[FUGSPBR] Duvidas com regras do IPFilter

Alexandre Vasconcelos alexandre em fugspbr.org
Ter Nov 2 10:12:12 BRST 2004 

Marcelo Gondim wrote:
> Olá pessoal,
> 
> Comecei a brincar com o FreeBSD 5.3 + IPFilter em uma VM(Virtual Machine) que 
> criei soh pra esses testes.  :)
> O FreeBSD tá instalado e com o IP 192.168.0.181. Da minha estação em casa faço 
> uma VPN com um servidor de VPN que não vem ao caso e dela consigo pingar 
> normalmente e acessar via ssh o FreeBSD instalado. Até aqui tudo bem, até que 
> resolvi começar os testes com o IPFilter. Fiz as seguintes configurações:
> 
> Copiei o kernel GENERIC para GONDIM e adicionei as seguintes linhas:
> options IPFILTER
> options IPFILTER_LOG
> options IPFILTER_DEFAULT_BLOCK

IPFilter 3.4.31, certo? confirma pra mim com ipf -V

> 
> Compilei o kernel e instalei ele da seguinte forma:
> cd /usr/src; make buildkernel KERNCONF=GONDIM; make installkernel 
> KERNCONF=GONDIM
> 
> Configurei o /etc/rc.conf dessa maneira:
> ipfilter_enable="YES"             # Start ipf firewall
> ipfilter_rules="/etc/ipf.rules"   # loads rules definition text file
> ipmon_enable="YES"                # Start IP monitor log
> ipmon_flags="-Ds"                # D = start as daemon
>                                   # s = log to syslog
>                                   # v = log tcp window, ack, seq
>                                   # n = map IP & port to names

Adiciona o "v" no ipmon flags pra gente tentar pegar mais detalhes..

> 
> Fiz um touch /var/log/ipfilter.log e adicionei em /etc/syslogd.conf a linha:
> local0.* /var/log/ipfilter.log
> 
> No arquivo /etc/ipf.rules coloquei as seguintes regras:
> pass out quick on lo0
> pass in  quick on lo0
> pass out quick on lnc0
> pass in quick on lnc0 proto tcp from any to 192.168.0.181/32 port = 22 flags S 
> keep state

Supondo que lnc0 é a sua única interface além da de loopback, tente 
remover o flags S e recarregue as regras com ipf -Fa -f /etc/ipf.rules

> 
> Após o reboot ou usando ipf -Fa -f /etc/ipf.rules, não sei porque cargas 
> d'água não consigo fazer o ssh no FreeBSD(192.168.0.181). Mas se eu trocar a 
> última regra pra:
> pass in quick on lnc0 from any to any

Uma vez que você colocou ipfilter_enable="YES" no rc.conf, após o reboot 
não é necessário recarregar as regras, a não ser que você as tenha 
mudado depois do reboot.

> 
> Funciona perfeitamente, mas não é o tipo de regra que eu gostaria de deixar 
> habilitada. heheheheh Tentei adicionar o log na regra e checar o ipfilter.log 
> e nada. Aqui está regra modificada:
> pass in log quick on lnc0 from any to any

Quando estiver tentando dar o ssh a partir de outra máquina neste 
servidor, entre como root na console e digite ipmon -a e nos envie a 
saída para analisarmos.

---
Alexandre Vasconcelos
Unix Admin
SSP/GO
_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd