[FUG-BR] IPFW VS SMTP e POP
Nilson
nilson em forge.com.br
Terça Janeiro 5 13:23:01 BRST 2010
2010/1/5 Bruno Torres Viana <btviana at gmail.com>:
> ifconfig (re1=LAN re2=WAN)
>
Lá no primeiro email você disse que possuia "duas placas externas",
existe essa outra "WAN" (re0?) ou não?
> re1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
>
> options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
> ether 00:1d:7d:0d:25:80
> inet 192.168.25.4 netmask 0xffffff00 broadcast 192.168.25.255
> media: Ethernet autoselect (100baseTX <full-duplex>)
> status: active
> re2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
>
> options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
> ether 00:1d:0f:be:93:e5
> inet 192.168.1.64 netmask 0xffffff00 broadcast 192.168.1.255
> media: Ethernet autoselect (100baseTX <full-duplex>)
> status: active
>
>
> netstat -nr
> Internet:
> Destination Gateway Flags Refs Use Netif Expire
> default 192.168.1.1 UGS 11 17360 re2
> 127.0.0.1 link#4 UH 0 12 lo0
> 192.168.1.0/24 link#3 U 0 241 re2
> 192.168.1.64 link#3 UHS 0 114 lo0
> 192.168.25.0/24 link#2 U 4 30202 re1
> 192.168.25.4 link#2 UHS 0 0 lo0
Vou partir do pressuposto em que 1) seu objetivo é que
os computadores que estão atras da placa de rede re1
e que possuem o ip 192.168.25.4 como gateway consigam
navegar na internet ou simplesmente enviar/receber emails.
>
> ipfw show
> 00005 63367 23159498 allow log ip from any to any via re1
Essa regra 5 já abriu totalmente teu firewall para que a LAN
possa iniciar a conexões.
> [cut...]
> 00299 1754 124034 deny log ip from any to any out via re2
Opa, deny any to any na re2? Por que?
> [cut...]
> 00304 0 0 deny log ip from 0.0.0.0/8 to any in via re0
0.0.0.0/8 ?
> 00332 286 14488 deny log tcp from any to any established in via re2
> 00333 0 0 deny log tcp from any to any established in via re2
Aqui vejo outro problema, acho incorreto o uso que você está
fazendo do established. Claro que tudo depende da logica, motivações
e objetivos do firewall, mas no caso de um firewall simples como o seu
(esta bem poluido viu? da pra resumir um monte e arrancar varios
desses logs) eu não vejo logica em bloquear conexões estabelecidas.
Penso que você deve bloquear/inibir que as conexões sejam
estabelecidas, então se uma tentativa de conexão passou do
handshake é por que era permitida, logo allow nas establisheds.
2) Você nem precisa de firewall ou nat pra fazer esse seu router
funcionar, basta um gateway_enable="YES" no rc.conf
3) Pra finalizar, como vc é iniciante em firewalls e ipfw, eu sugiro
que você não abuse tanto do in/out/via, pois no início é dificil
visualizar o exato fluxo de pacotes, e se vc errar um IN nesse
momento o seu firewall não funcionará como deveria.
--
Nilson
Mais detalhes sobre a lista de discussão freebsd