IPFW und NATD

[FierceOne]

oha wieder was gelernt.
naja dann werde ich das mal noch dazuschreiben.
Also ein wenig freundlicher und offener fuer DNS Antworten.

[LoRe]

Zitat:

Original geschrieben von FierceOne
[b]Hallo?
2) Warum sollte man denn RESET zu alle ident packeten schicken. Kann man die nicht auch einfach verschwinden lassen und gar nix antworten?

Weil du sonst immer auf den timeout warten musst, zum Beispiel beim IRCen.

Ich persoenlich resette eh alles, was nicht erlaubt ist. Warum? Deshalb: http://www.iks-jena.de/mitarb/lutz/u...wall.html#Deny

[marzl]

soo, ich hab das dyn-script noch etwas erweitert und verfeinert. hinzugekommen ist stateful-inspection und antispoofing.
aber seht selbst:

bei irgendwelchen fehler oder ergänzungen schreibt mir ne pm, dann änder ich das hier ab.

Code:

#!/bin/sh
#

# Erstmal alles saubermachen bevor wir anfangen
# Also die Regeln auf "Null" stellen
/sbin/ipfw -q -f flush

# IPFW-Kommando "Quiet"
fwcmd="/sbin/ipfw -q add"

# Das setzen unserer eigenen Variabeln
int_interface="dc0"             # ${int_interface} Internes Interface
natd_interface="tun0"           # ${natd_interface} Externes Interface
dns_server1="212.185.253.136"   # ${dns_server1} 1. DNS-Server des ISP
dns_server2="194.25.2.129"      # ${dns_server2} 2. DNS-Server des ISP
open_ports="20,21,22,25,80,443,465,993"  # ${open_ports} Offene Ports

# Erlaubt Loopbackverbindungen
${fwcmd} 00100 allow ip from any to any via lo0

# Hiermit dürfen alle ins Internet
${fwcmd} 00150 divert natd all from any to any via ${natd_interface}

# Stateful Packet Inspection
${fwcmd} 00200 check-state

# Erlaubt internen Verkehr
${fwcmd} 00210 allow ip from any to any via ${int_interface} keep-state

# Anti-Spoofing
${fwcmd} 00220 deny log ip from 10.0.0.0/8 to any in via ${natd_interface}
${fwcmd} 00230 deny log ip from 172.16.0.0/12 to any in via ${natd_interface}
${fwcmd} 00240 deny log ip from 192.168.0.0/16 to any in via ${natd_interface}

# Fragmentiert Packete werden verworfen
${fwcmd} 00250 deny all from any to any frag in via ${natd_interface}

# Ack Packete ohne vorheriges Req werden geblockt
${fwcmd} 00260 deny tcp from any to any established in via ${natd_interface}

# Erlaubt alle Verbindungen welche von hier initiiert wurden
${fwcmd} 00300 allow tcp from any to any out via ${natd_interface} setup keep-state

# Wenn die Verbindung einmal hergestellt wurde, erlaube dieser offen zu stehen
${fwcmd} 00310 allow tcp from any to any via ${natd_interface} established

# Erlaubte Dienste die ausm Internet erreicht werden dürfen
${fwcmd} 00400 allow tcp from any to any ${open_ports} setup keep-state

# This sends a RESET to all ident packets.
${fwcmd} 00500 reset log tcp from any to me 113 in via ${natd_interface}

# Erlaubt ausgehende DNS queries NUR auf angegebenem DNS-Server
${fwcmd} 00600 allow udp from any to ${dns_server1} 53 out via ${natd_interface} keep-state
${fwcmd} 00610 allow tcp from any to ${dns_server1} 53 out via ${natd_interface} setup keep-state
${fwcmd} 00620 allow udp from any to ${dns_server2} 53 out via ${natd_interface} keep-state
${fwcmd} 00630 allow tcp from any to ${dns_server2} 53 out via ${natd_interface} setup keep-state

# Loggt ICMP Anfragen (echo und dest. unreachable) == script kiddies
${fwcmd} 00700 allow log icmp from any to any in recv ${natd_interface} icmptype 3
${fwcmd} 00710 allow log icmp from any to any in recv ${natd_interface} icmptype 8

