[FUG-BR] firewall e sessão SSH
Renato Botelho
rbgarga em gmail.com
Quarta Abril 30 07:18:15 BRT 2014
On Tuesday, April 29, 2014 06:06:59 PM Nicolas Wildner wrote:
> ----- Mensagem original -----
>
> > De: "Renato Botelho" <rbgarga at gmail.com>
> > Para: Freebsd at fug.com.br
> > Cc: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd at fug.com.br> Enviadas: Terça-feira, 29 de Abril de 2014 17:01:35
> > Assunto: Re: [FUG-BR] firewall e sessão SSH
> >
> > On Tuesday, April 29, 2014 04:48:10 PM Rafael Henrique Faria wrote:
> > > 2014-04-29 16:43 GMT-03:00 Márcio Elias <marcioelias at gmail.com>:
> > > > Certeza que isso funciona? tive problemas a algum tempo e nunca
> > > > mais
> > > > testei...
> > > >
> > > > --
> > > > Att.
> > > > __________________________________
> > > > Márcio Elias Hahn do Nascimento
> > > >
> > > > Bacharel em Tecnologias da Informação e Comunicação - TIC
> > > > Cel: (55) 48-8469-1819
> > > > Emails: marcioelias at bsd.com.br / marcioelias at gmail.com
> > > > Skype: marcioeliashahn at hotmail.com
> > > > FreeBSD - The Power To Serve
> > > >
> > > > 2014-04-29 6:17 GMT-03:00 Wenderson Souza
> > > >
> > > > <wendersonsouza at gmail.com>:
> > > >> Em terça-feira, 29 de abril de 2014, Paulo Henrique - BSDs
> > > >> Brasil <
> > > >>
> > > >> paulo.rddck at bsd.com.br> escreveu:
> > > >> > Em 29/04/2014 01:01, Márcio Elias escreveu:
> > > >> > > 2014-04-29 0:22 GMT-03:00 Renato Sousa <rensousa at gmail.com
> > > >>
> > > >> <javascript:;>
> > > >>
> > > >> > >> Boa noite a todos,
> > > >> > >>
> > > >> > >> Estou implementando um firewall para um dos servidores
> > > >> > >> FreeBSD que
> > > >> > >> administro. Alterei o script padrão (/etc/rc.firewall) com
> > > >> > >> as
> > > >> > >> regras
> > > >> >
> > > >> > que
> > > >> >
> > > >> > >> necessito utilizando firewall_type=client no arquivo
> > > >> > >> /etc/rc.conf
> > > >> > >> Toda vez que vou rodar o firewall para testar minha sessão
> > > >> > >> ssh é
> > > >> >
> > > >> > terminada
> > > >> >
> > > >> > >> e quando vejo na maquina fisicamente o firewall só tem a
> > > >> > >> ultima
> > > >> > >> regra
> > > >> > >> dropando todas as conexões.
> > > >> > >> Observei melhor e notei que a sessão trava quando o comando
> > > >> > >> ipfw -f
> > > >> > >> é
> > > >> > >> executado, limpando todas as regras e deixando a ultima
> > > >> > >> regra fixa
> > > >> > >> de
> > > >> >
> > > >> > drop.
> > > >> >
> > > >> > >> Lembro-me que já utilizei esse script em versões anteriores
> > > >> > >> do
> > > >>
> > > >> FreeBSD e
> > > >>
> > > >> > >> funcionava legal. Como fazer para que o resto do script
> > > >> > >> seja
> > > >>
> > > >> executado
> > > >>
> > > >> > e o
> > > >> >
> > > >> > >> comando " ${fwcmd} add pass tcp from any to any
> > > >> > >> established" garanta
> > > >> > >> o
> > > >> > >> funcionamento da sessão em andamento ?
> > > >> > >>
> > > >> > >> Abraços,
> > > >> > >>
> > > >> > >> Renato
> > > >> > >> -------------------------
> > > >> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > >> > >> Sair da lista:
> > > >> > >> https://www.fug.com.br/mailman/listinfo/freebsd
> > > >> > >
> > > >> > > O que acontece é que quando vc executa um flush via ssh,
> > > >> > > antes de ele
> > > >> > > recarregar as regras ele já matou sua sessão e o comando de
> > > >> >
> > > >> > reinicialização
> > > >> >
> > > >> > > do firewall atrelado a ela tmb.
> > > >> > >
> > > >> > > Coloca isso na sua configuração de kernel:
> > > >> > >
> > > >> > > options IPFIREWALL_DEFAULT_TO_ACCEPT
> > > >> > >
> > > >> > > Com isso vc sempre terá a regra 65535 allow all from any to
> > > >> > > any,
> > > >> > > mesmo
> > > >> > > rodando um ipfw -f flush. Durante aqueles instantes que o
> > > >> > > seu script
> > > >>
> > > >> está
> > > >>
> > > >> > > aplicando as regras, seu firewall estará todo aberto, não
> > > >> > > chega a ser
> > > >>
> > > >> um
> > > >>
> > > >> > > problema já que é por um período muito curto de tempo, e sua
> > > >> > > sessão
> > > >> > > ssh
> > > >> >
> > > >> > não
> > > >> >
> > > >> > > vai cair.
> > > >> > >
> > > >> > > Ai se vc quer aplicar uma politica de negação por padrão,
> > > >> > > acrescente
> > > >> > > no
> > > >> >
> > > >> > seu
> > > >> >
> > > >> > > script de firewall uma regra tipo:
> > > >> > >
> > > >> > > ${fwcmd} add 65534 deny all from any to any
> > > >> >
> > > >> > Ou para manter ainda a politica padrão do firewall para denied
> > > >> > nada
> > > >> > mais
> > > >> > simples e confortavel que um belo shell
> > > >> >
> > > >> > ipfw -f && /etc/rc.d/ipfw start
> > > >> >
> > > >> > ou mais simples ainda,
> > > >> >
> > > >> > Caso tenha configurado corretamente as variaveis do seu
> > > >> > /etc/rc.conf
> > > >> >
> > > >> > basta um /etc/rc.d/ipfw restart
> > > >> >
> > > >> > Que ele mesmo irá dar um flush e carregar suas regras.
> > > >> >
> > > >> > Att.
> > > >> >
> > > >> > --
> > > >> > Paulo Henrique.
> > > >> > Grupo de Usuários do FreeBSD no Brasil.
> > > >> > Fone: (21) 96713-5042
> > > >> >
> > > >> > -------------------------
> > > >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >>
> > > >> Isso mesmo, geralmente faço pelo service ipfw restart
> > > >>
> > > >>
> > > >> --
> > > >> Atenciosamente,
> > > >>
> > > >> Wenderson Souza - wendersonsouza at gmail.com
> > > >> Gerente de TI - 6P Telecom
> > > >> +55 (43) 3235-1720 Oi Fixo
> > > >> +55 (43) 9162-4333 Vivo Mobile
> > > >> Skype: wendersonsouza
> > > >> -------------------------
> > > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > > Para resolver esses problemas com quedas de link, eu passei a usar
> > > o
> > > screen. E hoje eu não sei como fiquei tanto tempo se usar ele.
> > > Além de quebrar um galho quando tem uma desconexão, quando cai o
> > > link,
> > > ou qualquer coisa do tipo, no meio de uma compilação ou outras
> > > coisas,
> > > até mesmo poder continuar algum trabalho de casa, de algo que eu
> > > comecei no computador do trabalho.
> >
> > +1, só que ao invés de screen uso o tmux, que é BSD e melhor
> > estruturado que o
> > screen, mas aí já é questão de gosto. :)
> >
> > --
> > Renato Botelho
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> +2. Uso o tmux como padrão com as funções mapeadas pra
> <Control> + F e deixo o screen em borda de filial como
> coeficiente de cagaço para acesso a portas seriais de
> ativos de rede que precisam ser configurados.
>
> screen /dev/ttyU0 9600
>
> Aí o <Control> + F fica no tmux e o <Control> + A no
> screen :)
O padrão do tmux é ctrl+b, então nem teria a necessidade de alterar...
--
Renato Botelho
Mais detalhes sobre a lista de discussão freebsd