[FUGSPBR] IPFW - Regras Dinamicas (Esclarecendo)

Diego Linke - GAMK linke em calnet.com.br
Qua Dez 18 12:20:08 BRST 2002


Ola pessoal,

Estou vendo muitas duvidas sobre Regras dinamicas do IPFW, vamos esclarecer:

Um pequeno exemplo:

ipfw add 1 check-state
ipfw add 2 deny tcp from any to any established
ipfw add 3 allow tcp from any to 200.200.200.200/24 22,25,80,110 in via xl0 setup keep-state

Descricao:

* Regra 1: 
O objetivo e' checar neste momento as regras Dinamicas (para ver se encontra alguma correspondente ao pacote em questao).
Se encontrar faz o match e libeara o pacote, caso nao encontre continua lendo as regras (2, 3....)
OBS: Caso seja omitida esta regras o IPFW ira testar as regras dinamicas qdo encontrar a primeira regra com "keep-state" ou "limit".  


* Regra 2:
Bloqueia o trafego "established" ou seja de conecxoes ja estabelicidas (ACK).
OBS: A regras numero 2, soh eh necessaria caso o seu firewall seja DEFAULT_TO_ACCEPT, se o padrao eh negar, ela nao eh necessaria.

* Regra 3:
Se a conecxao for iniciada (setup (Tem o SYN ativado porem nao tem o ACK ativado)), com destino a rede 200.200.200.X nas portas 22,25,80,110 (in). O IPFW ira fazer um keep-state (q nada mais eh q criar uma regra dinamica SRC_IP:SRC_PORT <-> DST_IP:DST_PORT), que sera verificada no check-state.


Entao vamos lah....
Quando alguem inicia uma conecxao ele vai passar "batido" nas regras 1 e 2 (ja q nao existe dyn rules para ele e nem eh uma conecxao estabelicida) e se for tudo certo na regra 3 e' criada uma dyn rules. Sendo assim os proximos pacotes qdo chegar na check-state eles serao matched (allow) e liberados (pois existe regras dinamicas dizendo isso).

Sempre lembrando que tem os timeout das dyn rules e outras coisas. Para maiores info:
sysctl -a net.inet.ip.fw

Bom espero ter ajudado :D

Abracos

-- 
[ Diego Linke - GAMK ]
System/Network/Security Administrator
E-Mail/Site: gamk em gamk.com.br - http://www.gamk.com.br
Public Key: http://www.gamk.com.br/gamk.asc
Phone Number: (+5541) 9967-3464

_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/



Mais detalhes sobre a lista de discussão freebsd