SSH e IPFW

Gabriele Riva gufi a plcforum.info
Lun 4 Ott 2004 18:45:22 CEST


Grazie per la risposta.
Ciedo scusa per le imprecisioni, ma sono alle prime armi con IPFW :-)
ho aggiunto anche ipfw add allow tcp from any to any established
ma la connessione ssh si blocca...

Ho provato con le regole che mi hai indicato,
ma la regola add allow tcp from $my-net to any setup keep-state
lascia passare tutto.
Ho sostituito $my-net con 192.168.0.0/10 e' corretto?
Leggendo i manuali non ho capito bene le funzioni di setup keep-state...

Ho fatto altre prove con altre regole, la connessione ssh si blocca sempre,
ecco il report
di ipfw show:
01000  0    0 allow ip from any to any via lo0
01100  0    0 check-state
01400  0    0 deny ip from any to any ipoptions rr
01500  0    0 deny ip from any to any ipoptions ts
01600  0    0 deny ip from any to any ipoptions lsrr
01700  0    0 deny ip from any to any ipoptions ssrr
01800  0    0 deny tcp from any to any tcpflags syn,fin
01900  0    0 deny tcp from any to any tcpflags syn,rst
02000  0    0 deny tcp from any 0 to any
02100  0    0 deny tcp from any to any dst-port 0
02200  0    0 deny udp from any 0 to any
02300  0    0 deny udp from any to any dst-port 0
02500  0    0 deny ip from 172.16.0.0/12 to any
02600  0    0 deny ip from 10.0.0.0/8 to any
02700  0    0 deny ip from 169.254.0.0/16 to any
02800  0    0 deny ip from 192.0.2.0/24 to any
02900  0    0 deny ip from 240.0.0.0/4 to any
03000  0    0 deny ip from 0.0.0.0/8 to any
03100  0    0 deny ip from 127.0.0.0/8 to any
03245 15 2710 allow ip from 192.168.0.2 to any out
03250 12 1563 allow tcp from any to any established
03300  0    0 allow ip from any to any frag
03400  1   48 allow tcp from 192.128.0.0/10 to 192.168.0.2 dst-port 22 in
65535 24 2886 deny ip from any to any

Il server ha indirizzo 192.168.0.2 e sto' facendo le prove in locale con un
pc con indirizzo 192.168.0.10

E se aggiungo in fondo la riga add allow all from any to any 49151-65000 in
SSH funziona perfettamente.
grazie
Gabriele



Federico Miliacca <fmiliacca a tin.it> ha scritto:
>
>Gabriele Riva wrote:
>> Sto' cofigurando IPFW ed ho dei problemi a connettermi in SSH
>> 
>> ho inserito delle regole basilari per le prove:
>> 
>> add 1000 allow all from any to any via lo0
>> add 1100 allow all from any to any out
>> add 1200 allow all from any to any 22 in
>> add deny all from any to any
>> 
>> In questo modo appena mi connetto in ssh ricevo 
>> login as:
>> scrivo l'user e poi si blocca la connessione.
>> 
>> Ho cosi' cercato facendo varie prove ed ho trovato che viene usata una
>> porta alta compresa tra 49500 e 49900 per l'utenticazione.
>> Vi torna? mmm!
>
>No, le porte alte dovrebbero essere usate lato client per effettuare la
>connessione, non lato server. Il fatto che si visualizzi il banner 
>significa che la connessione viene effettuata, cosė a naso sembra pių
>una misconfigurazione nella risoluzione dns.
>
>> ho aggiunto alle regole:
>> add allow all from any to any 49500-49900 in
>> e cosi' ssh funziona perfettamente.
>Questo mi confonde... togli la regola e prova a mettere qualche log per 
>vedere che tipo di pacchetti passano e quali vengono bloccati.
>Prova anche ad aggiungere in cima alle regole
>ipfw add allow tcp from any to any established
>
>Comunque ti consiglio di utilizzare delle regole stateful, del tipo:
>
>add allow all from any to any via lo0
>add check-state
>add deny tcp from any to any established
>add allow tcp from $my-net to any setup keep-state
>add allow udp from $my-net to any keep-state
>add allow icmp from $my-net to any keep-state
>add allow tcp from any to me 22 in via $ext_if setup keep-state
>add deny log all from any to any
>
>ipfw(8) e firewall(7) hanno ottime info a riguardo.
>
>Spero di esserti stato utile,
>Federico.
>
>
>
>
>
>-- 
>Regole e consigli per l'uso della lista: http://www.gufi.org/ml.php
>
>



Maggiori informazioni sulla lista aiuto