[ LUGOS ] ipfwadm - zapiranje porta
Bostjan Mercun
bostjan.mercun na kiss.uni-lj.si
Tor Mar 23 19:29:20 CET 1999
Zivjo
Simon 'Zekar wrote:
>
> oj...
>
> Zanima me, kako bi z ipfwadm (kernel 2.0.36) postavil taksen "rule", ki bi
> maskiral vse razen dolocenega porta. Masquarading ze tece, ampak rad bi
> zaprl samo dolocene porte. Prosil bil za konkretni primer.
>
> Hvala !
>
> Lep pozdrav !
Ce hoces zapreti samo nekaj (ali enega) portov, potem najprej vse odpres potem pa
"prepovedane" zapres.
Recimo:
Ce se nimas nobenih pravil dolocenih, potem se splaca prej napisati
ipfwadm -F -f
-F pomeni da bos spreminjal pravila za forwarding, -f pomeni pa flush. Ce imas ze kaksna
pravila, potem tega ne napisati, ker bo slo vse po gobe.
ipfwadm -F -p accept
Tale vrstica ti default policy postavi na accept. Potem reces pa
ipfwadm -F -a deny -P tcp -S 0/0 -D 192.168.0.0/24 1
Kar pomeni, da zapres port 1 za protokol tcp ce prihaja s kjerkoli in gre na lokalno
mrezo. Protokol je lahko se udp ali icmp, pri -S (source) in -D (destination) opcijo pises
IP-je kakor jih pac rabis, /24 je netmask, kar pomeni, da je prvih 24 bitov postavljenih
na 1-trije byti (255.255.255.0) na koncu je pa se port. Ce hoces zapreti vec portov jih na
koncu dodajas enega za drugim in locis s presledki, lahko pa tudi locis z dvopicjem kar
pomeni od... do recimo 1024:65536. -a pomeni "add policy". Pravilo lahko tudi brises,
vrines, dodas...
V /etc/services si poglej, kateri servisi rabijo katere porte. Ce bos zaprl prevec portov
nekatere stvari ne bojo vec delale. Namesto stevilk lahko tudi pises imena servisov, ki na
tistih portih laufajo. Seveda iz /etc/services file-a. Ce se le ne motim. Tudi ko bos
napisal ipfwadm -F -l bodo tam imena ftp, www, ne pa 21, 80...
Vse to ti zelo lepo pise tudi v man page od ipfwadm in v NET-3 howto.
lp
Bostjan
P.S. Bolj varno je pa, ce najprej vse porte zapres, potem pa odpiras tiste, ki jih
uporabniki potrebujejo. Za povprecnega uporabnika odpres par portov (manj kot 10) za tcp
in se DNS za udp in stvar normalno dela.
Dodatne informacije o seznamu Starilist