Pokrewne
- Strona Główna
- ipf.pl
- ipf (3)
- Diogenes Zywoty i poglady slynnych filozofow
- Terry Pratchett 03 Rownoumagi
- Bialolecka Ewa Kamien na szczycie
- Thompson Poul, Tonya Cook Dra Zaginione Opowiesci t.3
- Smith Wilbur Katanga (2)
- Heinlein Robert A Luna to surowa pani
- dumas aleksander towarzysze jehudy
- Zbigniew Nienacki Raz w roku w Skiroławkach
- zanotowane.pl
- doc.pisz.pl
- pdf.pisz.pl
- dmn.xlx.pl
[ Pobierz całość w formacie PDF ]
.803147 ppp0 @0:2 b 100.100.100.103,443 -> 20.20.20.10,4923 PR tcp len 20 14Co to oznacza? Pierwsze pole to oczywiście stempel czasu.Drugie jest również raczej oczywiste, to interfejs naktórym wydarzyło sie zdarzenie.Trzecie pole @0:2 to coś, co ludzie zwykle pomijają.To oznaczenie reguły któraspowodowała zdarzenie.Pamiętasz ipfstat -in? Jeśli chciałbyś wiedzieć co spowodowało zalogowanie pakietu,powinieneś obejrzeć regułę 2 w grupie 0.Czwarte pole, małe b mówi że pakiet został zablokowany, i generalniebędziesz to ignorował, chyba że logujesz również pakiety które przepuszczasz, co spowoduje pokazanie się literki'p'.Piąte i szóste pole nie wymagają chyba wyjaśnienia, mówią one skąd pakiet przyszedł i gdzie miał dotrzeć.Siódme (PR) i ósme pole to protokół, a dziewiąte długość pakietu.Ostatnia część, -A' to flagi które były ustawione;ten pakiet ma ustawioną flagę ACK.Dlaczego wspomniałem na początku stany? Ponieważ często w Interneciezdarzają się lagi, pakiety są regenerowane i czasami dostaniesz dwa takie same, co spowoduje stwierdzenie przezkod odpowiedzialny za śledzenie połączeń, że to pakiet należący do innego połączenia.Być może trafi on na regułę.Zwykle zobaczysz tutaj ostatni pakiet sesji zalogowany, ponieważ kod keep state już wyrzuci połączenie, zanimostatni pakiet będzie miał szansę dotrzeć do twojej ściany ogniowej.To normalne zachowanie, nie denerwuj się.Innym przykładem pakietu może być:12:46:12.470951 xl0 @0:1 S 20.20.20.254 -> 255.255.255.255 PR icmp len 20 9216 icmpJest to broadcast rozpoznawczy ICMP routera.Możemy to stwierdzić na podstawie typu ICMP: 9/0.Na koniec, ipmon pozwala również na obejrzenie tabeli NAT:# ipmon -o N01/08/1999 05:30:02.466114 @2 NAT:RDR 20.20.20.253,113 20.20.20.253,113 [100.101/08/1999 05:30:31.990037 @2 NAT:EXPIRE 20.20.20.253,113 20.20.20.253,113 [10Widzimy tu przekierowanie do serwera identd, który kłamie twierdząc że udostępnia usługę ident dla maszyn zanaszym NATem, ponieważ zwykle nie mogą one sobie same zapewnić tej usługi przy zwykłym NATcie.8.Specyficzne zastosowania Filtra IP - rzeczy które nie pasowaływyżej, ale są warte wspomnienia8.1 Utrzymywanie stanu (ang.keep state) oraz flagi i serweryUtrzymywanie stanu jest fajną sprawą, ale bardzo łatwo jest popełnić błąd decydując w którą stronę będziemyutrzymywać stan.Generalnie, będziesz chciał ustawić słowo kluczowe keep state przy pierwszej regule którawchodzi w interakcję z pakietami inicjującymi dany rodzaj połączenia.Jednym z najczęściej spotykanych błędówjest, w momencie łączenia śledzenia stanów z filtrowaniem według flag, jest tak jak poniżej:block in allpass in quick proto tcp from any to 20.20.20.20/32 port = 23 flags Spass out all keep stateReguły wyraznie umożliwiają tworzenie połączeń do serwera telnetu pod adresem 20.20.20.20 i odsyłanieodpowiedzi ze strony serwera.Jednak gdy spróbujesz użyć tych reguł, zadziałają ale na krótko.Ponieważwpuszczamy tylko pakiety z ustawioną flagą SYN, pozycja w tabeli stanów nigdy nie zostanie dokończona, i poprzekroczeniu domyślnego czasu na ustanowienie połączenia (60 sekund) połączenie zostanie zamknięte.Możemy rozwiązać ten problem, przepisując reguły na jeden z dwóch sposobów:block in allpass in quick proto tcp from any to 20.20.20.20/32 port = 23 keep stateblock out alllub:block in allpass in quick proto tcp from any to 20.20.20.20/32 port = 23 flags S keep statepass out all keep stateObie możliwości spowodują, że będzie możliwe nawiązanie pełnego połączenia oraz zapisanie go w tabeli stanów.8.2 Radzenie sobie z FTPFTP to jeden z protokołów, przy którym siadasz i zaczynasz się zastanawiać "Co do cholery oni sobie myśleli?".FTPma wiele problemów, z którymi administrator musi sobie poradzić.Co gorsza, problemy które administrator musirozwiązać są różne dla klientów FTP i serwera FTP.W obrębie protokołu FTP wyróżnia się dwa tryby transferu - aktywny i pasywny.Aktywny to ten, w którym serwerłączy się z otwartym portem na komputerze klienta i wysyła dane.Analogicznie, pasywny to taki w którym to klientłączy się na otwarty port serwera i odbiera dane.Konfiguracja dla serwera FTPJeśli chodzi o obsłużenie aktywnych sesji FTP, zadanie jest proste.Jednocześnie skonfigurowanie obsługipasywnych sesji FTP będzie dużym problemem.Najpierw zajmiemy się Aktywnym FTP, potem Pasywnym.Generalnie, obsłużymy Aktywne FTP tak jak przychodzące połączenia HTTP czy SMTP; po prostu otworzymy portftp i pozwolimy regule z keep state zrobić swoje:pass in quick proto tcp from any to 20.20.20.20/32 port = 21 flags S keep statepass out proto tcp all keep statePowyższe reguły umożliwią nawiązywanie Aktywnych połączeń FTP do twojego serwera pod adresem 20.20.20.20.Kolejnym wyzwaniem będzie obsłużenie Pasywnego FTP.Standardowo tak działają przeglądarki WWW, więc stajesię to dosyć popularne i powinniśmy pomyśleć o tym poważnie.Problemem jest to, że dla każdego połączeniapasywnego, serwer musi zacząć nasłuchiwać na jakimś nowym porcie (zwykle powyżej portu numer 1023) [ Pobierz całość w formacie PDF ]
zanotowane.pl doc.pisz.pl pdf.pisz.pl agnieszka90.opx.pl
.803147 ppp0 @0:2 b 100.100.100.103,443 -> 20.20.20.10,4923 PR tcp len 20 14Co to oznacza? Pierwsze pole to oczywiście stempel czasu.Drugie jest również raczej oczywiste, to interfejs naktórym wydarzyło sie zdarzenie.Trzecie pole @0:2 to coś, co ludzie zwykle pomijają.To oznaczenie reguły któraspowodowała zdarzenie.Pamiętasz ipfstat -in? Jeśli chciałbyś wiedzieć co spowodowało zalogowanie pakietu,powinieneś obejrzeć regułę 2 w grupie 0.Czwarte pole, małe b mówi że pakiet został zablokowany, i generalniebędziesz to ignorował, chyba że logujesz również pakiety które przepuszczasz, co spowoduje pokazanie się literki'p'.Piąte i szóste pole nie wymagają chyba wyjaśnienia, mówią one skąd pakiet przyszedł i gdzie miał dotrzeć.Siódme (PR) i ósme pole to protokół, a dziewiąte długość pakietu.Ostatnia część, -A' to flagi które były ustawione;ten pakiet ma ustawioną flagę ACK.Dlaczego wspomniałem na początku stany? Ponieważ często w Interneciezdarzają się lagi, pakiety są regenerowane i czasami dostaniesz dwa takie same, co spowoduje stwierdzenie przezkod odpowiedzialny za śledzenie połączeń, że to pakiet należący do innego połączenia.Być może trafi on na regułę.Zwykle zobaczysz tutaj ostatni pakiet sesji zalogowany, ponieważ kod keep state już wyrzuci połączenie, zanimostatni pakiet będzie miał szansę dotrzeć do twojej ściany ogniowej.To normalne zachowanie, nie denerwuj się.Innym przykładem pakietu może być:12:46:12.470951 xl0 @0:1 S 20.20.20.254 -> 255.255.255.255 PR icmp len 20 9216 icmpJest to broadcast rozpoznawczy ICMP routera.Możemy to stwierdzić na podstawie typu ICMP: 9/0.Na koniec, ipmon pozwala również na obejrzenie tabeli NAT:# ipmon -o N01/08/1999 05:30:02.466114 @2 NAT:RDR 20.20.20.253,113 20.20.20.253,113 [100.101/08/1999 05:30:31.990037 @2 NAT:EXPIRE 20.20.20.253,113 20.20.20.253,113 [10Widzimy tu przekierowanie do serwera identd, który kłamie twierdząc że udostępnia usługę ident dla maszyn zanaszym NATem, ponieważ zwykle nie mogą one sobie same zapewnić tej usługi przy zwykłym NATcie.8.Specyficzne zastosowania Filtra IP - rzeczy które nie pasowaływyżej, ale są warte wspomnienia8.1 Utrzymywanie stanu (ang.keep state) oraz flagi i serweryUtrzymywanie stanu jest fajną sprawą, ale bardzo łatwo jest popełnić błąd decydując w którą stronę będziemyutrzymywać stan.Generalnie, będziesz chciał ustawić słowo kluczowe keep state przy pierwszej regule którawchodzi w interakcję z pakietami inicjującymi dany rodzaj połączenia.Jednym z najczęściej spotykanych błędówjest, w momencie łączenia śledzenia stanów z filtrowaniem według flag, jest tak jak poniżej:block in allpass in quick proto tcp from any to 20.20.20.20/32 port = 23 flags Spass out all keep stateReguły wyraznie umożliwiają tworzenie połączeń do serwera telnetu pod adresem 20.20.20.20 i odsyłanieodpowiedzi ze strony serwera.Jednak gdy spróbujesz użyć tych reguł, zadziałają ale na krótko.Ponieważwpuszczamy tylko pakiety z ustawioną flagą SYN, pozycja w tabeli stanów nigdy nie zostanie dokończona, i poprzekroczeniu domyślnego czasu na ustanowienie połączenia (60 sekund) połączenie zostanie zamknięte.Możemy rozwiązać ten problem, przepisując reguły na jeden z dwóch sposobów:block in allpass in quick proto tcp from any to 20.20.20.20/32 port = 23 keep stateblock out alllub:block in allpass in quick proto tcp from any to 20.20.20.20/32 port = 23 flags S keep statepass out all keep stateObie możliwości spowodują, że będzie możliwe nawiązanie pełnego połączenia oraz zapisanie go w tabeli stanów.8.2 Radzenie sobie z FTPFTP to jeden z protokołów, przy którym siadasz i zaczynasz się zastanawiać "Co do cholery oni sobie myśleli?".FTPma wiele problemów, z którymi administrator musi sobie poradzić.Co gorsza, problemy które administrator musirozwiązać są różne dla klientów FTP i serwera FTP.W obrębie protokołu FTP wyróżnia się dwa tryby transferu - aktywny i pasywny.Aktywny to ten, w którym serwerłączy się z otwartym portem na komputerze klienta i wysyła dane.Analogicznie, pasywny to taki w którym to klientłączy się na otwarty port serwera i odbiera dane.Konfiguracja dla serwera FTPJeśli chodzi o obsłużenie aktywnych sesji FTP, zadanie jest proste.Jednocześnie skonfigurowanie obsługipasywnych sesji FTP będzie dużym problemem.Najpierw zajmiemy się Aktywnym FTP, potem Pasywnym.Generalnie, obsłużymy Aktywne FTP tak jak przychodzące połączenia HTTP czy SMTP; po prostu otworzymy portftp i pozwolimy regule z keep state zrobić swoje:pass in quick proto tcp from any to 20.20.20.20/32 port = 21 flags S keep statepass out proto tcp all keep statePowyższe reguły umożliwią nawiązywanie Aktywnych połączeń FTP do twojego serwera pod adresem 20.20.20.20.Kolejnym wyzwaniem będzie obsłużenie Pasywnego FTP.Standardowo tak działają przeglądarki WWW, więc stajesię to dosyć popularne i powinniśmy pomyśleć o tym poważnie.Problemem jest to, że dla każdego połączeniapasywnego, serwer musi zacząć nasłuchiwać na jakimś nowym porcie (zwykle powyżej portu numer 1023) [ Pobierz całość w formacie PDF ]