[FUGSPBR] BRIDGE+FIREWALL - PASSO 2 - QUASE LA

Eduardo Augusto Alvarenga eduardo em thrx.dyndns.org
Seg Maio 6 13:50:01 BRT 2002 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Mon, 6 May 2002, FreeBSD User wrote:

> Ja to quase sacando tudo.
> As placas do bridge nao tem ip, ate ai tudo bem, com as opcoes setadas
> corretamente o sistema faz o forward sem problema.
> Agora, pelas regras do ipfw que tem nesse artigo eu queria ver como
> garantir que trafego de saída ocorra livre e o de entrada so possa ser
> permitido para a porta 80 e 25.
>
> Ficaria algo como isso : ( ? )
>
>             --------------                     -----------------------
> internet    |  BRIDGE    |     HUB/interno     |MAQUINA COM IP REAL  |
> <-----------|fxp0     xl0|---------------------|fxp0=200.254.12.xxx  |
>             |            |                     |                     |
>             --------------                     -----------------------
>
> Nao vou definir IP para as placas do BRIDGE, mas eu poderia definir a fxp0 do
> BRIDGE com o mesmo IP REAL da maquina que esta atraz so mesmo ???

Não será necessário.

>
> O ipfw ficaria assim : ( ? )
>

Irei eliminar as entradas não relevantes e somente mostrar o que irá
bloquear as portas 25 e 80:

>     # deny all SSH  (drop ou deny para usar ?)

add drop tcp from any to ip.do.seu.fbsd 22 in via fxp0 setup keep-state

É melhor usar a chave ``drop'' pois a mesma responde com ``Connection
Refused'', deixando a porta "invisível"

Ou melhor ainda, para liberar somente o tráfego baseado nas chaves ``add
pass'' faça o seguinte:

add drop tcp from any to ip.do.seu.fbsd in via fxp0 setup keep-state

E depois só libere o tráfego desejado, conforme as regras abaixo:

>     # Allow WWW
add pass tcp from any to ip.do.seu.fbsd 80 in via fxp0 setup keep-state

>     # Allow SMTP only towards the mail server
add pass tcp from any to ip.do.seu.fbsd 25 in via fxp0 setup keep-state

Com essas chaves todo o tráfego de qualquer para seu fbsd nas portas 80
e 25 será permitido.

>     # Allow DNS only towards the name server
>     add pass udp from any to ns 53 in via fxp0 keep-state
>     (-------!!!!! o "ns" é um ip ? ou o que quer dizer esse ns ? !!!-----)
>     essa regra ta permitindo acesso ao dns na maquina real ?

É um IP. O Howto usou o nome ``ns'' para especificar o seu servidor DNS.

>   # Pass the "quarantine" range    ( pra que isso ??? )
>   add pass udp from any to any 49152-65535 in via fxp0 keep-state

Para permitir traceroute ICMP.

[snip]
> Com esse script a maquina com ip real so aceitaria as
> conexoes entrantes nas portas 25 e 80 correto ?

Correto.

> Todas as outras maquinas que estao com nat atras da maquina
> com ip real continuam acessando a rede normalmente ?

Qual rede ? A interna ? Sim.
Para redes externas, de acordo com a regra:

# Everything else is suspect
add drop log all from any to any

Todo o tráfego que fosse para o roteador seria barrado.
Portanto certifique-se de adicionar regras que permitem o tráfego externo
da sua rede ``interna'' para a externa. Um exemplo seria:

rede="sua.rede.inter.na/ma.s.ca.ra"

# Permite tráfego da internet para sua rede porta 25 e 80
add pass tcp from any to $rede 25 in via fxp0 setup keep-state
add pass tcp from any to $rede 80 in via fxp0 setup keep-state

# Permite tráfego da sua rede para a internet porta 25 e 80
add pass tcp from $rede to any 25 in via xl0 setup keep-state
add pass tcp from $rede to any 80 in via xl0 setup keep-state
add pass tcp from $rede to any 25 out via fxp0 setup keep-state
add pass tcp from $rede to any 80 out via fxp0 setup keep-state

> E a maquina com ip real pode fazer qualquer acesso externo correto ?

De acordo com o exemplo acima: Sim.

> Ta certo isso ai ou tem mais algum detalhe ?

Aparentemente está correto. Consulte o manual do ipfw para maiores
detalhes.


Atenciosamente,

- -- 
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
 Eduardo A. Alvarenga - Analista de Suporte #179653
 Secretaria de Segurança  Pública do Estado do Pará
      Belém - Pará - (91) 223-4996 / 272-1611
 eduardo em thrx.dyndns.org  / eduardo em segup.pa.gov.br
- -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=



-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE81rQ7pKK2uJoGDlMRAoeCAJ9IdWX8XQmI3+S9dT634a8X4Ffl+wCfWpgi
T5UsaiVQA6J2kqj+t/Psgok=
=4shz
-----END PGP SIGNATURE-----


----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.

Mais detalhes sobre a lista de discussão freebsd