[flo]

He das soll jetzt aber kein Sprachkurs Thread werden!

Was heißt der mist eigentlich, kann das mal jemand übersetzen?

[Noillusion]

Zitat (max: 04.05.2005, 15:36)

Sehr gute Idee.
Da täuschst du dich ganz bestimmt. Ich würde für geballt eher vereinzelt verwenden.
<{POST_SNAPBACK}>

...mein Spambeitrag

[Graumagier]

Zitat

Absolut korrekt heisst es: "Honi soit qui mal y pense"

Es gibt offenbar beides, aber frag mich bitte nicht weiter, ich kann null französisch und hab die Redewendung ergoogled

Zitat

Was heißt der mist eigentlich, kann das mal jemand übersetzen?

Ein Schelm, wer Böses dabei denkt

Dieser Beitrag wurde von Graumagier bearbeitet: 04. Mai 2005 - 16:17

[Sh@limar]

Zitat (Graumagier: 04.05.2005, 17:15)

Es gibt offenbar beides, aber frag mich bitte nicht weiter, ich kann null französisch und hab die Redewendung ergoogled
Ein Schelm, wer Böses dabei denkt
<{POST_SNAPBACK}>

Deine ergooglede Version: altfranzösisch ;-)

Dafür, dass Du es nicht kannst, prima !

[nim]

man könnte ja auch embedded komponenten nehmen und die in ein kleines gehäuse zusammen mit etwas flash-speicher schmeissen und mit den entsprechenden anschlüssen versehen. für weniger als 100 euro das ganze und schon habt ihr einen markt... den für consumer hardware firewalls den gabs zwar nie, aber is ja nie zu spät dafür..

[Palnschi]

Und mit Winfuture hätten wir eine spitzen Plattform um das Dingens zu vermarkten.

Dieser Beitrag wurde von Palnschi bearbeitet: 05. Mai 2005 - 08:54

[nim]

so sieht's aus. warum also nich einfach mal spasseshalber an sowas planen?

[shiversc]

ich hab schon eine

[Rika]

Hehe... hat jemand Lust, ein heilwegs ONU-taugliches ipfw-Script mitzuentwickeln?

@echo off
cls
set setup=call :setup

%setup%
%flush%
%main%
%denyall%
%exit%







:setup
set end=goto :eof
set declare=call :declare

%declare% setup_general
%declare% setup_functions
%declare% setup_ranges
%declare% setup_protocols
%declare% setup_services
%declare% setup_icmp

%setup_general%
%setup_functions%
%setup_protocols%
%setup_services%
%setup_icmp%
%setup_ranges%
%end%


:declare
set %1=call :%1
%end%

:setup_general
set do=ipfw add
set exit=%end%
set flush=ipfw -f flush
%end%

:setup_functions
%declare% bind_range_to_if
%declare% deny_range
%declare% deny_range_if
%declare% deny_tcp_in
%declare% deny_udp_in
%declare% deny_tcpudp_in
%declare% deny_tcpudp_out
%declare% allow_proto
%declare% main
%declare% main_bindrange
%declare% main_trustlocal
%declare% main_bindmetoip
%declare% main_filterreserved
%declare% main_filterprivate
%declare% main_onlygoodtcp
%declare% main_onlyusefulicmp
%declare% main_allow
%declare% main_allow_dns
%declare% main_allow_ident
%declare% main_allow_myftp
%declare% main_deny
%declare% main_deny_smtp
%declare% main_deny_winsec
%declare% main_deny_trojans
%declare% main_deny_p2p
%declare% main_denyservices
%declare% main_allowprotos
%declare% denyall
%end%

:setup_protocols
rem ip=0
rem icmp=1
rem tcp=6
rem udp=17
set esp=50
set ah=51
%end%

:setup_services
set ftp-data=20
rem set ftp=21
rem set domain=53
rem set auth=113
set rpc=1024-1030
set ms-sql=1433-1434
set cisco-snmp=1993
set ipsec-msft=4500
set upnp=5000
set trojan_phatbot=2745
set trojan_mydoom1=3127
set trojan_mydoom2=10080
set trojan_sasser=5554
set trojan_netbus1=12345
set trojan_netbus2=20034
set trojan_subseven=27374
set trojan_backorifice=31337
set trojan_bugbear=36794
%end%

:setup_icmp
set icmp_echoreply=0
set icmp_destunreach=3
set icmp_sourcequench=4
set icmp_echorequest=8
set icmp_ttlexceeded=11
set icmp_parameterproblem=12
%end%

