|
| ipf til FreeBSD 4.3 Fra : Dennis Pedersen |
Dato : 13-07-01 18:21 |
|
Er nogen der kender til om det er muligt på en eller anden genial måde at
kombinere dummynet fra ipfw til ipf?
Fordi jeg har været ved at rode med ipfw som en blokerende fw hvor jeg
styrer hvad der kommer ud/ind men er løbet alvorligt i en mur med hensyn til
ftp. Det vil med vold og magt simpelthen bare IKKE virke :(
Jeg har ladet mig høre at ipf derimod har et ftp 'modul' der kan loades
hvorefter det virker (nogen der kender nogle sider med gode hints til den i
øvrigt?)
Men jeg vil helst ikke miste muligheden for at kunne bruge dummynet. Er
dette muligt eller?
/Dennis
| |
Jesper Skriver (15-07-2001)
| Kommentar Fra : Jesper Skriver |
Dato : 15-07-01 21:36 |
|
On Fri, 13 Jul 2001 19:20:43 +0200, Dennis Pedersen wrote:
>Er nogen der kender til om det er muligt på en eller anden genial måde at
>kombinere dummynet fra ipfw til ipf?
Jeg er ret sikker på at det er enten ipfw (evt. med dummynet)
eller ipf.
--
Jesper Skriver, CCIE #5456
FreeBSD committer
| |
Dennis Pedersen (15-07-2001)
| Kommentar Fra : Dennis Pedersen |
Dato : 15-07-01 21:57 |
|
"Jesper Skriver" <harvest@wheel.dk> wrote in message
news:slrn9l3vlj.1le2.harvest@freesbee.wheel.dk...
> On Fri, 13 Jul 2001 19:20:43 +0200, Dennis Pedersen wrote:
> >Er nogen der kender til om det er muligt på en eller anden genial måde at
> >kombinere dummynet fra ipfw til ipf?
>
> Jeg er ret sikker på at det er enten ipfw (evt. med dummynet)
> eller ipf.
Ævs :(
Der er ikke nogen løsning til hvordan jeg får ftp igennem med en deny ip
from any to any til sidst?
Jeg har søgt med lys og lygte men har ej kunne finde noget der minder om en
løsning der kan virke :(
/Dennis
| |
Jesper Skriver (15-07-2001)
| Kommentar Fra : Jesper Skriver |
Dato : 15-07-01 22:13 |
|
On Sun, 15 Jul 2001 22:56:45 +0200, Dennis Pedersen wrote:
>
>"Jesper Skriver" <harvest@wheel.dk> wrote in message
>news:slrn9l3vlj.1le2.harvest@freesbee.wheel.dk...
>> On Fri, 13 Jul 2001 19:20:43 +0200, Dennis Pedersen wrote:
>> >Er nogen der kender til om det er muligt på en eller anden genial måde at
>> >kombinere dummynet fra ipfw til ipf?
>>
>> Jeg er ret sikker på at det er enten ipfw (evt. med dummynet)
>> eller ipf.
>
>Ævs :(
>Der er ikke nogen løsning til hvordan jeg får ftp igennem med en deny ip
>from any to any til sidst?
>Jeg har søgt med lys og lygte men har ej kunne finde noget der minder om en
>løsning der kan virke :(
I hvilken retning ?
Hvis det er udgående, så skulle passiv ftp klare det, og
indkommende så skulle der ikke være noget problem hvis folk
bruger aktiv ftp, da din server så åbner forbindelsen tilbage
til folk.
--
Jesper Skriver, CCIE #5456
FreeBSD committer
| |
Dennis Pedersen (15-07-2001)
| Kommentar Fra : Dennis Pedersen |
Dato : 15-07-01 22:24 |
|
"Jesper Skriver" <harvest@wheel.dk> wrote in message
news:slrn9l41r2.1m8m.harvest@freesbee.wheel.dk...
> On Sun, 15 Jul 2001 22:56:45 +0200, Dennis Pedersen wrote:
> >
> >"Jesper Skriver" <harvest@wheel.dk> wrote in message
> >news:slrn9l3vlj.1le2.harvest@freesbee.wheel.dk...