# ICMP erlauben
${fwcmd} 00750 allow icmp from any to any

# Alles andere verbieten (Wird nicht geloggt)
${fwcmd} deny ip from any to any

[Heidegger]

Sehr schönes Skript, Marzl. Ich habe einen DSL- und einen ISDN-Router, beide jeweils mit FreeBSD-5.2.1p1 bestückt, zu letzterem habe ich meine ipfw2-Regeln in diesem Thread veröffentlicht, in einigen entscheidenden Punkten meine ich eine restriktivere Politik zu verfolgen, als ich in deinen Regeln erkennen kann. Insbesondere missfällt mir, daß in deinem Regelsatz für den Port 113 kein adaptives Stealthing vorgenommen wird. Ich habe allerdings das andere Extrem gewählt, ein full-stealth auf alle non-keep-state connections. Diese Regel impliziert bei einigen Seiten eine Verbindungsverzögerung von einigen Sekunden.

[marzl]

Kleines FreeBSD-PPPOE-IPFW-DNS-DHCP-NATD-HOW-TO mit erweitertem Regelsatz (udp) gibts hier:

http://www.bsdbox.de/firewall.html

Ich legs dort ab, da ich da immer wieder dran rumbastel

[qfat]

hab das mal so durchstöbert und mir ist aufgefallen das ihr alle das script ändert.
also ich hatte nen howto benutzt um meine firewall zu erstellen und da stand drin und so hab ich es auch gemacht das man in die rc.conf folgendes schreibt (auszug):

firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_type="/etc/ipfw.rules"

und die regeln dann einfach in ipfw.rules schreibt.
ist da ein gravierender unterschied oder fehler?
oder ist das wie immer freie wahl des weges?

thx

[marzl]

"freie wahl des weges"
ja, das ist es

[Maledictus]

firewall_type="/etc/ipfw.rules"
kannst du dann weglassen

[qfat]

jep danke! so hatte ich mir das gedacht!

[bsd5543]

Hi,

ein super tut, dass mir geholfen hat, die ersten BSD-Hürden zu nehmen.

Eine Anmerkung zu dem 1. ipfw-script :
traceroutes funzen nicht mehr, daher habe ich folgenden Eintrag ergänzt :
ipfw add allow udp from any to any 33434-33524 out xmit tun0

cheers

[xqq]

blöde frage aber, was ist wenn ich einen Apache Server auf Port 80 laufen habe und das mittels der Firewall von draussen blocke kann ich dann trotzdem noch Internet surfen?, weil Port 80 ist ja dann geblockt.

[unlink]

Ja,
Grundlagen in Netzwerktechnik/Transportprotokollen helfen dir bestimmt weiter.

[xqq]

Zitat:

Zitat von unlink

Ja,
Grundlagen in Netzwerktechnik/Transportprotokollen helfen dir bestimmt weiter.

immer schön brav freundlich bleiben, wir bedauern dich ja alle das du Linux benutzt.

ausserdem so logisch ist das nicht (für manche), es war eigentlich eine frage da ich eine "wette" abgeschlossen habe mit einem freund dessen server ich einrichte, also mir ist es sowieso klar, aber intressiern tut es mich nicht ob es dich intressiert.

[marzl]

ja, weil du in einer regal davo alles nach auss hin (out) erlaubst

[MadMax]

Also ich habe ein paar Anmerkungen zum script.

1)
Wenn ich heute nicht ganz durchgeknallt bin, dann meine ich mich zu erinnern, dass ipfw nach dem Motto "Erster Treffer gewinnt" arbeitet. Das script enthällt meiner Meinung nach einige rules die überflüssig oder falsch umgesetzt (je nach Absicht) sind. Beispiel:

${fwcmd} 00300 allow tcp from any to any out via ${natd_interface} setup keep-state
${fwcmd} 00610 allow tcp from any to ${dns_server1} 53 out via ${natd_interface} setup keep-state

Demnach wird rule 610 nie erreicht da "${dns_server1} 53" ein Element der Menge "any" ist.

2)
Wie schon jemand bemerkt hat ist mit dem script traceroute gebrochen. Sinvolle icmp rules könnten folgendes beschreiben:

type 3: destination unreachable in and out
type 4: source quench in and out
type 8: echo out (ping)
type 0: echo reply in (ping)
type 11: time exceeded in (traceroute)

Schönen Abend
-MadMax