Ola pessoal, Estou vendo muitas duvidas sobre Regras dinamicas do IPFW, vamos esclarecer:
Um pequeno exemplo: ipfw add 1 check-state ipfw add 2 deny tcp from any to any established ipfw add 3 allow tcp from any to 200.200.200.200/24 22,25,80,110 in via xl0 setup keep-state Descricao: * Regra 1: O objetivo e' checar neste momento as regras Dinamicas (para ver se encontra alguma correspondente ao pacote em questao). Se encontrar faz o match e libeara o pacote, caso nao encontre continua lendo as regras (2, 3....) OBS: Caso seja omitida esta regras o IPFW ira testar as regras dinamicas qdo encontrar a primeira regra com "keep-state" ou "limit". * Regra 2: Bloqueia o trafego "established" ou seja de conecxoes ja estabelicidas (ACK). OBS: A regras numero 2, soh eh necessaria caso o seu firewall seja DEFAULT_TO_ACCEPT, se o padrao eh negar, ela nao eh necessaria. * Regra 3: Se a conecxao for iniciada (setup (Tem o SYN ativado porem nao tem o ACK ativado)), com destino a rede 200.200.200.X nas portas 22,25,80,110 (in). O IPFW ira fazer um keep-state (q nada mais eh q criar uma regra dinamica SRC_IP:SRC_PORT <-> DST_IP:DST_PORT), que sera verificada no check-state. Entao vamos lah.... Quando alguem inicia uma conecxao ele vai passar "batido" nas regras 1 e 2 (ja q nao existe dyn rules para ele e nem eh uma conecxao estabelicida) e se for tudo certo na regra 3 e' criada uma dyn rules. Sendo assim os proximos pacotes qdo chegar na check-state eles serao matched (allow) e liberados (pois existe regras dinamicas dizendo isso). Sempre lembrando que tem os timeout das dyn rules e outras coisas. Para maiores info: sysctl -a net.inet.ip.fw Bom espero ter ajudado :D Abracos -- [ Diego Linke - GAMK ] System/Network/Security Administrator E-Mail/Site: [EMAIL PROTECTED] - http://www.gamk.com.br Public Key: http://www.gamk.com.br/gamk.asc Phone Number: (+5541) 9967-3464 _______________________________________________________________ Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
