Autor |
Sõnum |
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Itivend, lase selline käsk juurena konsooli "ipfw show" ja kopeeri see siia
Ftp -ga on alati tulemüüri taga probleeme ja see on seotud sellega kuidas ftp töötab. See on hästi pikk jutt aga lühidalt ftp kasutab ühenduse ja data jaoks eraldi porte. Lisaks sellele kasutavad ftp kliendid aktiivset ja passiivset olekut uhhh.
Klient peaks vaikimisi kasutama passiivset see tähendab, et klient ühendab ennast porti 21 ja seejärel valib ise serveri pordi 49152-65535 vahelt.
Ja veel, kas sa saad ühendada ennast serverisse porti 21 aga klient kaebab, et ei saa directory listingut ? Kui nii siis on jama just dünaamiliste portidega.
EDIT: Aktiivses versioonis server kasutab datapordina 20 aga see töötab nagunii nende reeglite järgi kuna server võtab ise ühendust kliendiga
lähtepordist 20 aga see ei tööta tavaliselt kunagi kuna enamus on mingisuguse tulemüüri taga mis plokib sissetuleva liikluse. Siis on probleem just kliendi poolne aga enamus kliente peaks oskama kasutada passiivset modet.
|
|
|
|
Viimati muutis johnsmith 10.10.2006, 21:45; muudetud 1 kord
|
|
|
|
obundra
Vana Pingviin
Vanus: 49
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
|
|
|
|
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
Selline siis on see ipfw show tulemused
PCBSD# ipfw show
00100 8 416 allow ip from any to any via lo0
00130 0 0 check-state
00140 5 544 allow tcp from me to any keep-state
00150 52 5405 allow udp from me to any keep-state
00160 164 74049 allow tcp from any to me dst-port 80 keep-state
00170 0 0 allow tcp from any to me dst-port 21 keep-state
00171 331 32715 allow tcp from any to me dst-port 22 keep-state
00175 13 689 allow udp from any to me dst-port 27015 keep-state
00178 0 0 allow udp from any to me dst-port 27016 keep-state
00180 0 0 allow tcp from any to any dst-port 49152-65535
00200 13 728 allow icmp from me to any keep-state
00220 2 306 deny ip from any to any
65535 0 0 deny ip from any to any
|
|
|
|
_________________ Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
00170 0 0 allow tcp from any to me dst-port 21 keep-state
00180 0 0 allow tcp from any to any dst-port 49152-65535
Kõik on nagu vaja aga huvitav, et need reeglid ei ole üldse tabamusi saanud nende ees on 0 0. See tähendab, et keegi ei ole proovinud neid porte.
Kas sa saat telnettida porti 21 väljastpoolt " telnet sinuip 21" ja mis tulemus on ?
Teine võimalus mine https://www.grc.com/x/ne.dll?bh0bkyd2 ja lase skannida oma porte ja vaata kas 21 on open ?
|
|
|
|
|
|
|
|
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
telentiga sai ipswitch ftpga saab aga nt smartftpga ei saa
|
|
|
|
_________________ Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
_________________ Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Kas lubasid icmp uuesti ja ftp hakkas tööle ?
Ma ei ole kuulnud, et ftp sõltub icmp -st ftp peaks kasutama puhtalt tcp -d ????
|
|
|
|
|
|
|
|
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
jah.. nagu alguses aga ftp töötas ikka ennem oli kliendi viga SmartFTP ei funkanud aga telnetiga saab :D
EDIT:
Smart logib sisse kyll aga dir listing ei taha ette tulla
|
|
|
|
_________________ Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Ftp peab ikka töötama ka ilma icmp protokollita.
Proovi uuesti icmp ära keelata ja vaata smartftp asetustest kas ta kasutab passiivset meetodit seal vöib olla vaikimisi aktiivne sellepärast ei saagi listingut. Näiteks browserid kasutavad vaikimisi passiivset meetodit.
Kui klient kasutab aktiivset meetodit siis see ei ole sinu probleem vaid kliendi tulemyyr plokib sissetulevaid yhendusi.
