Re: [FUG-BR] IPFW com DNS
Coloque as regras que o marcio enviou, creio que falta liberar
as portas 53
2009/9/15 Alex de A. Souza alex_a_so...@msn.com:
Essas são as regras do rc.firewall e named.conf que estou usando no momento.
# RC.FIREWALL - INICIO ---
# BLOQUEIOS DE PORTAS NETBIOS
${fwcmd} add 100 deny udp from any to any 135-139,445
${fwcmd} add 100 deny tcp from any to any 135-139,445
${fwcmd} add 100 deny udp from any 135-139,445 to any
${fwcmd} add 100 deny tcp from any 135-139,445 to any
# BLOQUEIO DE PACOTES FRAGMENTADOS
${fwcmd} add 100 deny all from any to any in frag
# PIPE 1000
${fwcmd} pipe 1234 config bw 1000Kbits/s queue 20 mask dst-ip
0x
${fwcmd} pipe 512 config bw 500Kbits/s queue 20 mask dst-ip
0x
${fwcmd} add set 1 divert natd all from 191.169.15.1 to any
${fwcmd} add set 1 divert natd all from 191.169.30.1 to any
# PROXY
${fwcmd} add 5 fwd localhost,1290 tcp from 191.168.0.0/16 to not
200.223.236.0/24,
,200.201.174.0/24,200.192.176.0/24,200.221.8.0/24,201.7.176.59/24,72.36.191.0/16
80
#PIPE - GERAL
${fwcmd} add pipe 1000 ip from any to 191.169.0.0/24
${fwcmd} add pipe 512 ip from 191.169.0.0/24 to any
${fwcmd} add divert natd all from any to me via rl0 in
${fwcmd} add 65000 pass all from any to any
--- # FIM - RC.FIREWALL #--
---# INICIO NAMED.CONF #
listen-on { 127.0.0.1;200.222.222.34;200.222.222.0/24; };
zone . {
type hint;
file named.root;
};
zone 0.0.127.IN-ADDR.ARPA {
type master;
file master/localhost.rev;
};
// RFC 3152
zone
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA {
type master;
file master/localhost-v6.rev;
};
zone provedor.com.br IN {
type master;
file provedor.com.br;
allow-update { none; };
};
zone 34.in-addr.arpa IN {
type master;
file provedor.rev;
allow-update { none; };
};
zone bahianet.sec IN {
type slave;
masters {
200.222.222.34;
};
file slave/provedor.sec;
};
# fim -
From: mantunes mantunes.lis...@gmail.com
coloque essas regras e ver se funciona
ipfw add allow udp from me 1024-65535 to any 53 out keep-state uid bind
ipfw add pass tcp from any to any 53 setup
ipfw add pass udp from any to any 53
ipfw add pass udp from any 53 to any
ipfw add pass tcp from any 53 to any
ipfw add pass udp from any to any 53 keep-state
ipfw add pass tcp from any to any 53 keep-state
2009/9/11 Thiago Gomes thiagome...@gmail.com:
mande suas regraas do IPFW. faça o teste para ter se a porta do
dns esta aberta
telnet ip 53
From: Wanderson Tinti wander...@bsd.com.br
Alex, boa tarde.
Coloque as configurações do Bind e IPFW para que possamos ajudar. Pelo que
entendi nessa sua mensagem, você quer liberar consultas recursivas
externas
em seu servidor DNS para hosts que não estão nos seus domínios, é isso?
From: irado furioso com tudo ir...@bsd.com.br
possível é, não é desejável ou conveniente, tudo fica muito exposto.
Agora estou querendo colocar no mesmo servidor de GATEWAY tudo junto, mas
quem ta fora da rede não consegue resolver o nome, acredito que seja a
compilação do kernel que abilita o IPFW com as seguintes regras;
mas.. a razão de vc querer tudo junto é pq quem ta fora da rede não
consegue resolver o nome?? isso NÃO É problema do gw em si, mas sim
de outros fatores como, por exemplo, regras de fwll ou daemon que
esquece de ser ativado (ou se rebelou, morreu..)
Como posso fazer isso funcionar, e qual a versão do FreeBSD para isso?
