Перейти к содержимому


Фото
- - - - -

правила файрвола

firewall

  • Please log in to reply
70 ответов в этой теме

#41 man8531

man8531

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 05 Октябрь 2018 - 16:16

Afalin,

всё верно. только для всякого я открыл оба направления для порта 2163



#42 man8531

man8531

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 05 Октябрь 2018 - 16:26

расширил сейчас диапазон блокируемых портов: с 49151 по 65535 и больше агент не уходит в мобильный режим.



#43 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 05 Октябрь 2018 - 16:43

Вангую тогда, что это не давало агенту забиндиться на :0, чтоб установить соединение с сервером.


Семь раз отрежь – один раз проверь

#44 man8531

man8531

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 05 Октябрь 2018 - 16:44

pid 1380 - агент. я так понимаю, что сервер инициирует открытие порта 1207 у машины, где стоит агент. в iptables это разруливается так:

# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
# Пропускать все уже инициированные соединения, а также дочерние от них
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Пропускать новые, а так же уже инициированные и их дочерние соединения
$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешить форвардинг для уже инициированных и их дочерних соединений
$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

а как заставить пакетный фильтр делать это же?

Прикрепленные файлы:



#45 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 05 Октябрь 2018 - 16:45

я так понимаю, что сервер инициирует открытие порта 1207 у машины, где стоит агент.

Неправильно. Это клиент (любой) при соединении с сервером (любым) занимает какой-либо порт, который ему даст ОС.


Семь раз отрежь – один раз проверь

#46 man8531

man8531

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 05 Октябрь 2018 - 16:49

 

я так понимаю, что сервер инициирует открытие порта 1207 у машины, где стоит агент.

Неправильно. Это клиент (любой) при соединении с сервером (любым) занимает какой-либо порт, который ему даст ОС.

 

ну общая мысль Вам понятна. а так как файрвол прикрыл все порты, то агент не может занять себе порт. отсюда и уход в мобильный режим

 

вот и нужно заставить файрвол так не делать, а отдавать порт


Сообщение было изменено man8531: 05 Октябрь 2018 - 16:52


#47 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 05 Октябрь 2018 - 20:43

 

 

я так понимаю, что сервер инициирует открытие порта 1207 у машины, где стоит агент.

Неправильно. Это клиент (любой) при соединении с сервером (любым) занимает какой-либо порт, который ему даст ОС.

 

ну общая мысль Вам понятна. а так как файрвол прикрыл все порты, то агент не может занять себе порт. отсюда и уход в мобильный режим

 

вот и нужно заставить файрвол так не делать, а отдавать порт

 

Какой порт отдавать? Вы же их все прикрыли. А порт для клиента выбирает сама винда из свободных в диапазоне 1024 по 65535.



#48 man8531

man8531

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 05 Октябрь 2018 - 21:29

https://forum.drweb.com/index.php?showtopic=330421&p=857341
то есть, как с iptables не получится? там тоже всё перекрывается наглухо, но есть правило, что написано в посте по ссылке выше, которое позволяет, например, клиенту опенвпн принимать пакеты на рандомный порт от сервера. хотя открыт только на исходящий - 1194

Сообщение было изменено man8531: 05 Октябрь 2018 - 21:31


#49 man8531

man8531

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 05 Октябрь 2018 - 21:36

если я всё верно понимаю, то при обращении клиента к серверу, создаётся соединение и ответы по этому соединению файрвол распознаёт как разрешённые и даёт добро на открытие порта. а в моём случае, не имея правила в файрволе, он это соединение распознаёт как новое и зарубает его намертво.

#50 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 05 Октябрь 2018 - 22:59

Да, для TCP фаеру имеет смысл фильтровать только SYN.

И если, например, соединение установилось раньше, чем взлетел фаер, то в общем-то фаер ему уже не помеха.

Но лично я не скажу навскидку, что там происходит и что с этим делать.


Семь раз отрежь – один раз проверь

#51 man8531

man8531

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 06 Октябрь 2018 - 08:30

Да, для TCP фаеру имеет смысл фильтровать только SYN.

И если, например, соединение установилось раньше, чем взлетел фаер, то в общем-то фаер ему уже не помеха.

Но лично я не скажу навскидку, что там происходит и что с этим делать.

разобрался я с этим товарищем. прилагаю картинку правила, чтоб агент не изолировался от сети. для всякого и для tcp такое правило сделал.

Прикрепленные файлы:



#52 man8531

man8531

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 06 Октябрь 2018 - 08:38

ещё осталось попросить разрабов сделать возможность в веб-интерфейсе перемещать правила, в пакетном фильтре, вверх или вниз. как это реализовано в агенте. иначе приходится всё нижнее запрещающее удалять и добавлять разрешающее, а потом снова запрещать. и ещё чтоб убрали баг с пропаданием правил!



#53 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 06 Октябрь 2018 - 10:39

разобрался я с этим товарищем. прилагаю картинку правила, чтоб агент не изолировался от сети. для всякого и для tcp такое правило сделал.

UDP нужен у нас только для поиска сервеа/агента, так что он ну никак не мог повлиять на соединение по TCP.


Семь раз отрежь – один раз проверь

#54 man8531

man8531

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 06 Октябрь 2018 - 11:03

я и не говорю, что он влиял. создал правило эксперимента для. удалю. всем спасибо за помощь!

#55 man8531

man8531

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 06 Октябрь 2018 - 11:31

и таки нет: для агента главное создавать правило для tcp на входящие пакеты от 2163 (по дефолту 2193) порта. всё остальное (UDP) закрыл и работает агент прекрасно



#56 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 06 Октябрь 2018 - 20:18

Входящие? Что-то тут всё непонятно.


Семь раз отрежь – один раз проверь

#57 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 06 Октябрь 2018 - 23:09

ещё осталось попросить разрабов сделать возможность в веб-интерфейсе перемещать правила, в пакетном фильтре, вверх или вниз. как это реализовано в агенте. иначе приходится всё нижнее запрещающее удалять и добавлять разрешающее, а потом снова запрещать. и ещё чтоб убрали баг с пропаданием правил!

отсутствие перемещения правил это баг.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#58 man8531

man8531

    Newbie

  • Posters
  • 96 Сообщений:

Отправлено 07 Октябрь 2018 - 08:55

Входящие? Что-то тут всё непонятно.

чтобы долго не объяснять, прикладываю правила в виде xml

Прикрепленные файлы:



#59 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 08 Октябрь 2018 - 09:34

ещё осталось попросить разрабов сделать возможность в веб-интерфейсе перемещать правила, в пакетном фильтре, вверх или вниз.

Угу, тикет про это висит уже давно.


Семь раз отрежь – один раз проверь

#60 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 08 Октябрь 2018 - 09:44

Входящие? Что-то тут всё непонятно.

чтобы долго не объяснять, прикладываю правила в виде xml

И вот без правила "agent_tcp" агент не может соединиться?

Если да, то либо настройки у нас кривые, либо логика пакетного фильтра (даже если достигается эффект именно блокировкой входящих пакетов).

Хотя логика и правда кривая, потому что при наличии явных настроек что-то неявно блокируется, причём только в одном направлении.


Семь раз отрежь – один раз проверь



Also tagged with one or more of these keywords: firewall

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых