Skocz do zawartości

bryn1u

WHT Pro
 Wyświetl profil  Zobacz jego aktywność

  • Zawartość

    320

  • Rejestracja

  • Ostatnio

  • Wygrane dni

    1

Posty napisane przez bryn1u

  1. Napisano · Raportuj odpowiedź

    Witam,

     

    Chcialbym postawic server z przeznaczeniem na brame/router/firewall i podlaczyc do niego pare komputerow w firmie. Systemem bedzie OpenBSD. Zawsze instalowalem na starych zwyklych komputerach za przyslowiowa zlotowke. Chcialbym do firmy kupic jakis servero-komputer (nie wiem jak to nazwac) o niskich parametrach sprzetowych i mega oszczednym poborze pradu. Ewentualnie odkupic od kogos. Server powinien miec dwie karty sieciowe, bedzie podlaczony do zwyklego routera lub switcha.

    Prosze o jakas porade jak najlepiej to ugryzc.

     

    Pozdrawiam,

  5. Napisano · Raportuj odpowiedź

    Uwierzytelnianie działa, jest natomiast problem jakby z przesyłaniem już konkretnych danych. Po samej procedurze uwierzytelnienia komunikacja przestawia się na tryb pasywny i jest problem z samym przesyłaniem danych już po nawiązaniu połączenia. Jesteś pewien, że po stronie serwera lub u Ciebie nie ma żadnej zapory blokującej ruch? Wątpię abyś blokował u siebie ruch wychodzący (tryb pasywny), natomiast serwer musi mieć możliwość otwarcia dowolnego portu i komunikacji przez niego. Możesz również ustalić określony zakres portów wpisując go to pliku PassivePortRange. Więcej o trybach komunikacji FTP znajdziesz tutaj.

     

    zgadza sie, port passive range jest ustawiony od 30000 do 50000, port 21 tez jest przekierowany. Caly pf.conf wyglada tak:

     

     

    FreeBSD 10 Firewall With PF made by bryn1u & m.bryn1u @ gmail.com
    ----------------------------------------------------------------------------------------------------### cat /etc/pf.conf ###
    ip_pub="178.xxx.xxx.xxx"
    ip_jail="192.168.0.1"
    ip_jail2="192.168.0.2"
    net_jail="192.168.0.0/24"
    port_jail="{21,80,31337,6667}"
    martians = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, 0.0.0.0/8, 240.0.0.0/4 }"
    # connected to internet
    ext_if = "em0"
    ### Stateful Tracking Options (STO) ###
    stossh ="(max 5, source-track rule, max-src-states 5, max-src-nodes 5, max-src-conn-rate
    4/60, overload <bruteforce> flush global)"
    stowww ="(max 500, source-track rule, max-src-states 50,max-src-nodes 75, max-src-conn-rate
    120/100, overload <bruteforce> flush global)"
    ### Queues, States and Types ###
    #IcmpPing ="icmp-type 8 code 0"
    #SshQueue ="(ssh_bulk, ssh_login)"
    #SynState ="flags S/SA synproxy state"
    tcpstate ="flags S/SA modulate state"
    udpstate ="keep state"
    ### Tables ###
    #table <blockperm> counters file "/etc/blockperm"
    #table <brutforce> counters persist file "/etc/bruteforce"
    table <bruteforce> persist
    ################ Options #####################################################
    ### Misc Options
    set skip on lo
    set debug urgent
    set block-policy drop
    set loginterface $ext_if
    set state-policy if-bound
    set fingerprints "/etc/pf.os"
    set ruleset-optimization none
    ### Timeout Options ###
    set optimization normal
    set timeout { tcp.closing 60, tcp.established 7200}
    ################ Normalization ###############################################
    ### set-tos 0x1c is Maximize-Reliability + Minimize-Delay + Maximize-Throughput
    scrub out log on $ext_if all random-id min-ttl 15 set-tos 0x1c fragment reassemble
    scrub in log on $ext_if all min-ttl 15 fragment reassemble
    ################ Translation #################################################
    ### NAT and Redirection rules are first match ###
    nat on em0 from $net_jail to any -> $ip_pub
    ### RDR Redirection ###
    ###RDR for jail (Oksymoron)
    rdr on em0 proto tcp from any to $ip_pub port 21 -> $ip_jail port 21
    rdr on em0 proto tcp from any to $ip_pub port 80 -> $ip_jail port 80
    rdr on em0 proto tcp from any to $ip_pub port 113 -> $ip_jail port 113
    rdr on em0 proto tcp from any to $ip_pub port 31337 -> $ip_jail port 31337
    rdr on em0 proto tcp from any to $ip_pub port 30000:50000 -> $ip_jail port 30000:50000
    ### RDR for jail (Mysql)
    #rdr on em0 proto tcp from any to $ip_pub port 80 -> $ip_jail2 port 80
    rdr on em0 proto tcp from any to $ip_pub port 3306 -> $ip_jail2 port 3306
    # Ftp ( secure ftp-proxy for the internal LAN )
    nat-anchor "ftp-proxy/*"
    rdr-anchor "ftp-proxy/*"
    #rdr pass on $IntIf proto tcp from $IntIf:network to any port 21 -> 127.0.0.1 port 8021
    # DENY rouge redirection
    no rdr
    ################ Filtering ###################################################
    # Rules are best (closest) match. Notice we optimized the rules so external
    # interface parsing is first followed by the internal interface.
    ### $ExtIf block abusive hosts in temp and perm tables
    ################ Filtering ###################################################
    ### Drop incoming everything ###
    block in all
    block return
    ### Keep stats of outgoing connections
    pass out keep state
    ### Unlimited traffic for loopback and lan / vpn
    ### set skip on {lo0, lo1}
    ### Activate spoofing protection for all interfaces
    block in quick from urpf-failed
    ### Antispoof is a common special case of filtering and blocking. This mechanism protects against
    activity from spoofed or forged IP addresses
    antispoof log for $ext_if
    ### Block RCF
    block drop in log (all) quick on $ext_if from $martians to any
    block drop out log (all) quick on $ext_if from any to $martians
    ### Block all ips
    ### pfctl -t blockedip -T show
    block drop in log (all) quick on $ext_if from <bruteforce> to any
    block drop out log (all) quick on $ext_if from any to <bruteforce>
    ### Allow incoming ssh, http, bind traffic (Host - Mother)
    ### pass in
    pass in on $ext_if proto tcp from any to any port 22 $tcpstate $stossh
    ### Pass for $ip_jail ports
    pass in on $ext_if proto tcp from any to $ip_jail port 21 $tcpstate $stossh
    pass in on $ext_if proto tcp from any to $ip_jail port 80 $tcpstate $stowww
    pass in on $ext_if proto tcp from any to $ip_jail port 113 $tcpstate $stossh
    pass in on $ext_if proto tcp from any to $ip_jail port 6667 $tcpstate $stossh
    pass in on $ext_if proto tcp from any to $ip_jail port 31337 $tcpstate $stossh
    pass in on $ext_if proto tcp from any to $ip_jail port 30000:50000 $tcpstate $stossh
    ### Pass for $ip_jail2 ports
    # pass in on $ext_if proto tcp from any to $ip_jail2 port 80 $tcpstate $stowww
    pass in on $ext_if proto tcp from any to $ip_jail2 port 3306 $tcpstate $stowww

     

    Najwazniejsze wytluscilem,

    Z gory dzieki.

  8. Napisano · Edytowano przez bryn1u (zobacz historię edycji) · Raportuj odpowiedź

    Witam,

     

    Mam jakis dziwny problem z laczeniem sie i nastepnie wyswietlaniem zawartosci katalogu. Po instalacj Pure-FTPD dzialalo wszystko dobrze, ale po chwili mi sie "zawiesza" a mianowicie dochodzi do momentu:

     

     