OBS: Estou usando o FreeBSD 8 BETA 4 e esta perfeito como GATEWAY.
um beta para gw/servidor de produção? nem pensar. Sugiro, fortemente:
a) definir o que vc quer de verdade e postar na lista
b) usar 7.2-RELEASE e deixar os beta para máquina de testes
c) se possível, fazer o gw separado de qualquer outra máquina (mesmo
que com vários links isso é possível) e criar DMZ para os servidores
(bind, mail, etc)
divirta-se.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Thiago Gomes
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW com DNS
Em Tue, 15 Sep 2009 00:42:39 -0300
Alex de A. Souza alex_a_so...@msn.com, conhecido consumidor de
drogas (BigMac's com Coke) escreveu:
${fwcmd} add 65000 pass all from any to any
isso aqui dá medo só de olhar (risos)
flames /dev/null
--
saudações,
irado furioso com tudo
Linux User 179402/FreeBSD BSD50853/FUG-BR 154
Não uso drogas - 100% Miko$hit-free
povo é aquela galera que grita na geral mas não influi no
resultado (Plinio Marcos)
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW com DNS
ahahaha
Proteção total :-)
[]s
Emmanuel Alves
manel...@gmail.com
-
Twitter: http://www.twitter.com/emartsnet
Linked In: http://www.linkedin.com/in/emartsnet
2009/9/15 irado furioso com tudo ir...@bsd.com.br
Em Tue, 15 Sep 2009 00:42:39 -0300
Alex de A. Souza alex_a_so...@msn.com, conhecido consumidor de
drogas (BigMac's com Coke) escreveu:
${fwcmd} add 65000 pass all from any to any
isso aqui dá medo só de olhar (risos)
flames /dev/null
--
saudações,
irado furioso com tudo
Linux User 179402/FreeBSD BSD50853/FUG-BR 154
Não uso drogas - 100% Miko$hit-free
povo é aquela galera que grita na geral mas não influi no
resultado (Plinio Marcos)
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW com DNS
Já fiz isso e não funcionou. Como faço para liberar o telnet no freebsd?
Fiz o teste e não funcionou.
From: Thiago Gomes thiagome...@gmail.com
Coloque as regras que o marcio enviou, creio que falta liberar
as portas 53
2009/9/15 Alex de A. Souza alex_a_so...@msn.com:
Essas são as regras do rc.firewall e named.conf que estou usando no
momento.
# RC.FIREWALL - INICIO ---
# BLOQUEIOS DE PORTAS NETBIOS
${fwcmd} add 100 deny udp from any to any 135-139,445
${fwcmd} add 100 deny tcp from any to any 135-139,445
${fwcmd} add 100 deny udp from any 135-139,445 to any
${fwcmd} add 100 deny tcp from any 135-139,445 to any
# BLOQUEIO DE PACOTES FRAGMENTADOS
${fwcmd} add 100 deny all from any to any in frag
# PIPE 1000
${fwcmd} pipe 1234 config bw 1000Kbits/s queue 20 mask dst-ip
0x
${fwcmd} pipe 512 config bw 500Kbits/s queue 20 mask dst-ip
0x
${fwcmd} add set 1 divert natd all from 191.169.15.1 to any
${fwcmd} add set 1 divert natd all from 191.169.30.1 to any
# PROXY
${fwcmd} add 5 fwd localhost,1290 tcp from 191.168.0.0/16 to not
200.223.236.0/24,
,200.201.174.0/24,200.192.176.0/24,200.221.8.0/24,201.7.176.59/24,72.36.191.0/16
80
#PIPE - GERAL
${fwcmd} add pipe 1000 ip from any to 191.169.0.0/24
${fwcmd} add pipe 512 ip from 191.169.0.0/24 to any
${fwcmd} add divert natd all from any to me via rl0 in
${fwcmd} add 65000 pass all from any to any
--- # FIM - RC.FIREWALL
#--
---# INICIO NAMED.CONF #
listen-on { 127.0.0.1;200.222.222.34;200.222.222.0/24; };
zone . {
type hint;
file named.root;
};
zone 0.0.127.IN-ADDR.ARPA {
type master;
file master/localhost.rev;
};
// RFC 3152
zone
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
{
type master;
file master/localhost-v6.rev;
};
zone provedor.com.br IN {
type master;
file provedor.com.br;
allow-update { none; };
};
zone 34.in-addr.arpa IN {
type master;
file provedor.rev;
allow-update { none; };
};
zone bahianet.sec IN {
type slave;
masters {
200.222.222.34;
};
file slave/provedor.sec;
};
# fim -
From: mantunes mantunes.lis...@gmail.com
coloque essas regras e ver se funciona
ipfw add allow udp from me 1024-65535 to any 53 out keep-state uid bind
ipfw add pass tcp from any to any 53 setup
ipfw add pass udp from any to any 53
ipfw add pass udp from any 53 to any
ipfw add pass tcp from any 53 to any
ipfw add pass udp from any to any 53 keep-state
ipfw add pass tcp from any to any 53 keep-state
2009/9/11 Thiago Gomes thiagome...@gmail.com:
mande suas regraas do IPFW. faça o teste para ter se a porta do
dns esta aberta
telnet ip 53
From: Wanderson Tinti wander...@bsd.com.br
Alex, boa tarde.
