[FUG-BR] Script para ipfw (possível problema em execução através de acesso remoto)

William David FUG-BR fugbr em biosystems.ath.cx
Segunda Janeiro 7 16:29:34 BRST 2008


use o AT  pra  executar estes procedimentos fica muito mais  facil
poe um gatilho com +5 ou 10 min que se nao der certo e ele  executa um
flush  allow all
pra vc poder conectar de novo
da um pouco de trabalho configurar  pra executar pelo at  mais
funciona que é uma belezura.



Em 07/01/08, Renato de Oliveira Diogo<renato.diogo em gmail.com> escreveu:
> Olá pessoal
>
> fiz o teste utilizando o & (para background) e funcionou corretamente, muito
> obrigado a todos,
>
> Agora tem alguma forma de colocar a regra padrão para OPEN sem a necessidade
> de recompilação do kernel?
>
> []s
>
> On Jan 5, 2008 10:10 AM, Renato de Oliveira Diogo <renato.diogo em gmail.com>
> wrote:
>
> > Existe alguma forma de fazer com q o padrão do firewall seja OPEN sem
> > a necessidade de recompilar o kernel?
> >
> > Bom, as minhas regras estão da seguinte forma:
> > ===
> > IPFW=/sbin/ipfw
> >
> > $IPFW -f flush
> >
> > $IPFW add 1 allow ip from any to any via lo0
> > $IPFW add 2 deny ip from any to 127.0.0.0/8
> > $IPFW add 3 deny ip from 127.0.0.0/8 to any
> > $IPFW add 5 allow src-ip 192.168.10.0/24 dst-ip me dst-port 22 via re0
> > $IPFW add 5 allow src-ip me dst-ip  any src-port 22 via re0
> > $IPFW add 6 allow src-ip 192.168.10.0/24 dst-ip me icmptypes 0,8 via re0
> > $IPFW add 6 allow src-ip me dst-ip any icmptypes 0,8 via re0
> > $IPFW add 7 allow src-ip 192.168.10.0/24 dst-ip me proto udp dst-port
> > 161,162 via re0
> > $IPFW add 7 allow src-ip me dst-ip any proto udp src-port 161,162 via re0
> > ===
> >
> > Não me lembro se cheguei a testar com & para colocá-lo em background,
> > porém se tiver uma alternativa fora isso facilitaria, pois não sou
> > somente eu que vou administrar esse host e ele (como eu tb) pode
> > esquecer alguma vez de colocar, o que faria essa máquina travar, e ela
> > será importantíssima para o funcionamento de uma grande rede (será um
> > bridge ou um router)
> >
> > []s
> >
> > On Jan 5, 2008 1:35 AM, Gelsimauro Batista dos Santos
> > <maurogbs em gmail.com> wrote:
> > > Meu caro deixe o default allow e coloque a regra abaixo como o ultimo
> > nome
> > > da regra tenho um servidor assim e não tive problemas, ele vai negar
> > tudo do
> > > mesmo jeito.
> > > Não vou dizer o porque ta dando esse problema no seu pois quando utilizo
> > a
> > > politica de firewall mantenho somente aberto, e bloqueio tudo com regra
> > > abaixo.
> > >
> > > ipfw 2000 deny ip from any to any
> > > ipfw 65535 allow ip from any to any
> > >
> > > Em 04/01/08, Tiago N. Sampaio <mega em mega.adm.br> escreveu:
> > >
> > > >
> > > > Sua regra padrão está deny?
> > > > se estiver é isso, no momento que vc dá o flush ele nega a troca de
> > > > pacotes de seu terminal remoto e ai cai tudo... tenta colocar default
> > > > allow...
> > > > ou tenta assim
> > > > #sh /etc/rc.firewall &
> > > > que mesmo que sua shell caia ele continua executando o script.
> > > >
> > > > Abraços
> > > > Tiago N. Sampaio
> > > >
> > > > Márcio Elias escreveu:
> > > > > Tecnicamente não, mais porque vc não coloca as suas regras aqui pra
> > > > gente
> > > > > poder ver melhor a situação, melhor colovca o script mesmo...
> > > > >
> > > > > On Jan 4, 2008 10:11 PM, Renato de Oliveira Diogo <
> > > > renato.diogo em gmail.com>
> > > > > wrote:
> > > > >
> > > > >
> > > > >> Olá pessoal
> > > > >>
> > > > >> estou montando um script para gerenciar meu ipfw... porém me
> > deparei
> > > > >> com uma situação bem incomum
> > > > >>
> > > > >> a ordem de montagem é:
> > > > >>
> > > > >> flush para eliminar qq regra (ipfw -f flush)
> > > > >> tratamento de loopback (baseado no que o rc.conf firewall="OPEN"
> > monta)
> > > > >> liberação de ssh para determinados IPs
> > > > >> liberação de ping para determinados IPs
> > > > >> ....
> > > > >>
> > > > >> O problema é que quando executo através de acesso remoto, trava o
> > > > >> acesso remoto e perco a conexão. Colocando o monitor direto no
> > host,
> > > > >> vejo que não conseguiu levantar todas as regras (que se carregado
> > no
> > > > >> boot do sistema, carrega normal)
> > > > >>
> > > > >> será que é algum problema com o flush, já q tenho as regras do ssh
> > > > >> logo em seguida.
> > > > >>
> > > > >> []s
> > > > >>
> > > > >>
> > > > >> --
> > > > >> ________________________________________________
> > > > >> Renato de Oliveira Diogo
> > > > >>
> > > > >> Bacharel em Ciência da Computação
> > > > >> UNESP - Bauru
> > > > >>
> > > > >> renato.diogo em gmail.com
> > > > >> renato.diogo em yahoo.com.br
> > > > >> -------------------------
> > > > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > > >>
> > > > >>
> > > > >
> > > > >
> > > > >
> > > > >
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> >
> >
> > --
> > ________________________________________________
> > Renato de Oliveira Diogo
> >
> > Bacharel em Ciência da Computação
> > UNESP - Bauru
> >
> > renato.diogo em gmail.com
> > renato.diogo em yahoo.com.br
> >
>
>
>
> --
> ________________________________________________
> Renato de Oliveira Diogo
>
> Bacharel em Ciência da Computação
> UNESP - Bauru
>
> renato.diogo em gmail.com
> renato.diogo em yahoo.com.br
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


-- 
-=-=-=-=-=-=-=-=-=-
William David Armstrong         <----.    Of course it runs
Bio Systems Security Networking <----|==========================
MSN / GT  biosystems em gmail.com  <----'   OpenBSD or FreeBSD
--------------------------------------


Mais detalhes sobre a lista de discussão freebsd