[FUG-BR] Script para ipfw (possível problema em execução através de acesso remoto)

Renato de Oliveira Diogo renato.diogo em gmail.com
Sábado Janeiro 5 10:10:48 BRST 2008


Existe alguma forma de fazer com q o padrão do firewall seja OPEN sem
a necessidade de recompilar o kernel?

Bom, as minhas regras estão da seguinte forma:
===
IPFW=/sbin/ipfw

$IPFW -f flush

$IPFW add 1 allow ip from any to any via lo0
$IPFW add 2 deny ip from any to 127.0.0.0/8
$IPFW add 3 deny ip from 127.0.0.0/8 to any
$IPFW add 5 allow src-ip 192.168.10.0/24 dst-ip me dst-port 22 via re0
$IPFW add 5 allow src-ip me dst-ip  any src-port 22 via re0
$IPFW add 6 allow src-ip 192.168.10.0/24 dst-ip me icmptypes 0,8 via re0
$IPFW add 6 allow src-ip me dst-ip any icmptypes 0,8 via re0
$IPFW add 7 allow src-ip 192.168.10.0/24 dst-ip me proto udp dst-port
161,162 via re0
$IPFW add 7 allow src-ip me dst-ip any proto udp src-port 161,162 via re0
===

Não me lembro se cheguei a testar com & para colocá-lo em background,
porém se tiver uma alternativa fora isso facilitaria, pois não sou
somente eu que vou administrar esse host e ele (como eu tb) pode
esquecer alguma vez de colocar, o que faria essa máquina travar, e ela
será importantíssima para o funcionamento de uma grande rede (será um
bridge ou um router)

[]s

On Jan 5, 2008 1:35 AM, Gelsimauro Batista dos Santos
<maurogbs em gmail.com> wrote:
> Meu caro deixe o default allow e coloque a regra abaixo como o ultimo nome
> da regra tenho um servidor assim e não tive problemas, ele vai negar tudo do
> mesmo jeito.
> Não vou dizer o porque ta dando esse problema no seu pois quando utilizo a
> politica de firewall mantenho somente aberto, e bloqueio tudo com regra
> abaixo.
>
> ipfw 2000 deny ip from any to any
> ipfw 65535 allow ip from any to any
>
> Em 04/01/08, Tiago N. Sampaio <mega em mega.adm.br> escreveu:
>
> >
> > Sua regra padrão está deny?
> > se estiver é isso, no momento que vc dá o flush ele nega a troca de
> > pacotes de seu terminal remoto e ai cai tudo... tenta colocar default
> > allow...
> > ou tenta assim
> > #sh /etc/rc.firewall &
> > que mesmo que sua shell caia ele continua executando o script.
> >
> > Abraços
> > Tiago N. Sampaio
> >
> > Márcio Elias escreveu:
> > > Tecnicamente não, mais porque vc não coloca as suas regras aqui pra
> > gente
> > > poder ver melhor a situação, melhor colovca o script mesmo...
> > >
> > > On Jan 4, 2008 10:11 PM, Renato de Oliveira Diogo <
> > renato.diogo em gmail.com>
> > > wrote:
> > >
> > >
> > >> Olá pessoal
> > >>
> > >> estou montando um script para gerenciar meu ipfw... porém me deparei
> > >> com uma situação bem incomum
> > >>
> > >> a ordem de montagem é:
> > >>
> > >> flush para eliminar qq regra (ipfw -f flush)
> > >> tratamento de loopback (baseado no que o rc.conf firewall="OPEN" monta)
> > >> liberação de ssh para determinados IPs
> > >> liberação de ping para determinados IPs
> > >> ....
> > >>
> > >> O problema é que quando executo através de acesso remoto, trava o
> > >> acesso remoto e perco a conexão. Colocando o monitor direto no host,
> > >> vejo que não conseguiu levantar todas as regras (que se carregado no
> > >> boot do sistema, carrega normal)
> > >>
> > >> será que é algum problema com o flush, já q tenho as regras do ssh
> > >> logo em seguida.
> > >>
> > >> []s
> > >>
> > >>
> > >> --
> > >> ________________________________________________
> > >> Renato de Oliveira Diogo
> > >>
> > >> Bacharel em Ciência da Computação
> > >> UNESP - Bauru
> > >>
> > >> renato.diogo em gmail.com
> > >> renato.diogo em yahoo.com.br
> > >> -------------------------
> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >>
> > >>
> > >
> > >
> > >
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
________________________________________________
Renato de Oliveira Diogo

Bacharel em Ciência da Computação
UNESP - Bauru

renato.diogo em gmail.com
renato.diogo em yahoo.com.br


Mais detalhes sobre a lista de discussão freebsd