[FUGSPBR] Duvidas com regras do IPFilter

Marcelo Gondim gondim em databras.com.br
Ter Nov 2 15:11:46 BRST 2004 

Em Ter 02 Nov 2004 10:12, Alexandre Vasconcelos escreveu:
> Marcelo Gondim wrote:
> > Olá pessoal,
> >
> > Comecei a brincar com o FreeBSD 5.3 + IPFilter em uma VM(Virtual Machine)
> > que criei soh pra esses testes.  :)
> > O FreeBSD tá instalado e com o IP 192.168.0.181. Da minha estação em casa
> > faço uma VPN com um servidor de VPN que não vem ao caso e dela consigo
> > pingar normalmente e acessar via ssh o FreeBSD instalado. Até aqui tudo
> > bem, até que resolvi começar os testes com o IPFilter. Fiz as seguintes
> > configurações:
> >
> > Copiei o kernel GENERIC para GONDIM e adicionei as seguintes linhas:
> > options IPFILTER
> > options IPFILTER_LOG
> > options IPFILTER_DEFAULT_BLOCK
>
> IPFilter 3.4.31, certo? confirma pra mim com ipf -V

ipf: IP Filter: v3.4.35 (336)
Kernel: IP Filter: v3.4.35
Running: yes
Log Flags: 0 = none set
Default: block all, Logging: available
Active list: 0

>
> > Compilei o kernel e instalei ele da seguinte forma:
> > cd /usr/src; make buildkernel KERNCONF=GONDIM; make installkernel
> > KERNCONF=GONDIM
> >
> > Configurei o /etc/rc.conf dessa maneira:
> > ipfilter_enable="YES"             # Start ipf firewall
> > ipfilter_rules="/etc/ipf.rules"   # loads rules definition text file
> > ipmon_enable="YES"                # Start IP monitor log
> > ipmon_flags="-Ds"                # D = start as daemon
> >                                   # s = log to syslog
> >                                   # v = log tcp window, ack, seq
> >                                   # n = map IP & port to names
>
> Adiciona o "v" no ipmon flags pra gente tentar pegar mais detalhes..

Adicionado  :)

>
> > Fiz um touch /var/log/ipfilter.log e adicionei em /etc/syslogd.conf a
> > linha: local0.* /var/log/ipfilter.log
> >
> > No arquivo /etc/ipf.rules coloquei as seguintes regras:
> > pass out quick on lo0
> > pass in  quick on lo0
> > pass out quick on lnc0
> > pass in quick on lnc0 proto tcp from any to 192.168.0.181/32 port = 22
> > flags S keep state
>
> Supondo que lnc0 é a sua única interface além da de loopback, tente
> remover o flags S e recarregue as regras com ipf -Fa -f /etc/ipf.rules

removi o flags S

>
> > Após o reboot ou usando ipf -Fa -f /etc/ipf.rules, não sei porque cargas
> > d'água não consigo fazer o ssh no FreeBSD(192.168.0.181). Mas se eu
> > trocar a última regra pra:
> > pass in quick on lnc0 from any to any
>
> Uma vez que você colocou ipfilter_enable="YES" no rc.conf, após o reboot
> não é necessário recarregar as regras, a não ser que você as tenha
> mudado depois do reboot.
>
> > Funciona perfeitamente, mas não é o tipo de regra que eu gostaria de
> > deixar habilitada. heheheheh Tentei adicionar o log na regra e checar o
> > ipfilter.log e nada. Aqui está regra modificada:
> > pass in log quick on lnc0 from any to any
>
> Quando estiver tentando dar o ssh a partir de outra máquina neste
> servidor, entre como root na console e digite ipmon -a e nos envie a
> saída para analisarmos.

Usando as seguintes regras ainda continuo bloqueado a fazer ssh no 
192.168.0.181:

pass out quick on lo0
pass in  quick on lo0
pass out quick on lnc0
pass in  quick on lnc0 proto tcp from any to 192.168.0.181 port = 22 keep 
state

No ipmon -a só ficou registrado essa linha:

02/11/2004 16:06:41.702877 STATE:NEW 192.168.177.2,36124 -> 192.168.0.181,22 
PR tcp

[]'s
Gondim


_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd