[FUGSPBR] Problema ao carregar regras de Firewall
Marcelo Eyng
marcelo em viamax.com.br
Qua Out 31 17:00:03 BRST 2001
Estou tendo dificuldades em carregar minhas regras de firewall, abaixo minha
configuração.
O problema e que se uso o default "OPEN" do /etc/rc.firewall, funciona sem
problemas, mas quando tento usar meu arquivo de regras, ocorre o seguinte:
1 - minha estação esta com uma regra para acesso livre, antes dos bloqueios,
mas quando carrego o arquivo ele trava os sites que estão bloqueados, mesmo
com uma regra maior que a que libera a minha estaçao.
2 - os micros que nao estão na "secao" de micros liberados perdem o acesso
por completo.
usava este arquivo anteriormente, quando tinha uma conexao PPP dedicada,
quando troquei para um link, a unica diferenca, foi que adicionei a regra 50
do divert, e o resto permaneceu inalterado.
Obrigado
Marcelo Eyng
Obs: as linhas foram comentadas para envio do e-mail
# firewall_type="/etc/firewall/firewall" ------- > do rc.conf
arquivo com regras de firewall em /etc/firewall/firewall --> setado com
755
# ipfw -f flush
# Bloqueia pacotes com opções de Source Routing e Record Route do Cabecalho
IP ativadas.
# ipfw add 00001 deny tcp from any to any ipoptions ssrr,lsrr,rr
# Regra anti-spoofing de saída: só permite a saída de pacotes que realmente
estejam utilizando o endereço real da máquina como origem
# ipfw add 00002 deny ip from not 192.168.44.0 to any via ed0 out
# Bloqueio de pacotes com combinações estranhas de flags do protocolo TCP
#ipfw add 00003 deny tcp from any to 192.168.44.0 tcpflags syn,fin
#ipfw add 00004 deny tcp from any to 192.168.44.0 tcpflags syn,rst
# Permite qualquer pacote TCP de conexão já estabelecida
# ipfw add 00008 permit log tcp from any to any establishe
# ipfw add 00028 permit log ip from any to any establishe
# Permite a saída de pacotes tcp, e queries de DNS
# ipfw add 00013 permit tcp from 192.168.44.0 to any via ed0 out
# ipfw add 00014 permit udp from 192.168.44.0 to any 53 via ed0 out
# Permite a entrada de DNS responses
# ipfw add 00015 permit udp from any 53 to 200.196.X.X via ed0 in
# Permite conexões TCP vindas da rede local com destino aos serviços de FTP,
SSH e SMTP, gerando logs de tais conexões
# add 00016 permit log tcp from 192.168.44.0/24 to 200.196.18.179
20,21,22,25,110 setup via ed0 in
# add 00017 permit log tcp from 192.168.44.0/24 to 200.196.18.179
21,22,23,25,110 via ed0 in
###### DIVERT
# ipfw add 50 divert 8668 ip from any to any via ed0
##### Micros com acesso livre
##### Meu micro esta aqui (privilégios!!!!)
# ipfw add 500 allow ip from 192.168.X.X to any
####################################################################
##### Bloqueio de Sites especificos
##### Nesta secao, faco bloqueio de n sites
# ipfw add 1100 deny ip from any to IP_BLOQUEADO
####################################################################
#### SITES LIBERADOS
#### Aqui libero Sites de Utilidade utilizados por todos na empresa
# ipfw add 2000 allow ip from any to IP_LIBERADO
# ipfw add 2051 allow ip from any to 150.162.0.0/16
######################################################
##### Libera Acesso Interno
##### Aqui dou acesso Full a alguns micros da minha lan, com execao dos
sites bloquados acima
# ipfw add 3003 allow ip from 192.168.X.X to any
#ipfw add 10001 allow log tcp from any to 200.196.18.179 21,22,25,80,110 via
ed0
#ipfw add 10002 deny log tcp from any to 200.196.X.X via ed0
# ipfw add 65000 allow ip from any to any
# ipfw add 65001 deny log tcp from any to any 80
# ipfw add 65534 deny log all from any to any
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.fug.com.br/pipermail/freebsd/attachments/20011031/b0b899b3/attachment.html>
Mais detalhes sobre a lista de discussão freebsd