    Odpowiedź 220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
    Odpowiedź 220-You are user number 1 of 50 allowed.
    Odpowiedź 220-Local time is now 14:31. Server port: 21.
    Odpowiedź 220 You will be disconnected after 15 minutes of inactivity.
    Polecenie: USER test
    Odpowiedź 331 User test OK. Password required
    Polecenie: PASS ****
    Odpowiedź 230 OK. Current directory is /
    Polecenie: OPTS UTF8 ON
    Odpowiedź 200 OK, UTF-8 enabled
    Status: Połączono
    Status: Uzyskiwanie listy katalogów...
    Polecenie: PWD
    Odpowiedź 257 "/" is your current location
    Polecenie: TYPE I
    Odpowiedź 200 TYPE is now 8-bit binary
    Polecenie: PASV
    Błąd: Odłączono od serwera: 10053
    Błąd: Nie udało się otrzymać listy katalogów

     

    Userowie/pass sa tacy jak w /etc/passwd
    pure-pwconvert >> /usr/local/etc/pureftpd.passwd
    pure-pw mkdb
    I wszystko chodzilo bez problemu. Mial ktos moze podobny problem ?
    Pozdrawiam,

  9. Napisano · Edytowano przez bryn1u (zobacz historię edycji) · Raportuj odpowiedź

    sprobuj skompilowac oidentd bez wsparcia dla nat/masq i ipv6.

     

    @samu

    niestety dupa .... to samo

     

    Sprobowalem:

     

    Z wlaczonym PF, przekierowalem porty 113, 6667 (host):

     

    pass in on $ext_if proto tcp from any to any port { 22, 113, 6667 }

     

    i dziala, ale niestety wszystko tylko z hosta :( a ja potrzebuje z jaila. Do jaila przkierowywuje ruch oraz porty i nie dziala.

    16:47 -!- bryn1u [bryn1u@oksymoron.edu.pl]
16:47 -!-  ircname  : User Bryn1u
16:47 -!-  server   : ircnet.optilian.net [France]
16:47 -!-  idle     : 0 days 0 hours 0 mins 4 secs [signon: Wed Jul  2 16:47:32 2014]
16:47 -!- End of WHOIS
    Dla jaila nie ma wielkiej filozofi:

    rdr on em0 proto tcp from any to $ip_pub port 113 -> $ip_jail port 113
    rdr on em0 proto tcp from any to $ip_pub port 6667 -> $ip_jail port 6667
    pass in on $ext_if proto tcp from any to $ip_jail port 113 $tcpstate $stossh
    pass in on $ext_if proto tcp from any to $ip_jail port 6667 $tcpstate $stossh
    Czy ktos mi jest w stanie wytlumaczyc o co to chodzi ? Bede bardzo wdzieczny
    Pzdr,

  12. Napisano · Edytowano przez bryn1u (zobacz historię edycji) · Raportuj odpowiedź

    Zminimalizowalem pf.conf do paru linijek:

     nat pass on em0 from $NET_JAIL to any -> $IP_PUB
 
 rdr pass on em0 proto tcp from any to 178.32.219.66 port 21 -> 192.168.0.1 port 21
 rdr pass on em0 proto tcp from any to 178.32.219.66 port 80 -> 192.168.0.1 port 80
 rdr pass on em0 proto tcp from any to 178.32.219.66 port 113 -> 192.168.0.1 port 113
 rdr pass on em0 proto tcp from any to 178.32.219.66 port 6667 -> 192.168.0.1 port 6667
 rdr pass on em0 proto tcp from any to 178.32.219.66 port 31337 -> 192.168.0.1 port 31337
    Problem dalej ten sam. Najdziwniejsze jest to, ze z hosta dziala, laczac sie z odpalonym oidentem wszystko chodzi jak w zegarku. Podczas przekierowania
    rdr pass on em0 proto tcp from any to 178.32.219.66 port 113 -> 192.168.0.1 port 113
    zaczyna sie problem. Czy ktos moze wie dlaczego tak sie dzieje ? Chodzi mi nawet o prymitywna tylde "~" pod ircem. Z hosta przy odpalonym oidentd dziala bez problemu, dostaje user@host a z jaila z przekierowaniem dostaje ~user@host. Probowalem pod iptables z tego samego servera i przekierowanie z LXC tez dziala bez problemu.

