Rüştü ATMACA Günlüğü

netstat -anb -p tcp 10
komutu 10 sn de bir tcp durumunu gösterir. yani 10 sn aralıklarla tcp bağlantılarını verir.

fw monitorde flagları kullanarak filtrelemeler yapabiliriz. tcpip.def içerisinde flag tanımları ;

#define th_flags [ 33 : 1]
#define TH_FIN 0×1
#define TH_SYN 0×2
#define TH_RST 0×4
#define TH_PUSH 0×8
#define TH_ACK 0×10
#define TH_URG 0×20
şeklindedir. Kullanımı ise

-e “accept th_flags=0×1;” sadece FIN bayrağı olan paketleri görebiliriz.
-e “accept th_flags=0×11;” FIN ve ACK bayraklı paketleri görebiliriz.
-e “accept th_flags & 0×1;” içerisinde FIN geçen bayrakları getirir. bu filrenin th_flags=0×1′den farkı şudur. Bu filtrede sadece fin bayraklı paketler gelirken son filtrede içerisinde fin bayrağı olan paketler gelecektir.
-e “accept th_flags = syn;” syn bayraklı paketleri getirir. bayrak isimleri ise

define syn { th_flags & TH_SYN };
define fin { th_flags & TH_FIN };
define rst { th_flags & TH_RST };
define ack { th_flags & TH_ACK };
define first { th_flags & TH_SYN, not (th_flags & TH_ACK) };
define established { (th_flags & TH_ACK) or ((th_flags & TH_SYN) = 0) };
define not_first { not ( th_flags & TH_SYN ) };
define last { th_flags & TH_FIN, th_flags & TH_ACK };
define tcpdone { fin or rst }; şeklinde tanımlanmıştır.

windows da pink komutunun standardında 32 byte lık data paketleri gönderilir. -l paremetresini kullanarak bu data boyutları değiştirilebilir. standart bir ping paketinin karşıya gönderdiği paket 60 byte olacaktır.
bunun
32 byte ICMP data,
8 byte ICMP header,
20 byte IP Header’dır.
Ping ekran görüntüsü :

görüldüğü gibi ping boyutu 32 byte olarak görünmektedir.Aslında bu ping datasının boyutudur. Karşı makinaya giden paketin boyu
60 byte olur. bunun görüntüsü ise aşağıdadır.

winshark çıktısı da aşağıdadır.

fw monitor komutunda ek filtreler kullanılabilir. Bu filtreler aslında tcpip.def dosyasında ki değişkenlere birer refaranstır. Bu dosyayı checkpoint içerisinde /lib klasörünün altında bulabilirsiniz. Dosyalar menüsü altında da bu dosyanın bir kopyasına ulaşabilirsiniz. Bu dosyayı incelediğimizde gerekli bir çok filtreleme opsiyonunun olduğunu bunları kullanarak bir çok filtreleme seçeneğimizin oluştuğunu görebiliriz. fw monitor komutunun aldığı parametreleri görmek için
# fw monitor -h
komutunu verdiğimizde aşağıda ki çıktıyı alırız.

Usage: fw monitor [- u|s] [-i] [-d] [-T] <{-e expr}+|-f > [-l len] [-m mask] [-x offset[,len]] [-o ] <[-pi pos] [-pI pos] [-po pos] [-pO pos] | -p all [-a ]> [-ci count] [-co count]

Bu parametrelerden -e parametresi kullanıcı tanımlı filtrelerinde oluşturulabilmesini sağlar.
#fw monitor –e “accept [12, b]=192.168.126.1 or [16, b]=192.168.126.1;”
ip_src # define [12, b]
ip_dst # define [16, b]
komut çözümlemesi de şu şekilde olacaktır. src ip si 192.168.126.1 veya
dst ipsi 192.168.126.1 olan paketleri filtrele.
#fw monitor –e “accept src=192.168.126.1 or dst=192.168.126.1;” yukarıda ki komut yerine bunuda kullanabiliriz.
#define ip_p [ 9 : 1] protokol numarası filtresi verir.
çok kullanılan protokol numaraları
1 ICMP
6 TCP
17 UDP daha ayrıntılı görmek için

-e “accept ip_p=6;” tcp protokolünü verir.
-e “accept ip_p=17;” udp protokülü
-e “accept ip_p=1;” icmp protokolü
-e “accept ip_p=6 and [12, b]=192.168.126.1;” -tcp protokolünden bağlantıları ve scr adresi 192.168.126.1 olan paketleri getir.
#define ip_len [ 2 : 2, b] -ip başlık uzunluğu
-e “accept ip_len=60;”
-e “accept [2:2,b]=60;” 60 byte olan paketleri gösterecektir.
-e “accept [2:2,b]<60;” 60 byte dan küçük olan paketleri gösterecektir.
-e “accept ip_len > 60 and ip_len<70;” 60 byte dan büyük 70 bytedan küçük paketleri gösterecektir.(61 ve 69 arası paketler)
#define th_sport [ 20 : 2, b] src port

#define th_dport [ 22 : 2, b] dst port
-e “accept sport=21;”
-e “accept th_sport=21;”
-e “accept [20:2,b]=21;” olarak kullanabiliriz.
#fw monitor -e “accept [22:2,b]=80;” komutu dst portu 80 olan bağlantıları listeler.

pf.conf dosyasını oluşturan sıralamalar aşağıda ki gibidir.
1-makrolar:İP adresleri ve arayüzler benzeri şeyleri tutan ,kullanıcı tanımlı değişkenler
2-tablolar:İP adres listeleri
3-seçenekler:PF’in nasıl çalıştığını kontrol eden çeşitli seçenekler
4-scrub:Paketlerin normalleşmesini sağlama
5-queueing:Paket önceliglendirme bant genişliği kontrolü
6-translation(NAT):NAT ve paket yönlendirmeyi sağlar
7-filter: paket seçiçilik ve geçirgenliğinin yapıldığı kısımdır.

MAKROLAR:
Kullanıcı tanımlı değişkenlerdir. Bunlar portlar,IP adresleri, arabirim(eternet) adları olabilir.
pass,out,block gibi kelimeler makro ismi olamazlar.

EXTusr1 = “172.16.15.231″
EXTusr2 = “172.31.200.8″
EXTusr3 = “172.27.22.22″
INTusr1 = “192.168.2.6″
INTusr2 = “192.168.2.7″
Int_IP = “192.168.2.8″
Server1 = “192.168.2.9″
intNET = “192.168.2.0/24″

extIF = “rl0″
intIF = “xl0″

VNC = “5900″

şeklinde örnekler verilebilir.

örnek1:rdr on $extIF proto tcp from $EXTusr1 to $extIF port www -> $INTusr1 port www
örnek2:block in log on $extIF all
örnek3:pass in on $extIF proto tcp from any to $extIF port smtp keep state

ftp://ftp.uio.no adresinde tüm unix ve linux dağıtımlarını bulabilirsiniz.

pf.conf dosyasını yüklemek için 


# pfctl -f /etc/pf.conf  

pf.conf dosyasını kontrol etmek için

# pfctl -nf /etc/pf.conf  

Sadece NAT kurallarını yüklemek için 

# pfctl -Nf /etc/pf.conf   

Sadece filtreleme kurallarını yüklemek için 

# pfctl -Rf /etc/pf.conf   

 Çalışan sistemde ki NAT kurallarını görmek için



# pfctl -sn   

Çalışan filtreleri görmek için 



# pfctl -sr   

Durum tablosunu görmek için



# pfctl -ss    

Filtre durumunu ve sayacı görmek için

 

# pfctl -si    

Herşeyi görmek için

 

# pfctl -sa    

 pf'i komut satırından enkinleştirmek 

 

# pfctl -e   

 pf'i komut satırından devre dışı bırakmak için 



# pfctl -d   

Tabloya bir adres eklemek için 

 

# pfctl -t iptablosu -T add 10.56.90.12  

Bu komut eğer sistemde iptablosu isimli tablo dosyası yoksa da oluşturur.  

