mærkbar forsinkelse på? (Her er det så taget for givet der er åbnet for
> > noget mere end port 80 udgående)
>
> En god storage-båndbredde og -kapacitet i det mindste. Hvis du logger
> alt er det i princippet let at lave DoS mod dig.

Ja det er rigtigt, men det er fordi det er i forbindelse med noget computer
party og der har engang været bøvl med der var en der skulle prøve at hacke
et firm i USA , der fik vi en abuse fra det pågældende firma så i fremtiden
skulle vi gerne kunne bevise med sikkerhed at det lige præcis var ham, ham
og ham der lavede noget snavs (kan man egentaget få ipfw til at slå MAC'en
op og lagre den istedet for ip?)

/Dennis

---

On Mon, 4 Jun 2001 21:33:35 +0200, Dennis Pedersen wrote:
>
>"Hroi Sigurdsson" <hroi@asdf.dk> wrote in message
>news:3B1AE7FA.AF4FCA36@asdf.dk...
>> Dennis Pedersen wrote:
>>
>> > Jeg står overfor at skulle have skruet en ipfw sammen i forbindelse med der
>> > skal en stor dum fw på en 2mbit forbindelse.
>> > Derfor skal jeg have lavet nogle regler der gør at f.eks de første
>> > 20ipadresser i et givent område de har fuld adgang ind og ud , hvor resten
>> > af adresserne de skal være underlagt nogle ret strikse regler (der skal
>> > faktisk kun være åben for port 80 udgående)
>>
>> Noget ala:
>>
>> 00001 allow ip from 123.123.123.1 to any
>> ...
>> 00020 allow ip from 123.123.123.20 to any
>
>Dvs så finder den selv ud af den skal tage alt der imellem hvis der er 3
>punktummer?

Nej, det overlades til læseren.

>> Det er nok smartere at specificere en CIDR-net istedet for 40 regler for
>> de første 20 maskiner (f.eks 123.123.123.0/27 for de første 32
>> adresser). Se evt. RFC 1872.
>
>Det var self en mulighed

Hvis 20 er et helligt tal for dig, så kan du bruge

x.x.x.0/28
x.x.x.16/30

>> > Nogen der har en idé til hvordan jeg konstruerer det smartest?
>> > Ydermere så skal alt indgående trafik logges. I fbsd håndbogen der står at
>> > man skal tænke sig godt om hvis man ønsker at logge alt indgående. Så er det
>> > jeg gerne vil vide hvad der skal til af maskinkraft før at der ikke kommer
>> > mærkbar forsinkelse på? (Her er det så taget for givet der er åbnet for
>> > noget mere end port 80 udgående)
>>
>> En god storage-båndbredde og -kapacitet i det mindste. Hvis du logger
>> alt er det i princippet let at lave DoS mod dig.
>
>Ja det er rigtigt, men det er fordi det er i forbindelse med noget computer
>party og der har engang været bøvl med der var en der skulle prøve at hacke
>et firm i USA , der fik vi en abuse fra det pågældende firma så i fremtiden
>skulle vi gerne kunne bevise med sikkerhed at det lige præcis var ham, ham
>og ham der lavede noget snavs (kan man egentaget få ipfw til at slå MAC'en
>op og lagre den istedet for ip?)

Giver ingen mening, mac adressen vil være din routers mac adresse.

--
Jesper Skriver, CCIE #5456
FreeBSD committer

---

"Jesper Skriver" <jesper@wheel.dk> wrote in message
news:slrn9ho1h0.1sde.jesper@freesbee.wheel.dk...
> On Mon, 4 Jun 2001 21:33:35 +0200, Dennis Pedersen wrote:
> >
> >"Hroi Sigurdsson" <hroi@asdf.dk> wrote in message
> >news:3B1AE7FA.AF4FCA36@asdf.dk...
> >> Dennis Pedersen wrote:
> >>
> >> > Jeg står overfor at skulle have skruet en ipfw sammen i forbindelse
med der
> >> > skal en stor dum fw på en 2mbit forbindelse.
> >> > Derfor skal jeg have lavet nogle regler der gør at f.eks de første
> >> > 20ipadresser i et givent område de har fuld adgang ind og ud , hvor
resten
> >> > af adresserne de skal være underlagt nogle ret strikse regler (der
skal
> >> > faktisk kun være åben for port 80 udgående)
> >>
> >> Noget ala:
> >>
> >> 00001 allow ip from 123.123.123.1 to any
> >> ...
> >> 00020 allow ip from 123.123.123.20 to any
> >
> >Dvs så finder den selv ud af den skal tage alt der imellem hvis der er 3
> >punktummer?
>
> Nej, det overlades til læseren.

Dammit, jeg håberen liiige på ipfw var lidt smart på det punkt..

> >> Det er nok smartere at specificere en CIDR-net istedet for 40 regler
for
> >> de første 20 maskiner (f.eks 123.123.123.0/27 for de første 32
> >> adresser). Se evt. RFC 1872.
> >
> >Det var self en mulighed
>
> Hvis 20 er et helligt tal for dig, så kan du bruge

Det er det ikke - det var bare et cirka så jeg vil prøve ovenstående :)

> >> > Nogen der har en idé til hvordan jeg konstruerer det smartest?
> >> > Ydermere så skal alt indgående trafik logges. I fbsd håndbogen der
står at
> >> > man skal tænke sig godt om hvis man ønsker at logge alt indgående. Så
er det
> >> > jeg gerne vil vide hvad der skal til af maskinkraft før at der ikke
kommer
> >> > mærkbar forsinkelse på? (Her er det så taget for givet der er åbnet
for
> >> > noget mere end port 80 udgående)
> >>
> >> En god storage-båndbredde og -kapacitet i det mindste. Hvis du logger
> >> alt er det i princippet let at lave DoS mod dig.
> >
> >Ja det er rigtigt, men det er fordi det er i forbindelse med noget
computer
> >party og der har engang været bøvl med der var en der skulle prøve at
hacke
> >et firm i USA , der fik vi en abuse fra det pågældende firma så i
fremtiden
> >skulle vi gerne kunne bevise med sikkerhed at det lige præcis var ham,
ham
> >og ham der lavede noget snavs (kan man egentaget få ipfw til at slå
MAC'en
> >op og lagre den istedet for ip?)
>
> Giver ingen mening, mac adressen vil være din routers mac adresse.

jae det kan jeg godt se, men hvordan sikrer jeg mig så at den ip add der er
logget den i virkligheden tilhører person x , at det i virkligheden ikke er
person y's ip han har snuppet mens hans computer var slukket - lavet noget
lort og hoppet tilbage på sin egen ip?

/Dennis

---

On Tue, 5 Jun 2001 00:21:30 +0200, Dennis Pedersen wrote:
>> Nej, det overlades til læseren.
>
>Dammit, jeg håberen liiige på ipfw var lidt smart på det punkt..

Så brug dog CIDR notation, alt andet er tåbeligt.

>> >(kan man egentaget få ipfw til at slå MAC'en op og lagre den istedet for ip?)
>>
>> Giver ingen mening, mac adressen vil være din routers mac adresse.
>
>jae det kan jeg godt se, men hvordan sikrer jeg mig så at den ip add der er
>logget den i virkligheden tilhører person x , at det i virkligheden ikke er
>person y's ip han har snuppet mens hans computer var slukket - lavet noget
>lort og hoppet tilbage på sin egen ip?

Det kan du ikke.

--
Jesper Skriver, CCIE #5456
FreeBSD committer

---

Jesper Skriver wrote:

> Det kan du ikke.

Hvis firewall og maskiner er direkte forbundne, jo (kan man ikke
filtrere på mac?). Men så kan man jo bare spoofe MAC-adressen..
Måske det var en ide at kigge på arpwatch (som selvf. skal lytte på
maskinernes ethernet, ikke firewallens) hvis man mistænker folk for at
ville spoofe ip.

