[FUGSPBR] BRIDGE + IPFW
Vini
vini em veloxmail.com.br
Ter Set 23 16:48:09 BRT 2003
Oi gente,
Bom, tudo vai depender...
Se a regra default for DENY:
Sempre que vc der um flush nada mais passará, mas vc pode colocar uma
regra logo após o flush deixando passar somente conexões estabelecidas,
ipfw add NNN allow from any to any established
duvido que vc perderá algo entre o tempo de dar o flush e colocar a
regra acima, mas dependendo do seu caso isso pode não ser legal, eu por
exemplo não faço isso não, quando muito eu deixo passar conexões já
estabelecidas pra um ip, normalmente o meu.
Se sua regra default é ALLOW:
Realmente vc não perderá as conexões, masss se vc usar regras dinâmicas,
o que é sempre melhor, vc não vai conseguir passar por que normalmente
uma regra dinâmica tem que ser criada a partir de uma nova conexão, isso
só vc usou "setup" na regra inicial, então como a conexão já existe não
vão vir mais pacotes com flag SYN, sendo assim se vc bloquear o trafego
no final vc não irá passar denovo.
Tudo vai depender na anatomia das suas regras.
Uma coisa que eu fazia com IPFW1 e nunca testei isso com IPFW2, era
colocar uma regra com keep-state sem o "setup" assim ele deixava passar
qualquer coisa que viesse por essa regra, então eu podia tirar a regra e
colocar ela logo depois que não perdia meu ssh.
Se vc puder explicar melhor a anatomia das suas regras aqui talvez
possamos ajudar melhor.
Esse EXEMPLO talvez resolva seu problema
ifpw add NNN allow tcp from 192.168.0.5 to 192.168.200.15 22 keep-state
in via xl1
Repare que se vc fizer isso,
ifpw add NNN allow tcp from 192.168.0.5 to 192.168.200.15 22 setup
keep-state in via xl1
Só valerá para conexões novas, e eu só testei isso com ipfw1, se vc
tiver o ipfw2, testa e conta o resultado pra gente aqui.
LEMBRE-SE QUE QUANDO VC ESTA USANDO UMA BRIDGE VC SÓ CONSEGUE
ESPECIFICAR A INTERFACE DE ENTRADA E NUNCA A DE SAÍDA.
Espero ter ajudado...
Até mais
Vini
Renato Botelho escreveu:
> Julio Cesar Dutra Junior wrote:
>
>> Olá a todos.
>> Tenho uma bridge com ipfw rodando numa boa.
>> Quando executo o script de firewall, na mão, para atualizar as regras
>> correntes, são cortadas todas as coneções.
>> No inicio do script, limpo todas as regras com:
>>
>> ipfw -F flush
>>
>> Como soluciono este problema, fazendo com que as conecções
>> estabelecidas não sejam interrompidas?
>>
>
> Se vc colocar o ipfw como DEFAULT_TO_ACCEPT eu acho que nao vai mais
> acontecer isso, porque hoje, quando voce dah o flush, a unica regra que
> fica eh a "deny ip from any to any", por isso, todas sao cortadas, eu
> acredito que essa mudanca seja suficiente, me corrijam se eu estiver
> errado.
>
> Para colocar o default to accept eh soh colocar a seguinte linha no seu
> kernel
>
> optione IPFIREWALL_DEFAULT_TO_ACCEPT
>
> e recompilar o mesmo.
>
> []s
>
> Renato
>
> _______________________________________________________________
> Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>
>
_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd