[FUGSPBR] RES: Duvida
Ronielton Rezende Oliveira
ronieltonprogramador em yahoo.com.br
Qui Set 9 14:42:09 BRT 2004
Daniel,
Estou estudando o IPFW desde o comeco desta semana, e hoje me atrevi a criar
minhas proprias regras...
Adotei a Politica Fechada, usando o IPFW estatico...
Desta maneira minhas regras ficaram assim:
----------------------------------------------------------------------------
----------------------------------------------------------------------------
-----------
# Regras de Firewall IPFW[8] - IPFIREWALL[4]
# Maiores informacoes no documento disponivel em
'http://free.bsd.com.br/~eksffa/freebsd/ipfw.php'
#
# Autor: Ronielton Rezende Oliveira - data: 09/09/04
# Rede: 192.168.0.0/28
add 100 allow all from 192.168.0.0/28 to any # liberar todo o trafego
proveniente da intranet
add 1000 deny log icmp from any to 192.168.0.0/28 in icmptypes 8 # bloqueia
pedidos de echo feitos a partir da internet
add 1010 allow icmp from 192.168.0.0/28 to any out icmptypes 8 # permite
pacotes de echo para fora do firewall
add 1020 allow icmp from any to 192.168.0.0/28 in icmptypes 0 # permite que
resposta de echo entre pelo firewall
add 2000 allow tcp from any to any established # permitir o trafego TCP para
todas as conexoes ja estabelecidas
add 2100 allow tcp from any to 192.168.0.0/28 22,25 setup # permitir
conexoes para os servicos de FTPS, SSH e SMTP
add 2200 allow udp from 192.168.0.0/28 to any 53 # permitir conexoes para o
servico de DNS intranet --> internet
add 2210 allow udp from any 53 to 192.168.0.0/28 # permitir conexoes para o
servico de DNS internet --> intranet
add 2300 allow tcp from 192.168.0.0/28 to any 953 # permitir conexoes para
os servicos de RNDC intranet --> internet
add 2310 allow tcp from any 953 to 192.168.0.0/28 # permitir conexoes para
os servicos de RNDC internet --> intranet
add 2400 allow tcp from any to 192.168.0.0/28 80,443 setup # permitir
conexoes para servico de HTTP e HTTPS
add 2500 allow tcp from any to 192.168.0.0/28 110,995 setup # permitir
conexoes para o servico POP3 e POP3S
add 2600 allow tcp from any to 192.168.0.0/28 143,993 setup # permitir
conexoes para o servico IMAP e IMAPS
add 2700 allow tcp from any to 192.168.0.0/28 3306 setup # permitir conexoes
para o servico banco de dados MySQL
add 2800 allow udp from any to 192.168.0.0/28 123 setup # permitir conexoes
para o servico NTP (atualizacao hora)
add 65000 deny log all from any to any # bloquear todos os pacotes
originados da internet e efetuar registro de log
----------------------------------------------------------------------------
----------------------------------------------------------------------------
-----------
Pelo que testei agora pouco o trafego tanto da intranet como da internet
esta funcionando perfeitamente, consegui acessar todos os servicos...
Um detalhe, o IP que usei e da minha intranet, visto que estou atras de um
NAT (modem router).
Espero ter ajudado... ...e por favor façam comentários sobre as regras que
implementei, afinal como disse estou estudando IPFW a cinco dias...
Ats. Ronielton Rezende Oliveira
----- Original Message -----
From: "Daniel Clóvis Becher" <listas em becher.com.br>
To: "FUGSPBR" <fugspbr em fugspbr.org>
Sent: Thursday, September 09, 2004 2:26 PM
Subject: [FUGSPBR] Duvida
Pessoal,
eu to querendo bloquear as portas aqui e liberar só as mais importantes e
não estou conseguindo.
Vejam:
00999 deny ip from any to any dst-port 80
01000 allow ip from any to any
Desta forma, ele bloqueia a 80 e deixa passar o resto.
Mas eu tentei inverter, ou seja,
01000 allow ip from any to any
01001 deny ip from any to any dst-port 80
E não libera APENAS a 80.
Como faço pra liberar APENAS a 80?
Desde já, agradeço,
Daniel Clóvis Becher
Florianópolis - SC
_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.754 / Virus Database: 504 - Release Date: 06/09/2004
_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd