Re: [FUG-BR] ipf.rules
irado furioso com tudo wrote: duas. É um gateway/NAT´er exatamente isso. A máquina interna (192..) seria NAT´ed para fazer o ssh lá na internet, MAS NÃO no próprio firewall. Ou seja, ela pode pedir: ssh 200.200.200.201 (enderêço externo, ´net) mas não pode: ssh 192.168.1.1 (o gateway, placa interna). no caso de seu gateway ser capaz de bloquear a conexao entre duas maquinas da subrede, eu tentaria isso: block in quick on $internal_intertace proto tcp from 190.168.NNN.HHH/network_digits to 190.168.NNN.HHH/network_digits port = 22 flags S keep state pass in quick on $internal_intertace proto tcp from 190.168.NNN.HHH/network_digits to any port = 22 flags S keep state Como a primeira ``maching rule´´ eh a que vence, somente os SSHs nao destinados a rede interna serao testados segundo a segunda regra acima. Mas precisa ver se sua rede faz comunicacao interna sem o conhecimento do gateway/NAT ... Isso eu nao sei. nader ___ freebsd mailing list freebsd@fug.com.br https://devilbit.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipf.rules
oi, nader. Respondendo entre suas questões: A maquina tem so uma placa de rede ou tem uma rede de baixo dela? duas. É um gateway/NAT´er Vc quer permitir que uma maquina interna a uma subrede com firewall possa fazer ssh somente para fora da rede? Eh que eu nao peguei a ideia ainda. exatamente isso. A máquina interna (192..) seria NAT´ed para fazer o ssh lá na internet, MAS NÃO no próprio firewall. Ou seja, ela pode pedir: ssh 200.200.200.201 (enderêço externo, ´net) mas não pode: ssh 192.168.1.1 (o gateway, placa interna). grato --- saudações, irado furioso com tudo FreeBSD BSD50853/Linux User 179402 As pessoas fazem coisas horríveis por dinheiro, até trabalhar. __ Stops spam 100% for your email accounts or you get paid. http://www.cashette.com ___ freebsd mailing list freebsd@fug.com.br https://devilbit.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipf.rules
irado furioso com tudo wrote: allow all from ´ip-addr-especifico´ port 22 to !me/myself port 22 ou seja: permito conexao a partir de um ip-addr especifico, desde que NAO para o proprio firewall (ou outro). A maquina tem so uma placa de rede ou tem uma rede de baixo dela? Vc quer permitir que uma maquina interna a uma subrede com firewall possa fazer ssh somente para fora da rede? Eh que eu nao peguei a ideia ainda. Cuidado pra nao permitir conversa direta entre portas 22. A porta 22 so ``ouve'', nao ``fala''. Ela ouve de uma outra porta que nao eh a 22. ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
[FUG-BR] ipf.rules
boa tarde, gente fina. Seguinte: existe algum modo de definir, nas regras de ipfilter (ipf.rules)algo semelhante a: allow all from ´ip-addr-especifico´ port 22 to !me/myself port 22 ou seja: permito conexao a partir de um ip-addr especifico, desde que NAO para o proprio firewall (ou outro). existe? já revirei quase que tudo no google e nao encotrei nada e o manual nao menciona tambem, nao sei se por esquecimento ou por inexistir mesmo. grato flames /dev/null irado obrigado __ Stops spam 100% for your email accounts or you get paid. http://www.cashette.com ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br