Coloque as configurações do Bind e IPFW para que possamos ajudar. Pelo
que
entendi nessa sua mensagem, você quer liberar consultas recursivas
externas
em seu servidor DNS para hosts que não estão nos seus domínios, é isso?
From: irado furioso com tudo ir...@bsd.com.br
possível é, não é desejável ou conveniente, tudo fica muito exposto.
Agora estou querendo colocar no mesmo servidor de GATEWAY tudo junto,
mas
quem ta fora da rede não consegue resolver o nome, acredito que seja a
compilação do kernel que abilita o IPFW com as seguintes regras;
mas.. a razão de vc querer tudo junto é pq quem ta fora da rede não
consegue resolver o nome?? isso NÃO É problema do gw em si, mas sim
de outros fatores como, por exemplo, regras de fwll ou daemon que
esquece de ser ativado (ou se rebelou, morreu..)
Como posso fazer isso funcionar, e qual a versão do FreeBSD para isso?
OBS: Estou usando o FreeBSD 8 BETA 4 e esta perfeito como GATEWAY.
um beta para gw/servidor de produção? nem pensar. Sugiro, fortemente:
a) definir o que vc quer de verdade e postar na lista
b) usar 7.2-RELEASE e deixar os beta para máquina de testes
c) se possível, fazer o gw separado de qualquer outra máquina (mesmo
que com vários links isso é possível) e criar DMZ para os servidores
(bind, mail, etc)
divirta-se.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW com DNS
Não me leve a mal... mas vocês estão fazendo uma confusão danada aqui... Faça isso por partes... desligue o firewall, faça o dns funcionar e só depois você configura o firewall. Esse dns também esta aberto, qualquer um pode consultar... isso é errado e permite que seu dns seja utilizado para ataques (dns amplification attacks) entre outras coisas... (allow-recursion é MANDATÓRIO em qualquer configuração do bind). Sugiro que vocês parem e procurem ler a respeito da configuração do bind que é bem complexa e cheia de e se (sim a configuração do bind é no mínimo um nightmare). Se alguem desistir no meio do caminho, tente uma das alternativas (que são bem mais simples de se configurar): unbound, dnscache. Dificilmente você consegue um dns resolver (cache) e o dns server corretamente configurados no mesmo bind sem o uso de views... Luiz - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW com DNS
Já fiz isso e não funcionou. Como faço para liberar o telnet no freebsd? Fiz o teste e não funcionou. mande suas regraas do IPFW. faça o teste para ter se a porta do dns esta aberta telnet ip 53 Por Favor ! DNS utiliza a porta 53 UDP e não pode ser testada com telnet ! A porta 53 TCP é utilizada exclusivamente para transferencia de zonas (AXFR) (primario secundário)... um cliente nunca faz uma requisição de dns nesse serviço/porta. O tinydns do djb, por exemplo, não faz AXFR e não abre nada na 53 TCP (o acesso a essa porta deveria - de qualquer maneira - ser restrito aos seus secundarios - quando se trata de bind). Luiz - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW com DNS
Em Tue, 15 Sep 2009 12:36:01 -0300 Alex de A. Souza alex_a_so...@msn.com, conhecido consumidor de drogas (BigMac's com Coke) escreveu: Preciso de ajuda e não de gozação. e quem está fazendo gozação com vc? vários colegas responderam várias coisas e vc.. nem tchum pras sugestões (ou deu, mas não retornou). intão tá.. se vc desativa o fwll, funciona, então faça como eu NORMALMENTE faço: remova todas as regras e vá acrescentando uma a uma até que o serviço pare; essa regra será a culpada pelos seus problemas. num primeiro momento - embora eu não seja a melhor referência - com o seu fwll como está (arrombado para o mundo) não deveria haver êsse bloqueio, MAS... examine melhor os pipes, por exemplo. vc pode também pedir log em todas (ou as mais suspeitas) regras, para saber QUAL delas impede o funcionamento do seu dns. ps: sério: convém mudar o default de seu fwll para deny tudo, ao invés de tudo pode e liberar os serviços que deseja. Fica inclusive mais fácil pra analisar. Claro, IMHO. flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free O homem esquecerá antes a morte do pai do que a perda da propriedade [Maquiavel] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW com DNS
Quando desabilito o firewall o dns funciona normal, então o problema esta
na
regra do rc.firewall.
