[FUG-BR] IPFW com DNS

Thiago Gomes thiagomespb em gmail.com
Terça Setembro 15 08:22:10 BRT 2009


Coloque as regras que o marcio enviou, creio que falta liberar
as portas 53

2009/9/15 Alex de A. Souza <alex_a_souza em msn.com>:
> Essas são as regras do rc.firewall e named.conf que estou usando no momento.
>
>
> #----------------  RC.FIREWALL - INICIO ---------------
>
>        # BLOQUEIOS DE PORTAS NETBIOS
>        ${fwcmd} add 100 deny udp from any to any 135-139,445
>        ${fwcmd} add 100 deny tcp from any to any 135-139,445
>        ${fwcmd} add 100 deny udp from any 135-139,445 to any
>        ${fwcmd} add 100 deny tcp from any 135-139,445 to any
>
>        # BLOQUEIO DE PACOTES FRAGMENTADOS
>        ${fwcmd} add 100 deny all from any to any in frag
>
>
>        # PIPE 1000
>        ${fwcmd} pipe 1234 config bw 1000Kbits/s queue 20 mask dst-ip
> 0x0000ffff
>        ${fwcmd} pipe 512 config bw 500Kbits/s queue 20 mask dst-ip
> 0x0000ffff
>
>
>        ${fwcmd} add set 1 divert natd all from 191.169.15.1 to any
>        ${fwcmd} add set 1 divert natd all from 191.169.30.1 to any
>
>  # PROXY
>  ${fwcmd} add 50000 fwd localhost,1290 tcp from 191.168.0.0/16 to not
> 200.223.236.0/24,
> ,200.201.174.0/24,200.192.176.0/24,200.221.8.0/24,201.7.176.59/24,72.36.191.0/16
> 80
>
>        #PIPE  - GERAL
>        ${fwcmd} add pipe 1000 ip from any to 191.169.0.0/24
>        ${fwcmd} add pipe 512 ip from 191.169.0.0/24 to any
>
>        ${fwcmd} add divert natd all from any to me via rl0 in
>
>        ${fwcmd} add 65000 pass all from any to any
>
> ------------------- #  FIM - RC.FIREWALL #----------------------------------
>
> -------------------# INICIO NAMED.CONF # --------------------------------
>
>        listen-on       { 127.0.0.1;200.222.222.34;200.222.222.0/24; };
>
> zone "." {
>        type hint;
>        file "named.root";
> };
>
> zone "0.0.127.IN-ADDR.ARPA" {
>        type master;
>        file "master/localhost.rev";
> };
>
> // RFC 3152
> zone
> "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA" {
>        type master;
>        file "master/localhost-v6.rev";
> };
>
> zone "provedor.com.br" IN {
>        type master;
>        file "provedor.com.br";
>        allow-update { none; };
> };
> zone "34.in-addr.arpa" IN  {
>        type master;
>        file "provedor.rev";
>        allow-update { none; };
> };
> zone "bahianet.sec" IN {
>        type slave;
>        masters {
>                200.222.222.34;
>        };
>        file "slave/provedor.sec";
> };
>
> #-------------------- fim ---------------------------------
>
>
>> From: mantunes <mantunes.listas em gmail.com>
>>
>> coloque essas regras e ver se funciona
>>
>> ipfw add allow udp from me 1024-65535 to any 53 out keep-state uid bind
>> ipfw add pass tcp from any to any 53 setup
>> ipfw add pass udp from any to any 53
>> ipfw add pass udp from any 53 to any
>> ipfw add pass tcp from any 53 to any
>> ipfw add pass udp from any to any 53 keep-state
>> ipfw add pass tcp from any to any 53 keep-state
>>
>>
>>
>>
>> 2009/9/11 Thiago Gomes <thiagomespb em gmail.com>:
>>> mande suas regraas do IPFW. faça o teste para ter se a porta do
>>> dns esta aberta
>>>
>>> telnet <ip> 53
>>>
>> From: Wanderson Tinti <wanderson em bsd.com.br>
>>>
>> Alex, boa tarde.
>>
>> Coloque as configurações do Bind e IPFW para que possamos ajudar. Pelo que
>> entendi nessa sua mensagem, você quer liberar consultas recursivas
>> externas
>> em seu servidor DNS para hosts que não estão nos seus domínios, é isso?
>>
>>
>> From: irado furioso com tudo <irado em bsd.com.br>
>>
>> possível é, não é desejável ou conveniente, tudo fica muito exposto.
>>
>>> Agora estou querendo colocar no mesmo servidor de GATEWAY tudo junto, mas
>>> quem ta fora da rede não consegue resolver o nome, acredito que seja a
>>> compilação do kernel que abilita o IPFW com as seguintes regras;
>>
>> mas.. a razão de vc querer tudo junto é pq "quem ta fora da rede não
>> consegue resolver o nome"?? isso NÃO É problema do gw em si, mas sim
>> de outros fatores como, por exemplo, regras de fwll ou daemon que
>> "esquece" de ser ativado (ou se rebelou, morreu..)
>>
>>
>>> Como posso fazer isso funcionar, e qual a versão do FreeBSD para isso?
>>> OBS: Estou usando o FreeBSD 8 BETA 4 e esta perfeito como GATEWAY.
>>
>> um beta para gw/servidor de produção? nem pensar. Sugiro, fortemente:
>>
>> a) definir o que vc quer de  verdade e postar na lista
>>
>> b) usar 7.2-RELEASE e deixar os beta para máquina de testes
>>
>> c) se possível, fazer o gw separado de qualquer outra máquina (mesmo
>> que com vários links isso é possível) e criar DMZ para os servidores
>> (bind, mail, etc)
>>
>> divirta-se.
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Thiago Gomes


Mais detalhes sobre a lista de discussão freebsd