  13. Napisano · Edytowano przez bryn1u (zobacz historię edycji) · Raportuj odpowiedź

    Witam,

     

    Posiadam FreeBSD 10, 1 jaila i PF Firewall. Probuje na wszystkie rozne sposoby przekierowac oidentd do jaila, ale to w ogole nie chce dzialac. Z hosta chodzi bez problemu lecz z jaila to jakas masakra. Czy ktos mial podobny problem. Moj pf.conf ponizej:

     

     

    IP_PUB="178.xxx.xxx.xxx"
    IP_JAIL="192.168.0.1"
    NET_JAIL="192.168.0.0/24"
    PORT_JAIL="{80,31337,6667,113,12345}"
    martians = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, 0.0.0.0/8, 240.0.0.0/4 }"
    # connected to internet
    ext_if = "em0"
    ### Stateful Tracking Options (STO) ###
    stossh ="(max 5, source-track rule, max-src-states 5, max-src-nodes 5, max-src-conn-rate 4/30, overload <bruteforce> flush global)"
    stowww ="(max 500, source-track rule, max-src-states 50, max-src-nodes 75, max-src-conn-rate 120/100, overload <bruteforce> flush global)"
    ### Queues, States and Types ###
    #IcmpPing ="icmp-type 8 code 0"
    #SshQueue ="(ssh_bulk, ssh_login)"
    #SynState ="flags S/SA synproxy state"
    tcpstate ="flags S/SA modulate state"
    udpstate ="keep state"
    ### Tables ###
    #table <blockperm> counters file "/etc/blockperm"
    #table <brutforce> counters persist file "/etc/bruteforce"
    table <bruteforce> persist
    ################ Options #####################################################
    ### Misc Options
    set skip on lo
    set skip on lo1
    set debug urgent
    set block-policy drop
    set loginterface $ext_if
    set state-policy if-bound
    set fingerprints "/etc/pf.os"
    set ruleset-optimization none
    ### Timeout Options ###
    set optimization normal
    set timeout { tcp.closing 60, tcp.established 7200}
    ################ Normalization ###############################################
    # set-tos 0x1c is Maximize-Reliability + Minimize-Delay + Maximize-Throughput
    # scrub out log on $ext_if all random-id min-ttl 15 set-tos 0x1c fragment reassemble
    # scrub in log on $ext_if all min-ttl 15 fragment reassemble
    ################ Translation #################################################
    ### NAT and Redirection rules are first match ###

    nat pass on em0 from $NET_JAIL to any -> $IP_PUB
    rdr pass on em0 proto tcp from any to $IP_PUB port $PORT_JAIL -> $IP_JAIL
    rdr pass on em0 proto tcp from any to $IP_PUB port 113 -> 192.168.0.1 port 113
    ################ Filtering ###################################################
    # Rules are best (closest) match. Notice we optimized the rules so external
    # interface parsing is first followed by the internal interface.
    ### $ExtIf block abusive hosts in temp and perm tables
    ################ Filtering ###################################################
    ### Drop incoming everything ###
    block quick from <bruteforce>
    block in all
    block return
    # keep stats of outgoing connections
    pass out keep state
    # unlimited traffic for loopback and lan / vpn
    # activate spoofing protection for all interfaces
    block in quick from urpf-failed
    #antispoof is a common special case of filtering and blocking. This mechanism protects against activity from spoofed or forged IP addresses
    antispoof log for $ext_if
    #block RCF
    block drop in log (all) quick on $ext_if from $martians to any
    block drop out log (all) quick on $ext_if from any to $martians
    # Block all ips
    # pfctl -t blockedip -T show
    block drop in log (all) quick on $ext_if from <bruteforce> to any
    block drop out log (all) quick on $ext_if from any to <bruteforce>
    # Allow incoming ssh, http, bind traffic
    # pass in
    pass in on $ext_if proto tcp from any to any port 22 $tcpstate $stossh
    pass in on $ext_if proto tcp from any to any port 6667 $tcpstate $stossh
    # pass for jail ports
    pass in on $ext_if proto tcp from any to $IP_JAIL port 31337 $tcpstate $stossh
    pass in on $ext_if proto tcp from any to $IP_JAIL port 80 $tcpstate $stowww
    pass in on $ext_if proto tcp from any to $IP_JAIL port 113 $tcpstate
    pass in on $ext_if proto tcp from any to $IP_JAIL port 12345 $tcpstate $stowww
    pass in on $ext_if proto tcp from any to $IP_JAIL port 6667 $tcpstate

     

     

  15. Napisano · Raportuj odpowiedź

    Witam,

    Caly czas gryzie mnie dylemat rozwiazan routerowo/firewallowych. Probuje znalezc na necie jakies informacje, porwnania tych powiedzmy firewall'i. Niestety nic ciekawego nie znalazlem. Na codzien korzystam z PF, dziala wysmienicie, bardzo szybko, lecz brakuje mi tej hmm szczegolowosci co w iptables. Stad moje pytania. Czy skutecznosc w zwalczaniu i mozliwosc konfiguracji w PF jest taka sama jak w IPtables ? Jak wyglada sprawa z radzeniem sobie podczas ddos'ow, spoofingu, roznych innych technik falszowania pakietow i tym podobne. Nie zapytam co jest lepsze bo nigdy nie dojdziemy do konsensusu (co jest oczywiste).

    Czy ktos sie interesowal nftables ? Jak wyglada sprawa z przyszloscia, czytalem tu na forum, ze ponoc ma powstac jakis translator z iptables na nftables, cos ktos wie ?

    Za kazda dyskusje bede wdzieczny,

    Z gory dziekuje,
    Pozdrawiam,

  16. Napisano · Edytowano przez bryn1u (zobacz historię edycji) · Raportuj odpowiedź

    Uzywam rownolegle gentoo-hardened i FreeBSD 10.0.

     

    Wszyscy pisza o OpenBSD secure by default a ja z czystym sumieniem moge to samo powiedziec o gentoo-hardened. Jesli chodzi o kwestie konfiguracji gentoo-hardened to mam podstawowe uslugi dla paru znajomych: konta shell, www (php+apache+mysql), poczte i powiem szczerze, ze wbrew temu co ludzie powtarzaja od lat nie jest az tak duzo konfigurowania, kompilowanie trwa naprawde szybko (patrzac na dzisiejszy hardware), herdened daje nam za to bardzo wysoki poziom bezpiecznestwa, wszystko kompiluje sie z PIE, SSP, userland jest naprawde dobrze i bezpiecznie przygotowany przez developerow. ProPolice w polaczeniu z PaX/Grsecurity daje niesamowite bezpieczenstwo, ostatnia linia obrony jest jeszcze RBAC. Do tej pory sie dziwie czemu tak malo osob uzywa gentoo-herdened na serverach.

     

     

    We FreeBSD jest troszeczke wiecej wklepywania do config'ow, ale kazdy chyba sobie zapisuje swoje ustawienia albo je po prostu oskryptuje co pozniej sie sprowadza do wklepania jednej komendy. We FreeBSD 10 standardowo jest wynalazek zwany "pkg" cos na wzor apt-get. Jednak w wersji serverowej wypada kompilowac z portow, gdyz paczki tez buduja sie z opcja stack-smash-protector. Jako ciekawostka niebawem do wersji GCC 4.9, ktora bedzie dostepna opcja fstack-protector-strong dla FreeBSD 9.x z GCC-4.8 jest juz patch pozwalajacy uzyskac ta wlasciwosc: http://www.freebsd.org/cgi/query-pr.cgi?pr=186852 Naprawde jest to system godny uwagi, przejrzysty, spojny i bezpieczny. Za pomoca MAC/TrustedBSD mozna uzyskac to na co Grsec pozwala a czesc jest juz standardowo by default w kernelu no i najwazniejsza zaleta to jail, ktory sam w sobie juz jest bezpieczny.

