[FUG-BR] Dúvida IPFW stateful

Rafael Hasson rafaelhasson em gmail.com
Sexta Novembro 6 14:45:37 BRST 2015 

Boa tarde, Pessoal.

Alguém conseguiria me ajudar neste mistério?

O IPFW está "segurando" as conexões, a regra stateful não está sendo
fechada propriamente.

As regras stateful / dinâmicas, *estão sendo renovadas sem ter atividade*
(Não para todos os ips, pelo menos comigo não acontece).

Por exemplo, o caso abaixo:

root em 172.31.20.158:~ # ipfw -d show | grep 200.233.14.136

00100    3999     207940* (288s*) STATE tcp 172.31.20.158 51119 <->
200.233.14.136 443
00100    3993     201433 *(48s*) STATE tcp 172.31.20.158 54969 <->
200.233.14.136 443
00100    3997     207848* (48s)* STATE tcp 172.31.20.158 34713 <->
200.233.14.136 443
00100    1404      81901 *(93s) *STATE tcp 172.31.20.158 56292 <->
200.233.14.136 443
00100    1406      82437* (103s)* STATE tcp 172.31.20.158 35809 <->
200.233.14.136 443
00100    2688     141237 *(233s) *STATE tcp 172.31.20.158 17148 <->
200.233.14.136 443
00100    2661     139989* (43s) *STATE tcp 172.31.20.158 56575 <->
200.233.14.136 443
00100    1409      88800* (98s)* STATE tcp 172.31.20.158 21449 <->
200.233.14.136 443
00100    3995     201461* (288s) *STATE tcp 172.31.20.158 57818 <->
200.233.14.136 443
00100    3849     191221* (58s)* STATE tcp 172.31.20.158 49688 <->
200.233.14.136 443
00100    3994     201041* (288s)* STATE tcp 172.31.20.158 59483 <->
200.233.14.136 443
00100    3993     201353 *(48s*) STATE tcp 172.31.20.158 25947 <->
200.233.14.136 443
00100    1405      82305* (103s)* STATE tcp 172.31.20.158 22608 <->
200.233.14.136 443

Já está travado no limite de 15 conexões, e os segundos (em negrito, que
entendo ser a renovação da regra), ficam sempre sendo renovados.

Invstiguei com um  *tcpdump -i xn0 src host 200.233.14.136* e não acusa
nenhuma atividade, e* mesmo assim as regras dinâmicas acima continuam sendo
renovadas...*
Ou seja, o cliente não consegue acessar nosso site mais, pq o IPFW está
travando ele, entendendo que já atingiu o limite de conexões.

E a regra não tem nada de mais, está assim:

allow tcp from any to me dst-port 80,443 setup limit src-addr 30
allow tcp from me to any dst-port 80,443 setup keep-state

Agradeço desde já,


-- 
Rafael Hasson
Computer Engineer
Cel: + 55-41-99918090

Mais detalhes sobre a lista de discussão freebsd