--
Hroi Sigurdsson
Fried ice cream is a reality! -- George Clinton

---

"Dennis Pedersen" <mig@NOSPAMjyde.dk> writes:


>jae det kan jeg godt se, men hvordan sikrer jeg mig så at den ip add der er
>logget den i virkligheden tilhører person x , at det i virkligheden ikke er
>person y's ip han har snuppet mens hans computer var slukket - lavet noget
>lort og hoppet tilbage på sin egen ip?

arpwatch kan bruges til at logge sammenhængen mellem ip og MAC.
Men det skulle ikke være så svært at skifte MAC addr...
Eller man kan lave statisk arp.
/hjj

---

Lav to subnets
(eks. 192.168.10.0/24 & 192.168.20.0/24)
Sæt en server med to netkort op for hvert subnet, sæt dem sammen med en
HUB/Switch, og sæt din FBSD FW på samme, således at dit netværk ser således
ud:
(De to subnets, indikerer adresse på hver interface for sig)

Server_1 : LAN1(192.168.10.1/24) || ServerLAN(192.168.30.2/24)
Server_2 : LAN2(192.168.20.1/24) || ServerLAN(192.168.30.3/24)
FW : ServerLAN (192.168.30.1/24) || Outside(192.168.1.2/24)
Router(fra ISP): Outside(192.168.1.1/24) || ISP(tildelt fra din ISP)

Server_1 skal side til en switch eller HUB på hver interface
Server_2 skal side til en switch eller HUB på hver interface
FW side på en switch på ServerLAN interfacen, og direkte til din ISPs router
på den anden, evt kan du lave NAT på denne interface, så kan din ISP ikke
umiddelbart se andet end at al trafik kommer fra en maskine(FW)

evt kan du indsætte en ekstra FW som bastion-host således at dit netværk får
endnu et subnet

---------
LAN1 + LAN2
---------
ServerLAN
---------
Perimeter
---------
Outside
---------
ISP

Din bastion host kører så også IPFW + proxy-software, sådan er det mere
sikkert end med bare en maskine, din inderste FW behøver ikke være mere end
f.eks. en 486 med to netkort.
Det kræver lidt mere at sætte regler om routing (statisk routes),
proxy-services, og IP-filter regler op, men hold tungen lige i munden og så
er det ikke så slemt - evt kan du købe bogen "Building Internet Firewalls"
fra O´Reilly (fås hos amazon.com) - og så har du en god bog som også kan
bruges som opslagsværk.
På indersiden kan du så eksempelvis bruge SAMBA til logon og
fil/printer-server mellem de to LAN-subnets.

Denne løsning kan faktisk laves for UTROLIG få midler, og endvidere har du
rigtig god kontrol med hvad der foregår på dit netværk - både lokalt og til
omverdenen.

NB. Du behøver ikke bruge de samme IP-subnets/adresser som angivet, du kan
bare tilpasse dem efter behov/smag, bare husk at bruge reserverede private
adresser.


MVH

Christian Bruhn Gufler




"Dennis Pedersen" <mig@NOSPAMjyde.dk> skrev i en meddelelse
news:M2rS6.347$R84.34238@news010.worldonline.dk...
> Jeg står overfor at skulle have skruet en ipfw sammen i forbindelse med
der
> skal en stor dum fw på en 2mbit forbindelse.
> Derfor skal jeg have lavet nogle regler der gør at f.eks de første
> 20ipadresser i et givent område de har fuld adgang ind og ud , hvor resten
> af adresserne de skal være underlagt nogle ret strikse regler (der skal
> faktisk kun være åben for port 80 udgående)
> Nogen der har en idé til hvordan jeg konstruerer det smartest?
> Ydermere så skal alt indgående trafik logges. I fbsd håndbogen der står at
> man skal tænke sig godt om hvis man ønsker at logge alt indgående. Så er
det
> jeg gerne vil vide hvad der skal til af maskinkraft før at der ikke kommer
> mærkbar forsinkelse på? (Her er det så taget for givet der er åbnet for
> noget mere end port 80 udgående)
>
>
>
> /Dennis
>
>

---

"Christian Bruhn Gufler" <cbg@mfd.dk> wrote in message
news:3b1c9f50$0$5264$4d4eb98e@news.dk.uu.net...
> Lav to subnets
> (eks. 192.168.10.0/24 & 192.168.20.0/24)

Jae, men jeg ville jo gerne udnytte den /24 vi har fået tildelt (for at
undgå bøvl med ICQ,IRC osv).
Jeg har været ved at forsøge på at få FBSD til at virke som bridge jeg kan
kan it' hit' u' a' et :(
Nogen der lige tilfældigvis ligger inde med en howto omkring det?


/Dennis

---

"Dennis Pedersen" <mig@NOSPAMjyde.dk> wrote in message
news:b94T6.3198$R84.569345@news010.worldonline.dk...
> Jeg har været ved at forsøge på at få FBSD til at virke som bridge jeg kan
> kan it' hit' u' a' et :(
> Nogen der lige tilfældigvis ligger inde med en howto omkring det?

