[FUG-BR] IPFW com DNS
Alex de A. Souza
alex_a_souza em msn.com
Terça Setembro 15 00:42:39 BRT 2009
Essas são as regras do rc.firewall e named.conf que estou usando no momento.
#---------------- RC.FIREWALL - INICIO ---------------
# BLOQUEIOS DE PORTAS NETBIOS
${fwcmd} add 100 deny udp from any to any 135-139,445
${fwcmd} add 100 deny tcp from any to any 135-139,445
${fwcmd} add 100 deny udp from any 135-139,445 to any
${fwcmd} add 100 deny tcp from any 135-139,445 to any
# BLOQUEIO DE PACOTES FRAGMENTADOS
${fwcmd} add 100 deny all from any to any in frag
# PIPE 1000
${fwcmd} pipe 1234 config bw 1000Kbits/s queue 20 mask dst-ip
0x0000ffff
${fwcmd} pipe 512 config bw 500Kbits/s queue 20 mask dst-ip
0x0000ffff
${fwcmd} add set 1 divert natd all from 191.169.15.1 to any
${fwcmd} add set 1 divert natd all from 191.169.30.1 to any
# PROXY
${fwcmd} add 50000 fwd localhost,1290 tcp from 191.168.0.0/16 to not
200.223.236.0/24,
,200.201.174.0/24,200.192.176.0/24,200.221.8.0/24,201.7.176.59/24,72.36.191.0/16
80
#PIPE - GERAL
${fwcmd} add pipe 1000 ip from any to 191.169.0.0/24
${fwcmd} add pipe 512 ip from 191.169.0.0/24 to any
${fwcmd} add divert natd all from any to me via rl0 in
${fwcmd} add 65000 pass all from any to any
------------------- # FIM - RC.FIREWALL #----------------------------------
-------------------# INICIO NAMED.CONF # --------------------------------
listen-on { 127.0.0.1;200.222.222.34;200.222.222.0/24; };
zone "." {
type hint;
file "named.root";
};
zone "0.0.127.IN-ADDR.ARPA" {
type master;
file "master/localhost.rev";
};
// RFC 3152
zone
"1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA" {
type master;
file "master/localhost-v6.rev";
};
zone "provedor.com.br" IN {
type master;
file "provedor.com.br";
allow-update { none; };
};
zone "34.in-addr.arpa" IN {
type master;
file "provedor.rev";
allow-update { none; };
};
zone "bahianet.sec" IN {
type slave;
masters {
200.222.222.34;
};
file "slave/provedor.sec";
};
#-------------------- fim ---------------------------------
> From: mantunes <mantunes.listas em gmail.com>
>
> coloque essas regras e ver se funciona
>
> ipfw add allow udp from me 1024-65535 to any 53 out keep-state uid bind
> ipfw add pass tcp from any to any 53 setup
> ipfw add pass udp from any to any 53
> ipfw add pass udp from any 53 to any
> ipfw add pass tcp from any 53 to any
> ipfw add pass udp from any to any 53 keep-state
> ipfw add pass tcp from any to any 53 keep-state
>
>
>
>
> 2009/9/11 Thiago Gomes <thiagomespb em gmail.com>:
>> mande suas regraas do IPFW. faça o teste para ter se a porta do
>> dns esta aberta
>>
>> telnet <ip> 53
>>
> From: Wanderson Tinti <wanderson em bsd.com.br>
>>
> Alex, boa tarde.
>
> Coloque as configurações do Bind e IPFW para que possamos ajudar. Pelo que
> entendi nessa sua mensagem, você quer liberar consultas recursivas
> externas
> em seu servidor DNS para hosts que não estão nos seus domínios, é isso?
>
>
> From: irado furioso com tudo <irado em bsd.com.br>
>
> possível é, não é desejável ou conveniente, tudo fica muito exposto.
>
>> Agora estou querendo colocar no mesmo servidor de GATEWAY tudo junto, mas
>> quem ta fora da rede não consegue resolver o nome, acredito que seja a
>> compilação do kernel que abilita o IPFW com as seguintes regras;
>
> mas.. a razão de vc querer tudo junto é pq "quem ta fora da rede não
> consegue resolver o nome"?? isso NÃO É problema do gw em si, mas sim
> de outros fatores como, por exemplo, regras de fwll ou daemon que
> "esquece" de ser ativado (ou se rebelou, morreu..)
>
>
>> Como posso fazer isso funcionar, e qual a versão do FreeBSD para isso?
>> OBS: Estou usando o FreeBSD 8 BETA 4 e esta perfeito como GATEWAY.
>
> um beta para gw/servidor de produção? nem pensar. Sugiro, fortemente:
>
> a) definir o que vc quer de verdade e postar na lista
>
> b) usar 7.2-RELEASE e deixar os beta para máquina de testes
>
> c) se possível, fazer o gw separado de qualquer outra máquina (mesmo
> que com vários links isso é possível) e criar DMZ para os servidores
> (bind, mail, etc)
>
> divirta-se.
Mais detalhes sobre a lista de discussão freebsd