Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
johnsmith
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
finland.gif
postituspostitatud: 10.10.2006, 21:23  postituse pealkiri:  (teema puudub)  

Itivend, lase selline käsk juurena konsooli "ipfw show" ja kopeeri see siia

Ftp -ga on alati tulemüüri taga probleeme ja see on seotud sellega kuidas ftp töötab. See on hästi pikk jutt aga lühidalt ftp kasutab ühenduse ja data jaoks eraldi porte. Lisaks sellele kasutavad ftp kliendid aktiivset ja passiivset olekut uhhh.
Klient peaks vaikimisi kasutama passiivset see tähendab, et klient ühendab ennast porti 21 ja seejärel valib ise serveri pordi 49152-65535 vahelt.

Ja veel, kas sa saad ühendada ennast serverisse porti 21 aga klient kaebab, et ei saa directory listingut ? Kui nii siis on jama just dünaamiliste portidega.

EDIT: Aktiivses versioonis server kasutab datapordina 20 aga see töötab nagunii nende reeglite järgi kuna server võtab ise ühendust kliendiga
lähtepordist 20 aga see ei tööta tavaliselt kunagi kuna enamus on mingisuguse tulemüüri taga mis plokib sissetuleva liikluse. Siis on probleem just kliendi poolne aga enamus kliente peaks oskama kasutada passiivset modet.




Viimati muutis johnsmith 10.10.2006, 21:45; muudetud 1 kord
obundra
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
estonia.gif
postituspostitatud: 10.10.2006, 21:45  postituse pealkiri:  (teema puudub)  

Kui siin juba selgitamisele tulid ftp kaks "agregaatolekut", siis, et asi täiesti selge oleks - active vs passive ftp puust ja punaselt.

_________________
IT teenused

itvendpowered

Pingviini aktivist
Pingviini aktivist


Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
estonia.gif
postituspostitatud: 10.10.2006, 21:57  postituse pealkiri:  (teema puudub)  

Selline siis on see ipfw show tulemused

PCBSD# ipfw show
00100 8 416 allow ip from any to any via lo0
00130 0 0 check-state
00140 5 544 allow tcp from me to any keep-state
00150 52 5405 allow udp from me to any keep-state
00160 164 74049 allow tcp from any to me dst-port 80 keep-state
00170 0 0 allow tcp from any to me dst-port 21 keep-state
00171 331 32715 allow tcp from any to me dst-port 22 keep-state
00175 13 689 allow udp from any to me dst-port 27015 keep-state
00178 0 0 allow udp from any to me dst-port 27016 keep-state
00180 0 0 allow tcp from any to any dst-port 49152-65535
00200 13 728 allow icmp from me to any keep-state
00220 2 306 deny ip from any to any
65535 0 0 deny ip from any to any

_________________
Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.

johnsmith
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
finland.gif
postituspostitatud: 11.10.2006, 06:41  postituse pealkiri:  (teema puudub)  

00170 0 0 allow tcp from any to me dst-port 21 keep-state
00180 0 0 allow tcp from any to any dst-port 49152-65535

Kõik on nagu vaja aga huvitav, et need reeglid ei ole üldse tabamusi saanud nende ees on 0 0. See tähendab, et keegi ei ole proovinud neid porte.

Kas sa saat telnettida porti 21 väljastpoolt " telnet sinuip 21" ja mis tulemus on ?
Teine võimalus mine https://www.grc.com/x/ne.dll?bh0bkyd2 ja lase skannida oma porte ja vaata kas 21 on open ?


itvendpowered

Pingviini aktivist
Pingviini aktivist


Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
estonia.gif
postituspostitatud: 11.10.2006, 18:05  postituse pealkiri:  (teema puudub)  

telentiga sai ipswitch ftpga saab aga nt smartftpga ei saa Sad

_________________
Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.

itvendpowered

Pingviini aktivist
Pingviini aktivist


Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
estonia.gif
postituspostitatud: 11.10.2006, 18:28  postituse pealkiri:  (teema puudub)  

itvendpowered kirjutas:
telentiga sai ipswitch ftpga saab aga nt smartftpga ei saa Sad


nonii tegin täna testi Very Happy mull oli see cfg peal mis sa päris alguses andsid aga see dos attac tuli ikka läbi Sad nuuks ?

_________________
Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.

johnsmith
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
finland.gif
postituspostitatud: 11.10.2006, 19:08  postituse pealkiri:  (teema puudub)  

Kas lubasid icmp uuesti ja ftp hakkas tööle ?
Ma ei ole kuulnud, et ftp sõltub icmp -st ftp peaks kasutama puhtalt tcp -d ????


itvendpowered

Pingviini aktivist
Pingviini aktivist


Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
estonia.gif
postituspostitatud: 11.10.2006, 22:16  postituse pealkiri:  (teema puudub)  

jah.. nagu alguses Smile aga ftp töötas ikka Wink ennem oli kliendi viga SmartFTP ei funkanud Smile aga telnetiga saab :D

EDIT:
Smart logib sisse kyll aga dir listing ei taha ette tulla

_________________
Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.

johnsmith
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
finland.gif
postituspostitatud: 12.10.2006, 13:13  postituse pealkiri:  (teema puudub)  

Ftp peab ikka töötama ka ilma icmp protokollita.
Proovi uuesti icmp ära keelata ja vaata smartftp asetustest kas ta kasutab passiivset meetodit seal vöib olla vaikimisi aktiivne sellepärast ei saagi listingut. Näiteks browserid kasutavad vaikimisi passiivset meetodit.
Kui klient kasutab aktiivset meetodit siis see ei ole sinu probleem vaid kliendi tulemyyr plokib sissetulevaid yhendusi.

Ma ise kasutan konsooli ftp klente ja nendega töötab kyll mu enda serveris ftp. Mul söber tirib kftp -ga ja saab ka mu serverisse sisse ja browseriga saab sisse nagu nalja.


itvendpowered

Pingviini aktivist
Pingviini aktivist


Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
estonia.gif
postituspostitatud: 15.10.2006, 10:02  postituse pealkiri:  (teema puudub)  

ftp probleem on kliendis ainult aga ma olen katsetanud nyyd seda asja aga dos tuleb läbi nagu naksti Smile aga õnneks ei ole see sõbra dos hull asi. Aga kas Coyote Linuxga jooksvas ruuteris annaks selliseid rynnakuid peatada terve kohtvõrgu peale ?? ...

_________________
Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.

johnsmith
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
finland.gif
postituspostitatud: 15.10.2006, 10:50  postituse pealkiri:  (teema puudub)  

Kui rünnak tuleb isegi siis läbi kui icmp on keelatud siis pole tegu icmp rünnakuga. Ilmselt ta kasutab tcp - syn rünnakut mis saadab serverile võltsitult aadressilt "http requesti", aga ühendus jääb poolikuks kuna server ei saa vastust kliendilt ja peab ootama paketti aegumist. See rünnak kasutab ära tcp protokollli kolmeastmelist käepigistust. Sama rünnak toimib ka muude tcp teenustega. Kuna teatud arv pooleliolevaid tcp ühendusi on lubatud siis server ei saagi enam kedagi teenindada. Selle vastu ei aita muu kui pordi 80 sulgemine või lubatud pooleliolevate tcp ühenduste arvu suurendamine kernelis.

Ps. On sul ikka sõbrad.....


itvendpowered

Pingviini aktivist
Pingviini aktivist


Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
estonia.gif
postituspostitatud: 15.10.2006, 10:58  postituse pealkiri:  (teema puudub)  

Sõber lihtsalt ÕNNEKS TESTIS Smile Smile aga on see kernelis keeruline tegevus??

_________________
Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.

johnsmith
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
finland.gif
postituspostitatud: 15.10.2006, 11:59  postituse pealkiri:  (teema puudub)  

Ma ei ole seda ise teinud kuna mul selliseid sõpru pole Smile


Pane see /etc/sysctl.conf -i siis ei pea iga kord eraldi suurendama.
kern.ipc.somaxconn=2048

Apache conf failis on vaja suurendada neid väärtusi
MaxKeepAliveRequests 400
MaxClients 500

Ära unusta, et see nõuab ka rohkem ressursse serverilt ja lõpuks on võimalik iga server ikkagi kinni jooksutada kuna ressursid on piiratud.
Hajutatud zombie rünnakuga saab ikkagi serveri maha.

Need arvud ma tõmbasin lambist aga vaikimisi ühenduste arv kernelis on 128 nii, et nende asetustega syn rünnak enam nii kerge olla ei tohiks.
Ma ei ole kindel kas neid apache arve ei peaks nullima siis äkki lubab piiramatud arvu ühendusi või lihtsalt suurendama...........
Igatahes proovi ja anna teada kas aitab.


itvendpowered

Pingviini aktivist
Pingviini aktivist


Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
estonia.gif
postituspostitatud: 15.10.2006, 19:43  postituse pealkiri:  (teema puudub)  

Jooksis kinni Very Happy aga sõber kes attaci tegi ytles et mingi packetsize tuleks midagi teha max packetsize 100

_________________
Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.

johnsmith
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
finland.gif
postituspostitatud: 15.10.2006, 20:06  postituse pealkiri:  (teema puudub)  

Kuule uuri mis tööriista ta kasutab su serveri vastu ?

EDIT: Muudame reegleid vähe

$cmd 100 pass all from any to any via lo0
$cmd 130 check-state
$cmd 140 allow tcp from me to any keep-state
$cmd 150 allow udp from me to any keep-state
$cmd 160 allow tcp from any to me 80 limit src-addr 2
$cmd 170 allow tcp from any to me 21 limit src-addr 8
$cmd 171 allow tcp from any to me 22 limit src-addr 4
$cmd 175 allow udp from any to me 27015 keep state
$cmd 178 allow udp from any to me 27016 keep state
$cmd 180 allow tcp from any to any 49152-65535 #vaja selleks, et ftp töötaks
$cmd 200 allow icmp from me to any keep-state #lubab icmp välja
#$cmd 210 allow icmp from any to me icmptypes 3,4,8,11 #keela 8 või kõik ära
$cmd 220 deny ip from any to any #keelab kõik muu

Man lehe järgi see peaks lubama ainult määratud arv ühendusi sama aadressi kohta, kui tegemist pole hajutatud rünnakuga siis see peaks aitama.


Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group