[FUGSPBR] duvida ipfw

Eduardo Crestani eduardocrestani em uol.com.br
Qui Set 16 09:10:29 BRT 2004 

Pessoal,

Ha algum tempo estou tentando configurar meu ipfw num servidor que montei. O 
servidor fornecesse os seguintes serviços:
-NAT
-Bind
-Samba
-Firebird 1.5

O que ocorre é que eu não consigo fechar todas as portas, se eu fecho os 
usuário na rede interna não consegue navegar ou compartilhar os recursos do 
samba. 
E se eu libero, fico desprotegido, com as seguintes portas abertas:

22/tcp   open     ssh
53/tcp   open     domain
135/tcp  filtered msrpc
139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds
593/tcp  filtered http-rpc-epmap
1214/tcp filtered fasttrack
4444/tcp filtered krb524
6346/tcp filtered gnutella

Já tentei de tudo, mas não consigo acertar esse script para que ele ao mesmo 
tempo dê segurança ao servidor e forneça todos os serviços para as estações.

Obs: eu ja tentei dar um deny nessas portas que estão abertas...mas parece que 
não adianta muito, e elas continuam abertas. Alguém teria como me ajudar? 

Eis meu script do ipfw:

fwcmd="/sbin/ipfw"

ip="<IP EXTERNO DO SERVIDOR>"
ip_interno="192.168.66.0/24"
ip_serv="192.168.66.2"
interf="rl1"
interf2="rl0"

$fwcmd -f flush

#libera tudo
#$fwcmd add pass all from any to any

#libera o nat
$fwcmd add divert natd all from any to any via ${interf} 

#libera tudo
$fwcmd add allow ip from any to any via ${interf}

#libera ssh
$fwcmd add allow tcp from any to ${ip} 22 via ${interf}

#permite conexoes ja estabelecida
$fwcmd add pass tcp from any to any established 

#permite conexoes frag.
$fwcmd add pass all from any to any frag 

#permite saida
$fwcmd add allow tcp from any to any out

#lib dns,ntp
$fwcmd add pass udp from ${ip_interno} to any 53,123 keep-state
$fwcmd add pass udp from any 53,123 to ${ip_interno} keep-state

#reseta o serv. de auth
$fwcmd add reset log tcp from any to me 113 in recv any

#libera icmp
$fwcmd add allow icmp from any to any icmptypes 0,3,8,11,12,13,14

#rejeita desnecessarios
$fwcmd add deny ip from any to ${ip} 53,135,139,445,593,4444,5000 via 
${interf}

#rejeita e manda pro log
$fwcmd add deny log all from any to any in via ${interf}





-- 
EDUARDO CRESTANI
Programador | UIN# 38352716
FreeBSD 5.2.1 | Slack 10

_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd