Не срабатывает правило IPFW

Операционки на базе Unix
Ответить
ingvar
Юзер
Юзер
Сообщения: 1
Зарегистрирован: 04 сен 2017, 12:41
ОС: FreeBSD

Не срабатывает правило IPFW

Сообщение ingvar » 04 сен 2017, 12:44

Господа форумчане,доброго дня! Очень нужна ваша помощь. На шлюзе с Freebsd 9 включен ipfw и nat.
firewall_enable="YES"
firewall_type="YES"
firewall_nat_enable="YES"
firewall_nat_interface="rl0"

Проблема такая: сделал недавно проброс портов на внутренний сервак с помощью rinet и сразу присосались боты-брутфорсеры.
Пытался ограничить доступ с помощью таблиц. Добавил нужные мне внешние адреса
ipfw table 10 add ххх.ххх.ххх.ххх

добавил правило, блокирующее доступ к порту
ipfw -q add deny tcp from not table\(10\) to me 3393

и не помогает :( , брутфорс продолжается

листинг ipfw
uad# ipfw show
00050 58886904 40714039900 nat 123 ip4 from any to any via rl0
00100 928 780146 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 0 0 deny ip from any to ::1
00500 0 0 deny ip from ::1 to any
00600 0 0 allow ipv6-icmp from :: to ff02::/16
00700 0 0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 0 0 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 0 0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 0 0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
01100 0 0 deny tcp from not table(10) to me dst-port 3393
01120 0 0 deny tcp from not table(10) to me dst-port 8015
01130 0 0 deny tcp from not table(10) to me dst-port 5908
01140 0 0 deny tcp from not table(10) to me dst-port 40861
01150 0 0 deny tcp from not table(10) to me dst-port 25111
01160 0 0 deny tcp from not table(10) to me dst-port 25112
65000 35087668 25803546344 allow ip from any to any
65535 6 432 deny ip from any to any

Что я делаю не так?
Вернуться к началу
Аватара пользователя
Phantom
Эникейщик
Эникейщик
Сообщения: 266
Зарегистрирован: 18 май 2012, 16:34
ОС: ARCH Linux
Откуда: Брянск
Контактная информация:
Контактная информация пользователя Phantom

Re: Не срабатывает правило IPFW

Сообщение Phantom » 11 сен 2017, 16:49

Мало чего помню из ipfw, я адепт iptables %) и мало чего подскажу по детализации, но вот по организации у меня вопрос, а не правильнее ли было бы по умолчанию все запретить, проверить этот запрет, а потом дописать разрешающие правила. Ну по крайней мере у меня так сделано и проблем с брутом нет. Вообще вроде как ipfw в динамике с этим гадом бороться не очень умеет. Это первое. Второе. Ты наверное наружу выкинул 3393. Попробуй 33930. Стандартные сканеры портов динамику нечасто шерстят. Ну и тяжелая артиллерия. Разверни OpenVPN(udp), раздай ключи пользователям и забудь про брутфорсеров как про страшный сон.
01010000011010000110000101101110011101000110111101101101
Вернуться к началу
Ответить

Вернуться в «Unix»