[Release] Sicherheitsfix für PF

['oShet]

pass in quick on re0 proto tcp from any to any port 22 keep state
also muss ich das ^ raus nehmen??

Hab bei mir in /var/db eine neue blacklist datei angelegt. Ist's schlimm?

[.Alessa]

@.Saphira:
Ja, die Sicherheitslücke gibt es auch bei den 07er Files. IPFW sichert die P2P-Ports. admingape_ip (ohne 1!) sichert den Worldport.
Und PF sichert vor dem Bruteforcer bzw. DoS so weit ich das auch mitbekommen habe (der Grund für den Absturz der Server).

@Silfro: Nicht rausnehmen! Sonst ist dein SSH-Port ja nicht mehr frei oder gar geschützt.

So weit ich ja weiß, sollte bei richtiger Konfiguration auch ein syserr nicht mehr auftauchen, der bisher normal immer aufgetaucht ist. Weil er mal wieder bei mir stand, gab es mir zu denken...

[heshii']

Danke funktioniert perfekt , fals jemand kein lust hat zu rebooten oä hier sind paar befehle

PHP Code:

pfctl -e     PF aktivieren
pfctl -d     PF deaktivieren
pfctl -F all -f /etc/pf.conf     Alle Filterregeln zurücksetzen (NAT, Filter, Zustand, Tabelle, etc.) und erneut aus der Datei /etc/pf.conf auslesen
pfctl -s [ Regeln | NAT | Zustand ]     Bericht über die Filterregeln, NAT-Regeln, oder Zustandstabellen
pfctl -vnf /etc/pf.conf     überprüft /etc/pf.conf auf Fehler, lädt aber das Regelwerk nicht neu 


Quelle FreeBSD.org (*hust*guttenberg*hust*)

['oShet]

wenn ich das mit den ports 3306, 13002, 13003, 13004 und 13061 benutzte, dann funktioniert mysql nicht..

[BackBlack1]

Hallo,

also ich hab jetzt die pf.conf und bei der roten IP muss da meine IP vom root rein? weil bekomme immer ein syntax error.

Code:

### INTERFACES ###
if = "{ re0 }"

#Intra
table <intranet> { 127.0.0.1 [COLOR="Red"]192.168.2.111[/COLOR] }
pass in quick from <intranet> to any keep state

#Network
table <network> persist
block quick from <network>
pass in on $if proto tcp from any to any \
keep state (max-src-conn 100, max-src-conn-rate 15/1, \
overload <network> flush global)

#ruleset
block in all
pass in quick on lo0
pass out quick on lo0
table <bruteforce> persist file "/var/db/blacklist"
block quick from <bruteforce>
pass in quick on re0 proto tcp from any to any port 22 keep state
pass in quick on re0 proto tcp from any to any port 3306 keep state
pass in quick on re0 proto tcp from any to any port xxxx keep state
pass in quick on re0 proto tcp from any to any port xxxx keep state
pass in quick on re0 proto tcp from any to any port xxxx keep state
pass in quick on re0 proto tcp from any to any port xxxx keep state
pass in quick on re0 proto tcp from any to any port xxxx keep state
pass in quick on re0 proto tcp from any to any port xxxx keep state
pass out all keep state

[heshii']

Quote:

Originally Posted by BackBlack1

Hallo,

also ich hab jetzt die pf.conf und bei der roten IP muss da meine IP vom root rein? weil bekomme immer ein syntax error.

Code:

### INTERFACES ###
if = "{ [COLOR="Red"][B]re0[/B][/COLOR] }"

#Intra
table <intranet> { 127.0.0.1 192.168.2.111 }
pass in quick from <intranet> to any keep state

#Network
table <network> persist
block quick from <network>
pass in on $if proto tcp from any to any \
keep state (max-src-conn 100, max-src-conn-rate 15/1, \
overload <network> flush global)

#ruleset
block in all
pass in quick on lo0
pass out quick on lo0
table <bruteforce> persist file "/var/db/blacklist"
block quick from <bruteforce>
pass in quick on [COLOR="Red"][B]re0[/B][/COLOR] proto tcp from any to any port 22 keep state
pass in quick on [COLOR="Red"][B]re0[/B][/COLOR] proto tcp from any to any port 3306 keep state
pass in quick on [COLOR="Red"][B]re0[/B][/COLOR] proto tcp from any to any port [COLOR="Red"][B]xxxx[/B][/COLOR] keep state
pass in quick on [COLOR="Red"][B]re0[/B][/COLOR] proto tcp from any to any port [COLOR="Red"][B]xxxx[/B][/COLOR] keep state
pass in quick on [COLOR="Red"][B]re0[/B][/COLOR] proto tcp from any to any port [COLOR="Red"][B]xxxx[/B][/COLOR] keep state
pass in quick on [COLOR="Red"][B]re0[/B][/COLOR] proto tcp from any to any port [COLOR="Red"][B]xxxx[/B][/COLOR] keep state
pass in quick on [COLOR="Red"][B]re0[/B][/COLOR] proto tcp from any to any port [COLOR="Red"][B]xxxx[/B][/COLOR] keep state
pass in quick on [COLOR="Red"][B]re0[/B][/COLOR] proto tcp from any to any port [COLOR="Red"][B]xxxx[/B][/COLOR] keep state
pass out all keep state

Das was ich dir in rot markiert habe musst du anpassen

[BackBlack1]

Wenn ich ifconfig mache steht da auch danach:
re0: ....

also ist das ja richtig und bei xxxx stehen meine ports von den configs.
Also ist alles richtig drin aber wieso taucht syntax error auf.

[heshii']

Ja dann poste mal dein Error hier

[BackBlack1]

Code:

if = "{ re0 }"
table <intranet> { 127.0.0.1 192.168.2.111 }
table <network> persist
table <bruteforce> persist file "/var/db/blacklist"
/usr/local/pf.conf:29: syntax error

Das ist mein Problem da kommt ein syntax error.

['oShet]

hast du im /var/db/ ordner eine "blacklist" datei??

[alg0r!thm]

Quote:

Originally Posted by BackBlack1

Code:

if = "{ re0 }"
table <intranet> { 127.0.0.1 192.168.2.111 }
table <network> persist
table <bruteforce> persist file "/var/db/blacklist"
/usr/local/pf.conf:29: syntax error

Das ist mein Problem da kommt ein syntax error.

Übersetzt in deiner "pf.conf" befindet sich ein Fehler und zwar in der Zeile 29.
Poste am besten mal die oben gennante Zeile, dann können wir dir sicherlich weiterhelfen. :-)


So far,
Daniiel'

[BackBlack1]

Ja hab dort eine blacklist datei ohne inhalt wie angegeben und die Zeile 29 siehst du oben, da steht das drin "pass out all keep state", also einfach die letzte Zeile.

['oShet]

ganz zum schluss muss noch eine leerzeile.

[BackBlack1]

Danke ihr habt mir alle sehr geholfen, aber nun mein Problem, ich habe dort ja die richtigen Ports undso eingefügt, aber jetzt werden keine Channels mehr angezeigt. o.O
Wieso werden die Ports jetzt geblockt obwohl die ja eigentlich freigeschaltet sein müssten wegen den Befehlen in der pf.conf.

[heshii']

Bei mir werden da auch nur "..." angezeigt aber man kann sich einloggen .... ne frage nebenbei ist das auch schutz gegen ddos ? weil da einer meint mein server zu attackieren -.-'