Agora será que alguem pode corrigir as regras que coloquei aqui e me
passar
o correto?
${fwcmd} add set 1 divert natd all from 191.169.15.1 to any
${fwcmd} add set 1 divert natd all from 191.169.30.1 to any
Se essas são suas regras de nat elas estão erradas...
O correto:
${fwcmd} add [set 1] divert natd all from any to any via ${outif}
Assim o nat vai rodar apenas nos pacotes que entram ou saem pela sua
interface externa e não vai fazer nat para os serviços da rede interna.
Outra coisa se você tem regras de nat e o natd não esta rodando o ipfw
(divert) vai sumir com seus pacotes.
Luiz
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW com DNS
Essas são as regras do rc.firewall e named.conf que estou usando no momento.
# RC.FIREWALL - INICIO ---
# BLOQUEIOS DE PORTAS NETBIOS
${fwcmd} add 100 deny udp from any to any 135-139,445
${fwcmd} add 100 deny tcp from any to any 135-139,445
${fwcmd} add 100 deny udp from any 135-139,445 to any
${fwcmd} add 100 deny tcp from any 135-139,445 to any
# BLOQUEIO DE PACOTES FRAGMENTADOS
${fwcmd} add 100 deny all from any to any in frag
# PIPE 1000
${fwcmd} pipe 1234 config bw 1000Kbits/s queue 20 mask dst-ip
0x
${fwcmd} pipe 512 config bw 500Kbits/s queue 20 mask dst-ip
0x
${fwcmd} add set 1 divert natd all from 191.169.15.1 to any
${fwcmd} add set 1 divert natd all from 191.169.30.1 to any
# PROXY
${fwcmd} add 5 fwd localhost,1290 tcp from 191.168.0.0/16 to not
200.223.236.0/24,
,200.201.174.0/24,200.192.176.0/24,200.221.8.0/24,201.7.176.59/24,72.36.191.0/16
80
#PIPE - GERAL
${fwcmd} add pipe 1000 ip from any to 191.169.0.0/24
${fwcmd} add pipe 512 ip from 191.169.0.0/24 to any
${fwcmd} add divert natd all from any to me via rl0 in
${fwcmd} add 65000 pass all from any to any
--- # FIM - RC.FIREWALL #--
---# INICIO NAMED.CONF #
listen-on { 127.0.0.1;200.222.222.34;200.222.222.0/24; };
zone . {
type hint;
file named.root;
};
zone 0.0.127.IN-ADDR.ARPA {
type master;
file master/localhost.rev;
};
// RFC 3152
zone
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA {
type master;
file master/localhost-v6.rev;
};
zone provedor.com.br IN {
type master;
file provedor.com.br;
allow-update { none; };
};
zone 34.in-addr.arpa IN {
type master;
file provedor.rev;
allow-update { none; };
};
zone bahianet.sec IN {
type slave;
masters {
200.222.222.34;
};
file slave/provedor.sec;
};
# fim -
From: mantunes mantunes.lis...@gmail.com
coloque essas regras e ver se funciona
ipfw add allow udp from me 1024-65535 to any 53 out keep-state uid bind
ipfw add pass tcp from any to any 53 setup
ipfw add pass udp from any to any 53
ipfw add pass udp from any 53 to any
ipfw add pass tcp from any 53 to any
ipfw add pass udp from any to any 53 keep-state
ipfw add pass tcp from any to any 53 keep-state
2009/9/11 Thiago Gomes thiagome...@gmail.com:
mande suas regraas do IPFW. faça o teste para ter se a porta do
dns esta aberta
telnet ip 53
From: Wanderson Tinti wander...@bsd.com.br
Alex, boa tarde.