> >> On Fri, 13 Jul 2001 19:20:43 +0200, Dennis Pedersen wrote:
> >> >Er nogen der kender til om det er muligt på en eller anden genial måde
at
> >> >kombinere dummynet fra ipfw til ipf?
> >>
> >> Jeg er ret sikker på at det er enten ipfw (evt. med dummynet)
> >> eller ipf.
> >
> >Ævs :(
> >Der er ikke nogen løsning til hvordan jeg får ftp igennem med en deny ip
> >from any to any til sidst?
> >Jeg har søgt med lys og lygte men har ej kunne finde noget der minder om
en
> >løsning der kan virke :(
>
> I hvilken retning ?
>
> Hvis det er udgående, så skulle passiv ftp klare det, og
> indkommende så skulle der ikke være noget problem hvis folk
> bruger aktiv ftp,
Udgående.
Jeg har en any any 21 setup , any any 20 setup samt any 20 to any
30000-63000, any 20 to any 1024-4096 setup
Men det *vil* bare ikke virke..
Maskinen er sat op til bridge mellem de 2 nics hvor jeg har internet på den
ene side og lan på den anden..
/Dennis
| |
Jesper Skriver (15-07-2001)
| Kommentar Fra : Jesper Skriver |
Dato : 15-07-01 23:36 |
|
On Sun, 15 Jul 2001 23:24:07 +0200, Dennis Pedersen wrote:
>
>"Jesper Skriver" <harvest@wheel.dk> wrote in message
>news:slrn9l41r2.1m8m.harvest@freesbee.wheel.dk...
>>
>> I hvilken retning ?
>>
>> Hvis det er udgående, så skulle passiv ftp klare det, og
>> indkommende så skulle der ikke være noget problem hvis folk
>> bruger aktiv ftp,
>
>Udgående.
Så skal passiv ftp virke, blot du tillader alle udgående
sessioner.
>Jeg har en any any 21 setup , any any 20 setup samt any 20 to any
>30000-63000, any 20 to any 1024-4096 setup
Hvis det er det indgående filter, så er der ingen grund til at
tillade indgående connection til tcp/20 eller tcp/21
Du skal tillade alle udgående tcp sessioner (med keepstate).
--
Jesper Skriver, CCIE #5456
FreeBSD committer
| |
Dennis Pedersen (15-07-2001)
| Kommentar Fra : Dennis Pedersen |
Dato : 15-07-01 23:48 |
|
"Jesper Skriver" <harvest@wheel.dk> wrote in message
news:slrn9l46n5.1mon.harvest@freesbee.wheel.dk...
> On Sun, 15 Jul 2001 23:24:07 +0200, Dennis Pedersen wrote:
> >
> >"Jesper Skriver" <harvest@wheel.dk> wrote in message
> >news:slrn9l41r2.1m8m.harvest@freesbee.wheel.dk...
> >>
> >> I hvilken retning ?
> >>
> >> Hvis det er udgående, så skulle passiv ftp klare det, og
> >> indkommende så skulle der ikke være noget problem hvis folk
> >> bruger aktiv ftp,
> >
> >Udgående.
>
> Så skal passiv ftp virke, blot du tillader alle udgående
> sessioner.
Problemet er at jeg ikke ønsker at tillade ALT udgående trafik men kun
www,dns,ftp,icq,irc intet mere..
Mit store problemer ftp (resten virker som det skal)
/Dennis
| |
Jesper Skriver (15-07-2001)
| Kommentar Fra : Jesper Skriver |
Dato : 15-07-01 23:52 |
|
On Mon, 16 Jul 2001 00:48:26 +0200, Dennis Pedersen wrote:
>
>"Jesper Skriver" <harvest@wheel.dk> wrote in message
>news:slrn9l46n5.1mon.harvest@freesbee.wheel.dk...
>> On Sun, 15 Jul 2001 23:24:07 +0200, Dennis Pedersen wrote:
>> >
>> >"Jesper Skriver" <harvest@wheel.dk> wrote in message
>> >news:slrn9l41r2.1m8m.harvest@freesbee.wheel.dk...
>> >>
>> >> I hvilken retning ?
>> >>
>> >> Hvis det er udgående, så skulle passiv ftp klare det, og
>> >> indkommende så skulle der ikke være noget problem hvis folk
>> >> bruger aktiv ftp,
>> >
>> >Udgående.
>>
>> Så skal passiv ftp virke, blot du tillader alle udgående
>> sessioner.
>
>Problemet er at jeg ikke ønsker at tillade ALT udgående trafik men kun
>www,dns,ftp,icq,irc intet mere..
Hvorfor dog ikke det ?
>Mit store problemer ftp (resten virker som det skal)
Det får du ikke til at virke så, medmindre du finder noget
som forstår ftp, dvs. udfra kontrol sessionen kan se hvilke
porte der bruges af data sessionen.
--
Jesper Skriver, CCIE #5456
FreeBSD committer
| |
Dennis Pedersen (15-07-2001)
| Kommentar Fra : Dennis Pedersen |
Dato : 15-07-01 23:55 |
|
"Jesper Skriver" <harvest@wheel.dk> wrote in message
news:slrn9l47jk.1mrd.harvest@freesbee.wheel.dk...
> On Mon, 16 Jul 2001 00:48:26 +0200, Dennis Pedersen wrote:
> >
> >"Jesper Skriver" <harvest@wheel.dk> wrote in message
> >news:slrn9l46n5.1mon.harvest@freesbee.wheel.dk...
> >> On Sun, 15 Jul 2001 23:24:07 +0200, Dennis Pedersen wrote:
> >> >
> >> >"Jesper Skriver" <harvest@wheel.dk> wrote in message
> >> >news:slrn9l41r2.1m8m.harvest@freesbee.wheel.dk...
> >> >>
> >> >> I hvilken retning ?
> >> >>
> >> >> Hvis det er udgående, så skulle passiv ftp klare det, og
> >> >> indkommende så skulle der ikke være noget problem hvis folk
> >> >> bruger aktiv ftp,
> >> >
> >> >Udgående.
> >>
> >> Så skal passiv ftp virke, blot du tillader alle udgående
> >> sessioner.
> >
> >Problemet er at jeg ikke ønsker at tillade ALT udgående trafik men kun
> >www,dns,ftp,icq,irc intet mere..
>
> Hvorfor dog ikke det ?
Fordi maskinen skal ergere firewall til et computer party hvor den skal
sortere det værste snavs væk
> >Mit store problemer ftp (resten virker som det skal)
>
> Det får du ikke til at virke så, medmindre du finder noget
> som forstår ftp, dvs. udfra kontrol sessionen kan se hvilke
> porte der bruges af data sessionen.
ævs
Findes der andre alternativer ind ipf så? (hvor i øvrigt kan jeg finde noget
om den , der er ikke rigtigt noget hvis jeg søger i håndbogen (?))
/Dennis
| |
Jesper Skriver (16-07-2001)
| Kommentar Fra : Jesper Skriver |
Dato : 16-07-01 00:26 |
|
On Mon, 16 Jul 2001 00:54:57 +0200, Dennis Pedersen wrote:
>> >> >Udgående.
>> >>
>> >> Så skal passiv ftp virke, blot du tillader alle udgående
>> >> sessioner.
>> >
>> >Problemet er at jeg ikke ønsker at tillade ALT udgående trafik men kun
>> >www,dns,ftp,icq,irc intet mere..
>>
>> Hvorfor dog ikke det ?
>
>Fordi maskinen skal ergere firewall til et computer party hvor den skal
>sortere det værste snavs væk
Det er højst security by obscurity, og hvorfor tillader du ikke
ting som telnet/ssh ?
>> >Mit store problemer ftp (resten virker som det skal)
>>
>> Det får du ikke til at virke så, medmindre du finder noget
>> som forstår ftp, dvs. udfra kontrol sessionen kan se hvilke
>> porte der bruges af data sessionen.
>
>ævs
>Findes der andre alternativer ind ipf så?
Jeg ved ikke hvad de gratis firewall's kan mht. ftp.
--
Jesper Skriver, CCIE #5456
FreeBSD committer
| |
Rasmus Bøg Hansen (16-07-2001)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 16-07-01 00:33 |
|
| |
|
|