[FUG-BR] firewall e sessão SSH

Wenderson Souza wendersonsouza em gmail.com
Terça Abril 29 06:17:58 BRT 2014


Em terça-feira, 29 de abril de 2014, Paulo Henrique - BSDs Brasil <
paulo.rddck em bsd.com.br> escreveu:

>
> Em 29/04/2014 01:01, Márcio Elias escreveu:
> > 2014-04-29 0:22 GMT-03:00 Renato Sousa <rensousa em gmail.com<javascript:;>
> >:
> >
> >> Boa noite a todos,
> >>
> >> Estou implementando um firewall para um dos servidores FreeBSD que
> >> administro.  Alterei o script padrão (/etc/rc.firewall) com as regras
> que
> >> necessito utilizando firewall_type=client no arquivo /etc/rc.conf
> >> Toda vez que vou rodar o firewall para testar minha sessão ssh é
> terminada
> >> e quando vejo na maquina fisicamente o firewall só tem a ultima regra
> >> dropando todas as conexões.
> >> Observei melhor e notei que a sessão trava quando o comando ipfw -f é
> >> executado, limpando todas as regras e deixando a ultima regra fixa de
> drop.
> >> Lembro-me que já utilizei esse script em versões anteriores do FreeBSD e
> >> funcionava legal.  Como fazer para que o resto do script seja executado
> e o
> >> comando " ${fwcmd} add pass tcp from any to any established" garanta o
> >> funcionamento da sessão em andamento ?
> >>
> >> Abraços,
> >>
> >> Renato
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> > O que acontece é que quando vc executa um flush via ssh, antes de ele
> > recarregar as regras ele já matou sua sessão e o comando de
> reinicialização
> > do firewall atrelado a ela tmb.
> >
> > Coloca isso na sua configuração de kernel:
> >
> > options IPFIREWALL_DEFAULT_TO_ACCEPT
> >
> > Com isso vc sempre terá a regra 65535 allow all from any to any, mesmo
> > rodando um ipfw -f flush. Durante aqueles instantes que o seu script está
> > aplicando as regras, seu firewall estará todo aberto, não chega a ser um
> > problema já que é por um período muito curto de tempo, e sua sessão ssh
> não
> > vai cair.
> >
> > Ai se vc quer aplicar uma politica de negação por padrão, acrescente no
> seu
> > script de firewall uma regra tipo:
> >
> > ${fwcmd} add 65534 deny all from any to any
> >
> Ou para manter ainda a politica padrão do firewall para denied nada mais
> simples e confortavel que um belo shell
>
> ipfw -f && /etc/rc.d/ipfw start
>
> ou mais simples ainda,
>
> Caso tenha configurado corretamente as variaveis do seu /etc/rc.conf
>
> basta um /etc/rc.d/ipfw restart
>
> Que ele mesmo irá dar um flush e carregar suas regras.
>
> Att.
>
> --
> Paulo Henrique.
> Grupo de Usuários do FreeBSD no Brasil.
> Fone: (21) 96713-5042
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Isso mesmo, geralmente faço pelo service ipfw restart


-- 
Atenciosamente,

Wenderson Souza - wendersonsouza em gmail.com
Gerente de TI - 6P Telecom
+55 (43) 3235-1720 Oi Fixo
+55 (43) 9162-4333 Vivo Mobile
Skype: wendersonsouza


Mais detalhes sobre a lista de discussão freebsd