Re: [FUG-BR] RES: RES: RES: Redirecionar trafego SMTP
Em Qui, 2006-08-03 às 10:33 -0300, Suporte Planet Hardware escreveu: Mais ai vc ta bloqueando todo o meu trafego da porta 1-1024 ??? Sim , todas as portas de serviços Um desktop(client) usa portas acima da 1024 para se conectar as portas de serviço( de 1 a 1024) , portanto se nos clientes não se roda nenhum serviço , seja smtp,pop,http,ntp etc , pode bloquear todo o trafego dos ips da sua rede que saem abaixo da porta 1024, exeções vc adiciona uma regra asntes liberando o serviço o melhor é essa aqui mesmo ipfw add 6501 deny log ip from minharede/xx dst-port 1-1024 to any in via interface_interna se quiser bloquear todos os smtps em sua rede seria ipfw add 6499 deny log ip from minharede/xx smtp to any in via interface_interna isso iria bloquear o pessoal enviando spans de servidores de email fajutos, propagação de virus, etc... coloque como log , escolha um ip qualquer , e monitore pelos logs , vc vai perceber isso direitinho tem até um exemplo , badguys godguys no man do ipfw []'s -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br ___ O Yahoo! est� de cara nova. Venha conferir! http://br.yahoo.com/preview - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: RES: Redirecionar trafego SMTP
On 8/3/06, Marcello Costa [EMAIL PROTECTED] wrote: Em Qui, 2006-08-03 às 10:33 -0300, Suporte Planet Hardware escreveu: Mais ai vc ta bloqueando todo o meu trafego da porta 1-1024 ??? Sim , todas as portas de serviços entendo e concordo ... Um desktop(client) usa portas acima da 1024 para se conectar as portas de serviço( de 1 a 1024) , portanto se nos clientes não se roda nenhum serviço , seja smtp,pop,http,ntp etc , pode bloquear todo o trafego dos ips da sua rede que saem abaixo da porta 1024, exeções vc adiciona uma regra asntes liberando o serviço nao seriam q chegam nao?? qd eu faco telnet uol.com.br 80 eu tenho um trafego de saida da rede, abaixo de 1k, e eh legitmo :) o melhor é essa aqui mesmo ipfw add 6501 deny log ip from minharede/xx dst-port 1-1024 to any in via interface_interna se eles nao vao prover servicos, nao seria ai o from not minha rede ? desculpa se falei besteira ... mas entendi q vc quer barrar um cliente por ex criando servidores se quiser bloquear todos os smtps em sua rede seria ipfw add 6499 deny log ip from minharede/xx smtp to any in via interface_interna isso iria bloquear o pessoal enviando spans de servidores de email fajutos, propagação de virus, etc... coloque como log , escolha um ip qualquer , e monitore pelos logs , vc vai perceber isso direitinho tem até um exemplo , badguys godguys no man do ipfw []'s -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br matheus -- We will call you cygnus, The God of balance you shall be - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: RES: Redirecionar trafego SMTP
Em Qui, 2006-08-03 às 13:51 -0300, Nenhum _de_Nos escreveu: On 8/3/06, Marcello Costa [EMAIL PROTECTED] wrote: Em Qui, 2006-08-03 às 10:33 -0300, Suporte Planet Hardware escreveu: Mais ai vc ta bloqueando todo o meu trafego da porta 1-1024 ??? Sim , todas as portas de serviços entendo e concordo ... Um desktop(client) usa portas acima da 1024 para se conectar as portas de serviço( de 1 a 1024) , portanto se nos clientes não se roda nenhum serviço , seja smtp,pop,http,ntp etc , pode bloquear todo o trafego dos ips da sua rede que saem abaixo da porta 1024, exeções vc adiciona uma regra asntes liberando o serviço nao seriam q chegam nao?? qd eu faco telnet uol.com.br 80 eu tenho um trafego de saida da rede, abaixo de 1k, e eh legitmo :) o melhor é essa aqui mesmo ipfw add 6501 deny log ip from minharede/xx dst-port 1-1024 to any in via interface_interna se eles nao vao prover servicos, nao seria ai o from not minha rede ? desculpa se falei besteira ... mas entendi q vc quer barrar um cliente por ex criando servidores se quiser bloquear todos os smtps em sua rede seria ipfw add 6499 deny log ip from minharede/xx smtp to any in via interface_interna isso iria bloquear o pessoal enviando spans de servidores de email fajutos, propagação de virus, etc... coloque como log , escolha um ip qualquer , e monitore pelos logs , vc vai perceber isso direitinho tem até um exemplo , badguys godguys no man do ipfw []'s -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br matheus Matheus , mas na verdade voce pode fazer a regra tanto com not ou sem , na verdade a lógica dá regra é que vale, qual pacote vai passar e qual vai barrar Nesse caso que citei de exemplo realmente é para barrar todo tipo de servidor , quase todos , menos os que usam portas altas e/ou randomicas como p2p , mas boa parte disso vc barra bloqueando as udps que não sejam abaixo da porta 1024 tb. O firewaal analisa sua regra 4 vezes (match), entrada e saida de cada interface , mas ele sabe se vc liberou ou bloqueou aquele pacote PACKET FLOW A packet is checked against the active ruleset in multiple places in the protocol stack, under control of several sysctl variables. These places and variables are shown below, and it is important to have this picture in mind in order to design a correct ruleset. ^to upper layersV | | +--+ ^ V [ip(6)_input] [ip(6)_output] net.inet.ip.fw.enable=1 | | ^ V [ether_demux][ether_output_frame] net.link.ether.ipfw=1 | | +[bdg_forward]+ net.link.ether.bridge_ipfw=1 ^ V | to devices | As can be noted from the above picture, the number of times the same packet goes through the firewall can vary between 0 and 4 depending on packet source and destination, and system configuration. então as regras : ipfw add 6501 deny log ip from minharede/xx dst-port 1-1024 to any in via interface_interna ipfw add 6501 deny log ip from any to minharede/xx dst-port 1-1024 in via interface_externa No final fazem a mesma coisa , mas a boa prática recomendado fazer match de pacotes sempre na entrada , essa segunda regra é melhor porque impede que o pacote alcance sua rede enquanto a primeira impede que sua rede envie a resposta agora essa regra: ipfw add 6501 deny log from any to not minha_rede dst-port 1-1024 essa regra vc vai bloquear acesso as portas de 1-1024 de todos os ip's que não fazem parte da sua rede , ou seja , exatamente ao contrário do desejado. um telnet uol.com.br 80 abre uma conexao de uma porta acima da 1024 da maquina que solicitou para a porta 80 do servidor uol , isso vc não deseja bloquear, uma regra que liberaria isso seria : trafego de saida : ipfw add numerodaregra tcp from minharede/xy to uol.com.br 80 trafego de entrada do pacote : ipfw add numerodaregra tcp from uol.com.br 80 to minharede/xy dinâmica : ipfw add numerodaregra tcp from minharede/xy to uol.com.br http keep-state Tem uns bons tutorias de ipfw , na freebsdbrasil.com.br tem em portugues bem explicadinho. []'s -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br ___ Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: RES: Redirecionar trafego SMTP
On 8/3/06, Marcello Costa [EMAIL PROTECTED] wrote: Em Qui, 2006-08-03 às 13:51 -0300, Nenhum _de_Nos escreveu: On 8/3/06, Marcello Costa [EMAIL PROTECTED] wrote: Em Qui, 2006-08-03 às 10:33 -0300, Suporte Planet Hardware escreveu: Mais ai vc ta bloqueando todo o meu trafego da porta 1-1024 ??? Sim , todas as portas de serviços entendo e concordo ... Um desktop(client) usa portas acima da 1024 para se conectar as portas de serviço( de 1 a 1024) , portanto se nos clientes não se roda nenhum serviço , seja smtp,pop,http,ntp etc , pode bloquear todo o trafego dos ips da sua rede que saem abaixo da porta 1024, exeções vc adiciona uma regra asntes liberando o serviço nao seriam q chegam nao?? qd eu faco telnet uol.com.br 80 eu tenho um trafego de saida da rede, abaixo de 1k, e eh legitmo :) o melhor é essa aqui mesmo ipfw add 6501 deny log ip from minharede/xx dst-port 1-1024 to any in via interface_interna se eles nao vao prover servicos, nao seria ai o from not minha rede ? desculpa se falei besteira ... mas entendi q vc quer barrar um cliente por ex criando servidores se quiser bloquear todos os smtps em sua rede seria ipfw add 6499 deny log ip from minharede/xx smtp to any in via interface_interna isso iria bloquear o pessoal enviando spans de servidores de email fajutos, propagação de virus, etc... coloque como log , escolha um ip qualquer , e monitore pelos logs , vc vai perceber isso direitinho tem até um exemplo , badguys godguys no man do ipfw []'s -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br matheus Matheus , mas na verdade voce pode fazer a regra tanto com not ou sem , na verdade a lógica dá regra é que vale, qual pacote vai passar e qual vai barrar Nesse caso que citei de exemplo realmente é para barrar todo tipo de servidor , quase todos , menos os que usam portas altas e/ou randomicas como p2p , mas boa parte disso vc barra bloqueando as udps que não sejam abaixo da porta 1024 tb. hmm mas meu pensamento foi em todo tipo de servidor na sua rede. como vc havia citado entendeu ... ? esta parte de a regra ser vista 4 vezes ( ate 4 ) eu nao sabia, pois nao sei muito sobre ipfw (o contato que tive de fw em bsd foi pf) O firewaal analisa sua regra 4 vezes (match), entrada e saida de cada interface , mas ele sabe se vc liberou ou bloqueou aquele pacote PACKET FLOW A packet is checked against the active ruleset in multiple places in the protocol stack, under control of several sysctl variables. These places and variables are shown below, and it is important to have this picture in mind in order to design a correct ruleset. ^to upper layersV | | +--+ ^ V [ip(6)_input] [ip(6)_output] net.inet.ip.fw.enable=1 | | ^ V [ether_demux][ether_output_frame] net.link.ether.ipfw=1 | | +[bdg_forward]+ net.link.ether.bridge_ipfw=1 ^ V | to devices | As can be noted from the above picture, the number of times the same packet goes through the firewall can vary between 0 and 4 depending on packet source and destination, and system configuration. então as regras : ipfw add 6501 deny log ip from minharede/xx dst-port 1-1024 to any in via interface_interna ipfw add 6501 deny log ip from any to minharede/xx dst-port 1-1024 in via interface_externa No final fazem a mesma coisa , mas a boa prática recomendado fazer match de pacotes sempre na entrada , essa segunda regra é melhor porque impede que o pacote alcance sua rede enquanto a primeira impede que sua rede envie a resposta agora essa regra: ipfw add 6501 deny log from any to not minha_rede dst-port 1-1024 seria: ipfw add 6501 deny log from not minha_rede dst-port to any 1-1024 pois nao sabia/mencionei a checagem em mais de um ponto essa regra vc vai bloquear acesso as portas de 1-1024 de todos os ip's que não fazem parte da sua rede , ou seja , exatamente ao contrário do desejado. um telnet uol.com.br 80 abre uma conexao de uma porta acima da 1024 da maquina que solicitou para a porta 80 do servidor uol , isso vc não deseja bloquear, uma regra que liberaria isso seria : acredito que estamos concordando de maneira bizarra ... qd vi seu mail em barrar tudo que seja 1k achei esquisito, pq isso bloquearia o telnet acima, e foi disso que falei no meu mail :) minha ideia era deixar saida em portas conhecidas e barrar tudo. e entrada deixava passar so os keep state trafego de saida : ipfw add numerodaregra tcp