[FUGSPBR] BRIDGE + IPFW

Julio Cesar Dutra Junior julio.dutra em nexxera.com
Qui Set 25 08:22:55 BRT 2003


Vini wrote:
> Oi gente,
> 
> Bom, tudo vai depender...
> 
> Se a regra default for DENY:
> Sempre que vc der um flush nada mais passará, mas vc pode colocar uma 
> regra logo após o flush deixando passar somente conexões estabelecidas,
> 
> ipfw add NNN allow from any to any established
> 
> duvido que vc perderá algo entre o tempo de dar o flush e colocar a 
> regra acima, mas dependendo do seu caso isso pode não ser legal, eu por 
> exemplo não faço isso não, quando muito eu deixo passar conexões já 
> estabelecidas pra um ip, normalmente o meu.
> 
> 
> Se sua regra default é ALLOW:
> Realmente vc não perderá as conexões, masss se vc usar regras dinâmicas,
> o que é sempre melhor, vc não vai conseguir passar por que normalmente 
> uma regra dinâmica tem que ser criada a partir de uma nova conexão, isso 
> só vc usou "setup" na regra inicial, então como a conexão já existe não 
> vão vir mais pacotes com flag SYN, sendo assim se vc bloquear o trafego 
> no final vc não irá passar denovo.
> 
> Tudo vai depender na anatomia das suas regras.
> 
> Uma coisa que eu fazia com IPFW1 e nunca testei isso com IPFW2, era 
> colocar uma regra com keep-state sem o "setup" assim ele deixava passar 
> qualquer coisa que viesse por essa regra, então eu podia tirar a regra e 
> colocar ela logo depois que não perdia meu ssh.
> 
> Se vc puder explicar melhor a anatomia das suas regras aqui talvez 
> possamos ajudar melhor.
> 
> Esse EXEMPLO talvez resolva seu problema
> 
> ifpw add NNN allow tcp from 192.168.0.5 to 192.168.200.15 22 keep-state 
> in via xl1
> 
> Repare que se vc fizer isso,
> 
> ifpw add NNN allow tcp from 192.168.0.5 to 192.168.200.15 22 setup 
> keep-state in via xl1
> 
> Só valerá para conexões novas, e eu só testei isso com ipfw1, se vc 
> tiver o ipfw2, testa e conta o resultado pra gente aqui.
> 
> LEMBRE-SE QUE QUANDO VC ESTA USANDO UMA BRIDGE VC SÓ CONSEGUE 
> ESPECIFICAR A INTERFACE DE ENTRADA E NUNCA A DE SAÍDA.
> 
> Espero ter ajudado...
> 
> Até mais
> Vini
> 
> 
> Renato Botelho escreveu:
> 
>> Julio Cesar Dutra Junior wrote:
>>
>>> Olá a todos.
>>> Tenho uma bridge com ipfw rodando numa boa.
>>> Quando executo o script de firewall, na mão, para atualizar as regras 
>>> correntes, são cortadas todas as coneções.
>>> No inicio do script, limpo todas as regras com:
>>>
>>> ipfw -F flush
>>>
>>> Como soluciono este problema, fazendo com que as conecções 
>>> estabelecidas não sejam interrompidas?
>>>
>>
>> Se vc colocar o ipfw como DEFAULT_TO_ACCEPT eu acho que nao vai mais 
>> acontecer isso, porque hoje, quando voce dah o flush, a unica regra 
>> que fica eh a "deny ip from any to any", por isso, todas sao cortadas, 
>> eu acredito que essa mudanca seja suficiente, me corrijam se eu 
>> estiver errado.
>>
>> Para colocar o default to accept eh soh colocar a seguinte linha no 
>> seu kernel
>>
>> optione IPFIREWALL_DEFAULT_TO_ACCEPT
>>
>> e recompilar o mesmo.
>>
>> []s
>>
>> Renato
>>
>> _______________________________________________________________
>> Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
>> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>>
>>
> 
> 
> _______________________________________________________________
> Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> 


Utilizei o parâmetro no kernel...
...options IPFIREWALL_DEFAULT_TO_ACCEPT... e recompilei.
Inserí também uma regra no final do meu script do firewal:
add deny all log from any to any...mantendo a política de meu firewall 
como era antes, negando tudo.
Parece estar funcionando tudo muito bem.
Gostaria de agradecer imensamente a todos.

Julio Cesar Dutra Junior


-- 
Esta mensagem foi verificada pelo sistema antivírus 
da Nexxera e está livre de perigo.

_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/



Mais detalhes sobre a lista de discussão freebsd