[FUG-BR] RES: RES: RES: Redirecionar trafego SMTP
Nenhum _de_Nos
matheusber em gmail.com
Quinta Agosto 3 15:59:31 BRT 2006
On 8/3/06, Marcello Costa <unixmafia em yahoo.com.br> wrote:
> Em Qui, 2006-08-03 às 13:51 -0300, Nenhum _de_Nos escreveu:
> > On 8/3/06, Marcello Costa <unixmafia em yahoo.com.br> wrote:
> > > Em Qui, 2006-08-03 às 10:33 -0300, Suporte Planet Hardware escreveu:
> > > > Mais ai vc ta bloqueando todo o meu trafego da porta 1-1024 ???
> > > >
> > > Sim , todas as portas de serviços
> >
> > entendo e concordo ...
> >
> > > Um desktop(client) usa portas acima da 1024 para se conectar as portas
> > > de serviço( de 1 a 1024) , portanto se nos clientes não se roda nenhum
> > > serviço , seja smtp,pop,http,ntp etc , pode bloquear todo o trafego dos
> > > ips da sua rede que saem abaixo da porta 1024, exeções vc adiciona uma
> > > regra asntes liberando o serviço
> >
> > nao seriam q chegam nao??
> > qd eu faco telnet uol.com.br 80 eu tenho um trafego de saida da rede,
> > abaixo de 1k, e eh legitmo :)
> >
> > > o melhor é essa aqui mesmo
> > >
> > > ipfw add 6501 deny log ip from minharede/xx dst-port 1-1024 to any in
> > > via interface_interna
> >
> > se eles nao vao prover servicos, nao seria ai o from not minha rede ?
> >
> > desculpa se falei besteira ...
> > mas entendi q vc quer barrar um cliente por ex criando servidores
> >
> > > se quiser bloquear todos os smtps em sua rede seria
> > >
> > > ipfw add 6499 deny log ip from minharede/xx smtp to any in
> > > via interface_interna
> > >
> > > isso iria bloquear o pessoal enviando spans de servidores de email
> > > fajutos, propagação de virus, etc...
> > >
> > > coloque como log , escolha um ip qualquer , e monitore pelos logs , vc
> > > vai perceber isso direitinho
> > >
> > > tem até um exemplo , badguys godguys no man do ipfw
> > >
> > > []'s
> > > --
> > > Marcello Costa
> > > BSD System Engineer
> > > unixmafia at yahoo dot com dot br
> >
> > matheus
> >
> Matheus , mas na verdade voce pode fazer a regra tanto com "not" ou
> sem , na verdade a lógica dá regra é que vale, qual pacote vai passar e
> qual vai barrar
> Nesse caso que citei de exemplo realmente é para barrar todo tipo de
> servidor , quase todos , menos os que usam portas altas e/ou randomicas
> como p2p , mas boa parte disso vc barra bloqueando as udps que não sejam
> abaixo da porta 1024 tb.
hmm mas meu pensamento foi em todo tipo de servidor "na sua rede".
como vc havia citado entendeu ... ?
esta parte de a regra ser vista 4 vezes ( ate 4 ) eu nao sabia, pois
nao sei muito sobre ipfw (o contato que tive de fw em bsd foi pf)
> O firewaal analisa sua regra 4 vezes (match), entrada e saida de cada
> interface , mas ele sabe se vc liberou ou bloqueou aquele pacote
>
>
> PACKET FLOW
> A packet is checked against the active ruleset in multiple places in the
> protocol stack, under control of several sysctl variables. These places
> and variables are shown below, and it is important to have this picture
> in mind in order to design a correct ruleset.
>
> ^ to upper layers V
> | |
> +----------->-----------+
> ^ V
> [ip(6)_input] [ip(6)_output] net.inet.ip.fw.enable=1
> | |
> ^ V
> [ether_demux] [ether_output_frame] net.link.ether.ipfw=1
> | |
> +-->--[bdg_forward]-->--+ net.link.ether.bridge_ipfw=1
> ^ V
> | to devices |
>
> As can be noted from the above picture, the number of times the same
> packet goes through the firewall can vary between 0 and 4 depending on
> packet source and destination, and system configuration.
>
> então as regras :
>
> ipfw add 6501 deny log ip from minharede/xx dst-port 1-1024 to any in via interface_interna
>
> ipfw add 6501 deny log ip from any to minharede/xx dst-port 1-1024 in
> via interface_externa
>
> No final fazem a mesma coisa , mas a boa prática recomendado fazer match
> de pacotes sempre na entrada , essa segunda regra é melhor porque impede
> que o pacote alcance sua rede enquanto a primeira impede que sua rede
> envie a resposta
>
> agora essa regra:
>
> ipfw add 6501 deny log from any to not minha_rede dst-port 1-1024
seria:
ipfw add 6501 deny log from not minha_rede dst-port to any 1-1024
pois nao sabia/mencionei a checagem em mais de um ponto
> essa regra vc vai bloquear acesso as portas de 1-1024 de todos os ip's
> que não fazem parte da sua rede , ou seja , exatamente ao contrário do
> desejado.
>
> um telnet uol.com.br 80 abre uma conexao de uma porta acima da 1024 da
> maquina que solicitou para a porta 80 do servidor uol , isso vc não
> deseja bloquear, uma regra que liberaria isso seria :
acredito que estamos concordando de maneira bizarra ...
qd vi seu mail em barrar tudo que seja <1k achei esquisito, pq isso
bloquearia o telnet acima, e foi disso que falei no meu mail :)
minha ideia era deixar saida em portas conhecidas e barrar tudo. e
entrada deixava passar so os keep state
> trafego de saida :
> ipfw add numerodaregra tcp from minharede/xy to uol.com.br 80
> trafego de entrada do pacote :
> ipfw add numerodaregra tcp from uol.com.br 80 to minharede/xy
>
> dinâmica :
>
> ipfw add numerodaregra tcp from minharede/xy to uol.com.br http
> keep-state
>
>
> Tem uns bons tutorias de ipfw , na freebsdbrasil.com.br tem em portugues
> bem explicadinho.
>
> []'s
queria ler os de pf mais a fundo pra reorganizar as ideias do modo
PF, nao mais iptables. mas falta tempo ... :(
matheus
ps: nao tenho tempo por nao esta trabalhando com isso no momento, uso
FreeBSD como ganho de conhecimento e como enthusiast, migrei minha
rede slackware pra ele. vou lendo coisas aos poucos :)
--
We will call you cygnus,
The God of balance you shall be
Mais detalhes sobre a lista de discussão freebsd