[FUG-BR] firewall e sessão SSH
Rafael Henrique Faria
rafaelhfaria em cenadigital.com.br
Terça Abril 29 16:48:10 BRT 2014
2014-04-29 16:43 GMT-03:00 Márcio Elias <marcioelias em gmail.com>:
> Certeza que isso funciona? tive problemas a algum tempo e nunca mais
> testei...
>
> --
> Att.
> __________________________________
> Márcio Elias Hahn do Nascimento
>
> Bacharel em Tecnologias da Informação e Comunicação - TIC
> Cel: (55) 48-8469-1819
> Emails: marcioelias em bsd.com.br / marcioelias em gmail.com
> Skype: marcioeliashahn em hotmail.com
> FreeBSD - The Power To Serve
>
>
> 2014-04-29 6:17 GMT-03:00 Wenderson Souza <wendersonsouza em gmail.com>:
>
>> Em terça-feira, 29 de abril de 2014, Paulo Henrique - BSDs Brasil <
>> paulo.rddck em bsd.com.br> escreveu:
>>
>> >
>> > Em 29/04/2014 01:01, Márcio Elias escreveu:
>> > > 2014-04-29 0:22 GMT-03:00 Renato Sousa <rensousa em gmail.com
>> <javascript:;>
>> > >:
>> > >
>> > >> Boa noite a todos,
>> > >>
>> > >> Estou implementando um firewall para um dos servidores FreeBSD que
>> > >> administro. Alterei o script padrão (/etc/rc.firewall) com as regras
>> > que
>> > >> necessito utilizando firewall_type=client no arquivo /etc/rc.conf
>> > >> Toda vez que vou rodar o firewall para testar minha sessão ssh é
>> > terminada
>> > >> e quando vejo na maquina fisicamente o firewall só tem a ultima regra
>> > >> dropando todas as conexões.
>> > >> Observei melhor e notei que a sessão trava quando o comando ipfw -f é
>> > >> executado, limpando todas as regras e deixando a ultima regra fixa de
>> > drop.
>> > >> Lembro-me que já utilizei esse script em versões anteriores do
>> FreeBSD e
>> > >> funcionava legal. Como fazer para que o resto do script seja
>> executado
>> > e o
>> > >> comando " ${fwcmd} add pass tcp from any to any established" garanta o
>> > >> funcionamento da sessão em andamento ?
>> > >>
>> > >> Abraços,
>> > >>
>> > >> Renato
>> > >> -------------------------
>> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> > >>
>> > > O que acontece é que quando vc executa um flush via ssh, antes de ele
>> > > recarregar as regras ele já matou sua sessão e o comando de
>> > reinicialização
>> > > do firewall atrelado a ela tmb.
>> > >
>> > > Coloca isso na sua configuração de kernel:
>> > >
>> > > options IPFIREWALL_DEFAULT_TO_ACCEPT
>> > >
>> > > Com isso vc sempre terá a regra 65535 allow all from any to any, mesmo
>> > > rodando um ipfw -f flush. Durante aqueles instantes que o seu script
>> está
>> > > aplicando as regras, seu firewall estará todo aberto, não chega a ser
>> um
>> > > problema já que é por um período muito curto de tempo, e sua sessão ssh
>> > não
>> > > vai cair.
>> > >
>> > > Ai se vc quer aplicar uma politica de negação por padrão, acrescente no
>> > seu
>> > > script de firewall uma regra tipo:
>> > >
>> > > ${fwcmd} add 65534 deny all from any to any
>> > >
>> > Ou para manter ainda a politica padrão do firewall para denied nada mais
>> > simples e confortavel que um belo shell
>> >
>> > ipfw -f && /etc/rc.d/ipfw start
>> >
>> > ou mais simples ainda,
>> >
>> > Caso tenha configurado corretamente as variaveis do seu /etc/rc.conf
>> >
>> > basta um /etc/rc.d/ipfw restart
>> >
>> > Que ele mesmo irá dar um flush e carregar suas regras.
>> >
>> > Att.
>> >
>> > --
>> > Paulo Henrique.
>> > Grupo de Usuários do FreeBSD no Brasil.
>> > Fone: (21) 96713-5042
>> >
>> > -------------------------
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >
>>
>> Isso mesmo, geralmente faço pelo service ipfw restart
>>
>>
>> --
>> Atenciosamente,
>>
>> Wenderson Souza - wendersonsouza em gmail.com
>> Gerente de TI - 6P Telecom
>> +55 (43) 3235-1720 Oi Fixo
>> +55 (43) 9162-4333 Vivo Mobile
>> Skype: wendersonsouza
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Para resolver esses problemas com quedas de link, eu passei a usar o
screen. E hoje eu não sei como fiquei tanto tempo se usar ele.
Além de quebrar um galho quando tem uma desconexão, quando cai o link,
ou qualquer coisa do tipo, no meio de uma compilação ou outras coisas,
até mesmo poder continuar algum trabalho de casa, de algo que eu
comecei no computador do trabalho.
--
Rafael Henrique da Silva Faria
Mais detalhes sobre a lista de discussão freebsd