Et lille kig på
http://www.freebsd.org/doc/en_US.ISO_8859-1/books/handbook/bridging.html
løste alle mine problemer og det virker nu :)

/Dennis

---

Du kan jo bare lave lokale subnets (som beskrevet) og så NAT´e de adresser
der skal være eksterne i din router/firewall.
Det er faktisk også mere sikkert, idet de andre maskiner så kun har lokale
IP-adresser.

MVH
Christian Gufler

"Dennis Pedersen" <mig@NOSPAMjyde.dk> skrev i en meddelelse
news:b94T6.3198$R84.569345@news010.worldonline.dk...
>
> "Christian Bruhn Gufler" <cbg@mfd.dk> wrote in message
> news:3b1c9f50$0$5264$4d4eb98e@news.dk.uu.net...
> > Lav to subnets
> > (eks. 192.168.10.0/24 & 192.168.20.0/24)
>
> Jae, men jeg ville jo gerne udnytte den /24 vi har fået tildelt (for at
> undgå bøvl med ICQ,IRC osv).
> Jeg har været ved at forsøge på at få FBSD til at virke som bridge jeg kan
> kan it' hit' u' a' et :(
> Nogen der lige tilfældigvis ligger inde med en howto omkring det?
>
>
> /Dennis
>
>

---

Jeg har indlagt et svar på gruppen, som fungerer godt for mig.

Du er velkommen til at maile mig hvis du har spørgsmål.


MVH
Christian Gufler


"Dennis Pedersen" <mig@NOSPAMjyde.dk> skrev i en meddelelse
news:M2rS6.347$R84.34238@news010.worldonline.dk...
> Jeg står overfor at skulle have skruet en ipfw sammen i forbindelse med
der
> skal en stor dum fw på en 2mbit forbindelse.
> Derfor skal jeg have lavet nogle regler der gør at f.eks de første
> 20ipadresser i et givent område de har fuld adgang ind og ud , hvor resten
> af adresserne de skal være underlagt nogle ret strikse regler (der skal
> faktisk kun være åben for port 80 udgående)
> Nogen der har en idé til hvordan jeg konstruerer det smartest?
> Ydermere så skal alt indgående trafik logges. I fbsd håndbogen der står at
> man skal tænke sig godt om hvis man ønsker at logge alt indgående. Så er
det
> jeg gerne vil vide hvad der skal til af maskinkraft før at der ikke kommer
> mærkbar forsinkelse på? (Her er det så taget for givet der er åbnet for
> noget mere end port 80 udgående)
>
>
>
> /Dennis
>
>

---

skulle have været en mail


"Christian Bruhn Gufler" <cbg@mfd.dk> skrev i en meddelelse
news:3b1c9fa0$0$5268$4d4eb98e@news.dk.uu.net...
> Jeg har indlagt et svar på gruppen, som fungerer godt for mig.
>
> Du er velkommen til at maile mig hvis du har spørgsmål.
>
>
> MVH
> Christian Gufler
>
>
> "Dennis Pedersen" <mig@NOSPAMjyde.dk> skrev i en meddelelse
> news:M2rS6.347$R84.34238@news010.worldonline.dk...
> > Jeg står overfor at skulle have skruet en ipfw sammen i forbindelse med
> der
> > skal en stor dum fw på en 2mbit forbindelse.
> > Derfor skal jeg have lavet nogle regler der gør at f.eks de første
> > 20ipadresser i et givent område de har fuld adgang ind og ud , hvor
resten
> > af adresserne de skal være underlagt nogle ret strikse regler (der skal
> > faktisk kun være åben for port 80 udgående)
> > Nogen der har en idé til hvordan jeg konstruerer det smartest?
> > Ydermere så skal alt indgående trafik logges. I fbsd håndbogen der står
at
> > man skal tænke sig godt om hvis man ønsker at logge alt indgående. Så er
> det
> > jeg gerne vil vide hvad der skal til af maskinkraft før at der ikke
kommer
> > mærkbar forsinkelse på? (Her er det så taget for givet der er åbnet for
> > noget mere end port 80 udgående)
> >
> >
> >
> > /Dennis
> >
> >
>
>