elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
28 Mayo 2012, 00:52  


Tema destacado: Personaliza-Escoge el diseño del foro que más te guste.

+  Foro de elhacker.net
|-+  Sistemas Operativos
| |-+  Unix/Unix-Like
| | |-+  Mac OS X (Moderador: zhyzura)
| | | |-+  FreeBSD Packet Filter /etc/pf.conf no funciona. (Solucionado)		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: FreeBSD Packet Filter /etc/pf.conf no funciona. (Solucionado)  (Leído 2,961 veces)
AlbertoBSD
Estudiante y
Colaborador
***
Desconectado Desconectado

Mensajes: 1.955


Anonymous & Paranoid


Ver Perfil WWW
FreeBSD Packet Filter /etc/pf.conf no funciona. (Solucionado)
« en: 12 Noviembre 2008, 07:05 »
Tengo freBSD instalado la version 7.0 Release reconfigure el kernel para que soportara el PF de BSD y todo funciono bien.

Realice algunas pruebas basicas y funciono, sin embargo ahora que modifico el archivo con las siguientes reglas:

Citar
table <private> const { 10/8, 172.16/12, 192.168/16 }
table <badhosts> persist file "/etc/badhosts"
table <friendhosts> persist file "/etc/friendhosts"
block on msk0 from <badhost> to any
pass on msk0 from { <private>,<friendhost> } to any
pass in on msk0 tcp from any to any port 22
block out on msk0 from any to any

Explico brevemente lo que quiero:

block on msk0 from <badhost> to any

Bloqueo todo lo que venga o vaya hacia los host malos xD

pass on msk0 from { <private>,<friendhost> } to any

pasa todo desde/hacia mi red local, y hacia los host de los amigos etc.

pass in on msk0 tcp from any to any port 22

Permito todo lo que vaya dirijido al Ssh

block out on msk0 from any to any

Y por ultimo bloqueo todo lo que salga hacia cualquier destino.

Nada funciona. no se si desconfigure algo o omiti algun comando pero nada.

Agrego tambien el archivo rc.conf

Citar
keymap="spanish.iso"
moused_enable="YES"
inetd_enable="YES"

#Firewall PF BSD
pf_enable="YES"                 # Enable PF (load module if required)
pf_rules="/etc/pf.conf"         # rules definition file for pf
pf_flags=""                     # additional flags for pfctl startup
pflog_enable="YES"              # start pflogd(8)
pflog_logfile="/var/log/pflog"  # where pflogd should store the logfile
pflog_flags=""                  # additional flags for pflogd startup

#Apache
ifconfig_msk0="DHCP"

Que podre estar omitiendo.?
« Última modificación: 3 Diciembre 2008, 18:22 por Anon » En línea
Bien Super Divertido
@wifigdlmx
xDie


Desconectado Desconectado

Mensajes: 308



Ver Perfil
Re: FreeBSD Packet Filter /etc/pf.conf no funciona.
« Respuesta #1 en: 14 Noviembre 2008, 16:10 »
Hola, porque no pones las reglas de bloqueo al final?, primero pone las reglas pass y a lo ultimo las block, y podrias tirar ifconfig para ver las interfaces
En línea
Licence to kill!
AlbertoBSD
Estudiante y
Colaborador
***
Desconectado Desconectado

Mensajes: 1.955


Anonymous & Paranoid


Ver Perfil WWW
Re: FreeBSD Packet Filter /etc/pf.conf no funciona.
« Respuesta #2 en: 14 Noviembre 2008, 16:14 »
Ok, lo calare y te digo, sobre lo del ifconfig tambien lo vere, pero de memento solo me interesa bloquearlo en la interfas Ethernet.

Saludos y gracias.
« Última modificación: 14 Noviembre 2008, 16:26 por Anon » En línea
Bien Super Divertido
@wifigdlmx
m4st3rcr4zy

Desconectado Desconectado

Mensajes: 80


Mariajuanaaaaaaa... I miss you.


