[FUG-BR] Bloqueio de Portas + PF

c0re dumped ez.c0re em gmail.com
Terça Abril 24 16:49:05 BRT 2007


O PF é um firewall statefull, em termos práticos significa que você
não precisa fazer uma regra pra ida E outra pra volta, bas adicionar
keep state ao final de cada regra.

Outra, você tem certeza que a aplicação só vai responder nessas portas
? De ambos os lados ? Por que é isso que suas regras dizem...


> $pass in quick log proto { tcp udp } from any to $rede_1 \
>        port $portas
> $pass in quick log proto { tcp udp } from $rede_1 to any \
>        port $portas
> $pass out quick log proto { tcp udp } from any to $rede_1 \
>        port $portas
> $pass out quick log proto { tcp udp } from $rede_1 to any \
>        port $portas

Perceba que você tem regras repetidas. Alguma razão especial ?

Simplificando estas regras:

1 - Supondo que quem vai iniciar a conexão são as suas maquinas:
O que está acontecendo é que

$pass quick log proto { tcp udp } from $rede_1 to any port $portas keep state

2 - Supondo que suas máquinas provêem o serviço a ser utilizado:

$pass quick log proto { tcp udp } from any to $rede_1 port $portas keep state

O keep state já cria uma tabela de estados pra cada conexão, prevendo
os valores e flags aceitáveis pra o pacote de reposta. Só isso basta.

[]'s

-- 
No stupid signatures here.


Mais detalhes sobre a lista de discussão freebsd