Re: [FUG-BR] ipfw com deny sem sentido
Em 8 de fevereiro de 2012 10:04, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd $fw add deny log tcp from any to me 3306 in via em0 Marcelo a linha acima está fazendo isso. -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 1 Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
Em 08/02/2012 10:22, Saul Figueiredo escreveu: Em 8 de fevereiro de 2012 10:04, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd $fw add deny log tcp from any to me 3306 in via em0 Marcelo a linha acima está fazendo isso. Isso eu sei que ela está fazendo, o problema é que a regra anterior libera o acesso, logo não deveria entrar nessa regra. :) First match wins - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
Em 8 de fevereiro de 2012 10:28, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 08/02/2012 10:22, Saul Figueiredo escreveu: Em 8 de fevereiro de 2012 10:04, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd $fw add deny log tcp from any to me 3306 in via em0 Marcelo a linha acima está fazendo isso. Isso eu sei que ela está fazendo, o problema é que a regra anterior libera o acesso, logo não deveria entrar nessa regra. :) First match wins - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Mas lá no man do ipfw, na parte do log ele fala o seguinte: Note: logging is done after all other packet matching conditions have been successfully veri-fied, verified, fied, and before performing the final action (accept, deny, etc.) on the packet. Ou seja, meio bugado, mas normal xD -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 1 Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
Em 08/02/2012 10:35, Saul Figueiredo escreveu: Em 8 de fevereiro de 2012 10:28, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 08/02/2012 10:22, Saul Figueiredo escreveu: Em 8 de fevereiro de 2012 10:04, Marcelo Gondim gon...@bsdinfo.com.brescreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd $fw add deny log tcp from any to me 3306 in via em0 Marcelo a linha acima está fazendo isso. Isso eu sei que ela está fazendo, o problema é que a regra anterior libera o acesso, logo não deveria entrar nessa regra. :) First match wins - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Mas lá no man do ipfw, na parte do log ele fala o seguinte: Note: logging is done after all other packet matching conditions have been successfully veri-fied, verified, fied, and before performing the final action (accept, deny, etc.) on the packet. Ou seja, ele loga antes de qualquer deny ou accept. Nesse caso ele estaria gerando um log mesmo se o pacote não tivesse sido negado? Nossa muito estranho isso. No meu entendimento ele só deveria gerar um log nessa situação se realmente houvesse um drop nessa regra. A não ser que o número de conexões vindas daquele IP para o mysql tivesse passando de 100. Nesse caso a regra deixaria passar e entraria no drop. Mas não acredito ou não quero acreditar que o IP da outra ponta está conectando mais de 100 vezes no mysql porque é uma página web e ela está em uma máquina não divulgada ainda e só tem eu acessando ela para testes. Ou seja, meio bugado, mas normal xD - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
Em 8 de fevereiro de 2012 10:48, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 08/02/2012 10:35, Saul Figueiredo escreveu: Em 8 de fevereiro de 2012 10:28, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 08/02/2012 10:22, Saul Figueiredo escreveu: Em 8 de fevereiro de 2012 10:04, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd $fw add deny log tcp from any to me 3306 in via em0 Marcelo a linha acima está fazendo isso. Isso eu sei que ela está fazendo, o problema é que a regra anterior libera o acesso, logo não deveria entrar nessa regra. :) First match wins - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Mas lá no man do ipfw, na parte do log ele fala o seguinte: Note: logging is done after all other packet matching conditions have been successfully veri-fied, verified, fied, and before performing the final action (accept, deny, etc.) on the packet. Ou seja, ele loga antes de qualquer deny ou accept. Nesse caso ele estaria gerando um log mesmo se o pacote não tivesse sido negado? Nossa muito estranho isso. No meu entendimento ele só deveria gerar um log nessa situação se realmente houvesse um drop nessa regra. A não ser que o número de conexões vindas daquele IP para o mysql tivesse passando de 100. Nesse caso a regra deixaria passar e entraria no drop. Mas não acredito ou não quero acreditar que o IP da outra ponta está conectando mais de 100 vezes no mysql porque é uma página web e ela está em uma máquina não divulgada ainda e só tem eu acessando ela para testes. Ou seja, meio bugado, mas normal xD - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd rsrsrsrsrsr por isso que disse... é meio bugado eu também pensava assim... ou talves não seja um bug, pode ter sido feito para ser assim... vai entender... -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 1 Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
Em 08/02/2012 10:51, Saul Figueiredo escreveu: Em 8 de fevereiro de 2012 10:48, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 08/02/2012 10:35, Saul Figueiredo escreveu: Em 8 de fevereiro de 2012 10:28, Marcelo Gondim gon...@bsdinfo.com.brescreveu: Em 08/02/2012 10:22, Saul Figueiredo escreveu: Em 8 de fevereiro de 2012 10:04, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd $fw add deny log tcp from any to me 3306 in via em0 Marcelo a linha acima está fazendo isso. Isso eu sei que ela está fazendo, o problema é que a regra anterior libera o acesso, logo não deveria entrar nessa regra. :) First match wins - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Mas lá no man do ipfw, na parte do log ele fala o seguinte: Note: logging is done after all other packet matching conditions have been successfully veri-fied, verified, fied, and before performing the final action (accept, deny, etc.) on the packet. Ou seja, ele loga antes de qualquer deny ou accept. Nesse caso ele estaria gerando um log mesmo se o pacote não tivesse sido negado? Nossa muito estranho isso. No meu entendimento ele só deveria gerar um log nessa situação se realmente houvesse um drop nessa regra. A não ser que o número de conexões vindas daquele IP para o mysql tivesse passando de 100. Nesse caso a regra deixaria passar e entraria no drop. Mas não acredito ou não quero acreditar que o IP da outra ponta está conectando mais de 100 vezes no mysql porque é uma página web e ela está em uma máquina não divulgada ainda e só tem eu acessando ela para testes. Ou seja, meio bugado, mas normal xD - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd rsrsrsrsrsr por isso que disse... é meio bugado eu também pensava assim... ou talves não seja um bug, pode ter sido feito para ser assim... vai entender... Sabe o que parece? Que em algum momento o stateful falha e o pacote não é reconhecido aí ele descarta e vai pro drop. Eu uso na regra o setup e o limit, o setup obriga o 3 way handshake e o limit faz o stateful com a limitação de conexões. Só vejo isso, na comunicação algum pacote não é reconhecido no state e cai no drop. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
2012/2/8 Marcelo Gondim gon...@bsdinfo.com.br: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Quantos programas estão acessando o MySQL? E eles estão sendo educados e encerrando a conexão, ou estão saindo à francesa, sem encerrar a conexão, e ela fica aberta até dar timeout? João Rocha. Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. http://jgoffredo.blogspot.com goffr...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
Em 08/02/2012 11:36, Joao Rocha Braga Filho escreveu: 2012/2/8 Marcelo Gondimgon...@bsdinfo.com.br: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Quantos programas estão acessando o MySQL? E eles estão sendo educados e encerrando a conexão, ou estão saindo à francesa, sem encerrar a conexão, e ela fica aberta até dar timeout? Olá João, Foi exatamente isso que perguntei ao programador ainda agora por e-mail, se ele está fechando as conexões corretamente porque se não tiver, pode estar saindo por timeout o stateful e aí os próximos pacotes estariam fora mesmo. O padrão inclusive são 5 minutos o timeout do ack: net.inet.ip.fw.dyn_ack_lifetime=300 net.inet.ip.fw.dyn_syn_lifetime=20 net.inet.ip.fw.dyn_fin_lifetime=1 Pelo que conheço o programador pode realmente ser esse o problema. rsrsrs João Rocha. Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