Tablonun içeriğini görmek için 

 

# pfctl -t iptablosu -T show  

Tablodan bir İP veya İP grubunu çıkarmak için 

  

# pfctl -t iptablosu -T delete 10.56.90.11  

# pfctl -t iptablosu -T delete 10.56.90.0/24  

Tablodaki İP lerin ayrıntılı istatistiklerini görmek için 

 

# pfctl -t iptablosu -T show -v  

 tabloyu siler

 

# pfctl -t iptablosu -T kill 

tablodaki tüm adresleri siler

 

# pfctl -t iptablosu -T flush

durum tablosunu görmek için

 

# pfctl -s state 

durum tablosunu boşaltmak için 

 

# pfctl -F state  

             -F nat        Flush the NAT rules.
             -F queue      Flush the queue rules.
             -F rules      Flush the filter rules.
             -F states     Flush the state table (NAT and filter).
             -F Sources    Flush the source tracking table.
             -F info       Flush the filter information (statistics that are not bound to rules).
             -F Tables     Flush the tables.
             -F osfp       Flush the passive operating system fingerprints.
             -F all        Flush all of the above.

host makinasının bağlantısını sonlandırmak için 

 

# pfctl -k host 

host1 ve host2 arasındaki bağlantıyı sonlandırmak için 

 

# pfctl -k host1 -k host2  

networkleri arasındaki tüm bağlantıları sonlandırır.

 

# pfctl -k 10.56.90.0/24 -k 10.56.2.0/24  

host2 giden tüm bağlantıları sonlandırır.  

 

# pfctl -k 0.0.0.0/24 -k host2  

windows ortamında telnetle her hangi bir sunucunun komut satırında yazdığımız komutların görünür olması için aşağıdaki komutun
verilmesi gerekmektedir.

Welcome to Microsoft Telnet Client

Escape Character is ‘CTRL+ü’

Microsoft Telnet> set localecho
Local echo on
Microsoft Telnet>

canlı bağlantıyı görmek için

# tcpdump -n -e -ttt -i pflog0  

komutu kullanılır.
logları görüntülemek için de

# tcpdump -n -e -ttt -r /var/log/pflog    

komutu verilebilir. Bu komutlarda çeşitli filtrelemeler de kullanılabilir. Örne olarak

# tcpdump -n -e -ttt -r /var/log/pflog host 10.56.1.10    

sadece 10.56.90.10 pc sinin loglarını göster.

# tcpdump -n -e -ttt -r /var/log/pflog port 80 

80 porta giden istek loglarını göster

# tcpdump -n -e -ttt -r /var/log/pflog port 80 and host 192.168.1.3    

192.168.1.3 hostunun 80 port isteklerini göster.

kullanılabilecek diğer filtre parametreleri için aşağıdaki linke bakabilirsiniz.

http://www.openbsd.org/faq/pf/logging.html
linkte verilen parametler sadece openbsd de ki tcpdump için kullanılabilir. birde tcpdump ın kendinden gelen filtre parametreleri vardır. Örneğin

# tcpdump -c 5 -n -e -ttt -r /var/log/pflog host 10.56.1.10     

10.56.1.10 hostunun ürettiği logların ilk 5 tanesini göster.

openbsd çalışmalarım başladı. asıl amaçım pf öğrenmek. bsd kurduğumda vi editörünün olduğunu gördüm. daha önce pico editörünü kullandığımdan vi editörüne alışmakta zorlandım. bende sisteme pico editörü kurabilirmiyim diye araştırırken hazırlanmış paketlerin olduğu bu paketlerin debianda olduğu gibi tek bir komutla sisteme kurulabildiğini gördüm. yapılması gereken paketin kaynağının ne olduğu. isterseniz kendi makinanıza indirip oradan krmak istersekte direk ftp/http adresini göstererek kurmak.
pico editörünün kurulum komutu aşağıdadır.

pkg_add -v ftp://ftp.openbsd.org/pub/OpenBSD/4.6/packages/i386/pico-5.04p1.tgz

yine ftp://ftp.openbsd.org/pub/OpenBSD/4.6/packages/i386 yolunda kurulabilecek paketleri görebilirsiniz.