Re: [FUG-BR] IPFW não funciona por muito tempo

2006-04-25 Por tôpico Antonio Torres 
Armindo S. Gomes wrote:
> Claro!
> 
> Assim está a minha rede:
> 
>xxx.xxx.xxx.1 
> xxx.xxx.xxx.3
> --| Roteador |--| Firewall(FreeBSD) 
> |---| Switch |
> 
> Aí vai:
> 
>  # set these to your network and netmask and ip
>  net="xxx.xxx.xxx.0"
>  mask="255.255.255.0"
>  ip="xxx.xxx.xxx.3"
...

As regras que voce mandou parecem ser apenas um fragmento do seu arquivo 
de configuração.

talvez seja mais proveitoso voce enviar mais informações para a lista:

-  o resultado de um `ipfw show`
assim poderiamos ver *exatamente* as regras (e a ordem) que o ipfw 
as está "enxergando".

-  o modo de operação do Firewall
sugiro isso porque não vi regras de NAT (se é que existem), regras 
referentes ao loopback, quais as interfaces de rede envolvidas (interna, 
externa, dmz...) etc., etc.; não consegui entender o fluxo dos pacotes e 
nem, sinceramente, se é gateway-IP ou bridge.

se for uma configuração bridge, regras "tortas" no IPFW podem, 
facilmente, gerar um loop e "travar tudo"



[]s

Antonio Torres

___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br

Re: [FUG-BR] IPFW não funciona por muito tempo

2006-04-24 Por tôpico Armindo S. Gomes 
Eu coloco as regras negando um monte de coisas apenas pra visualizar as 
tentativas de conexões que casam com estas regras.

Pensei certo?




- Original Message - 
From: "Tiago N. Sampaio" <[EMAIL PROTECTED]>
To: "Lista de discussao sobre FreeBSD" 
Sent: Monday, April 24, 2006 12:43 PM
Subject: Re: [FUG-BR] IPFW não funciona por muito tempo


Dica: udp e icmp naum tem estados definidos, a sua regra de liberar
pacotes estabelecidos soh funciona pra tcp, pra funcionar icmp e udp,
coloca um keep-state no final da regra. (vi que vc tem algumas regras
liberando alguns pacotes icmp e udp)

E por que vc bloqueia um monte de coisas em cima, se seu fw e padrao deny?
Soh libera o que for permitido, e deixa o resto cair na ultima regra de
deny.


Abracos.
Tiago N. Sampaio


Armindo S. Gomes wrote:
> Claro!
>
> Assim está a minha rede:
>
>xxx.xxx.xxx.1
> xxx.xxx.xxx.3
> --| Roteador |--| Firewall(FreeBSD)
> |---| Switch |
>
> Aí vai:
>
>  # set these to your network and netmask and ip
>  net="xxx.xxx.xxx.0"
>  mask="255.255.255.0"
>  ip="xxx.xxx.xxx.3"
>
>  dns1="xxx.xxx.xxx.38"
>  dns2="xxx.xxx.xxx.34"
>  dns3="xxx.xxx.xxx.60"
>  dns4="xxx.xxx.xxx.3"
>  dns5="200.20.94.50"
>
>  setup_loopback
>
>  # Impedindo redes nao-roteaveis RFC1918
>  ${fwcmd} add deny all from any to 10.0.0.0/8
>  ${fwcmd} add deny all from any to 172.16.0.0/12
>  ${fwcmd} add deny all from any to 192.168.0.0/16
>  ${fwcmd} add deny all from 10.0.0.0/8 to any
>  ${fwcmd} add deny all from 172.16.0.0/12 to any
>  ${fwcmd} add deny all from 192.168.0.0/16 to any
>
>  # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
>  # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
>  ${fwcmd} add deny all from any to 0.0.0.0/8
>  ${fwcmd} add deny all from any to 169.254.0.0/16
>  ${fwcmd} add deny all from any to 192.0.2.0/24
>  ${fwcmd} add deny all from any to 224.0.0.0/4
>  ${fwcmd} add deny all from any to 240.0.0.0/4
>  ${fwcmd} add deny all from 0.0.0.0/8 to any
>  ${fwcmd} add deny all from 169.254.0.0/16 to any
>  ${fwcmd} add deny all from 192.0.2.0/24 to any
>  ${fwcmd} add deny all from 224.0.0.0/4 to any
>  ${fwcmd} add deny all from 240.0.0.0/4 to any
>
>  # Impede ataques DoS do virus SQL Slammer, Sapphire, Worm.SQL.Helkern.
>  ${fwcmd} add deny udp from any to ${net}:${mask} 1434
>
>  # Impede Pacotes NT
>  ${fwcmd} add deny udp from any to ${net}:${mask} 137-139
>
>  # Impede pacotes de BOOTP/DHCP e NETBIOS
>  ${fwcmd} add deny udp from any to ${net}:${mask} 67
>  ${fwcmd} add deny tcp from any to ${net}:${mask} 137-139
>
>  # Para uso do Proxy Transparente
>  ${fwcmd} add allow tcp from ${ip} to any
>  ${fwcmd} add fwd 127.0.0.1,3128 tcp from ${net}:${mask} to any 80
>
>  # Permite conexoes TCP ja estabelecidas
>  ${fwcmd} add pass tcp from any to any established
>
>  # Telefone IP
>  ${fwcmd} add pass ip from any to xxx.xxx.xxx.36
>  ${fwcmd} add pass ip from xxx.xxx.xxx.36 to any
>
>  # Permite conexao a este firewall via SSH
>  ${fwcmd} add pass tcp from xxx.xxx.xxx.8 to ${ip} 22 setup
>  ${fwcmd} add pass tcp from xxx.xxx.xxx.38 to ${ip} 22 setup
>  ${fwcmd} add pass tcp from xxx.xxx.xxx.60 to ${ip} 22 setup
>  ${fwcmd} add deny tcp from any to ${ip} 22
>
>  # Peemitir entrada de Correio Eletronico
>  ${fwcmd} add pass tcp from any to xxx.xxx.xxx.34 25  setup
>
>  # Permitir acesso ao DNS
>  ${fwcmd} add pass udp from any to any 53 keep-state
>
>  # Permite a transferencia de zona com o Guanabara
>  ${fwcmd} add pass tcp from ${dns5} to ${dns1} 53 setup
>
>  # Permite acesso aos servidores HTTP
>  ${fwcmd} add pass tcp from any to xxx.xxx.xxx.34 80 setup
>  ${fwcmd} add pass tcp from any to xxx.xxx.xxx.60 80 setup
>
>  # Permite acesso aos servidores HTTPS
>  ${fwcmd} add pass tcp from any to xxx.xxx.xxx.34 443 setup
>  ${fwcmd} add pass tcp from any to xxx.xxx.xxx.60 443 setup
>
>  # Permite acesso aos servidores FTP
>  ${fwcmd} add pass tcp from any to xxx.xxx.xxx.59 20,21 setup
>  ${fwcmd} add pass tcp from any 1024-65535 to xxx.xxx.xxx.59 2048-2148
>
>  # Permite atualizacoes NTP
>  ${fwcmd} add pass udp from any to any 123 keep-state
>
>  # Bloquear iMesh versao 1
>  ${fwcmd} add deny tcp from ${net}:${mask} to any 5000
>
>  # Bloquear Napster
>  ${fwcmd} add deny tcp from ${net}:${mask} to any
> 6699,,,,,
>
>  # Bloquear MSN
>  ${fwcmd} add deny tcp from any to any 1863
>
>  # Bloquear IRC
>  ${fwcmd} add deny tcp from

Re: [FUG-BR] IPFW não funciona por muito tempo

2006-04-24 Por tôpico Tiago N. Sampaio 
CP e UDP externa
>  ${fwcmd} add pass tcp from ${ip}:${mask} to any
>  ${fwcmd} add pass udp from ${ip}:${mask} to any
>
>  # Permite a entrada de pacotes ICMP dos tipos echo, echo reply
>  # e destination unreachable
>  ${fwcmd} add pass icmp from any to ${net}:${mask} icmptypes 0,3,8
>
>  # Permite saida de pacotes ICMP
>  ${fwcmd} add pass icmp from ${net}:${mask} to any
>
>  # Negar tudo. Por aqui, nao passa mais nada. Foda-se!
>  ${fwcmd} add deny all from any to any
>
>  # Everything else is denied by default, unless the
>  # IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
>  # config file.
>
>
>
> - Original Message - 
> From: "Celso Viana" <[EMAIL PROTECTED]>
> To: "Lista de discussao sobre FreeBSD" 
> Sent: Monday, April 24, 2006 11:56 AM
> Subject: Re: [FUG-BR] IPFW não funciona por muito tempo
>
>
> Não está sendo criada nenhuma regra dinâmica que bloqueia tudo? Pode
> postar suas regras para analisarmos?
>
> Celso
>
> Em 24/04/06, Armindo S. Gomes<[EMAIL PROTECTED]> escreveu:
>   
>> Prezados,
>>
>> Estou tentando migrar meu firewall, que atualmente é um FreeBSD 4.9, para 
>> o
>> FreeBSD 6. O problema é que, depois de cerca de 5-10 minutos funcionando
>> como ele tem que funcionar (entre o roteador e o switch) ele simplesmente
>> começa a recusar qq pacote. Aí basta eu adicionar uma regra no topo da 
>> lista
>> liberando todo o tráfego que ele volta a funcionar, mesmo depois de 
>> retirada
>> a regra. Aí depois de 5-10 minutos ele volta com o problema...
>>
>> Alguém teria idéia do que seja isso?
>>
>> Lembro que estou usando o mesmo conjunto de regras em ambos.
>>
>> Desde já agradeço!
>>
>> 
>> Armindo Gomes
>> Rede de Tecnologia do Rio de Janeiro
>> Informática
>> Tel.: 21 2221 9292 | Cel.: 21 8153 2759
>>
>>
>> ___
>> freebsd mailing list
>> freebsd@fug.com.br
>> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>>
>> 
>
>
> --
> Celso Vianna
> BSD User: 51318
> http://www.bsdcounter.org
>
> 63 8404-8559
> Palmas/TO
> ___
> freebsd mailing list
> freebsd@fug.com.br
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
>
> ___
> freebsd mailing list
> freebsd@fug.com.br
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>   

___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br