Ver Perfil WWW
Re: FreeBSD Packet Filter /etc/pf.conf no funciona.
« Respuesta #3 en: 15 Noviembre 2008, 19:48 »
Tuve ese mismo  problema  al poner las reglas del  IPFW lo que hice fue priorizar mis reglas tal como te comenta el usuario Xdie pero primero anduve haceindo muchas pruebas. por que no dejas solo esta regl

pass all from any to any via msk0

o en tu caso seria

pass on msk0 from any to any

haz una prueba pingeando a alguna web cualquiera y debe de responderte  para el ipfilter y ya no debe repsonder ( en teoria asi me lo hacia ami se me hace q por defecto freebsd cierra todo y no da acceso hasta q tu se lo permitas) y apartir de ahi puedes ir poniendo y probando tus reglas.


suerte y si ya lo has solucionado ponlo aqui para que otros puedan aprender y aver si asi vemos mas actividad en este foro.



saludos.
En línea
Si la Tierra fuera una pc, ya hubiera explotado del sobrecalentamiento
AlbertoBSD
Estudiante y
Colaborador
***
Desconectado Desconectado

Mensajes: 1.955


Anonymous & Paranoid


Ver Perfil WWW
Re: FreeBSD Packet Filter /etc/pf.conf no funciona.
« Respuesta #4 en: 15 Noviembre 2008, 20:14 »
Cita de: xDie en 14 Noviembre 2008, 16:10
Hola, porque no pones las reglas de bloqueo al final?, primero pone las reglas pass y a lo ultimo las block, y podrias tirar ifconfig para ver las interfaces

Ya verifique con las reglas en este orden:
Citar
table <private> const { 10/8, 172.16/12, 192.168/16 }
table <badhosts> persist file "/etc/badhosts"
table <friendhosts> persist file "/etc/friendhosts"
pass on msk0 from { <private>,<friendhost> } to any
pass in on msk0 tcp from any to any port 22
block out on msk0 from any to any

Y sigue dejandome salir a Internet, lo que yo quiero de momento es bloquearme cualquier salida al exterior, Solo Aceptando conexiones al puerteo SSH, y entrantes y salientes que provengan de host de confianza como mis redesprivadas y los host que esten marcados como seguros /etc/friendhosts

Nota que mi equipo fisico no tiene IP privada. tiene una IP publica Asignada.

Sobre lo del ifconfig aqui esta: pero no es necesario solo voy a tener conectada la Interas msk0

Citar
Anon# ifconfig
msk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=19a<TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
        ether 00:13:a9:ca:17:3d
        inet 189.165.156.195 netmask 0xfffffff8 broadcast 189.165.156.199
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
wpi0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:1b:77:3a:9f:f9
        media: IEEE 802.11 Wireless Ethernet autoselect (autoselect)
        status: no carrier
        ssid "" channel 1 (2412 Mhz 11b)
        authmode OPEN privacy OFF txpower 50 bmiss 7 scanvalid 60 bintval 0
pfsync0: flags=0<> metric 0 mtu 1460
        syncpeer: 224.0.0.240 maxupd: 128
pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33204
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x7
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000

Saludos y gracias.
En línea
Bien Super Divertido
@wifigdlmx
AlbertoBSD
Estudiante y
Colaborador
***
Desconectado Desconectado

Mensajes: 1.955


Anonymous & Paranoid


Ver Perfil WWW
Re: FreeBSD Packet Filter /etc/pf.conf no funciona.
« Respuesta #5 en: 16 Noviembre 2008, 14:44 »
Bien estuve biendo que pasaba en realidad con el PF.

Revise en dmesg y encontre las siguientes lineas:

Citar
Starting pflog.
pflog0: promiscuous mode enabled
Enabling pf.
Nov 16 07:19:03 pflogd[583]: [priv]: msg PRIV_OPEN_LOG received
/etc/pf.conf:4: syntax error
pfctl: Syntax error in config file: pf rules not loaded
pf enabled

Viendo la linea 4 del archivo de configuracion:

Citar
table <private> const { 10/8, 172.16/12, 192.168/16 }
table <badhosts> persist file "/etc/badhosts"
table <friendhosts> persist file "/etc/friendhosts"
pass in on msk0 tcp from any to any port 22
pass on msk0 from { <private>,<friendhost> } to any
block on msk0 from <badhost> to any
block out on msk0 from any to any

He revisado la documentacion del PF y esta todo bien tendre que seguir investigando.

