Re: [ug-fraosug] ipf Frage

2011-09-28 Diskussionsfäden Stefan Husch | qutic development 
Thomas, Volker,

Danke für Eure Denkanstösse!

On 28.09.2011, at 12:27, Thomas Hildebrandt - SSE - Oracle EMEA Systems Support 
wrote:

> Hast Du schon mal versucht, via ipmon -D zu monitoren, was da geblockt bzw. 
> durchgelassen wird (und warum)?

Ich habe immer nur http-requests getestet und da macht das quick natürlich was 
aus:

>> pass  in quick proto tcp from any to /24 port = 80 flags S keep state

So kann die neue, am Ende eingefügte Regel bei Port 80 kaum wirksam sein...

Danke & viele Grüße
Stefan

___
ug-fraosug mailing list
ug-fraosug@opensolaris.org
http://mail.opensolaris.org/mailman/listinfo/ug-fraosug

Re: [ug-fraosug] ipf Frage

2011-09-28 Diskussionsfäden Thomas Hildebrandt - SSE - Oracle EMEA Systems Support 

Hmmm,

nachdem ich jetzt ein bißchen mehr damit herumexperimentiert habe, bin ich der 
Meinung, daß die hinzugefügte Regel unmittelbar wirksam wird. Bei meinen 
Experimenten war das jedenfalls so.


Damit bleibt nur noch der Fall übrig, daß /32 auch auf ein anderes Muster 
passt - du hattest die ipf.conf ja etwas verkürzt wiedergegeben. Wenn in der 
betreffenden Zeile das Keyword 'quick' auftaucht, prüft ipf ja nicht weiter.


Hast Du schon mal versucht, via ipmon -D zu monitoren, was da geblockt bzw. 
durchgelassen wird (und warum)?


Gruss
- Thomas

On 09/28/11 10:55, Stefan Husch | qutic development wrote:

Hallo zusammen,

Ziel ist es mit fail2ban bestimmte ip-Adressen (on the fly) mit ipf zu 
blockieren. OS ist OpenIndiana 151 und Nexenta3.

Mit iptables klappt das wunderbar, nur mit ipf habe ich noch Probleme:

echo 'block in log quick from /32 to any' | /usr/sbin/ipf -f -

Wenn ich jetzt ein 'ipfstat -ioh' mache steht die  auch drin, jedoch wird 
sie nie geblockt...

Die ipf.conf sieht (etwas verkürzt ;-) so aus:

block in log quick from any to any with ipopts
block in log quick all with short
block in  log all
block out log all
block in quick from 127.0.0.0/8 to any
block in quick from any to 127.0.0.0/8
pass in  quick on lo0 all
pass out quick on lo0 all
block in quick from 10.0.0.0/8 to any
block in quick from 192.168.0.0/16 to any
block in quick from 172.16.0.0/12  to any
block in quick from 224.0.0.0/3 to any
pass  in quick proto tcp from any to /24 port = 80 flags S keep state
pass  out quick proto tcp from any to any flags S keep state
pass  out quick proto udp from any to any keep state
block return-rst in proto tcp from any to any flags S/SA
block return-icmp(net-unr) in proto udp all

Eigentlich sollte das doch funktionieren... Im Netzt gibt es nichts, was 
weiterhilft zu dem Thema - oder ich habe es nur nicht gefunden ;-)

Kann mir da jemand auf die Sprünge helfen?

Viele Grüße
Stefan


___
ug-fraosug mailing list
ug-fraosug@opensolaris.org
http://mail.opensolaris.org/mailman/listinfo/ug-fraosug


--

Thomas Hildebrandt | Strategic Support Engineer
Phone: +49 6103 752 410 | Mobile: +49 173 5772308
Oracle EMEA Systems Support

ORACLE Deutschland B.V. & Co. KG | Amperestr. 6 | 63225 Langen

ORACLE Deutschland B.V. & Co. KG
Hauptverwaltung: Riesstr. 25, D-80992 München
Registergericht: Amtsgericht München, HRA 95603

Komplementärin: ORACLE Deutschland Verwaltung B.V.
Rijnzathe 6, 3454PV De Meern, Niederlande
Handelsregister der Handelskammer Midden-Niederlande, Nr. 30143697
Geschäftsführer: Jürgen Kunz, Marcel van de Molen, Alexander van der Ven





Oracle is committed to developing practices and products that help
protect the environment



This transmission is intended only for the use of the addressee and may
contain confidential or legally privileged information. If you are not
the intended recipient, you are notified that any retransmission,
dissemination, disclosure or other use of, or taking any action in
reliance upon, this communication is strictly prohibited. If you have
received this transmission in error please notify us immediately and
delete all copies of this transmission together with any attachments.

___
ug-fraosug mailing list
ug-fraosug@opensolaris.org
http://mail.opensolaris.org/mailman/listinfo/ug-fraosug

Re: [ug-fraosug] ipf Frage

2011-09-28 Diskussionsfäden Thomas Hildebrandt - SSE - Oracle EMEA Systems Support 

Hallo Volker, hallo Stefan,

das wird m.E. so nicht funktionieren - jeder Flush wird dafür sorgen, daß die 
ursprünglich konfigurierten Regeln den Bach 'runtergehen, selbst wenn man in 
Stefan's Befehlszeile hinter dem 'ipf' noch ein ' -Fi' einfügt. Dann würde für 
Input nur die Regel übrigbleiben, die dynamisch hinzugefügt werden soll(te).


