[FUGSPBR] permitir conexoes somente saida
Jean Duarte
jmd em melim.com.br
Qui Abr 10 17:09:50 BRT 2003
Cara o IPFW trabalha por linha, ou seja, tudo que esta antes eh vale
primeiro.
Se vc liberar uma porta numa regra acima e logo abaixo fechar ela, ela vai
continuar
aberta.
Entao fecha as portas que vc nao quer que abra antes, no caso a 3128 do
Squid.
e depois libera todas as outras..
Quando o pacote chegar na que bloqueia ele eh descartado antes de chegar na
que libera.
Ou seja.
libera sua rede
add pass tcp from 192.168.1.1 to IP.SERVER 3128
bloqueia as portas que vc nao quer, no caso a 3128
add deny tcp from any to IP.SERVER 3128 in via
Depois libera tudo
add pass tcp from any to any 1024-65555
Agora com regras stateful, vc cria uma conexao dinamica e soh deixa
entrar aquilo que foi iniciado pelo seu server.
O Principio eh esse.
Inteh +
Jean
----- Original Message -----
From: "Bathun Ramazzot" <alt13n em ieg.com.br>
To: "Grupo Brasileiro de Usuarios FreeBSD" <fugspbr em fugspbr.org>
Sent: Thursday, April 10, 2003 5:06 PM
Subject: Re: [FUGSPBR] permitir conexoes somente saida
>
>
> Jean Duarte wrote:
>
> > Como Assim o squid abre para fora?
> >
> nao que ele abre, eh que no firewall eu abro as portas acima de 1024...
> e aih se tiver algum serviço rodando acima dessa porta ele vai ficar
> aberto...
> mas bom... tudo bem... tah resolvido aqui, mas vou dar uma olhada no
> tutorial
>
> muito obrigado pela força!
> abraço
> fabio
>
> >
> >Não fica nenhum porta aberta, e por sinal o Firewall pode estar todo
> >aberto, mas se nao tiver nenhum servico rodando nas portas, o "hacker"
> >nao vai conseguir se conectar em lugar nenhum..
> >
> >Leia o tutorial que vc vai saber como resolver seu problema.
> >
> >Nao adianta dar o peixe pescado também neh !
> >
> >Inteh +
> >Jean Duarte
> >
> >
> >
> >
> >----- Original Message -----
> >From: "Bathun Ramazzot" <alt13n em ieg.com.br>
> >To: "Grupo Brasileiro de Usuarios FreeBSD" <fugspbr em fugspbr.org>
> >Sent: Thursday, April 10, 2003 4:20 PM
> >Subject: Re: [FUGSPBR] permitir conexoes somente saida
> >
> >
> >
> >
> >>eh... o problema eh a "qualquer porta" que o squid abre para fora...
> >>eu pensei em liberar os pacotes de entrada somente originados da porta
> >>80, mas aí vou ter problemas com bancos (445)... e outras coisas do
> >>
> >>
> >tipo...
> >
> >
> >>a solução que encontrei, só dando uma olhada no man do ipfw foi colocar
> >>um "established" no fim da regra...
> >>fiz uns testes e parece que deu certo... alguem aí com mais experiencia
> >>ja teve problemas com isso?
> >>
> >>e qquer forma, vou dar uma olhada no tutorial...
> >>
> >>muito obrigado!!
> >>Fabio
> >>
> >>Jean Duarte wrote:
> >>
> >>
> >>
> >>> Da forma como vc fala estaria trabalhando com seu firewall de forma
> >>>stateful,
> >>>são configuracoes mais complexas.
> >>>
> >>>Para vc enteder bem disso seria interessante ler o seguinte tutorial,
que
> >>>por sinal
> >>>explica isso muito mais.
> >>>http://free.bsd.com.br/~eksffa/freebsd/ipfw.php
> >>>
> >>>Leia sobre as regras stateles e stateful. E use um tcpdump para
entender
> >>>como
> >>>os pacotes entram e saem da sua rede.