Saludos.
En línea
Bien Super Divertido
@wifigdlmx
AlbertoBSD
Estudiante y
Colaborador
***
Desconectado Desconectado

Mensajes: 1.955


Anonymous & Paranoid


Ver Perfil WWW
Re: FreeBSD Packet Filter /etc/pf.conf no funciona.
« Respuesta #6 en: 18 Noviembre 2008, 23:59 »
He instalado PC-BSD en otra particion y me ha instalado el PF por defecto verifique el archivo de configuracion y esto fue lo que me encontre.

Citar
set skip on lo0
set block-policy return
scrub in all
block in log
antispoof quick for lo0 inet
block in from no-route to any
pass out keep state
table <blacklist> persist file "/etc/blacklist"
pass inet proto icmp from any to any
pass in proto {tcp,udp} from any to any port 49152:65535 keep state
block from <blacklist> to any
pass in on msk0 proto udp from any to (msk0) port 137 keep state
pass in on msk0 proto udp from any to (msk0) port 138 keep state
pass in on msk0 proto tcp from any to (msk0) port 445 keep state
pass in on msk0 proto tcp from any to (msk0) port 137 keep state
pass in on msk0 proto tcp from any to (msk0) port 139 keep state

voy a adaptar el ejemplo a lo que necesito y les aviso si funciona.

Saludos.
En línea
Bien Super Divertido
@wifigdlmx
AlbertoBSD
Estudiante y
Colaborador
***
Desconectado Desconectado

Mensajes: 1.955


Anonymous & Paranoid


Ver Perfil WWW
Re: FreeBSD Packet Filter /etc/pf.conf no funciona.
« Respuesta #7 en: 19 Noviembre 2008, 21:58 »
Funciono!!!!!!  ;D

Citar
set skip on lo0
set block-policy return
scrub in all
block in log
antispoof quick for lo0 inet
block in from no-route to any
table <private> const { 10/8, 172.16/12, 192.168/16 }
table <badhosts> persist file "/etc/badhosts"
table <friendhosts> persist file "/etc/friendhosts"
pass inet proto icmp from any to any
pass in on msk0 proto tcp from any to (msk0) port 22 keep state
pass from { <private>,<friendhost> } to any
block from <badhost> to any
pass out from any to any

Con esto solo mis amigos y mis redes locales entran a la computadora, y cualquiera hacia el puerto 22 y yo continuo con mi servicios normalmente.

Y este otro solo cambiando la ultima instruccion

pass out from any to any

por

block out from any to any

Es para mi otro propocito, de solo permitir ssh entrante y denegar cualquier salida. como una Carcel!!!

pero este ultimo todavia necesito probrar si el ssh se comporta estable con estas reglas alguien que me ayude a probar que mande un privado

Saludos y gracias.
En línea
Bien Super Divertido
@wifigdlmx
dxr
Colaborador
***
Desconectado Desconectado

Mensajes: 2.991



Ver Perfil
Re: FreeBSD Packet Filter /etc/pf.conf no funciona.
« Respuesta #8 en: 1 Diciembre 2008, 00:29 »
tienes una politica insegura:

Hacer return te hace vulnerable a una denegacion de servicio.

Y el any to any te hace vulnerbale a ip spoofing.
En línea
Hacer preguntas concretas, claras y aportando toda la documentación necesaria.
De lo contrario, no tendreis una respuesta clara.
AlbertoBSD
Estudiante y
Colaborador
***
Desconectado Desconectado

Mensajes: 1.955


Anonymous & Paranoid


Ver Perfil WWW
Re: FreeBSD Packet Filter /etc/pf.conf no funciona.
« Respuesta #9 en: 1 Diciembre 2008, 05:44 »
Si de hecho lo del return lo note desde hace dias y lo cambie por drop

set block-policy drop

Y sobre lo del IP spoofig

Y sobre lo de any to any dime que estoy ciego o algo pero no veo del todo
Ahorita no estoy enrutando paquetes, y la politica es de salida, quiere decir que es desde NIC...

Igualmente esa politica ahorita no la estoy aplicando.

Saludos y Gracias por la Observacion.
En línea
Bien Super Divertido
@wifigdlmx
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines