Dica: udp e icmp naum tem estados definidos, a sua regra de liberar
pacotes estabelecidos soh funciona pra tcp, pra funcionar icmp e udp,
coloca um keep-state no final da regra. (vi que vc tem algumas regras
liberando alguns pacotes icmp e udp)
E por que vc bloqueia um monte de coisas em cima, se seu fw e padrao deny?
Soh libera o que for permitido, e deixa o resto cair na ultima regra de
deny.
Abracos.
Tiago N. Sampaio
Armindo S. Gomes wrote:
> Claro!
>
> Assim está a minha rede:
>
> xxx.xxx.xxx.1
> xxx.xxx.xxx.3
> ------------------| Roteador |----------------------| Firewall(FreeBSD)
> |---------------------------| Switch |----------------
>
> Aí vai:
>
> # set these to your network and netmask and ip
> net="xxx.xxx.xxx.0"
> mask="255.255.255.0"
> ip="xxx.xxx.xxx.3"
>
> dns1="xxx.xxx.xxx.38"
> dns2="xxx.xxx.xxx.34"
> dns3="xxx.xxx.xxx.60"
> dns4="xxx.xxx.xxx.3"
> dns5="200.20.94.50"
>
> setup_loopback
>
> # Impedindo redes nao-roteaveis RFC1918
> ${fwcmd} add deny all from any to 10.0.0.0/8
> ${fwcmd} add deny all from any to 172.16.0.0/12
> ${fwcmd} add deny all from any to 192.168.0.0/16
> ${fwcmd} add deny all from 10.0.0.0/8 to any
> ${fwcmd} add deny all from 172.16.0.0/12 to any
> ${fwcmd} add deny all from 192.168.0.0/16 to any
>
> # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
> # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
> ${fwcmd} add deny all from any to 0.0.0.0/8
> ${fwcmd} add deny all from any to 169.254.0.0/16
> ${fwcmd} add deny all from any to 192.0.2.0/24
> ${fwcmd} add deny all from any to 224.0.0.0/4
> ${fwcmd} add deny all from any to 240.0.0.0/4
> ${fwcmd} add deny all from 0.0.0.0/8 to any
> ${fwcmd} add deny all from 169.254.0.0/16 to any
> ${fwcmd} add deny all from 192.0.2.0/24 to any
> ${fwcmd} add deny all from 224.0.0.0/4 to any
> ${fwcmd} add deny all from 240.0.0.0/4 to any
>
> # Impede ataques DoS do virus SQL Slammer, Sapphire, Worm.SQL.Helkern.
> ${fwcmd} add deny udp from any to ${net}:${mask} 1434
>
> # Impede Pacotes NT
> ${fwcmd} add deny udp from any to ${net}:${mask} 137-139
>
> # Impede pacotes de BOOTP/DHCP e NETBIOS
> ${fwcmd} add deny udp from any to ${net}:${mask} 67
> ${fwcmd} add deny tcp from any to ${net}:${mask} 137-139
>
> # Para uso do Proxy Transparente
> ${fwcmd} add allow tcp from ${ip} to any
> ${fwcmd} add fwd 127.0.0.1,3128 tcp from ${net}:${mask} to any 80
>
> # Permite conexoes TCP ja estabelecidas
> ${fwcmd} add pass tcp from any to any established
>
> # Telefone IP
> ${fwcmd} add pass ip from any to xxx.xxx.xxx.36
> ${fwcmd} add pass ip from xxx.xxx.xxx.36 to any
>
> # Permite conexao a este firewall via SSH
> ${fwcmd} add pass tcp from xxx.xxx.xxx.8 to ${ip} 22 setup
> ${fwcmd} add pass tcp from xxx.xxx.xxx.38 to ${ip} 22 setup
> ${fwcmd} add pass tcp from xxx.xxx.xxx.60 to ${ip} 22 setup
> ${fwcmd} add deny tcp from any to ${ip} 22
>
> # Peemitir entrada de Correio Eletronico
> ${fwcmd} add pass tcp from any to xxx.xxx.xxx.34 25 setup
>
> # Permitir acesso ao DNS
> ${fwcmd} add pass udp from any to any 53 keep-state
>
> # Permite a transferencia de zona com o Guanabara
> ${fwcmd} add pass tcp from ${dns5} to ${dns1} 53 setup
>
> # Permite acesso aos servidores HTTP
> ${fwcmd} add pass tcp from any to xxx.xxx.xxx.34 80 setup
> ${fwcmd} add pass tcp from any to xxx.xxx.xxx.60 80 setup
>
> # Permite acesso aos servidores HTTPS
> ${fwcmd} add pass tcp from any to xxx.xxx.xxx.34 443 setup
> ${fwcmd} add pass tcp from any to xxx.xxx.xxx.60 443 setup
>
> # Permite acesso aos servidores FTP
> ${fwcmd} add pass tcp from any to xxx.xxx.xxx.59 20,21 setup
> ${fwcmd} add pass tcp from any 1024-65535 to xxx.xxx.xxx.59 2048-2148
>
> # Permite atualizacoes NTP
> ${fwcmd} add pass udp from any to any 123 keep-state
>
> # Bloquear iMesh versao 1
> ${fwcmd} add deny tcp from ${net}:${mask} to any 5000
>
> # Bloquear Napster
> ${fwcmd} add deny tcp from ${net}:${mask} to any
> 6699,4444,5555,6666,7777,8888
>
> # Bloquear MSN
> ${fwcmd} add deny tcp from any to any 1863
>
> # Bloquear IRC
> ${fwcmd} add deny tcp from any to any 6666-6669
>
> # Bloquear ICQ(4000, 5190), AOL(5190)
> ${fwcmd} add deny tcp from any to any 4000,5190
> ${fwcmd} add deny udp from any to any 4000,5190
>
> # Bloquear Yahoo! Messenger
> ${fwcmd} add deny tcp from any to any 5050
> ${fwcmd} add deny udp from any to any 5050
>
> # Permite estabelecer qualquer outra conexao TCP e UDP externa
> ${fwcmd} add pass tcp from ${ip}:${mask} to any
> ${fwcmd} add pass udp from ${ip}:${mask} to any
>
> # Permite a entrada de pacotes ICMP dos tipos echo, echo reply
> # e destination unreachable
> ${fwcmd} add pass icmp from any to ${net}:${mask} icmptypes 0,3,8
>
> # Permite saida de pacotes ICMP
> ${fwcmd} add pass icmp from ${net}:${mask} to any
>
> # Negar tudo. Por aqui, nao passa mais nada. Foda-se!
> ${fwcmd} add deny all from any to any
>
> # Everything else is denied by default, unless the
> # IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
> # config file.
>
>
>
> ----- Original Message -----
> From: "Celso Viana" <[EMAIL PROTECTED]>
> To: "Lista de discussao sobre FreeBSD" <freebsd@fug.com.br>
> Sent: Monday, April 24, 2006 11:56 AM
> Subject: Re: [FUG-BR] IPFW não funciona por muito tempo
>
>
> Não está sendo criada nenhuma regra dinâmica que bloqueia tudo? Pode
> postar suas regras para analisarmos?
>
> Celso
>
> Em 24/04/06, Armindo S. Gomes<[EMAIL PROTECTED]> escreveu:
>
>> Prezados,
>>
>> Estou tentando migrar meu firewall, que atualmente é um FreeBSD 4.9, para
>> o
>> FreeBSD 6. O problema é que, depois de cerca de 5-10 minutos funcionando
>> como ele tem que funcionar (entre o roteador e o switch) ele simplesmente
>> começa a recusar qq pacote. Aí basta eu adicionar uma regra no topo da
>> lista
>> liberando todo o tráfego que ele volta a funcionar, mesmo depois de
>> retirada
>> a regra. Aí depois de 5-10 minutos ele volta com o problema...
>>
>> Alguém teria idéia do que seja isso?
>>
>> Lembro que estou usando o mesmo conjunto de regras em ambos.
>>
>> Desde já agradeço!
>>
>> ____________________________________
>> Armindo Gomes
>> Rede de Tecnologia do Rio de Janeiro
>> Informática
>> Tel.: 21 2221 9292 | Cel.: 21 8153 2759
>>
>>
>> _______________________________________________
>> freebsd mailing list
>> freebsd@fug.com.br
>> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>>
>>
>
>
> --
> Celso Vianna
> BSD User: 51318
> http://www.bsdcounter.org
>
> 63 8404-8559
> Palmas/TO
> _______________________________________________
> freebsd mailing list
> freebsd@fug.com.br
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
>
> _______________________________________________
> freebsd mailing list
> freebsd@fug.com.br
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
_______________________________________________
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
