фильтрация

Обсуждение технических вопросов по продуктам Novell

фильтрация

Сообщение stas » 23 июл 2003, 08:33

Необходимо на сервере настроить таким образом чтобы наружу все порты были закрыты, внутри всем все было можно, разрешить входить только почте и интернет через прокси порт 8080. На внутреннем интерфейсе сидят сервера нетвари и линукса, поэтому авторизация в бордюре отключена ибо не знаю как авторизировать линуксистов.
Вроде можно сделать через filtcfg, но как не в курсе.
Подскажите плиз
Аватара пользователя
stas
 
Сообщения: 133
Зарегистрирован: 23 июл 2003, 08:25
Откуда: Новосибирск

Ищите статью Е.Соколова

Сообщение Кашуро Константин » 23 июл 2003, 09:46

Бордер Менеджер как это применять на практике. Там все подробно разжевано.
Это было после 3-го Электронного Джихада
Аватара пользователя
Кашуро Константин
 
Сообщения: 168
Зарегистрирован: 05 июн 2002, 11:16
Откуда: г.Ханты-Мансийск

Сообщение Владимир Горяев » 23 июл 2003, 11:52

На сервере установлен BM? Тогда большинство ответов найдешь в доке к нему. Нужно настроить SSL-аутентификацию для линуксов, про почту см. http://novell.org.ru/forum/viewtopic.php?t=183 , полезно посмотреть
http://nscsysop.hypermart.net/
http://www.novell.com/coolsolutions/bor ... index.html
http://www.novell.com/coolsolutions/bor ... index.html
http://www.novell.com/coolsolutions/bor ... index.html
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

ну вот начитался

Сообщение stas » 24 июл 2003, 11:48

начитался

сделал следующее

закрыто - все всем снаружи на все всем внутри
открыто -
1 - протокол icmp открыто всем интерфейсам
2 - 22 порт (сисишел) откыто всем интерфейсам (это для линуксистов, без него они жить не могут)
3 - smtp (25 порт) открыто всем интерфейсам (не уверен что это правильно но почта нужна всем кто внутри и у и некоторых она групвайз у некоторых это сендмайл)
4 - 80 порт снаружи на внутрь (дабы странички виделись, который расположены на внутренних серверах)
5 - 53 порт всем на все (тоже не совсем наверно правильно)
6 - порты 1024-65553 по тсп и удп всем снаружи только на мой прокси (таким образом без прокси лазить ни у кого не полчиться)

достиг -
без прокси в инете не полазишь - то что надо
аська не работает - очень печально хотя в настройках соединения указал что через прокси надо лезть
почта не уходит и не приходит - самый печальный факт

нижайшая просьба - чего я не так делаю
Аватара пользователя
stas
 
Сообщения: 133
Зарегистрирован: 23 июл 2003, 08:25
Откуда: Новосибирск

Сообщение Андрей Троценко » 24 июл 2003, 12:09

1. ICQ. Увы, у меня тоже через прокси не удавалось запустить. Вышел из положения: открыл прохождение всем с приват-иф на паблик на портах 5190 и 4000 (второй - не обязателен, это - на будущее). Меня это устроило.
2. SMTP. Просто, проверьте еще раз настройки:
Для Вашего случая (открыто ВСЕМ, relay не используется):
а) не statefull-фильтр:
EXCLUDE ENABLED NOLOG, INTRFACE:<Any>, IP:pid=TCP port=25 srcport=<All> ackfilt=0 stfilt=0, INTRFACE:<Any>, SMTP out reqs / in replies
EXCLUDE ENABLED NOLOG, INTRFACE:<Any>, IP:pid=TCP port=<All> srcport=25 ackfilt=0 stfilt=0, INTRFACE:<Any>, SMTP out replies / in reqs
b) statefull-фильтр:
EXCLUDE ENABLED NOLOG, INTRFACE:<Any>, IP:pid=TCP port=25 srcport=<All> ackfilt=0 stfilt=1, INTRFACE:<Any>, SMTP in/out

Если не заработает - напишите - можно протрассировать, все будет видно.
Аватара пользователя
Андрей Троценко
 
Сообщения: 529
Зарегистрирован: 31 июл 2002, 13:54
Откуда: Киев, Украина

Я делаю так в таких случаях.

Сообщение Boris Morozov » 24 июл 2003, 16:26

У меня постоянно включен лог на запрещающие фильтры. В нормальной работе он небольшой. Зато так много интересного иногда наблюдается!
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

чем его читать?

Сообщение stas » 25 июл 2003, 06:47

Насколько я понимаю лог кладется в sys:system/cslib/Csaudit.log - только формат его явно не текстовый (в справке написано BTRIEVE database - кстати а что это?). Чем можно прочесть лог?

И тут еще вопрос назрел
как заставить фтп ходить через прокси
пишу следующие фильтры
разрешить паблик на приват источник 21 и 20 порты приемник прокси
разрешить с приват на паблик цель 21 и 20 порты источник прокси приемник 21 и 20 порты приемник что угодно

и где я не то делаю
Аватара пользователя
stas
 
Сообщения: 133
Зарегистрирован: 23 июл 2003, 08:25
Откуда: Новосибирск

Вообще-то в у меня прямо в текстовики пишется.

Сообщение Boris Morozov » 25 июл 2003, 18:57

sys:\etc\logs\ippktlog\........

А btrieve database - это вторая по распространенности после dbf.
просто она умеет работать практически без вмешательства.

www.pervasive.com
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

Re: Вообще-то в у меня прямо в текстовики пишется.

Сообщение stas » 26 июл 2003, 14:14

Boris Morozov писал(а):sys:\etc\logs\ippktlog\........


а у меня и нету там ничего

И еще проблемы с днс и тоже видимо из-за фильтрации
написано буквально следующее:
1 - domain/tcp (Protocol - TCP, Dest Port - 53, Src Port - <All>)
Interface - <All Interfaces>
All Circuits
Any Adress
2 - domain (Protocol - UDP, Dest Port - 53, Src Port - <All>)
Interface - <All Interfaces>
All Circuits
Any Adress
Этого достаточно чтобы DNS работал нормально?
Аватара пользователя
stas
 
Сообщения: 133
Зарегистрирован: 23 июл 2003, 08:25
Откуда: Новосибирск

Чтобы туда писалось надо в Filtcfg включить:

Сообщение Boris Morozov » 26 июл 2003, 19:43

Global IP logging
На нужных фильтрах поставить птички.

При этом оно будет грязно ругаться по поводу того, что это снизит производительность. Ну так тут главное без фанатизма. Как я уже говорил у меня на запрещающие фильтры все включено и образуется несколько записей в час, как правило, когда всякие хакеры или черви пытаются порты сканировать. Получают отлуп и отваливают. Зато можно уродов отщемливать, документ имеется. А так не напрягает.
И еще я пользуюсь в основном Stateful фильтрами, очень мне это нравится. И ася у меня работает и козу, когда надо было пропускал.

Сейчас посмотрел - с 26 января по сегодняшний день у меня 14 мегов логов набежало.
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

включил

Сообщение stas » 27 июл 2003, 07:58

включил - обалдел
за 10 секунд - 100 килов

кстати какой его формат?
дата,вермя,ip_откуда,ip_куда,протокол,порт_откуда,порт_куда,
а вот дальше?
...,SYN,0,1,2,-,-,OUTBOUND
Аватара пользователя
stas
 
Сообщения: 133
Зарегистрирован: 23 июл 2003, 08:25
Откуда: Новосибирск


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 64

cron