forum.opennet.ru - "SnorT" (5)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"SnorT"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"SnorT"
Сообщение от Alex_CrazY (ok) on 15-Авг-05, 21:58 (MSK)
Решил поставить SnorT Ну вот нужно мне зделать сначала хотя-бы самое простое правило. Так что бы в логи писались все порты кроме 80 и 443 Зделал вот так: log tcp $EXTERNAL_NET any -> $HOME_NET 1:79 log udp $EXTERNAL_NET any -> $HOME_NET 1:79 log tcp $EXTERNAL_NET any -> $HOME_NET 81:442 log udp $EXTERNAL_NET any -> $HOME_NET 81:442 log tcp $EXTERNAL_NET any -> $HOME_NET 444:65535 log udp $EXTERNAL_NET any -> $HOME_NET 444:65535 Всё равно пишуться все порты вместе с 80 и 443 Переделал вот так: log tcp $EXTERNAL_NET any -> $HOME_NET any log udp $EXTERNAL_NET any -> $HOME_NET any pass tcp $EXTERNAL_NET any -> $HOME_NET 80 pass udp $EXTERNAL_NET any -> $HOME_NET 80 pass tcp $EXTERNAL_NET any -> $HOME_NET 443 pass udp $EXTERNAL_NET any -> $HOME_NET 443 Всё равно пишуться все порты вместе с 80 и 443 Где не праВ? Уже и не знаю как ещё зделатЬ)))
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

SnorT, DukeArtem, 22:41 , 15-Авг-05, (1)
- SnorT, Alex_CrazY, 11:40 , 16-Авг-05, (2)
  - SnorT, DukeArtem, 20:14 , 16-Авг-05, (3)
    - SnorT, Alex_CrazY, 20:41 , 17-Авг-05, (4)
      - SnorT, DukeArtem, 22:59 , 17-Авг-05, (5)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "SnorT"

Сообщение от DukeArtem (ok) on 15-Авг-05, 22:41  (MSK)

deny tcp $EXTERNAL_NET any -> $HOME_NET 80
deny udp $EXTERNAL_NET any -> $HOME_NET 80
deny tcp $EXTERNAL_NET any -> $HOME_NET 443
deny udp $EXTERNAL_NET any -> $HOME_NET 443
log tcp $EXTERNAL_NET any -> $HOME_NET any
log udp $EXTERNAL_NET any -> $HOME_NET any
На счёт deny могу ошибаться (подзабыл), но мысль была, что сначала это запрещается, а потом если пакет не подходит под запрещающие правила он проходит выше - в лог.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "SnorT"

Сообщение от Alex_CrazY (ok) on 16-Авг-05, 11:40  (MSK)

>deny tcp $EXTERNAL_NET any -> $HOME_NET 80
>deny udp $EXTERNAL_NET any -> $HOME_NET 80
>deny tcp $EXTERNAL_NET any -> $HOME_NET 443
>deny udp $EXTERNAL_NET any -> $HOME_NET 443
>log tcp $EXTERNAL_NET any -> $HOME_NET any
>log udp $EXTERNAL_NET any -> $HOME_NET any
>На счёт deny могу ошибаться (подзабыл), но мысль была, что сначала это
>запрещается, а потом если пакет не подходит под запрещающие правила он
>проходит выше - в лог.

deny не работает, вместо отой команды - pass.
Зделал так как вы написали, всё равно пишет 80 и 443 порт в логи вместе со всеми остальными. Шаз плакать будУ:(((

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "SnorT"

Сообщение от DukeArtem (ok) on 16-Авг-05, 20:14  (MSK)

>deny не работает, вместо отой команды - pass.
>Зделал так как вы написали, всё равно пишет 80 и 443 порт
>в логи вместе со всеми остальными. Шаз плакать будУ:(((
Значит какой-то другой фильтр это творит, попробуй в правиле указать чисто запрет на всё и жди реакции, а дальше делай выводы....
З.Ы. И всё таки мне кажется что pass не запрещает :)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "SnorT"

Сообщение от Alex_CrazY (??) on 17-Авг-05, 20:41  (MSK)