:setup_ranges
set iana_rsvd_0=2.0.0.0/8
set iana_rsvd_1=5.0.0.0/8
set iana_rsvd_2=7.0.0.0/8
set iana_rsvd_3=23.0.0.0/8
set iana_rsvd_4=27.0.0.0/8
set iana_rsvd_5=31.0.0.0/8
set iana_rsvd_6=36.0.0.0/7
set iana_rsvd_7=39.0.0.0/8
set iana_rsvd_8=42.0.0.0/8
set iana_rsvd_9=74.0.0.0/7
set iana_rsvd_10=76.0.0.0/6
set iana_rsvd_11=89.0.0.0/8
set iana_rsvd_12=90.0.0.0/7
set iana_rsvd_13=92.0.0.0/6
set iana_rsvd_14=96.0.0.0/4
set iana_rsvd_15=112.0.0.0/5
set iana_rsvd_16=120.0.0.0/6
set iana_rsvd_17=173.0.0.0/8
set iana_rsvd_18=174.0.0.0/7
set iana_rsvd_19=176.0.0.0/5
set iana_rsvd_20=184.0.0.0/6
set iana_rsvd_21=189.0.0.0/8
set iana_rsvd_22=190.0.0.0/8
set iana_rsvd_23=197.0.0.0/8
set iana_rsvd_24=223.0.0.0/8
set iana_rsvd_25=240.0.0.0/4
set private_0=10.0.0.0/8
set private_1=172.16.0.0/12
set private_2=192.168.0.0/16
set private_lo=127.0.0.0/8
set private_apipa=169.254.0.0/16
%end%




















:main
%main_bindrange%
%main_trustlocal%
%main_bindmetoip%
%main_filterreserved%
%main_filterprivate%
%main_onlygoodtcp%
%main_onlyusefulicmp%
%main_allow%
%main_deny%
%main_denyservices%
%main_allowprotos%
%end%

:main_bindrange
%bind_range_to_if% 0001 %private_lo% lo0
%bind_range_to_if% 0002 %private_2% eth1
%end%

:main_trustlocal
%do% 00030 allow ip from localhost to localhost via lo0
%end%

:main_bindmetoip
%do% 01000 deny ip from not me to any out
%do% 01001 deny ip from any to not me in
%do% 01002 deny ip from any to me out
%do% 01003 deny ip from me to any in
%end%


:main_filterreserved
%deny_range% 0200 %iana_rsvd_0%
%deny_range% 0201 %iana_rsvd_1%
%deny_range% 0202 %iana_rsvd_2%
%deny_range% 0203 %iana_rsvd_3%
%deny_range% 0204 %iana_rsvd_4%
%deny_range% 0205 %iana_rsvd_5%
%deny_range% 0206 %iana_rsvd_6%
%deny_range% 0207 %iana_rsvd_7%
%deny_range% 0208 %iana_rsvd_8%
%deny_range% 0209 %iana_rsvd_9%
%deny_range% 0210 %iana_rsvd_10%
%deny_range% 0211 %iana_rsvd_11%
%deny_range% 0212 %iana_rsvd_12%
%deny_range% 0213 %iana_rsvd_13%
%deny_range% 0214 %iana_rsvd_14%
%deny_range% 0215 %iana_rsvd_15%
%deny_range% 0216 %iana_rsvd_16%
%deny_range% 0217 %iana_rsvd_17%
%deny_range% 0218 %iana_rsvd_18%
%deny_range% 0219 %iana_rsvd_19%
%deny_range% 0220 %iana_rsvd_20%
%deny_range% 0221 %iana_rsvd_21%
%deny_range% 0222 %iana_rsvd_22%
%deny_range% 0223 %iana_rsvd_23%
%deny_range% 0224 %iana_rsvd_24%
%deny_range% 0225 %iana_rsvd_25%
%end%

:main_filterprivate
%deny_range% 0300 %private_lo%
%deny_range% 0301 %private_0%
%deny_range% 0302 %private_1%
%deny_range% 0303 %private_apipa%
%deny_range_if% 0304 %private_2% eth0
%end%

:main_onlygoodtcp
%do% 10000 skipto 11000 tcp from any to any setup
%do% 10001 skipto 11000 tcp from any to any established
%do% 10002 skipto 11000 tcp from any to any frag
%do% 10003 deny tcp from any to any
%end%

:main_onlyusefulicmp
set icmp_ok=%icmp_echoreply%,%icmp_destunreach%,%icmp_sourcequench%,%icmp_echorequest%,%icmp_ttlexceeded%,%icmp_parameterproblem%
%do% 11000 skipto 12000 icmp from any to any icmptypes %icmp_ok% in
%do% 11001 skipto 12000 icmp from any to any icmptypes %icmp_ok% out 
%do% 11002 deny icmp from any to any
%end%

:main_allow
%main_allow_dns%
%main_allow_ident%
%main_allow_myftp%
%end%

:main_allow_dns
%do% 20000 allow tcp from any to me domain in
%do% 20001 allow udp from any to me domain in
%do% 20002 allow tcp from me to any domain out
%do% 20003 allow udp from me to any domain out
%end%

:main_allow_ident
%do% 20004 allow tcp from any to me auth in
%do% 20005 allow tcp from me auth to any out
%end%

:main_allow_myftp
%do% 20006 allow tcp from any to me %ftp-data%,ftp in via eth1
%do% 20007 allow tcp from me %ftp-data%,ftp to any out via eth1
%end%

