[FUG-BR] IPFW não funciona por muito tempo

Tiago N. Sampaio tiago em codigobinario.com.br
Seg Abr 24 12:43:55 BRT 2006 

Dica: udp e icmp naum tem estados definidos, a sua regra de liberar 
pacotes estabelecidos soh funciona pra tcp, pra funcionar icmp e udp, 
coloca um keep-state no final da regra. (vi que vc tem algumas regras 
liberando alguns pacotes icmp e udp)

E por que vc bloqueia um monte de coisas em cima, se seu fw e padrao deny?
Soh libera o que for permitido, e deixa o resto cair na ultima regra de 
deny.


Abracos.
Tiago N. Sampaio


Armindo S. Gomes wrote:
> Claro!
>
> Assim está a minha rede:
>
>                                            xxx.xxx.xxx.1 
> xxx.xxx.xxx.3
> ------------------| Roteador |----------------------| Firewall(FreeBSD) 
> |---------------------------| Switch |----------------
>
> Aí vai:
>
>  # set these to your network and netmask and ip
>  net="xxx.xxx.xxx.0"
>  mask="255.255.255.0"
>  ip="xxx.xxx.xxx.3"
>
>  dns1="xxx.xxx.xxx.38"
>  dns2="xxx.xxx.xxx.34"
>  dns3="xxx.xxx.xxx.60"
>  dns4="xxx.xxx.xxx.3"
>  dns5="200.20.94.50"
>
>  setup_loopback
>
>  # Impedindo redes nao-roteaveis RFC1918
>  ${fwcmd} add deny all from any to 10.0.0.0/8
>  ${fwcmd} add deny all from any to 172.16.0.0/12
>  ${fwcmd} add deny all from any to 192.168.0.0/16
>  ${fwcmd} add deny all from 10.0.0.0/8 to any
>  ${fwcmd} add deny all from 172.16.0.0/12 to any
>  ${fwcmd} add deny all from 192.168.0.0/16 to any
>
>  # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
>  # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
>  ${fwcmd} add deny all from any to 0.0.0.0/8
>  ${fwcmd} add deny all from any to 169.254.0.0/16
>  ${fwcmd} add deny all from any to 192.0.2.0/24
>  ${fwcmd} add deny all from any to 224.0.0.0/4
>  ${fwcmd} add deny all from any to 240.0.0.0/4
>  ${fwcmd} add deny all from 0.0.0.0/8 to any
>  ${fwcmd} add deny all from 169.254.0.0/16 to any
>  ${fwcmd} add deny all from 192.0.2.0/24 to any
>  ${fwcmd} add deny all from 224.0.0.0/4 to any
>  ${fwcmd} add deny all from 240.0.0.0/4 to any
>
>  # Impede ataques DoS do virus SQL Slammer, Sapphire, Worm.SQL.Helkern.
>  ${fwcmd} add deny udp from any to ${net}:${mask} 1434
>
>  # Impede Pacotes NT
>  ${fwcmd} add deny udp from any to ${net}:${mask} 137-139
>
>  # Impede pacotes de BOOTP/DHCP e NETBIOS
>  ${fwcmd} add deny udp from any to ${net}:${mask} 67
>  ${fwcmd} add deny tcp from any to ${net}:${mask} 137-139
>
>  # Para uso do Proxy Transparente
>  ${fwcmd} add allow tcp from ${ip} to any
>  ${fwcmd} add fwd 127.0.0.1,3128 tcp from ${net}:${mask} to any 80
>
>  # Permite conexoes TCP ja estabelecidas
>  ${fwcmd} add pass tcp from any to any established
>
>  # Telefone IP
>  ${fwcmd} add pass ip from any to xxx.xxx.xxx.36
>  ${fwcmd} add pass ip from xxx.xxx.xxx.36 to any
>
>  # Permite conexao a este firewall via SSH
>  ${fwcmd} add pass tcp from xxx.xxx.xxx.8 to ${ip} 22 setup
>  ${fwcmd} add pass tcp from xxx.xxx.xxx.38 to ${ip} 22 setup
>  ${fwcmd} add pass tcp from xxx.xxx.xxx.60 to ${ip} 22 setup
>  ${fwcmd} add deny tcp from any to ${ip} 22
>
>  # Peemitir entrada de Correio Eletronico
>  ${fwcmd} add pass tcp from any to xxx.xxx.xxx.34 25  setup
>
>  # Permitir acesso ao DNS
>  ${fwcmd} add pass udp from any to any 53 keep-state
>
>  # Permite a transferencia de zona com o Guanabara
>  ${fwcmd} add pass tcp from ${dns5} to ${dns1} 53 setup
>
>  # Permite acesso aos servidores HTTP
>  ${fwcmd} add pass tcp from any to xxx.xxx.xxx.34 80 setup