Wenn man die neue Regel allerdings einfach an die existierende ipf.conf anhängt, 
sollte das per ipf -Fi -f /etc/ipf/ipf.conf funktionieren.


Gruß
- Thomas

On 09/28/11 11:20, Volker A. Brandt wrote:

Hallo Stefan!


Ach ja, ipf... schon was länger her... :-)


echo 'block in log quick from /32 to any' | /usr/sbin/ipf -f -


Machst Du das bei laufendem ipf und gültiger ipf.conf?
Falls ja, wird das ja am Ende angehängt.

Wenn ich Änderungen mache, schreib ich die immer in die ipf.conf
rein, mache dann ipf -F a und ipf -f .

Ist zwar ungefähr genauso hochwertig wie ein Windows-Reboot, aber
hast Du das schon mal probiert?


Viele Grüße -- Volker


--

Thomas Hildebrandt | Strategic Support Engineer
Phone: +49 6103 752 410 | Mobile: +49 173 5772308
Oracle EMEA Systems Support

ORACLE Deutschland B.V. & Co. KG | Amperestr. 6 | 63225 Langen

ORACLE Deutschland B.V. & Co. KG
Hauptverwaltung: Riesstr. 25, D-80992 München
Registergericht: Amtsgericht München, HRA 95603

Komplementärin: ORACLE Deutschland Verwaltung B.V.
Rijnzathe 6, 3454PV De Meern, Niederlande
Handelsregister der Handelskammer Midden-Niederlande, Nr. 30143697
Geschäftsführer: Jürgen Kunz, Marcel van de Molen, Alexander van der Ven





Oracle is committed to developing practices and products that help
protect the environment



This transmission is intended only for the use of the addressee and may
contain confidential or legally privileged information. If you are not
the intended recipient, you are notified that any retransmission,
dissemination, disclosure or other use of, or taking any action in
reliance upon, this communication is strictly prohibited. If you have
received this transmission in error please notify us immediately and
delete all copies of this transmission together with any attachments.

___
ug-fraosug mailing list
ug-fraosug@opensolaris.org
http://mail.opensolaris.org/mailman/listinfo/ug-fraosug

Re: [ug-fraosug] ipf Frage

2011-09-28 Diskussionsfäden Volker A. Brandt 
Hallo Stefan!


Ach ja, ipf... schon was länger her... :-)

> echo 'block in log quick from /32 to any' | /usr/sbin/ipf -f -

Machst Du das bei laufendem ipf und gültiger ipf.conf?
Falls ja, wird das ja am Ende angehängt.

Wenn ich Änderungen mache, schreib ich die immer in die ipf.conf
rein, mache dann ipf -F a und ipf -f .

Ist zwar ungefähr genauso hochwertig wie ein Windows-Reboot, aber
hast Du das schon mal probiert?


Viele Grüße -- Volker
-- 

Volker A. Brandt   Consulting and Support for Oracle Solaris
Brandt & Brandt Computer GmbH   WWW: http://www.bb-c.de/
Am Wiesenpfad 6, 53340 Meckenheim Email: v...@bb-c.de
Handelsregister: Amtsgericht Bonn, HRB 10513  Schuhgröße: 46
Geschäftsführer: Rainer J. H. Brandt und Volker A. Brandt
___
ug-fraosug mailing list
ug-fraosug@opensolaris.org
http://mail.opensolaris.org/mailman/listinfo/ug-fraosug

[ug-fraosug] ipf Frage

2011-09-28 Diskussionsfäden Stefan Husch | qutic development 
Hallo zusammen,

Ziel ist es mit fail2ban bestimmte ip-Adressen (on the fly) mit ipf zu 
blockieren. OS ist OpenIndiana 151 und Nexenta3.

Mit iptables klappt das wunderbar, nur mit ipf habe ich noch Probleme:

echo 'block in log quick from /32 to any' | /usr/sbin/ipf -f -

Wenn ich jetzt ein 'ipfstat -ioh' mache steht die  auch drin, jedoch wird 
sie nie geblockt...

Die ipf.conf sieht (etwas verkürzt ;-) so aus:

block in log quick from any to any with ipopts
block in log quick all with short
block in  log all
block out log all
block in quick from 127.0.0.0/8 to any
block in quick from any to 127.0.0.0/8
pass in  quick on lo0 all
pass out quick on lo0 all
block in quick from 10.0.0.0/8 to any
block in quick from 192.168.0.0/16 to any
block in quick from 172.16.0.0/12  to any
block in quick from 224.0.0.0/3 to any
pass  in quick proto tcp from any to /24 port = 80 flags S keep state
pass  out quick proto tcp from any to any flags S keep state
pass  out quick proto udp from any to any keep state
block return-rst in proto tcp from any to any flags S/SA
block return-icmp(net-unr) in proto udp all

Eigentlich sollte das doch funktionieren... Im Netzt gibt es nichts, was 
weiterhilft zu dem Thema - oder ich habe es nur nicht gefunden ;-)

Kann mir da jemand auf die Sprünge helfen?

Viele Grüße
Stefan


___
ug-fraosug mailing list
ug-fraosug@opensolaris.org
http://mail.opensolaris.org/mailman/listinfo/ug-fraosug