:main_deny
%main_deny_smtp%
%main_deny_winsec%
%main_deny_trojans%
%main_deny_p2p%
%end%

:main_deny_smtp
%do% 20008 deny tcp from me to any smtp out
%end%

:main_deny_winsec
%deny_tcp_in% 40000 %rpc%
%deny_tcpudp_in% 4001 %ms-sql%
%deny_tcpudp_in% 4002 wins
%deny_tcpudp_in% 4003 %cisco-snmp%
%deny_tcpudp_in% 4004 %ipsec-msft%
%deny_tcp_in% 40050 %upnp%
%end%

:main_deny_trojans
%deny_tcp_in% 41000 %trojan_phatbot%
%deny_tcp_in% 41010 %trojan_mydoom1%
%deny_tcp_in% 41020 %trojan_mydoom2%
%deny_tcp_in% 41030 %trojan_sasser%
%deny_tcpudp_in% 4104 %trojan_netbus1%
%deny_tcpudp_in% 4105 %trojan_netbus2%
%deny_tcpudp_in% 4106 %trojan_subseven%
%deny_tcpudp_in% 4107 %trojan_backorifice%
%deny_tcp_in% 41080 %trojan_bugbear%
%end%

:main_deny_p2p
%deny_tcp_in% 41000 1214
%deny_tcp_in% 41001 1412
%deny_tcp_in% 41002 1421
rem %deny_tcp_in% 41003 4660-4672
rem %deny_tcp_in% 41003 14662
%deny_tcp_in% 41004 6346
%deny_tcp_in% 41005 6669
%deny_tcp_in% 41006 6881-6889
%end%

:main_denyservices
%deny_tcpudp_in% 5000 0-1023
%deny_tcpudp_out% 5001 0-1023
%end%

:main_allowprotos
%allow_proto% 60000 icmp
%allow_proto% 60001 tcp
%allow_proto% 60002 udp
%allow_proto% 60003 %esp%
%allow_proto% 60004 %ah%
%end%










:denyall
%do% 65534 deny all from any to any
%end%













REM /**
REM   * This methods declares an interface to have a certain netrange. Only communication within this
REM   * range is allow loged, any other traffic is denied.
REM   *
REM   * @params %1 - first four digits of the rule number, the last number will be 0 and 1 for the two rules
REM   * @params %2 - range to bind, preferably in CIDR notation
REM   * @params %3 - the interface name
REM   */
:bind_range_to_if
%do% %10 deny ip from not %2 to any out via %3
%do% %11 deny ip from any to not %2 in via %3
%end%

REM /**
REM   * This methods prohibits traffic from and to an entire netrange.
REM   *
REM   * @params %1 - first four digits of the rule number, the last number will be 0 and 1 for the two rules
REM   * @params %2 - range to bind, preferably in CIDR notation
REM   */
:deny_range
%do% %10 deny ip from %2 to any
%do% %11 deny ip from any to %2
%end%

REM /**
REM   * This methods prohibits traffic from and to an entire netrange, but only for a specific interface.
REM   *
REM   * @params %1 - first four digits of the rule number, the last number will be 0 and 1 for the two rules
REM   * @params %2 - range to bind, preferably in CIDR notation
REM   * @params %3 - the interface name
REM   */
:deny_range_if
%do% %10 deny ip from %2 to any via %3
%do% %11 deny ip from any to %2 via %3
%end%

:deny_tcp_in
%do% %1 deny tcp from any to me %2 in
%end%

:deny_udp_in
%do% %1 deny udp from any to me %2 in
%end%

:deny_tcpudp_in
%deny_tcp_in% %10 %2
%deny_udp_in% %11 %2
%end%

:deny_tcpudp_out
%do% %10 deny tcp from me %2 to any out
%do% %11 deny udp from me %2 to any out
%end%

:allow_proto
%do% %1 allow %2 from any to any
%end%

[-milon-]

Grüß Gott,

Zitat

Hehe... hat jemand Lust, ein heilwegs ONU-taugliches ipfw-Script mitzuentwickeln?

Ich kann zwar nicht mitmachen, aber was ist ein
ONU (vielleicht: Otto Normal User) und
ipfw (i=?)
Und was soll das Ergebnis sein, wenn das Skript fehlerlos durchläuft?

[Graumagier]

Zitat

und
ipfw (i=?)

Eine Unix-basierte Firewall (Internet Protocol Firewall).

Dieser Beitrag wurde von Graumagier bearbeitet: 24. Mai 2005 - 09:56

[Palnschi]

Zitat

Hüte dich vor Rika's Skripten!

das denk ich mir auch. Irgendwann wird mal eines davon die Weltherrschaft an sich reissen und uns alle versklaven.

[Witi]

Das ist doch ne normale konfiguration. Steht halt "nur" welche ports erlaubt sind, welche nicht usw…

[shiversc]

ich begrüße rikas entscheidung uns alle teil haben zu lassen.

@rika: was heißt mitzuentwickeln?