Coloque as configurações do Bind e IPFW para que possamos ajudar. Pelo que
entendi nessa sua mensagem, você quer liberar consultas recursivas
externas
em seu servidor DNS para hosts que não estão nos seus domínios, é isso?
From: irado furioso com tudo ir...@bsd.com.br
possível é, não é desejável ou conveniente, tudo fica muito exposto.
Agora estou querendo colocar no mesmo servidor de GATEWAY tudo junto, mas
quem ta fora da rede não consegue resolver o nome, acredito que seja a
compilação do kernel que abilita o IPFW com as seguintes regras;
mas.. a razão de vc querer tudo junto é pq quem ta fora da rede não
consegue resolver o nome?? isso NÃO É problema do gw em si, mas sim
de outros fatores como, por exemplo, regras de fwll ou daemon que
esquece de ser ativado (ou se rebelou, morreu..)
Como posso fazer isso funcionar, e qual a versão do FreeBSD para isso?
OBS: Estou usando o FreeBSD 8 BETA 4 e esta perfeito como GATEWAY.
um beta para gw/servidor de produção? nem pensar. Sugiro, fortemente:
a) definir o que vc quer de verdade e postar na lista
b) usar 7.2-RELEASE e deixar os beta para máquina de testes
c) se possível, fazer o gw separado de qualquer outra máquina (mesmo
que com vários links isso é possível) e criar DMZ para os servidores
(bind, mail, etc)
divirta-se.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW com DNS
Eu coloquei as regras e nada adiantou;
ipfw add 10 allow udp from any to any 53
ipfw add 10 allow udp from any 53 to any
as regras abaixo são as seguintes;
#NAMED.CONF
listen-on {
127.0.0.1;200.223.X.X;200.223.X.X/24;200.199.X.X; };
eu tenho essa mesma configuração de named.conf em outro server FreeBSD 7.0,
sem compilar o KERNEL e sem IPFW, só uso mesmo pra DNS, com uma única placa
de rede, e esse ta funcionando perfeitamente, outros de fora consegue
navegar com o meu dns.
Mas esse só quem navega são os usuário dentro da rede.
Por isso acho que deve ser alguma coisa no Kernel e IPFW.
Alguém tem alguma conf do named.conf, rc.firewall, kernel para 8.0 ou 7.2
pronto, para que eu possa ver o que estar faltando?
From: Thiago Gomes thiagome...@gmail.com
É possivel,
Acredito que veja suas regras de bloqueio..no IPFW
tem que liberar as portas.
Thiago Gomes
--
From: Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br
Subject: Re: [FUG-BR] IPFW com DNS
Com tanto serviço na maquina, seria interessante você usar Jail...
fica show de bola e implementa uma segurança a mais... dê uma estudada
;)
Quanto às regras roda uma liberação de dns no seu ipfw só pra
matar se é realmente o ipfw:
ipfw add 10 allow udp from any to any 53
ipfw add 10 allow udp from any 53 to any
Se mesmo assim não funcionar, veja no named.conf se a classe da sua
rede tá liberada para fazer consulta ou se o mesmo não esta
configurado só pra escutar na 127.0.0.1 (padrão de instalação)
blz
abraços
2009/9/11 Alex de A. Souza alex_a_so...@msn.com:
É possível ter no mesmo servidor de GATEWAY o IPFW, DHCP. SQUID, NATD, e
BIND9 DNS, POSTFIX?
Hoje eu tenho o servidor de DNS separado do Servidor GATEWAY, e tenho
varios
servidores GATEWAY com IPs de ranges diferentes do Servidor de DNS. O
servidor de DNS ta com o FreeBSD 7.0 sem compilar o kernel, funciona
perfeito. Qualquer pessoa pode navegar utilizando meu DNS.
Agora estou querendo colocar no mesmo servidor de GATEWAY tudo junto, mas
quem ta fora da rede não consegue resolver o nome, acredito que seja a
compilação do kernel que abilita o IPFW com as seguintes regras;
---
#KERNEL
options INCLUDE_CONFIG_FILE
options IPFIREWALL
options IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPDIVERT
options IPSTEALTH
options DUMMYNET
options HZ=1000
e no rc.conf
#RC.CONF
firewall_enable=YES
firewall_type=OPEN
firewall_quiet=YES
---
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW com DNS
mande suas regraas do IPFW. faça o teste para ter se a porta do
dns esta aberta
telnet ip 53
2009/9/11 Alex de A. Souza alex_a_so...@msn.com:
Eu coloquei as regras e nada adiantou;
ipfw add 10 allow udp from any to any 53
ipfw add 10 allow udp from any 53 to any
as regras abaixo são as seguintes;
#NAMED.CONF
listen-on {
127.0.0.1;200.223.X.X;200.223.X.X/24;200.199.X.X; };
eu tenho essa mesma configuração de named.conf em outro server FreeBSD 7.0,
sem compilar o KERNEL e sem IPFW, só uso mesmo pra DNS, com uma única placa
de rede, e esse ta funcionando perfeitamente, outros de fora consegue
navegar com o meu dns.
Mas esse só quem navega são os usuário dentro da rede.
Por isso acho que deve ser alguma coisa no Kernel e IPFW.
Alguém tem alguma conf do named.conf, rc.firewall, kernel para 8.0 ou 7.2
pronto, para que eu possa ver o que estar faltando?
From: Thiago Gomes thiagome...@gmail.com
É possivel,
Acredito que veja suas regras de bloqueio..no IPFW
tem que liberar as portas.
Thiago Gomes
--
From: Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br
Subject: Re: [FUG-BR] IPFW com DNS
Com tanto serviço na maquina, seria interessante você usar Jail...
fica show de bola e implementa uma segurança a mais... dê uma estudada
;)
Quanto às regras roda uma liberação de dns no seu ipfw só pra
matar se é realmente o ipfw:
ipfw add 10 allow udp from any to any 53
ipfw add 10 allow udp from any 53 to any
Se mesmo assim não funcionar, veja no named.conf se a classe da sua
rede tá liberada para fazer consulta ou se o mesmo não esta
configurado só pra escutar na 127.0.0.1 (padrão de instalação)
blz
abraços
2009/9/11 Alex de A. Souza alex_a_so...@msn.com:
É possível ter no mesmo servidor de GATEWAY o IPFW, DHCP. SQUID, NATD, e
BIND9 DNS, POSTFIX?
Hoje eu tenho o servidor de DNS separado do Servidor GATEWAY, e tenho
varios
servidores GATEWAY com IPs de ranges diferentes do Servidor de DNS. O
servidor de DNS ta com o FreeBSD 7.0 sem compilar o kernel, funciona
perfeito. Qualquer pessoa pode navegar utilizando meu DNS.
Agora estou querendo colocar no mesmo servidor de GATEWAY tudo junto, mas
quem ta fora da rede não consegue resolver o nome, acredito que seja a
compilação do kernel que abilita o IPFW com as seguintes regras;
---
#KERNEL
options INCLUDE_CONFIG_FILE
options IPFIREWALL
options IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPDIVERT
options IPSTEALTH
options DUMMYNET
options HZ=1000
e no rc.conf
#RC.CONF
firewall_enable=YES
firewall_type=OPEN
firewall_quiet=YES
---
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Thiago Gomes
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW com DNS
coloque essas regras e ver se funciona
ipfw add allow udp from me 1024-65535 to any 53 out keep-state uid bind
ipfw add pass tcp from any to any 53 setup
ipfw add pass udp from any to any 53
ipfw add pass udp from any 53 to any
ipfw add pass tcp from any 53 to any
ipfw add pass udp from any to any 53 keep-state
ipfw add pass tcp from any to any 53 keep-state
2009/9/11 Thiago Gomes thiagome...@gmail.com:
mande suas regraas do IPFW. faça o teste para ter se a porta do
dns esta aberta
telnet ip 53
2009/9/11 Alex de A. Souza alex_a_so...@msn.com:
Eu coloquei as regras e nada adiantou;
ipfw add 10 allow udp from any to any 53
ipfw add 10 allow udp from any 53 to any
as regras abaixo são as seguintes;
#NAMED.CONF
listen-on {
127.0.0.1;200.223.X.X;200.223.X.X/24;200.199.X.X; };
eu tenho essa mesma configuração de named.conf em outro server FreeBSD 7.0,
sem compilar o KERNEL e sem IPFW, só uso mesmo pra DNS, com uma única placa
de rede, e esse ta funcionando perfeitamente, outros de fora consegue
navegar com o meu dns.
Mas esse só quem navega são os usuário dentro da rede.
Por isso acho que deve ser alguma coisa no Kernel e IPFW.
