[FUGSPBR] Regra IPFW para ping

[Patrick Tracanelli]

Opa,

Eicke Felipe wrote:

> Pessoal uso o ipfw para controle de pacotes aqui em minha rede, gostaria
> de permitir pings para fora de minha rede mas nao aceitar ping de fora
> para dentro.
>
> Pensei em algo assim mas nao funciona:
>
> ipfw add 1000 allow icmp from minha_rede to any 

Não faz sentido bloquear o protocolo ICMP todo. Isso invariavelmente 
pode causar prejuizos à sua rede, que precisa de ICMP. ICMP não é 
sinônimo de PING. Echo Reply e Echo Request, parte do ICMP, são. Mas 
acho que você vai se interessar mais em evitar echo request, e outras 
requisicoes de informacoes, apenas pra quem nao for da sua rede.

Sugiro algo proximo a

${fwcmd} add set N drop icmp from { not ${minharede} or not 
${minhaoutrarede} } to any in recv <interface> icmptypes 8,13,15,17

"man ipfw" tem uma lista com os codigos dos icmptypes.

Lendo a regra com atencao vai perceber que esta negando pra todos que 
nao sejam suas redes, ou seja pras suas redes tudo continua valido, e 
como voce nao bloqueou echo reply (apenas request), voce pode fazer o 
request e receber o reply.

Caso prefira sua analogia inicial, de "apenas eu posso fazer" tente usar 
regras dinânicas, pra saida, por exemplo

add pass icmp from ${minharede} to any out xmit <interface> keep-state

add drop icmp from any to ${minharede} in recv <interface> icmptypes <tipos>

> ipfw add 1001 allow icmp from any to minha_rede "established"
>
> Mas o established so funciona para pacotes TCP....

É, por isso regras dinâmicas são mais consideradas.

-- 
Atenciosamente,

Patrick Tracanelli

FreeBSD Brasil LTDA.
The FreeBSD pt_BR Documentation Project
http://www.freebsdbrasil.com.br
patrick em freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/