>  ${fwcmd} add pass tcp from any to xxx.xxx.xxx.60 80 setup
>
>  # Permite acesso aos servidores HTTPS
>  ${fwcmd} add pass tcp from any to xxx.xxx.xxx.34 443 setup
>  ${fwcmd} add pass tcp from any to xxx.xxx.xxx.60 443 setup
>
>  # Permite acesso aos servidores FTP
>  ${fwcmd} add pass tcp from any to xxx.xxx.xxx.59 20,21 setup
>  ${fwcmd} add pass tcp from any 1024-65535 to xxx.xxx.xxx.59 2048-2148
>
>  # Permite atualizacoes NTP
>  ${fwcmd} add pass udp from any to any 123 keep-state
>
>  # Bloquear iMesh versao 1
>  ${fwcmd} add deny tcp from ${net}:${mask} to any 5000
>
>  # Bloquear Napster
>  ${fwcmd} add deny tcp from ${net}:${mask} to any 
> 6699,4444,5555,6666,7777,8888
>
>  # Bloquear MSN
>  ${fwcmd} add deny tcp from any to any 1863
>
>  # Bloquear IRC
>  ${fwcmd} add deny tcp from any to any 6666-6669
>
>  # Bloquear ICQ(4000, 5190), AOL(5190)
>  ${fwcmd} add deny tcp from any to any 4000,5190
>  ${fwcmd} add deny udp from any to any 4000,5190
>
>  # Bloquear Yahoo! Messenger
>  ${fwcmd} add deny tcp from any to any 5050
>  ${fwcmd} add deny udp from any to any 5050
>
>  # Permite estabelecer qualquer outra conexao TCP e UDP externa
>  ${fwcmd} add pass tcp from ${ip}:${mask} to any
>  ${fwcmd} add pass udp from ${ip}:${mask} to any
>
>  # Permite a entrada de pacotes ICMP dos tipos echo, echo reply
>  # e destination unreachable
>  ${fwcmd} add pass icmp from any to ${net}:${mask} icmptypes 0,3,8
>
>  # Permite saida de pacotes ICMP
>  ${fwcmd} add pass icmp from ${net}:${mask} to any
>
>  # Negar tudo. Por aqui, nao passa mais nada. Foda-se!
>  ${fwcmd} add deny all from any to any
>
>  # Everything else is denied by default, unless the
>  # IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
>  # config file.
>
>
>
> ----- Original Message ----- 
> From: "Celso Viana" <celso.vianna em gmail.com>
> To: "Lista de discussao sobre FreeBSD" <freebsd em fug.com.br>
> Sent: Monday, April 24, 2006 11:56 AM
> Subject: Re: [FUG-BR] IPFW não funciona por muito tempo
>
>
> Não está sendo criada nenhuma regra dinâmica que bloqueia tudo? Pode
> postar suas regras para analisarmos?
>
> Celso
>
> Em 24/04/06, Armindo S. Gomes<armindo em redetec.org.br> escreveu:
>   
>> Prezados,
>>
>> Estou tentando migrar meu firewall, que atualmente é um FreeBSD 4.9, para 
>> o
>> FreeBSD 6. O problema é que, depois de cerca de 5-10 minutos funcionando
>> como ele tem que funcionar (entre o roteador e o switch) ele simplesmente
>> começa a recusar qq pacote. Aí basta eu adicionar uma regra no topo da 
>> lista
>> liberando todo o tráfego que ele volta a funcionar, mesmo depois de 
>> retirada
>> a regra. Aí depois de 5-10 minutos ele volta com o problema...
>>
>> Alguém teria idéia do que seja isso?
>>
>> Lembro que estou usando o mesmo conjunto de regras em ambos.
>>
>> Desde já agradeço!
>>
>> ____________________________________
>> Armindo Gomes
>> Rede de Tecnologia do Rio de Janeiro
>> Informática
>> Tel.: 21 2221 9292 | Cel.: 21 8153 2759
>>
>>
>> _______________________________________________
>> freebsd mailing list
>> freebsd em fug.com.br
>> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>>
>>     
>
>
> --
> Celso Vianna
> BSD User: 51318
> http://www.bsdcounter.org
>
> 63 8404-8559
> Palmas/TO
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
>
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>   

_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br

Mais detalhes sobre a lista de discussão freebsd