[FUGSPBR] permitir conexoes somente saida
Bathun Ramazzot
alt13n em ieg.com.br
Qui Abr 10 16:20:17 BRT 2003
eh... o problema eh a "qualquer porta" que o squid abre para fora...
eu pensei em liberar os pacotes de entrada somente originados da porta
80, mas aí vou ter problemas com bancos (445)... e outras coisas do tipo...
a solução que encontrei, só dando uma olhada no man do ipfw foi colocar
um "established" no fim da regra...
fiz uns testes e parece que deu certo... alguem aí com mais experiencia
ja teve problemas com isso?
e qquer forma, vou dar uma olhada no tutorial...
muito obrigado!!
Fabio
Jean Duarte wrote:
> Da forma como vc fala estaria trabalhando com seu firewall de forma
>stateful,
>são configuracoes mais complexas.
>
>Para vc enteder bem disso seria interessante ler o seguinte tutorial, que
>por sinal
>explica isso muito mais.
>http://free.bsd.com.br/~eksffa/freebsd/ipfw.php
>
>Leia sobre as regras stateles e stateful. E use um tcpdump para entender
>como
>os pacotes entram e saem da sua rede.
>
>O Mais facil eh vc liberar o acesso da sua rede interna para o seu proxy e
>bloquear o resto de dentro para fora. Se seu Squid roda na 3128.
>
>Libere sua rede para acessar ele.
>add pass tcp from 192.168.1.1 to IP.SERVER 3128
>Bloqueie o Resto
>add deny tcp from any to IP.SERVER 3128
>
>Assim ninguem consegue acessar o seu Squid de fora, lembre-se
>que no Squid tambem existem ACL's para controlar isso.
>
>O Squid soh recebe requisicoes em uma porta que vc configura,
>na hora de ele sair ele sai de qualquer porta para a porta 80.
>
>Leia o Tutorial que vc vai ficar com em IPFW.
>
>Inteh +
>Jean Duarte
>
>
>
>----- Original Message -----
>From: "Bathun Ramazzot" <alt13n em ieg.com.br>
>To: "Grupo Brasileiro de Usuarios FreeBSD" <fugspbr em fugspbr.org>
>Sent: Thursday, April 10, 2003 2:53 PM
>Subject: Re: [FUGSPBR] permitir conexoes somente saida
>
>
>
>
>>mas eu digo assim:
>>o servidor tem que acessar as paginas atraves da ed0 (interface do speedy)
>>então ele precisa de permissão para iniciar conexções e receber dados
>>dessas que foram _iniciadas_por_ele_
>>mas ele nao pode dar permissão de que algum computador de fora inicie a
>>conexão...
>>
>>alguem tem uma dica?
>>obrigado
>>fabio
>>
>>Márcio Luciano wrote:
>>
>>
>>
>>>Ola, eu faco o seguinte
>>>se voce quer permiter que o pessoal possa ver sua pagina eu faco o
>>>
>>>
>seguinte
>
>
>>>/sbin/ipfw add 410 pass tcp from any to any 80 via rl0
>>>
>>>e para nao permitir faca o contrario, deny!
>>>OK!!
>>>
>>>T+
>>>Marcio
>>>Subject: [FUGSPBR] permitir conexoes somente saida
>>>
>>>
>>>
>>>
>>>
>>>
>>>>Alo, galera!
>>>>
>>>>seguinte
>>>>coloquei o squid aqui no servidor de internet e pra ele rodar liberei no
>>>>ipfw as portas acima de 1024...
>>>>mas estou preocupado com os serviços como o proprio squid que roda em
>>>>cima desse numero...
>>>>
>>>>tem alguma regra que permita que somente as conexões iniciadas do meu
>>>>computador passem?
>>>>digo, permitir que o squid abra conexoes com os servidores web mas que
>>>>ninguem consiga abrir conexoes nessas portas?
>>>>
>>>>obrigado
>>>>fabio
>>>>
>>>>_______________________________________________________________
>>>>Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
>>>>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>>>>
>>>>
>>>>
>>>>
>>>>
>>>_______________________________________________________________
>>>Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
>>>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>>>.
>>>
>>>
>>>
>>>
>>>
>>_______________________________________________________________
>>Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
>>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>>
>>
>>
>>
>
>_______________________________________________________________
>Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>.
>
>
>
_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd