[FUG-BR] Script para ipfw (possível problema em execução através de acesso remoto)
Renato de Oliveira Diogo
renato.diogo em gmail.com
Segunda Janeiro 7 10:04:29 BRST 2008
Olá pessoal
fiz o teste utilizando o & (para background) e funcionou corretamente, muito
obrigado a todos,
Agora tem alguma forma de colocar a regra padrão para OPEN sem a necessidade
de recompilação do kernel?
[]s
On Jan 5, 2008 10:10 AM, Renato de Oliveira Diogo <renato.diogo em gmail.com>
wrote:
> Existe alguma forma de fazer com q o padrão do firewall seja OPEN sem
> a necessidade de recompilar o kernel?
>
> Bom, as minhas regras estão da seguinte forma:
> ===
> IPFW=/sbin/ipfw
>
> $IPFW -f flush
>
> $IPFW add 1 allow ip from any to any via lo0
> $IPFW add 2 deny ip from any to 127.0.0.0/8
> $IPFW add 3 deny ip from 127.0.0.0/8 to any
> $IPFW add 5 allow src-ip 192.168.10.0/24 dst-ip me dst-port 22 via re0
> $IPFW add 5 allow src-ip me dst-ip any src-port 22 via re0
> $IPFW add 6 allow src-ip 192.168.10.0/24 dst-ip me icmptypes 0,8 via re0
> $IPFW add 6 allow src-ip me dst-ip any icmptypes 0,8 via re0
> $IPFW add 7 allow src-ip 192.168.10.0/24 dst-ip me proto udp dst-port
> 161,162 via re0
> $IPFW add 7 allow src-ip me dst-ip any proto udp src-port 161,162 via re0
> ===
>
> Não me lembro se cheguei a testar com & para colocá-lo em background,
> porém se tiver uma alternativa fora isso facilitaria, pois não sou
> somente eu que vou administrar esse host e ele (como eu tb) pode
> esquecer alguma vez de colocar, o que faria essa máquina travar, e ela
> será importantíssima para o funcionamento de uma grande rede (será um
> bridge ou um router)
>
> []s
>
> On Jan 5, 2008 1:35 AM, Gelsimauro Batista dos Santos
> <maurogbs em gmail.com> wrote:
> > Meu caro deixe o default allow e coloque a regra abaixo como o ultimo
> nome
> > da regra tenho um servidor assim e não tive problemas, ele vai negar
> tudo do
> > mesmo jeito.
> > Não vou dizer o porque ta dando esse problema no seu pois quando utilizo
> a
> > politica de firewall mantenho somente aberto, e bloqueio tudo com regra
> > abaixo.
> >
> > ipfw 2000 deny ip from any to any
> > ipfw 65535 allow ip from any to any
> >
> > Em 04/01/08, Tiago N. Sampaio <mega em mega.adm.br> escreveu:
> >
> > >
> > > Sua regra padrão está deny?
> > > se estiver é isso, no momento que vc dá o flush ele nega a troca de
> > > pacotes de seu terminal remoto e ai cai tudo... tenta colocar default
> > > allow...
> > > ou tenta assim
> > > #sh /etc/rc.firewall &
> > > que mesmo que sua shell caia ele continua executando o script.
> > >
> > > Abraços
> > > Tiago N. Sampaio
> > >
> > > Márcio Elias escreveu:
> > > > Tecnicamente não, mais porque vc não coloca as suas regras aqui pra
> > > gente
> > > > poder ver melhor a situação, melhor colovca o script mesmo...
> > > >
> > > > On Jan 4, 2008 10:11 PM, Renato de Oliveira Diogo <
> > > renato.diogo em gmail.com>
> > > > wrote:
> > > >
> > > >
> > > >> Olá pessoal
> > > >>
> > > >> estou montando um script para gerenciar meu ipfw... porém me
> deparei
> > > >> com uma situação bem incomum
> > > >>
> > > >> a ordem de montagem é:
> > > >>
> > > >> flush para eliminar qq regra (ipfw -f flush)
> > > >> tratamento de loopback (baseado no que o rc.conf firewall="OPEN"
> monta)
> > > >> liberação de ssh para determinados IPs
> > > >> liberação de ping para determinados IPs
> > > >> ....
> > > >>
> > > >> O problema é que quando executo através de acesso remoto, trava o
> > > >> acesso remoto e perco a conexão. Colocando o monitor direto no
> host,
> > > >> vejo que não conseguiu levantar todas as regras (que se carregado
> no
> > > >> boot do sistema, carrega normal)
> > > >>
> > > >> será que é algum problema com o flush, já q tenho as regras do ssh
> > > >> logo em seguida.
> > > >>
> > > >> []s
> > > >>
> > > >>
> > > >> --
> > > >> ________________________________________________
> > > >> Renato de Oliveira Diogo
> > > >>
> > > >> Bacharel em Ciência da Computação
> > > >> UNESP - Bauru
> > > >>
> > > >> renato.diogo em gmail.com
> > > >> renato.diogo em yahoo.com.br
> > > >> -------------------------
> > > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >>
> > > >>
> > > >
> > > >
> > > >
> > > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
>
> --
> ________________________________________________
> Renato de Oliveira Diogo
>
> Bacharel em Ciência da Computação
> UNESP - Bauru
>
> renato.diogo em gmail.com
> renato.diogo em yahoo.com.br
>
--
________________________________________________
Renato de Oliveira Diogo
Bacharel em Ciência da Computação
UNESP - Bauru
renato.diogo em gmail.com
renato.diogo em yahoo.com.br
Mais detalhes sobre a lista de discussão freebsd