[FUG-BR] Regras IPFW

Denis Granato denisgranato em gmail.com
Sexta Maio 18 22:59:12 BRT 2007


Utilizei a seguinte regra em meu servidor Web, pois haviam muitas
conexoes simultaneas de alguns clientes e o consumo de banda estava
alto


ipfw add 11014 pipe  96 all from 192.168.1.14 to any in  via vr1 limit
src-addr 10
ipfw add 11014 pipe 128 all from any to 192.168.1.14 out via vr1 limit
src-addr 10

só que com essa regra o msn não conecta e alguns sites (sites seguros,
https, etc)nao abriam
o que pode ser?

Obrigado desde já




> >
> > Os 2 primeiros são uma tentativa de explorar alguma vulnerabilidade e o
> > terceiro é o classico brute-force ssh.
> > Será que tem como fazer uma regra limitando o numero de conexão (tcp e
> > udp) de um determinado host para *vários* hosts da minha rede???
> >
> > Por exemplo:
> > Vamos supor que posso limitar esse numero a 5 conexões.  Todo o host que
> > enviar pacotes para mais de 5 hosts diferentes na minha rede será
> > bloqueado por n minutos.
> >
> > Abraços,
> >
> > Renato
> >
> > --
> > ---------------------------------------------
> > Renato L. Sousa  - Administrador de Redes
> >     Instituto de Química - UNICAMP
> >              Campinas - SP
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> Se eu entendi direito, você quer algo mais ou menos assim:
>
> ipfw add allow tcp from any to me 22 limit src-addr 2
>
> Neste caso é limitado a duas conexões por origem. Outras opções veja a
> option limit na man page do ipfw.
>
> limit {src-addr | src-port | dst-addr | dst-port} N
>              The firewall will only allow N connections with the same set of
>              parameters as specified in the rule.  One or more of source and
>              destination addresses and ports can be specified.
>
> Dê uma olhada nas recomendações do CERT-BR para evitar abuso de ssh.
>
> http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh/
>
> Bom trabalho!
>
> --
> Francisco Ricardo
> I3C - Treinamentos e Soluções Open Source
> Natal/RN
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


Mais detalhes sobre a lista de discussão freebsd