Перейти к содержанию
Авторизация  
SHARK

Защита Сервера С Помощью Ipfw и wIpfw

Рекомендуемые сообщения

ЧТО ТАКОЕ

WIPFW ?

WIPFW это MS Windows версия IPFW входящего в состав FreeBSD OS. Вы можете использовать и конфигурировать его так же, как и в работе с IPFW.

 

IPFW это система фильтрации и учета пакетов, находящаяся в ядре и снабженная пользовательской утилитой настройки, ipfw. Вместе они позволяют определять и просматривать правила, используемые ядром в решении прохождения пакетов.

 

IPFW состоит из двух связанных частей. Межсетевой экран осуществляет фильтрацию пакетов. Часть, занимающаяся учетом IP пакетов, отслеживает использование маршрутизатора на основе правил подобных тем, что используются в части межсетевого экрана. Это позволяет администратору определять, например, объем трафика, полученного маршрутизатором от определенного компьютера, или объем пересылаемого WWW трафика.

 

Благодаря тому, как реализован IPFW, вы можете использовать его и на компьютерах, не являющихся маршрутизаторами для фильтрации входящих и исходящих соединений. Это особый случай более общего использования IPFW, и в этой ситуации используются те же команды и техника.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Часто задаваемые вопросы:

 

Q: Каковы различия между WIPFW и IPFW?

 

A: WIPFW не имеет функций reject, divert, tee. Нет шейпера трафика. Проекты различаются разным уровнем внедрения в сетевой стек ОС.

 

Q: На каким операционных системах работает WIPFW?

 

A: WIPFW может запускаться на Windows 2003, XP, 2003.

 

Q: Могу ли я использовать WIPFW в своих проектах?

A: Исходники WIPFW опубликованы под BSD-лицензией. Вы можете использовать бинарные файлы без ограничений, в случае использования исходных кодов следуйте лицензии BSD.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для винды по моему тоже неплохая вещь, я долго как-то раз еба..ся с этой прогой так как мало того что она блочит так ещё и антивир "Мозга" работала очень хорошо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Для винды по моему тоже неплохая вещь, я долго как-то раз еба..ся с этой прогой так как мало того что она блочит так ещё и антивир "Мозга" работала очень хорошо

:friends: хорошо в коне сказал)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мой вариант конфига IPFW для игрового сервера

 

srv1# uname -a

FreeBSD srv1 8.2-RELEASE FreeBSD 8.2-RELEASE #0: Thu Mar 15 03:33:07 MSK 2012 test@srv1:/usr/src/sys/amd64/compile/SRV1 amd64

srv1#

 

srv1# cat /etc/rc.firewall

 

 

 

#!/bin/sh

 

fwcmd="/sbin/ipfw -q"

 

### IP адрес нашего сервера

 

extip="XX.XXX.XX.XXX"

 

### Сбрасываем все правила

 

${fwcmd} -f flush

 

 

### Разрешаем все коннекты по локалхосту

 

${fwcmd} add 10 pass all from any to any via lo0

 

 

## Некоторые полезные настройки безопасности

 

${fwcmd} add 21 deny all from any to 127.0.0.0/8

${fwcmd} add 12 deny all from 127.0.0.0/8 to any

${fwcmd} add 16 deny all from any to 0.0.0.0/8 in via re0

${fwcmd} add 17 deny all from any to 169.254.0.0/16 in via re0

${fwcmd} add 18 deny all from any to 240.0.0.0/4 in via re0

${fwcmd} add 19 deny icmp from any to any frag

${fwcmd} add 20 deny log icmp from any to 255.255.255.255 in via re0

${fwcmd} add 21 deny log icmp from any to 255.255.255.255 out via re0

${fwcmd} add 23 deny ip from 0.0.0.0/8 to any out via re0

${fwcmd} add 24 deny ip from 169.254.0.0/16 to any out via re0

${fwcmd} add 25 deny ip from 224.0.0.0/4 to any out via re0

${fwcmd} add 26 deny ip from 240.0.0.0/4 to any out via re0

 

 

${fwcmd} add 30 check-state

 

### Рубим фрагментированные пакеты

 

${fwcmd} add 40 deny all from any to any frag

 

### Разрешаем уже установленные соединения

 

${fwcmd} add 41 pass tcp from any to any established

 

## Разрешаем пинги (по моему мнению можно эту строку вырезать,

## ваш сервер при этом пинговаться не будет, но после захода в

## клиент на пинг игровых серваков эт никак не скажется)

 

${fwcmd} add 45 pass icmp from any to any icmptype 0,8,11

 

## Разрешаем для сервера все исходящие соединения (после настройки

## сервера эту строку можно резануть, так как очень помогает если в

## сборке есть бэкдор который начнет куда то ломиться, чтоб слить айпи сервераB) )

 

${fwcmd} add 50 pass tcp from any to any out via re0 setup keep-state

 

## Разрешаем входящие подключения для гейм и логин портов

 

${fwcmd} add 51 pass tcp from any to ${extip} 7777 in via re0 setup keep-state

${fwcmd} add 52 pass tcp from any to ${extip} 2106 in via re0 setup keep-state

 

## Если у нас игровых серверов несколько открываем наружу порт 9014 для авторизаций

## геймсерверов на логин сервере и разрешаем на него коннекты с ваших игровых серверов

## с айпи YY.YYY.YY.YYY (остальным там делать нефиГ)

 

${fwcmd} add 53 pass tcp from YY.YYY.YY.YYY to ${extip} 9014 in via re0 setup keep-state

${fwcmd} add 54 pass tcp from YY.YYY.YY.YYY to ${extip} 9014 in via re0 setup keep-state

 

## Разрешаем входящие коннекты на SSH порт (конечно желательно не всем а для

## своего айпишника, в этом случае вместо any пишем свой айпи, можно так же

## указать сеть вида YY.YYY.YY.YYY/ZZ)

 

${fwcmd} add 55 pass tcp from any to ${extip} 22 in via re0 setup keep-state

 

## Баним все остальное с записью в лог

 

${fwcmd} add 499 deny log all from any to any via re0

${fwcmd} add 500 deny all from any to any

 

 

re0 эт0 наш сетевой интерфейс, у вас он может называться по другому.

Помимо всего можно установить ограничение на количество одновременных подключений с одного IP,

в некоторых случаях бывает полезно.

Изменено пользователем s008b788

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если есть актуальность, могу описать полную установку линейки на сервер под FreeBSD от начала установки самой OS FreeBSD до конечной настройки гейм и логин серверов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если есть актуальность, могу описать полную установку линейки на сервер под FreeBSD от начала установки самой OS FreeBSD до конечной настройки гейм и логин серверов.

почему фряха?а не дебиан

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
почему фряха?а не дебиан

 

Потому, что по личным многолетним тестированиям в стабильности работы она мне понравилась больше всего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Потому, что по личным многолетним тестированиям в стабильности работы она мне понравилась больше всего.

ну напиши

я не пртив почитать думаю что ставить либ дебиан либо фри

Изменено пользователем taste

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×
×
  • Создать...