>>deny не работает, вместо отой команды - pass.
>>Зделал так как вы написали, всё равно пишет 80 и 443 порт
>>в логи вместе со всеми остальными. Шаз плакать будУ:(((
>Значит какой-то другой фильтр это творит, попробуй в правиле указать чисто запрет
>на всё и жди реакции, а дальше делай выводы....
>З.Ы. И всё таки мне кажется что pass не запрещает :)

Дык в том то и дело - никой другой фильтр ничего другого не пишеТ...
pass - в мануале написан http://www.snort.org/docs/snort_htmanuals/htmanual_233/node18.html в начале статьИ

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "SnorT"

Сообщение от DukeArtem (ok) on 17-Авг-05, 22:59  (MSK)

Да я видел, там написано: pass - ignore the packet
Что с английского может переводиться двояко: 1) Игнорировать пакет (неотвечать на него) 2) Это пропустить пакет (ignore - как не обращать внимание)
З.Ы. Может у меня проблемы с английским? :)
З.З.Ы. Ты открой man ipfw и посмотри что там значит pass...

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "SnorT"
Сообщение от DukeArtem (ok) on 15-Авг-05, 22:41 (MSK)
deny tcp $EXTERNAL_NET any -> $HOME_NET 80 deny udp $EXTERNAL_NET any -> $HOME_NET 80 deny tcp $EXTERNAL_NET any -> $HOME_NET 443 deny udp $EXTERNAL_NET any -> $HOME_NET 443 log tcp $EXTERNAL_NET any -> $HOME_NET any log udp $EXTERNAL_NET any -> $HOME_NET any На счёт deny могу ошибаться (подзабыл), но мысль была, что сначала это запрещается, а потом если пакет не подходит под запрещающие правила он проходит выше - в лог.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "SnorT"
	Сообщение от Alex_CrazY (ok) on 16-Авг-05, 11:40 (MSK)
	>deny tcp $EXTERNAL_NET any -> $HOME_NET 80 >deny udp $EXTERNAL_NET any -> $HOME_NET 80 >deny tcp $EXTERNAL_NET any -> $HOME_NET 443 >deny udp $EXTERNAL_NET any -> $HOME_NET 443 >log tcp $EXTERNAL_NET any -> $HOME_NET any >log udp $EXTERNAL_NET any -> $HOME_NET any >На счёт deny могу ошибаться (подзабыл), но мысль была, что сначала это >запрещается, а потом если пакет не подходит под запрещающие правила он >проходит выше - в лог. deny не работает, вместо отой команды - pass. Зделал так как вы написали, всё равно пишет 80 и 443 порт в логи вместе со всеми остальными. Шаз плакать будУ:(((
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "SnorT"
	Сообщение от DukeArtem (ok) on 16-Авг-05, 20:14 (MSK)
	>deny не работает, вместо отой команды - pass. >Зделал так как вы написали, всё равно пишет 80 и 443 порт >в логи вместе со всеми остальными. Шаз плакать будУ:((( Значит какой-то другой фильтр это творит, попробуй в правиле указать чисто запрет на всё и жди реакции, а дальше делай выводы.... З.Ы. И всё таки мне кажется что pass не запрещает :)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "SnorT"
	Сообщение от Alex_CrazY (??) on 17-Авг-05, 20:41 (MSK)
	>>deny не работает, вместо отой команды - pass. >>Зделал так как вы написали, всё равно пишет 80 и 443 порт >>в логи вместе со всеми остальными. Шаз плакать будУ:((( >Значит какой-то другой фильтр это творит, попробуй в правиле указать чисто запрет >на всё и жди реакции, а дальше делай выводы.... >З.Ы. И всё таки мне кажется что pass не запрещает :) Дык в том то и дело - никой другой фильтр ничего другого не пишеТ... pass - в мануале написан http://www.snort.org/docs/snort_htmanuals/htmanual_233/node18.html в начале статьИ
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "SnorT"
	Сообщение от DukeArtem (ok) on 17-Авг-05, 22:59 (MSK)
	Да я видел, там написано: pass - ignore the packet Что с английского может переводиться двояко: 1) Игнорировать пакет (неотвечать на него) 2) Это пропустить пакет (ignore - как не обращать внимание) З.Ы. Может у меня проблемы с английским? :) З.З.Ы. Ты открой man ipfw и посмотри что там значит pass...
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]