     

    Bardzo dobrze tez ostatnimi czasy wypada Ubuntu, tym bardziej, ze paczki pod ubuntu sa tez kompilowane z SSP w wiekszym stopniu niz dla Debiana. O ile dobrze pamietam to tworcy Ubuntu wzieli sie za to juz od wersji Ubuntu 6.x

     

     

    • Upvote 1

  20. Napisano · Edytowano przez bryn1u (zobacz historię edycji) · Raportuj odpowiedź

    @Archi

     

    A cos w stylu Mandatory Access Control rozwiazalo by problem ? Typu jakis ACL lub apparmor lub tomoto. Bo tyle udalo mi sie na szybko znalezc na necie ? We FreeBSD jest cos takiego jak chflags, stosuje sie flage append (o ile dobrze pamietam), ze mozna tylko i wylacznie dopisywac do tresci (tez do konca nie rozwiazuje mojego problemu), nie wolno usuwac. Ale to nie bylo tez dobre ze wzgledu na rotacje logow. Szukam czegos podobnego pod linuxa. Moze powiem dokladnie o co chodzi. Mam np katalog "secure" a w nim plik o nazwie "temp". User w swoim /home/user/secure moze wejsc do tego katalogu (np chmod xr), w tym katalogu moze edytowac plik "temp" jesli chodzi tylko i wylacznie o tresc, lecz nie moze zmienic jego nazwy. No i tutaj sie zastanawiam jak to ugryzc.

  21. Napisano · Edytowano przez bryn1u (zobacz historię edycji) · Raportuj odpowiedź

    Witam.

     

    Zastanawiam sie czy jest mozliwosc zmiany zawartosci w pliku tekstowym bez mozliwosci zmiany nazwy tego pliku ? Krotko mowiac, user moze tylko ingerowac w tresc tego pliku do reszty dostep jest zablokowany. Chmody zwykle tutaj raczej odpadaja. Co pod linuxem udostepni mi taka mozliwosc ?

     

    Pozdrawiam.

  24. Napisano · Raportuj odpowiedź

    I wielkie nic.

    Skopiowalem OVH config do /usr/src/linux-3.2.38, wpierw nalozylem grsec, poszlo bez problemu pozniej config. Kompilacja tez przeszla bez blednie. Podczas menuconfig sprawdzilem czy sa zaladowane moduly. SA ! Zainstalowalem nowe jajko dpkg -i *.deb, ktory sie znajdowal w /usr/src i po rebocnie jedno wielkie g... A najlepsze jest to, ze jak odpalam server z pierwotnego jajka to tez nie wstaje. Juz wiem czemu ludzie nie lubia linuxa.

    Kernel nowy 3.2.38-grsex

    screenshot007ua.jpg

    Kernel stary 3.2 - OVH

    screenshot008qb.jpg


    I co mozna zrobic oprocz strzelenia sobie w leb ?

  25. Napisano · Edytowano przez bryn1u (zobacz historię edycji) · Raportuj odpowiedź

    Witam.

     

    Posiadam malutka maszynke na "domowe" potrzeby w ovh. Chcec sobie przekompilowac aktualne jajko

     

     
root@ks3290849:/usr/src# uname -a
Linux ks3290849.kimsufi.com 3.2.13-grsec-xxxx-grs-ipv6-32 #1 SMP Thu Mar 29 09:43:21 UTC 2012 i686 i686 i386 GNU/Linux

    I chcialbym sobie zmienic na jajko 3.2.38 + grsex. Niestety za kazdym razem wywala mi jakis blad. Probowalem nawet ustawien z OVH .configu, ktory udostepniaja oraz defalutowego za pomoca make defconfig, ale bez skutku. Problemu by nie bylo gdyby byl stary config, ktory przewaznie znajduje sie w /boot. Niestety OVH prowadzi dziwna polityke, ktora nie pozwala na dostep do .configa z zew. (po prostu go nie ma) Stad moje pytanie czy jest mozliwosc wyciagniecie ustawien do nowego configa z juz skompilowanego jajka ? Przyznam sie bez bicia, ze nigdy sie nie spotkalem z configiem bez configa.

     

    Z gory dziekuje.

    Pozdrawiam.

×