HELP ! ipfw et natd

On Tue, 25 Nov 2003 19:39:59 +0000 (UTC), Jean-Pierre PARISY
<jpparisy@teaser.nowhere.invalid> wrote:

Ce fichier est un shell-script, il doit être exécutable (chmod 744) et
chaque ligne doit commencer par "/sbin/ipfw".

Oui s'il est référencé par firewall_script, pas par firewall_type comme
c'est le cas ici.

Pour référence, rc.firewall:

[...]

case ${firewall_type} in

[... les cas prédéfinis ...]

*)
if [ -r "${firewall_type}" ]; then
${fwcmd} ${firewall_flags} ${firewall_type}
fi
;;
esac

[...]

Par contre il faut noter que rc.firewall ajoutera un certain nombre de
règles "tout seul", en parciulier celles relatives à natd, aux interfaces
loopback, etc. Il est donc prudent de vérifier le résultat avec ipfw show.

Ou effectivement utiliser un script shell à la palce de rc.firewall dans
firewall_script, mais on y perd un certain nombre d'automatismes.

Jacques.

ipfw show te donnera l'état courant (le fichier indiqué donne l'état
pendant le daily run). En regardant ce qui augmente, tu verras quelle
règle bloque.

ferdydurke <ferdy@ferdy.com> writes:

Dernière chose : c'est bien ipfw.rules qui est lu même si dans mon
rc.conf j'ai :
firewall_script="/etc/rc.firewall"
firewall_type="/etc/ipfw.rules" #"OPEN"

Bon... ya du boulot....

Ton fichier de conf du firewall, c'est /etc/ipfw.rules, c'est ce
fichier qui contient les regles d'ipfw.

Dans ton rc.conf, tu vires "firewall_type="/etc/ipfw.rules" #"OPEN"" ca
sort d'ou ce truc ? et tu met firewall_script="/etc/ipfw.rule" à la
place de firewall_script="/etc/rc.firewall"

il doit y avoir, hormis ta conf precedent le firewall, dans ton rc.conf:

firewall_enable="YES"
firewall_script="/etc/rc.firewall"
natd_enable="YES"
natd_program="/sbin/natd"
natd_interface="rl0"
natd_flags="-dynamic"
network_interface="tun0 rl0 rl1 lo0"

Prends le temps de lire les docs tranquillement....

Je ne crois pas qu'il y ait contradiction avec le DHCP et ce que je
raconte...

00050 1030 378629 divert 8668 ip from any to any via rl0
00100 4 200 allow ip from any to any via lo0
00150 19 1915 allow ip from any to any via rl1
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00301 0 0 check-state
00302 20 896 deny tcp from any to any in established
00303 789 351841 allow tcp from any to any keep-state out setup
00400 31 6070 allow udp from 80.10.246.130 53 to any in recv rl0
00401 50 8175 allow udp from any to any out
00501 0 0 allow udp from 81.249.237.84 67 to any 68 in recv rl0
00502 0 0 allow udp from any 68 to 255.255.255.255 67 out xmit
rl0
00503 19 6023 allow udp from any 67 to 255.255.255.255 68 in recv rl0
00600 0 0 allow icmp from any to any icmptype 3
00601 0 0 allow icmp from any to any icmptype 4
00602 0 0 allow icmp from any to any out icmptype 8
00603 0 0 allow icmp from any to any in icmptype 0
00604 0 0 allow icmp from any to any in icmptype 11
65535 210 10702 deny ip from any to any


c'est la 303 qui bloque ? pourquoi ?

Ben non, la 303 c'est une allow, elle ne bloque pas (en tous cas pas
difrectement), c'est l'une des règles "deny" qui bloque, ou plutôt c'est
que tu n'as pas les allow qu'il faut, et ça finit dans le deny final.
Remplace tous les deny (en tous cas ceux qui sont utilisés, 302 et 65535)
par la même ligne avec "log" à la fin, vérifie que syslogd est bien
configuré, et tu verras les paquets rejetés, ça te permettra de trouver ce
qui cloche.

Un indice cependant: ta config indique (ligne 301) que tu n'acceptes des
paquets TCP avec le bit established que si tu as vu les paquets
d'établissement sortir (ligne 303), le reste étant interdit (ligne 302).
Problème: les paquets sortants seront vus après la translation NAT (donc
avec des adresses IP externes) et les paquets entrants après la
translation NAT aussi (donc avec des adresses IP internes, ce coup-ci).

mon firewall ne marche plus, tout est bloqué si je rajoute "log" à la fin
d'une ligne dans "ipfw.rules"...

Comment voir les paquets rejettés donc ?
je ne connais pas syslogd :-( je débute avec FreeBSD...

Je n'ai pas trouvé :-( je ne suis pas bien là, je dois encore étudier
tout ça, je débute et c'est mon premier firewall...
Sinon peut-on se passer de ces lignes 300 ? ou plutôt ce firewall est-il
convenable, fiable, bien écrit ?

Normalement tu devrais avoir les paquets en question dans
/var/log/security.

Ben vu qu'il marche pas, pas vraiment :-)

En fait, le problème est de savoir si tu veux protéger la machine
elle-même, ou seulement les machines sur le LAN. Pour ces dernières, le
NAT suffit. Pour la machine elle-même, si tu ne laisses pas traîner de
services inutiles et de CGI idiots, elle se gardera bien toute seule :-)

/kernel: ipfw: 302 Deny TCP 195.101.94.54:80 81.51.202.74:2437 in via
rl0


Voilà le problème donc ? la ligne 302 avec le deny via rl0 ?

Par contre je fais quoi là ?

Je change quand même pas le deny par un allow via rl0 en ligne 302 ? Mon
paragraphe outbound TCP connections tomberait à l'eau non ?

Elle se gardera bien toute seule : ç veut dire que le firewall est
inutile et ne protège pas, quel qu'il soit, comme je l'ai entendu
dire parfois, la sécurité étant une lubie ?

Tu peux mettre le diver en "out xmit rl0" au début, et rajouter le même en
"in recv rl0" après les lignes 301-303, je pense que ça devrait régler le
problème. Tu peux aussi déplacer le NAT entre 302 et 303, ça devrait avoir
le même effet (et tu apprends tout d'un coup que c'est une bonne idée de
laisser de la place entre deux numéros...).

65535 9642 484246 deny ip from any to any
Ceux-là il faudrait les voir, il y en a beaucoup...