ipfilter alert ?

[pera_]

Jesam Win korisnik i navikao sam cesto da mi izlazi upozorenje ukoliko neko pokusava da ostvari konekciju sa racunarom, malo mi je cudno na BSD-u da samo postavim pravila a upozorenja da ne dobijam. Da li postoji neki alat ili nesto sto prilikom svakog pokusaja upada na sistem belezi IP adresu napadaca i o tome obavestava korisnika ?

[Admin]

U zavisnosti koji si firewall postavio zavisice kako ces gledati sta se desava. Svaki od njih pravi logove koje mozes gledati kasnije ili u realnom vremenu. A uvek mozes postaviti snort ili neki slican IDS(Intrusion Detection System) pa da gledas sta se desava. BSD nije primarno desktop sistem i nije pravljen da ti stvari "iskacu" okolo. BSD sistemi su prevashodno serverski te samim tim nema nikakvog "iskakanja" obavestenja. Mozes na mail sa servera da dobijas obavestenja... pa da ti ona iskacu. LOL

[Zeleni_Obad]

http://www.snort.org/
Samo podesis kako zelis, i onda iskace, zavija, pisti, trepti, svira... ma loodilo jedno...

[pera_]

ipfilter sam instalirao ili se bar nadam da jesam :DDD...  U konfiguracionom fajlu /usr/src/sys/conf/NOTES vec postoje

options    IPFILTER      #ipfilter support
options    IPFILTER_LOG      #ipfilter logging
options    IPFILTER_LOOKUP      #ipfilter pools
options    IPFILTER_DEFAULT_BLOCK   #block all packets by default

Tako da nista nisam dirao...

samo sam dodao u rc.conf

ipfilter_enable="YES"
ipfilter_flags=""
ipfilter_program="/sbin/ipf"
ipfilter_rules="/etc/ipf.rules"

i restartovao komp...

Medjutim nesto nece kada pokusam da startujem IPF...

# /sbin/ipf -Fa -f /etc/ipf.rules
23:ioctl(add/insert rule): File exists
24:ioctl(add/insert rule): File exists

[soxxx]

Mislim da se ova greska pojavljuje kada pravila vec postoje i vec su ucitana...ali nemoj me drzati za rec. Koristim pf od kako sam poceo da koristim *BSD tako da ti nesto i nemogu pomoci. Pogledaj ipftest(1) man stranicu, mozda ti bude od pomoci, a i u Handbook-u ima podosta o IPF: http://www.freebsd.org/doc/en/books/handbook/firewalls-ipf.html

[pera_]

Podesio sam Packet Filter i intresuje me kako da napisem par pravila...

Evo ga jedan makro

lan_kartica="eth0"
block in on $lan_kartica from any to any

Zeleo bih da blokiran sav dolazan i odlazan i onda da dajem dozvolu... Ovde je blokiran dolazan a kako odlazan ?

I kako da postavim pravilo da dozvoli FireFox komunikaciju samo preko porta 443 i 80 ?

P.S Da li trebam da u /usr/src/sys/conf/NOTES deaktiviram ipfilter ?

Obad a jel ovo uzima pravila iz pf-a ili je to zaseban FW ?

[Admin]

Citaj malo dokumentaciju:

http://www.openbsd.org/faq/pf/index.html
http://www.bsd-srbija.org/dokumentacija/doku.php/pffff....bezbednost_na_bsd_nacin

[pera_]

Procitao sam dokumentaciju a i na sajtu open bsd-a delimicno... Moze neko da postavi listu svojih pravila da iskombinujem ako nije tesko sigurno je bolje napisana od ove moje ...

[soxxx]

Pravila zavise od tvojih potreba tako da ti necija tudja pravila bas i nisu od koristi trenutno. Prvo kazi sta ti je potrebno od servisa, dali je to desktop racunar ili server, i slicno, onda postavi dokle si ti stigo pa da se ide dalje.

Mislim da su dva linka koja ti je Nightweaver dao sasvim dovoljna za pocetak.

[pera_]

Ma tutorijali su ok ali to nisam uspeo naci. Pa samo me intresuje ako moze jednu liniju neko da mi napise posto sam blokirao i odlazni i dolazni saobracaj. Kako da dozvolim da samo firefox moze da radi na portovima 80, 443, 8080...

[soxxx]

Izvini trenutno sam pod terapijom pa mozda ne razumem najbolje, sta zelis time da postignes?
PF nije firewall koji radi na aplikacionom nivou, PF radi sa IP adresama i protokolima, tj layer 3 i 4. Moze i layer 2 sa MAC adresama, ali samo na OpenBSD uz pomoc taggovanja i brconfig, kada masina radi u bridge modu.

Najbolje da postavis tvoja pravila koja si do sada uspeo da konfigurises.

[pera_]

Ne znam da li je to neka fora sa terapijom ili je stvarno nesto ozbiljno, mozda sam postavio isuvise bolesno pitanje sta znam u svakom slucaju sorry...

Pa malo mi je nelogicno da ne moze, uzecu sledeci primer u obzir...
Ukoliko podignem FTP server radi klasicno na port-u 21. Znaci ja cu dozvoliti izlaz i ulaz za port 21. Medjutim ja ne zelim da korisnik FireFox-om moze da pristupi nekom ftp serveru preko port-a 21. A posto je otvoren port 21 vec za FTP servis kako onda da dozvolim taj port samo za taj FTP servis. Jer postoji gomila programa npr. thunderbird koji radi na portu 110 i 25 ali takodje i preko port-a 80 u svoju glavnu stranicu ubacuje neke novosti o tom programu sto bih zeleo ograniciti tako sto bih blokirao port 80 upravo za taj thunderbird a dozvolio 110 i 25.

Mislim navodim neke banalne primere ne razumem sam nacin funkcionisanja ali jednostavno navika sa Windows-a pa zato...

[richardpl]

To me podsjeca/asocira na Zone Alarm.

Sa server stajalista to je neizvedivo - u opcenitom smislu ....

Sa korisnickog stajalista - Zone Alarm na Windowsima. Nesto slicno bi, ako ne postoji, se moglo implementirati za unix-e. Na freebsd postoji nesto priblizno slicno: mac_portacl no bez mogucnosti da se filtrira promet pomocu imena aplikacije.

pf, ipfw, ipfilter nemaju mogucnost filtriranja po aplikacijama jer to nije posao firewall-a.

No cini mi se da tebe ipak zanima filtriranje po aplikacijama za serverski firewall - u tom slucaju to ne postoji/nije moguce zbog same prirode protokola na kojem se internet vrti, a nije mi poznat niti jedan protokol koji bi nesto slicno omugucavao.

[soxxx]

Ne znam da li je to neka fora sa terapijom ili je stvarno nesto ozbiljno, mozda sam postavio isuvise bolesno pitanje sta znam u svakom slucaju sorry...

Ma stvar je izuzetno ozbiljna, veruj mi.

Sto se tice pitanja, mislim da ti trazis nesto sto filtrira Layer 7, kao npr. l7-filter na Linuxu, vidi mozda ti ovo pomogne: http://forum.bsd-srbija.org/viewtopic.php?id=707
Zove se ipfw-classifyd i trenutno radi samo sa ipfw i u fazi je testiranja, znaci jos uvek ne postoji ni port za njega.

[pera_]

Ma ok verovatno cu biti zadovoljan i Packet Filter-om nego dok provalim sta i kako moze. Navike su jedno a mogucnosti drugo . Tnx.