Em 08/02/2012 13:48, Eduardo Schoedler escreveu: Você esta liberando somente o 'setup', sem 'keep-state'. Coloque na primeira linha do seu firewall um 'check-state' e faca essa alteração do 'keep-state'. Opa Eduardo, Eu tenho o check-state no topo do Firewall já. Só coloquei essas 2 linhas pertinentes ao problema mesmo. No caso eu tenho setup e tenho o limit. O limit tem a função do keep-state só que com limite de conexões, ou se usa o keep-state ou se usa o limit. Ainda acho que pode ser o lance do fechamento das conexões. Coisa errada na programação do site mesmo. -- Eduardo Schoedler Enviado via iPhone Em 08/02/2012, às 10:04, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
É um php que esta se conectando ao seu servidor mysql? Se for, ele nao utiliza conexões persistentes... são varias conexões por segundo. Tente aumentar esse limite ou ate mesmo tira-lo e coloque o keep-state no seu lugar. -- Eduardo Schoedler Enviado via iPhone Em 08/02/2012, às 16:21, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 08/02/2012 13:48, Eduardo Schoedler escreveu: Você esta liberando somente o 'setup', sem 'keep-state'. Coloque na primeira linha do seu firewall um 'check-state' e faca essa alteração do 'keep-state'. Opa Eduardo, Eu tenho o check-state no topo do Firewall já. Só coloquei essas 2 linhas pertinentes ao problema mesmo. No caso eu tenho setup e tenho o limit. O limit tem a função do keep-state só que com limite de conexões, ou se usa o keep-state ou se usa o limit. Ainda acho que pode ser o lance do fechamento das conexões. Coisa errada na programação do site mesmo. -- Eduardo Schoedler Enviado via iPhone Em 08/02/2012, às 10:04, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
Em 08/02/2012 18:54, Eduardo Schoedler escreveu: É um php que esta se conectando ao seu servidor mysql? Se for, ele nao utiliza conexões persistentes... são varias conexões por segundo. Tente aumentar esse limite ou ate mesmo tira-lo e coloque o keep-state no seu lugar. Opa Eduardo, Podes crer, acabei de pegar um php dele aqui e ele não tá usando pconnect. Vou pedir pra ele trocar e fazer novos testes. Grande abraço -- Eduardo Schoedler Enviado via iPhone Em 08/02/2012, às 16:21, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Em 08/02/2012 13:48, Eduardo Schoedler escreveu: Você esta liberando somente o 'setup', sem 'keep-state'. Coloque na primeira linha do seu firewall um 'check-state' e faca essa alteração do 'keep-state'. Opa Eduardo, Eu tenho o check-state no topo do Firewall já. Só coloquei essas 2 linhas pertinentes ao problema mesmo. No caso eu tenho setup e tenho o limit. O limit tem a função do keep-state só que com limite de conexões, ou se usa o keep-state ou se usa o limit. Ainda acho que pode ser o lance do fechamento das conexões. Coisa errada na programação do site mesmo. -- Eduardo Schoedler Enviado via iPhone Em 08/02/2012, às 10:04, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
Bingo. ;-) Se ele usar pconnect e for um site muito acessado, vai estourar o limite de conexões do mysql. Se você já esta liberando no firewall somente para 1 ip, nao tem porque colocar limit. Abraço, -- Eduardo Schoedler Enviado via iPhone Em 08/02/2012, às 20:03, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 08/02/2012 18:54, Eduardo Schoedler escreveu: É um php que esta se conectando ao seu servidor mysql? Se for, ele nao utiliza conexões persistentes... são varias conexões por segundo. Tente aumentar esse limite ou ate mesmo tira-lo e coloque o keep-state no seu lugar. Opa Eduardo, Podes crer, acabei de pegar um php dele aqui e ele não tá usando pconnect. Vou pedir pra ele trocar e fazer novos testes. Grande abraço -- Eduardo Schoedler Enviado via iPhone Em 08/02/2012, às 16:21, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Em 08/02/2012 13:48, Eduardo Schoedler escreveu: Você esta liberando somente o 'setup', sem 'keep-state'. Coloque na primeira linha do seu firewall um 'check-state' e faca essa alteração do 'keep-state'. Opa Eduardo, Eu tenho o check-state no topo do Firewall já. Só coloquei essas 2 linhas pertinentes ao problema mesmo. No caso eu tenho setup e tenho o limit. O limit tem a função do keep-state só que com limite de conexões, ou se usa o keep-state ou se usa o limit. Ainda acho que pode ser o lance do fechamento das conexões. Coisa errada na programação do site mesmo. -- Eduardo Schoedler Enviado via iPhone Em 08/02/2012, às 10:04, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd