[FUG-BR] server&pf ruleset
Tiago André Robalo
trobalo em mrna.ist.utl.pt
Sáb Ago 13 13:04:00 BRT 2005
Bem, gostaria de saber a vossa opinião sobre esta ruleset. Está bem ou
precisa de uns ajustes?
Trata-se de um webserver (também com samba,cups integrado para apenas um
pequeno grupo).
O server está numa rede do tipo 1.1.1.X e tem 2 placas com os ips
1.1.1.1 e 1.1.1.2
(Os ips 1.1.1.X são apenas para exemplificar)
---
| |----- fxp0 (1.1.1.1)
| |
| |----- sis0 (1.1.1.2)
---
O que pretendo é que toda a web (porta 80), webmin (10000), ssh (22), 21
(ftp) use a placa fxp0 tanto do exterior como do interior. E que a placa
sis0 apenas permita o samba (139, 445) e o cups (631) no interior da rede.
A nível de segurança é suficiente o que coloquei?!
RULESET:
#INTERFACES
ext_if="fxp0"
int_if="sis0"
ip_ext="1.1.1.1" #exemplo de ip
ip_int="1.1.1.2" #exemplo de ip
#INFO:
#SSH = 22
#WEB = 80
#FTP = 21
#WEBMIN = 10000
#SAMBA = 139, 445
#CUPS = 631
#UDP = 137, 138
#OPTIONS
set block-policy drop
block in log all label "blockin"
block out log all label "blockout"
scrub in all
pass out quick on lo0 from any to any
pass in quick on lo0 from any to any
#SSH
pass in quick on $ext_if proto tcp from any to $ip_ext port 22 flags
S/SA keep state
#WEB+WEBMIN+FTP
pass in quick on $ext_if proto tcp from any to $ip_ext port
{80,10000,21} flags S/SA keep state
#PROFTPD
pass in quick on $ext_if proto tcp from any to $ip_ext port 49151 >< 52000
pass out quick on $ext_if proto tcp from $ip_ext 49151 >< 52000 to any
#SAMBA
#a.a.a.a => ips de uma vlan que podem aceder às shares
#1.1.1.X => ips que estão na rede do server
pass in quick on $int_if proto tcp from a.a.a.a/20 to $ip_int port {139,445}
pass in quick on $int_if proto tcp from 1.1.1.X/24 to $ip_int port{139,445}
#CUPS
pass in quick on $int_if proto tcp from a.a.a.a/20 to $ip_int port 631
pass in quick on $int_if proto tcp from 1.1.1.X/24 to $ip_int port 631
#ICMP
pass in quick on $ext_if inet proto icmp all icmp-type 3 keep state
pass in quick on $ext_if inet proto icmp all icmp-type 4 keep state
#RULES
pass out on $ext_if proto tcp from $ip_ext to any flags S/SA keep state
pass out on $ext_if proto { icmp, udp } from $ip_ext to any keep state
pass out on $int_if proto tcp from $ip_int to any flags S/SA keep state
pass out on $int_if proto { icmp, udp } from $ip_int to any keep state
_______________________________________________
Freebsd mailing list
Freebsd em fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Mais detalhes sobre a lista de discussão freebsd