Ma ise kasutan konsooli ftp klente ja nendega töötab kyll mu enda serveris ftp. Mul söber tirib kftp -ga ja saab ka mu serverisse sisse ja browseriga saab sisse nagu nalja.
|
|
|
|
|
|
|
|
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
ftp probleem on kliendis ainult aga ma olen katsetanud nyyd seda asja aga dos tuleb läbi nagu naksti aga õnneks ei ole see sõbra dos hull asi. Aga kas Coyote Linuxga jooksvas ruuteris annaks selliseid rynnakuid peatada terve kohtvõrgu peale ?? ...
|
|
|
|
_________________ Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Kui rünnak tuleb isegi siis läbi kui icmp on keelatud siis pole tegu icmp rünnakuga. Ilmselt ta kasutab tcp - syn rünnakut mis saadab serverile võltsitult aadressilt "http requesti", aga ühendus jääb poolikuks kuna server ei saa vastust kliendilt ja peab ootama paketti aegumist. See rünnak kasutab ära tcp protokollli kolmeastmelist käepigistust. Sama rünnak toimib ka muude tcp teenustega. Kuna teatud arv pooleliolevaid tcp ühendusi on lubatud siis server ei saagi enam kedagi teenindada. Selle vastu ei aita muu kui pordi 80 sulgemine või lubatud pooleliolevate tcp ühenduste arvu suurendamine kernelis.
Ps. On sul ikka sõbrad.....
|
|
|
|
|
|
|
|
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
Sõber lihtsalt ÕNNEKS TESTIS aga on see kernelis keeruline tegevus??
|
|
|
|
_________________ Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Ma ei ole seda ise teinud kuna mul selliseid sõpru pole
Pane see /etc/sysctl.conf -i siis ei pea iga kord eraldi suurendama.
kern.ipc.somaxconn=2048
Apache conf failis on vaja suurendada neid väärtusi
MaxKeepAliveRequests 400
MaxClients 500
Ära unusta, et see nõuab ka rohkem ressursse serverilt ja lõpuks on võimalik iga server ikkagi kinni jooksutada kuna ressursid on piiratud.
Hajutatud zombie rünnakuga saab ikkagi serveri maha.
Need arvud ma tõmbasin lambist aga vaikimisi ühenduste arv kernelis on 128 nii, et nende asetustega syn rünnak enam nii kerge olla ei tohiks.
Ma ei ole kindel kas neid apache arve ei peaks nullima siis äkki lubab piiramatud arvu ühendusi või lihtsalt suurendama...........
Igatahes proovi ja anna teada kas aitab.
|
|
|
|
|
|
|
|
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
Jooksis kinni aga sõber kes attaci tegi ytles et mingi packetsize tuleks midagi teha max packetsize 100
|
|
|
|
_________________ Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Kuule uuri mis tööriista ta kasutab su serveri vastu ?
EDIT: Muudame reegleid vähe
$cmd 100 pass all from any to any via lo0
$cmd 130 check-state
$cmd 140 allow tcp from me to any keep-state
$cmd 150 allow udp from me to any keep-state
$cmd 160 allow tcp from any to me 80 limit src-addr 2
$cmd 170 allow tcp from any to me 21 limit src-addr 8
$cmd 171 allow tcp from any to me 22 limit src-addr 4
$cmd 175 allow udp from any to me 27015 keep state
$cmd 178 allow udp from any to me 27016 keep state
$cmd 180 allow tcp from any to any 49152-65535 #vaja selleks, et ftp töötaks
$cmd 200 allow icmp from me to any keep-state #lubab icmp välja
#$cmd 210 allow icmp from any to me icmptypes 3,4,8,11 #keela 8 või kõik ära
$cmd 220 deny ip from any to any #keelab kõik muu
Man lehe järgi see peaks lubama ainult määratud arv ühendusi sama aadressi kohta, kui tegemist pole hajutatud rünnakuga siis see peaks aitama.
|
|
|
|
|
|
|
|
|