[FUG-BR] firewall e sessão SSH
Márcio Elias
marcioelias em gmail.com
Terça Abril 29 16:43:04 BRT 2014
Certeza que isso funciona? tive problemas a algum tempo e nunca mais
testei...
--
Att.
__________________________________
Márcio Elias Hahn do Nascimento
Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel: (55) 48-8469-1819
Emails: marcioelias em bsd.com.br / marcioelias em gmail.com
Skype: marcioeliashahn em hotmail.com
FreeBSD - The Power To Serve
2014-04-29 6:17 GMT-03:00 Wenderson Souza <wendersonsouza em gmail.com>:
> Em terça-feira, 29 de abril de 2014, Paulo Henrique - BSDs Brasil <
> paulo.rddck em bsd.com.br> escreveu:
>
> >
> > Em 29/04/2014 01:01, Márcio Elias escreveu:
> > > 2014-04-29 0:22 GMT-03:00 Renato Sousa <rensousa em gmail.com
> <javascript:;>
> > >:
> > >
> > >> Boa noite a todos,
> > >>
> > >> Estou implementando um firewall para um dos servidores FreeBSD que
> > >> administro. Alterei o script padrão (/etc/rc.firewall) com as regras
> > que
> > >> necessito utilizando firewall_type=client no arquivo /etc/rc.conf
> > >> Toda vez que vou rodar o firewall para testar minha sessão ssh é
> > terminada
> > >> e quando vejo na maquina fisicamente o firewall só tem a ultima regra
> > >> dropando todas as conexões.
> > >> Observei melhor e notei que a sessão trava quando o comando ipfw -f é
> > >> executado, limpando todas as regras e deixando a ultima regra fixa de
> > drop.
> > >> Lembro-me que já utilizei esse script em versões anteriores do
> FreeBSD e
> > >> funcionava legal. Como fazer para que o resto do script seja
> executado
> > e o
> > >> comando " ${fwcmd} add pass tcp from any to any established" garanta o
> > >> funcionamento da sessão em andamento ?
> > >>
> > >> Abraços,
> > >>
> > >> Renato
> > >> -------------------------
> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >>
> > > O que acontece é que quando vc executa um flush via ssh, antes de ele
> > > recarregar as regras ele já matou sua sessão e o comando de
> > reinicialização
> > > do firewall atrelado a ela tmb.
> > >
> > > Coloca isso na sua configuração de kernel:
> > >
> > > options IPFIREWALL_DEFAULT_TO_ACCEPT
> > >
> > > Com isso vc sempre terá a regra 65535 allow all from any to any, mesmo
> > > rodando um ipfw -f flush. Durante aqueles instantes que o seu script
> está
> > > aplicando as regras, seu firewall estará todo aberto, não chega a ser
> um
> > > problema já que é por um período muito curto de tempo, e sua sessão ssh
> > não
> > > vai cair.
> > >
> > > Ai se vc quer aplicar uma politica de negação por padrão, acrescente no
> > seu
> > > script de firewall uma regra tipo:
> > >
> > > ${fwcmd} add 65534 deny all from any to any
> > >
> > Ou para manter ainda a politica padrão do firewall para denied nada mais
> > simples e confortavel que um belo shell
> >
> > ipfw -f && /etc/rc.d/ipfw start
> >
> > ou mais simples ainda,
> >
> > Caso tenha configurado corretamente as variaveis do seu /etc/rc.conf
> >
> > basta um /etc/rc.d/ipfw restart
> >
> > Que ele mesmo irá dar um flush e carregar suas regras.
> >
> > Att.
> >
> > --
> > Paulo Henrique.
> > Grupo de Usuários do FreeBSD no Brasil.
> > Fone: (21) 96713-5042
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> Isso mesmo, geralmente faço pelo service ipfw restart
>
>
> --
> Atenciosamente,
>
> Wenderson Souza - wendersonsouza em gmail.com
> Gerente de TI - 6P Telecom
> +55 (43) 3235-1720 Oi Fixo
> +55 (43) 9162-4333 Vivo Mobile
> Skype: wendersonsouza
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd