[FUGSPBR] ipfw portas
Capriotti
capriotti em cee.com
Sáb Mar 2 10:51:16 BRT 2002
vamos lá, Erik.
Nem sempre o status "open" do nmap significa realmentne open. Já tive essa
experiência. O nmap às vezes é meio doido.
De qualquer maneira, eu faria a regra assim:
ipfw add 201 allow tcp from 192.168.1.0/24 to [ip.do.seu.servidor] 20-21
via xl0
ipfw add 202 drop tcp from any to [ip.externo] 20-21
note o drop ao invés do deny.
O drop não retorna nenhuma mensagem para o computador que tenntou o
contato. Vira um firewall "stealth". claro que isso é uma política muito
pouco amigável em termos de internet, mas, primeiro, você é quem manda no
seu servidor, e segundo, contra crackers é sempre guerra.
[]s
dica: Barre as resposta icmp (pinng e compania) para não receber floods
também (ataques DoS). E limite a resposta dos ICMPs internosn pois a
maioria dos seus perigos está nos seus usuários !!!!!!
[]s
At 10:31 AM 3/2/02 -0300, you wrote:
>Ola Pessoal
>
>Escrevi minha duvida mas ninguem se
>manisfetou.... Oh gente ajuda.....
>no caso minha interface c/ a internet
>eh xl0
>
>Fiz o seguinte
>
>ipfw add 201 deny tcp from any 20-21
>to any 20-21 via xl0
>
>Mas de nada adiantou pois passei o
>nmap e deu Status Open
>
>Bom qualquer um que queira me ajudar
>eu agradeco...
>
>Obrigado a todos
>
>[ ]`s
>
> > Ola Pessoal
> >
> > Preciso de uma ajuda p/ variar...
> > queria fazer uma regra + ou - assim,
> > liberar um servico so para minha
>rede
> > interna
> >
> > Por exemplo tenho um servidor
>rodando
> > ftp que tem duas placas de rede uma
>c/
> > ip valido na internet e outro
>interno
> > 192.168.20.1
> >
> > Gostaria que so a rede 192.168.20
> > pudesse acessar esse servico, e para
> > conexoes externas esse servico fosse
> > negado
> >
> > Qualquer ajuda e bem vinda
> >
> > Obrigado
> >
> >
> >
>__________________________________________________________________________
> > Quer ter seu próprio endereço na
>Internet?
> > Garanta já o seu e ainda ganhe cinco
>e-mails personalizados.
> > DomíniosBOL -
>http://dominios.bol.com.br
> >
> >
> > ----
> > Para sair da lista envie um e-mail
>para majordomo em fugspbr.org
> > com as palavras "unsubscribe
>fugspbr" no corpo da mensagem.
> >
>
>
>__________________________________________________________________________
>Quer ter seu próprio endereço na Internet?
>Garanta já o seu e ainda ganhe cinco e-mails personalizados.
>DomíniosBOL - http://dominios.bol.com.br
>
>
>----
>Para sair da lista envie um e-mail para majordomo em fugspbr.org
>com as palavras "unsubscribe fugspbr" no corpo da mensagem.
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
Mais detalhes sobre a lista de discussão freebsd