[FUGSPBR] BRIDGE + IPFW
Julio Cesar Dutra Junior
julio.dutra em nexxera.com
Qui Set 25 08:22:55 BRT 2003
Vini wrote:
> Oi gente,
>
> Bom, tudo vai depender...
>
> Se a regra default for DENY:
> Sempre que vc der um flush nada mais passará, mas vc pode colocar uma
> regra logo após o flush deixando passar somente conexões estabelecidas,
>
> ipfw add NNN allow from any to any established
>
> duvido que vc perderá algo entre o tempo de dar o flush e colocar a
> regra acima, mas dependendo do seu caso isso pode não ser legal, eu por
> exemplo não faço isso não, quando muito eu deixo passar conexões já
> estabelecidas pra um ip, normalmente o meu.
>
>
> Se sua regra default é ALLOW:
> Realmente vc não perderá as conexões, masss se vc usar regras dinâmicas,
> o que é sempre melhor, vc não vai conseguir passar por que normalmente
> uma regra dinâmica tem que ser criada a partir de uma nova conexão, isso
> só vc usou "setup" na regra inicial, então como a conexão já existe não
> vão vir mais pacotes com flag SYN, sendo assim se vc bloquear o trafego
> no final vc não irá passar denovo.
>
> Tudo vai depender na anatomia das suas regras.
>
> Uma coisa que eu fazia com IPFW1 e nunca testei isso com IPFW2, era
> colocar uma regra com keep-state sem o "setup" assim ele deixava passar
> qualquer coisa que viesse por essa regra, então eu podia tirar a regra e
> colocar ela logo depois que não perdia meu ssh.
>
> Se vc puder explicar melhor a anatomia das suas regras aqui talvez
> possamos ajudar melhor.
>
> Esse EXEMPLO talvez resolva seu problema
>
> ifpw add NNN allow tcp from 192.168.0.5 to 192.168.200.15 22 keep-state
> in via xl1
>
> Repare que se vc fizer isso,
>
> ifpw add NNN allow tcp from 192.168.0.5 to 192.168.200.15 22 setup
> keep-state in via xl1
>
> Só valerá para conexões novas, e eu só testei isso com ipfw1, se vc
> tiver o ipfw2, testa e conta o resultado pra gente aqui.
>
> LEMBRE-SE QUE QUANDO VC ESTA USANDO UMA BRIDGE VC SÓ CONSEGUE
> ESPECIFICAR A INTERFACE DE ENTRADA E NUNCA A DE SAÍDA.
>
> Espero ter ajudado...
>
> Até mais
> Vini
>
>
> Renato Botelho escreveu:
>
>> Julio Cesar Dutra Junior wrote:
>>
>>> Olá a todos.
>>> Tenho uma bridge com ipfw rodando numa boa.
>>> Quando executo o script de firewall, na mão, para atualizar as regras
>>> correntes, são cortadas todas as coneções.
>>> No inicio do script, limpo todas as regras com:
>>>
>>> ipfw -F flush
>>>
>>> Como soluciono este problema, fazendo com que as conecções
>>> estabelecidas não sejam interrompidas?
>>>
>>
>> Se vc colocar o ipfw como DEFAULT_TO_ACCEPT eu acho que nao vai mais
>> acontecer isso, porque hoje, quando voce dah o flush, a unica regra
>> que fica eh a "deny ip from any to any", por isso, todas sao cortadas,
>> eu acredito que essa mudanca seja suficiente, me corrijam se eu
>> estiver errado.
>>
>> Para colocar o default to accept eh soh colocar a seguinte linha no
>> seu kernel
>>
>> optione IPFIREWALL_DEFAULT_TO_ACCEPT
>>
>> e recompilar o mesmo.
>>
>> []s
>>
>> Renato
>>
>> _______________________________________________________________
>> Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
>> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>>
>>
>
>
> _______________________________________________________________
> Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>
Utilizei o parâmetro no kernel...
...options IPFIREWALL_DEFAULT_TO_ACCEPT... e recompilei.
Inserí também uma regra no final do meu script do firewal:
add deny all log from any to any...mantendo a política de meu firewall
como era antes, negando tudo.
Parece estar funcionando tudo muito bem.
Gostaria de agradecer imensamente a todos.
Julio Cesar Dutra Junior
--
Esta mensagem foi verificada pelo sistema antivírus
da Nexxera e está livre de perigo.
_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd