Likes: 0
20/09/05 19:06
Ik dacht dat ik de firewall goed geconfigureerd had, maar blijkbaar niet. Het is FreeBSD en IPFW. Ik weet de basis, maar ben geen expert.
Server is voor web en te onvangen mail.
Rule 1 allow all van mijn IP
Laatste rules laten alles toe op poort 53, 80 en 25
Allerlaatste rule is deny all.
Maar het probleem is dat ik met een ander IP toegang heb met SSH en FTP en dit is niet de bedoeling. Hoe kan dat?
De firewall is actief uiteraard.
20/09/05 20:10
Post ff je complete configuratiebestand, want zo kunnen we er ook vrij weinig over zeggen.
20/09/05 21:14
Dit zijn al mijn firewall rules. In mijn visie heeft alleen "mijn-ip" volledige toegang. Maar blijkbaar niet.
00001 Allow If source is "mijn-ip"
00100 Allow If passed via lo0
00200 Drop If destination is 127.0.0.0/8
00300 Drop If source is 127.0.0.0/8
65532 Allow If protocol is UDP and destination port is 53
65533 Allow If protocol is TCP and destination port is 80
65534 Allow If protocol is TCP and destination port is 25
65535 Drop Always
20/09/05 21:24
Je gebruikte toch IPFW? Dit zijn geen IPFW rules hoor. Wat geeft het commando "ipfw show"?Origineel geplaatst door WillemP
Dit zijn al mijn firewall rules. In mijn visie heeft alleen "mijn-ip" volledige toegang. Maar blijkbaar niet.
00001 Allow If source is "mijn-ip"
00100 Allow If passed via lo0
00200 Drop If destination is 127.0.0.0/8
00300 Drop If source is 127.0.0.0/8
65532 Allow If protocol is UDP and destination port is 53
65533 Allow If protocol is TCP and destination port is 80
65534 Allow If protocol is TCP and destination port is 25
65535 Drop Always
20/09/05 21:32
Ja hoor IPFW. Alleen mijn IP is vervangen voor "mijn ip" Dit zijn de resultaten :
00001 2044 291832 allow ip from "mijn-ip" to any
00100 192 25592 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
65532 39 2757 allow udp from any to any dst-port 53
65533 84 5288 allow tcp from any to any dst-port 80
65534 0 0 allow tcp from any to any dst-port 25
65535 441736 105590035 allow ip from any to any
20/09/05 21:38
Als ik bovenstaande goed heb gelezen:Origineel geplaatst door WillemP
Ja hoor IPFW. Alleen mijn IP is vervangen voor "mijn ip" Dit zijn de resultaten :
00001 2044 291832 allow ip from "mijn-ip" to any
00100 192 25592 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
65532 39 2757 allow udp from any to any dst-port 53
65533 84 5288 allow tcp from any to any dst-port 80
65534 0 0 allow tcp from any to any dst-port 25
65535 441736 105590035 allow ip from any to any
In bovenstaande rules zie ik geen deny rules staan voor je ip, alleen voor localhost: verwar dit niet met je publieke "mijn-ip". Ik zie 2 deny rules voor 127.0.0.0/8, ik zou er ook een plaatsen voor "mijn-ip"
Nu Allow je alles behalve voor localhost, niet het gewenste resultaat dus...
20/09/05 21:52
Met "mijn ip" bedoel ik het ip van de pc waarmee ik inlog op de server. Misschien even verduidelijken wat ik precies wil:
Alleen ik heb volledige toegang.
Bezoekers alleen web toegang en het kunnen versturen van mail.
Rules 100 200 en 300 zijn volgens mij default rules en niet door mij ingevoegd. Gezien de strenge beperkingen van deze rules lijken ze me overbodig maar weet niet wat de gevolgen zijn als ik ze weghaal. De overige rules zijn me duidelijk, maar 100 - 300 is nog terrein waar ik me nog in moet verdiepen.
20/09/05 22:00
Excuses, ik las niet goed: mijn-ip is inderdaad je ip om de server te benaderen.
Maar om mijn punt duidelijk te krijgen: je zal toch een aantal deny-rules moeten toevoegen wil je ervoor zorgen dat je server voor uberhaupt iemand _niet_ bereikbaar is. Op dit moment vinden we alleen maar allow rules, en geen deny rules voor het ip van je server.
Speel eens met deny from any to <pubip> oid.
Ik kan je geen preciese regeltjes geven, gebruik maken van FreeBSD (althans, firewalling) doe ik niet.
20/09/05 22:03
Die regels kloppen totaal niet met wat jij wilt, en dat gaat zo ook nooit werken. Je moet je eerst toch echt wat verder verdiepen in de firewall basics. Lees http://www.freebsd.org/doc/nl_NL.ISO...alls-ipfw.html eens.
20/09/05 22:29
Op de een of andere manier zit het probleem in de laatste rule denk ik. In de kernel staat de firewall op default wat wil zeggen, alles blokkeren. Via webmin zegt hij (zie bovenaan) : 65535 Drop Always
Maar met "ipfw show" geeft hij allow aan. Dit is volgens mij het probleem maar snap het niet. Volgens mij is het een mengeling van ipfw1 en ipfw2 en zijn er misverstanden.