Alguém tem alguma conf do named.conf, rc.firewall, kernel para 8.0 ou 7.2
pronto, para que eu possa ver o que estar faltando?
From: Thiago Gomes thiagome...@gmail.com
É possivel,
Acredito que veja suas regras de bloqueio..no IPFW
tem que liberar as portas.
Thiago Gomes
--
From: Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br
Subject: Re: [FUG-BR] IPFW com DNS
Com tanto serviço na maquina, seria interessante você usar Jail...
fica show de bola e implementa uma segurança a mais... dê uma estudada
;)
Quanto às regras roda uma liberação de dns no seu ipfw só pra
matar se é realmente o ipfw:
ipfw add 10 allow udp from any to any 53
ipfw add 10 allow udp from any 53 to any
Se mesmo assim não funcionar, veja no named.conf se a classe da sua
rede tá liberada para fazer consulta ou se o mesmo não esta
configurado só pra escutar na 127.0.0.1 (padrão de instalação)
blz
abraços
2009/9/11 Alex de A. Souza alex_a_so...@msn.com:
É possível ter no mesmo servidor de GATEWAY o IPFW, DHCP. SQUID, NATD, e
BIND9 DNS, POSTFIX?
Hoje eu tenho o servidor de DNS separado do Servidor GATEWAY, e tenho
varios
servidores GATEWAY com IPs de ranges diferentes do Servidor de DNS. O
servidor de DNS ta com o FreeBSD 7.0 sem compilar o kernel, funciona
perfeito. Qualquer pessoa pode navegar utilizando meu DNS.
Agora estou querendo colocar no mesmo servidor de GATEWAY tudo junto, mas
quem ta fora da rede não consegue resolver o nome, acredito que seja a
compilação do kernel que abilita o IPFW com as seguintes regras;
---
#KERNEL
options INCLUDE_CONFIG_FILE
options IPFIREWALL
options IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPDIVERT
options IPSTEALTH
options DUMMYNET
options HZ=1000
e no rc.conf
#RC.CONF
firewall_enable=YES
firewall_type=OPEN
firewall_quiet=YES
---
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Thiago Gomes
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Marcio Antunes
Powered by FreeBSD
==
* Windows: Where do you want to go tomorrow?
* Linux: Where do you want to go today?
* FreeBSD: Are you, guys, comming or what?
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW com DNS
2009/9/11 Alex de A. Souza alex_a_so...@msn.com
as regras abaixo são as seguintes;
#NAMED.CONF
listen-on {
127.0.0.1;200.223.X.X;200.223.X.X/24;200.199.X.X; };
eu tenho essa mesma configuração de named.conf em outro server FreeBSD 7.0,
sem compilar o KERNEL e sem IPFW, só uso mesmo pra DNS, com uma única placa
de rede, e esse ta funcionando perfeitamente, outros de fora consegue
navegar com o meu dns.
Mas esse só quem navega são os usuário dentro da rede.
Por isso acho que deve ser alguma coisa no Kernel e IPFW.
Alguém tem alguma conf do named.conf, rc.firewall, kernel para 8.0 ou 7.2
pronto, para que eu possa ver o que estar faltando?
Alex, boa tarde.
Coloque as configurações do Bind e IPFW para que possamos ajudar. Pelo que
entendi nessa sua mensagem, você quer liberar consultas recursivas externas
em seu servidor DNS para hosts que não estão nos seus domínios, é isso?
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW com DNS
Em 11/09/09, Alex de A. Souzaalex_a_so...@msn.com escreveu: É possível ter no mesmo servidor de GATEWAY o IPFW, DHCP. SQUID, NATD, e BIND9 DNS, POSTFIX? possível é, não é desejável ou conveniente, tudo fica muito exposto. Agora estou querendo colocar no mesmo servidor de GATEWAY tudo junto, mas quem ta fora da rede não consegue resolver o nome, acredito que seja a compilação do kernel que abilita o IPFW com as seguintes regras; mas.. a razão de vc querer tudo junto é pq quem ta fora da rede não consegue resolver o nome?? isso NÃO É problema do gw em si, mas sim de outros fatores como, por exemplo, regras de fwll ou daemon que esquece de ser ativado (ou se rebelou, morreu..) Como posso fazer isso funcionar, e qual a versão do FreeBSD para isso? OBS: Estou usando o FreeBSD 8 BETA 4 e esta perfeito como GATEWAY. um beta para gw/servidor de produção? nem pensar. Sugiro, fortemente: a) definir o que vc quer de verdade e postar na lista b) usar 7.2-RELEASE e deixar os beta para máquina de testes c) se possível, fazer o gw separado de qualquer outra máquina (mesmo que com vários links isso é possível) e criar DMZ para os servidores (bind, mail, etc) divirta-se. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW com DNS
2009/9/11 irado furioso com tudo ir...@bsd.com.br Como posso fazer isso funcionar, e qual a versão do FreeBSD para isso? OBS: Estou usando o FreeBSD 8 BETA 4 e esta perfeito como GATEWAY. um beta para gw/servidor de produção? nem pensar. Sugiro, fortemente: a) definir o que vc quer de verdade e postar na lista b) usar 7.2-RELEASE e deixar os beta para máquina de testes c) se possível, fazer o gw separado de qualquer outra máquina (mesmo que com vários links isso é possível) e criar DMZ para os servidores (bind, mail, etc) divirta-se. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Boa tarde. Se não tiver como separar os serviços em maquinas distintas, use jails. Use uma versão estável em seu servidor, o Irado já deu a dica. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] IPFW com DNS
É possível ter no mesmo servidor de GATEWAY o IPFW, DHCP. SQUID, NATD, e BIND9 DNS, POSTFIX? Hoje eu tenho o servidor de DNS separado do Servidor GATEWAY, e tenho varios servidores GATEWAY com IPs de ranges diferentes do Servidor de DNS. O servidor de DNS ta com o FreeBSD 7.0 sem compilar o kernel, funciona perfeito. Qualquer pessoa pode navegar utilizando meu DNS. Agora estou querendo colocar no mesmo servidor de GATEWAY tudo junto, mas quem ta fora da rede não consegue resolver o nome, acredito que seja a compilação do kernel que abilita o IPFW com as seguintes regras; --- #KERNEL options INCLUDE_CONFIG_FILE options IPFIREWALL options IPFIREWALL_FORWARD options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPDIVERT options IPSTEALTH options DUMMYNET options HZ=1000 e no rc.conf #RC.CONF firewall_enable=YES firewall_type=OPEN firewall_quiet=YES --- Como posso fazer isso funcionar, e qual a versão do FreeBSD para isso? OBS: Estou usando o FreeBSD 8 BETA 4 e esta perfeito como GATEWAY. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW com DNS
É possivel, Acredito que veja suas regras de bloqueio..no IPFW tem que liberar as portas. Thiago Gomes - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW com DNS
Com tanto serviço na maquina, seria interessante você usar Jail... fica show de bola e implementa uma segurança a mais... dê uma estudada ;) Quanto às regras roda uma liberação de dns no seu ipfw só pra matar se é realmente o ipfw: ipfw add 10 allow udp from any to any 53 ipfw add 10 allow udp from any 53 to any Se mesmo assim não funcionar, veja no named.conf se a classe da sua rede tá liberada para fazer consulta ou se o mesmo não esta configurado só pra escutar na 127.0.0.1 (padrão de instalação) blz abraços 2009/9/11 Alex de A. Souza alex_a_so...@msn.com: É possível ter no mesmo servidor de GATEWAY o IPFW, DHCP. SQUID, NATD, e BIND9 DNS, POSTFIX? Hoje eu tenho o servidor de DNS separado do Servidor GATEWAY, e tenho varios servidores GATEWAY com IPs de ranges diferentes do Servidor de DNS. O servidor de DNS ta com o FreeBSD 7.0 sem compilar o kernel, funciona perfeito. Qualquer pessoa pode navegar utilizando meu DNS. Agora estou querendo colocar no mesmo servidor de GATEWAY tudo junto, mas quem ta fora da rede não consegue resolver o nome, acredito que seja a compilação do kernel que abilita o IPFW com as seguintes regras; --- #KERNEL options INCLUDE_CONFIG_FILE options IPFIREWALL options IPFIREWALL_FORWARD options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPDIVERT options IPSTEALTH options DUMMYNET options HZ=1000 e no rc.conf #RC.CONF firewall_enable=YES firewall_type=OPEN firewall_quiet=YES --- Como posso fazer isso funcionar, e qual a versão do FreeBSD para isso? OBS: Estou usando o FreeBSD 8 BETA 4 e esta perfeito como GATEWAY. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