> >>>
> >>>O Mais facil eh vc liberar o acesso da sua rede interna para o seu
proxy
> >>>
> >>>
> >e
> >
> >
> >>>bloquear o resto de dentro para fora. Se seu Squid roda na 3128.
> >>>
> >>>Libere sua rede para acessar ele.
> >>>add pass tcp from 192.168.1.1 to IP.SERVER 3128
> >>>Bloqueie o Resto
> >>>add deny tcp from any to IP.SERVER 3128
> >>>
> >>>Assim ninguem consegue acessar o seu Squid de fora, lembre-se
> >>>que no Squid tambem existem ACL's para controlar isso.
> >>>
> >>>O Squid soh recebe requisicoes em uma porta que vc configura,
> >>>na hora de ele sair ele sai de qualquer porta para a porta 80.
> >>>
> >>>Leia o Tutorial que vc vai ficar com em IPFW.
> >>>
> >>>Inteh +
> >>>Jean Duarte
> >>>
> >>>
> >>>
> >>>----- Original Message -----
> >>>From: "Bathun Ramazzot" <alt13n em ieg.com.br>
> >>>To: "Grupo Brasileiro de Usuarios FreeBSD" <fugspbr em fugspbr.org>
> >>>Sent: Thursday, April 10, 2003 2:53 PM
> >>>Subject: Re: [FUGSPBR] permitir conexoes somente saida
> >>>
> >>>
> >>>
> >>>
> >>>
> >>>
> >>>>mas eu digo assim:
> >>>>o servidor tem que acessar as paginas atraves da ed0 (interface do
> >>>>
> >>>>
> >speedy)
> >
> >
> >>>>então ele precisa de permissão para iniciar conexções e receber dados
> >>>>dessas que foram _iniciadas_por_ele_
> >>>>mas ele nao pode dar permissão de que algum computador de fora inicie
a
> >>>>conexão...
> >>>>
> >>>>alguem tem uma dica?
> >>>>obrigado
> >>>>fabio
> >>>>
> >>>>Márcio Luciano wrote:
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>>Ola, eu faco o seguinte
> >>>>>se voce quer permiter que o pessoal possa ver sua pagina eu faco o
> >>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>seguinte
> >>>
> >>>
> >>>
> >>>
> >>>>>/sbin/ipfw add 410 pass tcp from any to any 80 via rl0
> >>>>>
> >>>>>e para nao permitir faca o contrario, deny!
> >>>>>OK!!
> >>>>>
> >>>>>T+
> >>>>>Marcio
> >>>>>Subject: [FUGSPBR] permitir conexoes somente saida
> >>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>>>>Alo, galera!
> >>>>>>
> >>>>>>seguinte
> >>>>>>coloquei o squid aqui no servidor de internet e pra ele rodar
liberei
> >>>>>>
> >>>>>>
> >no
> >
> >
> >>>>>>ipfw as portas acima de 1024...
> >>>>>>mas estou preocupado com os serviços como o proprio squid que roda
em
> >>>>>>cima desse numero...
> >>>>>>
> >>>>>>tem alguma regra que permita que somente as conexões iniciadas do
meu
> >>>>>>computador passem?
> >>>>>>digo, permitir que o squid abra conexoes com os servidores web mas
que
> >>>>>>ninguem consiga abrir conexoes nessas portas?
> >>>>>>
> >>>>>>obrigado
> >>>>>>fabio
> >>>>>>
> >>>>>>_______________________________________________________________
> >>>>>>Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> >>>>>>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>_______________________________________________________________
> >>>>>Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> >>>>>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> >>>>>.
> >>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>>_______________________________________________________________
> >>>>Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> >>>>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>
> >>>_______________________________________________________________
> >>>Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> >>>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> >>>.
> >>>
> >>>
> >>>
> >>>
> >>>
> >>_______________________________________________________________
> >>Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> >>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> >>
> >>
> >>
> >>
> >
> >_______________________________________________________________
> >Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> >Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> >.
> >
> >
> >
>
> _______________________________________________________________
> Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>
>
_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd