[FUG-BR] Duvidas com PF
Diogo Dalfovo
b1n4r1w0rm em gmail.com
Quarta Dezembro 7 15:31:31 BRST 2011
Boa Tarde Pessoal!!
Estou refazendo o meu PF e surgiram algumas duvidas em relação ao bloqueio
e liberação, vamos la:
tenho como padrao bloquear tudo que entra:
#set block-policy drop
set block-policy return
#bloqueia tudo por padrao
block in log all
e depois eu libero o icmp por exemplo
#teste
pass in log quick on $int_if proto icmp from $lan_net to $ip_firewall
ele vai pingar sem problemas, agora quando eu comento essa regra do icmp ou
coloco block no lugar do pass e do um pfctl -f /etc/pf.conf no
monitoramento do pftop ele "desaparece" mas continua o ping
agora se eu depois de comentar a regra eu desabilitar e reabilitar o PF o
bloqueio funciona. Pergunta:
Existe alguma forma de fazer essa liberaçao e bloqueio sem que seja
necessario parar e iniciar o PF? apenas usando o pfctl?
Eu imagino o seguinte, estou recebendo um brute-force por exemplo se eu
bloquear esse IP que ja tem uma sessao aberta no meu firewall so vou ter
resultado se eu desabilitar e habilitar o PF?
Segunda duvida.
Estava lendo sobre o reply-to, configurei a tabela FIB para eu ter dois
gateways OI/BRT e Embratel preciso que tudo que venha por um link volte
pelo mesmo link ai que entra a duvida. Faço isso na regra de entrada da
interface com o reply-to ou existe outra forma?
#Link OI/BRT
pass in log on $ext_if1 reply-to ($ext_if1 ($ext_if1)) inet proto tcp \
from any to any port { ssh } \
(max-src-conn 10, max-src-conn-rate 5/3, \
overload <bruteforce> flush global)
#Link Embratel
pass in log on $ext_if2 reply-to ($ext_if2 ($ext_if2)) inet proto tcp \
from any to any port { ssh } \
(max-src-conn 10, max-src-conn-rate 5/3, \
overload <bruteforce> flush global)
Diogo Dalfovo
Mais detalhes sobre a lista de discussão freebsd