Firewall

Dan Lukes dan at obluda.cz
Tue Feb 17 18:42:57 CET 2004


On Tue, 17 Feb 2004, Ondra Koutek wrote:

> prave se pokousim nastavit DNS server na serveru, kde bezi ipfw. Potrebuji
> poradit s pravidly pro DNS.
> mam nasledujici:
>
>         ${fwcmd} add pass tcp from any to any established
>         ${fwcmd} add pass udp from any to any established
>         # Allow DNS queries out in the world
>         ${fwcmd} add pass udp from ${ip} to any 53 keep-state
>         # Allow DNS server
>         ${fwcmd} add pass tcp from any to ${ip} 53 setup
>         ${fwcmd} add pass udp from any to ${ip} 53 setup
>
> A nejak mi nedochazi co mi chybi.


	A proc mas vubec dojem, ze neco chybi ?

	Tedy, ono tam urcite neco chybi a take neco prebyva. Ale vedet, co
ti nefunguje by usnadnilo hledani.

	Takze - prebyva established na UDP. Tento protokol pojem "spojeni"
nezna a tak tam established nelze smysluplne pouzit. Obdobne nelze tedy
pouzit ani modifikator "setup"

	ipfw tyto radky odmitne akceptovat (a vypise o tom chybove hlaseni)
- takze tyhle rule tam proste nejsou.

	A kdyz tam nejsou, tak se dostavame k tomu, co chybi - chybi rule,
ktera by umoznila stanicim se serveru ptat na protokolu UDP (a serveru
odpovidat).

	Tak jak to mas filosoficky pojato je asi resenim z treti rule
(keep-state) vyhodit ${ip} a dat tam any.

	No a dalsi vec ktera chybi - tvuj server se bude jiste ptat dal. na
UDP to ma laskave povoleno. Na TCP nikoliv. Proto je v ctvrte ruli nutne
udelat stejnou upravu jako v ruli treti.

	Druha a pata rule jsou stejne vadne, takze vyhodit - a pokud jsem
nic neprehledl, tak to funguje.

	To, jestli je to optimalni stav by byl namet na peknou flame. Ja
osobne nemam stavovost ipfw rad, protoze ji lze velmi snadni zneuzit k DoS
utokum na chraneny stroj a dokonce i kdyz nikdo neutoci, pravidel muze byt
(v dynamicke casti) pomerne mnoho a vyssi pocet ruli se okamzite promita do
snizene pruchodnosti stroje (ale mozna pri zatizeni jake tam nas ty je to
fuk).

	Takze ja to radeji omezuji tak, ze kdokoliv/s kymkoli lze komunikovat z/na port
53 meho DNS serveru (obema protokoly), procemz samotny DNS server mam nakonfigurovany
tak, ze svoje dotazy odesila take z portu 53 - tim mi predchozi pravidlo
zahrnuje i odpovedi na jeho dotazy (DNS server neni autoritativni pro zadnou
public domenu, lze pristup "vnejsich" uzivatelu omezit pouze na pakety
odeslane z portu 53).

	I tahle konfigurace ma vady (i kdyz jen v pripade, ze na serveru
nevedu autoritativne zadnou verejnou domenu) - ale ja to tak povazuji za
celkove bezpecnejsi.

	Nicmene - bezpecnost - nemluve o pocitu bezpecnosti - je kategorie
ryze subjektivni.

						Dan


							Dan



More information about the Users-l mailing list