[FUGSPBR] Erro na sequencia de Firewall
Marcelo Eyng
marcelo em viamax.com.br
Qua Dez 12 11:43:24 BRST 2001
Segui os conselhos abaixo, porém continuo tendo problemas
estou tomando a liberdade de enviar meu arquivo de regras de firewall
reduzido.. para caso alguem possa me ajudar a achar o problema.:
quando carrego as regras de firewall os micros que marquei na sequencia de
regras 500, deixam de acessar os sites que estão nas regras 1000.
###################### Meu arquivo de firewall (os ............ representam
que as regras continuam)
###################### Comentei as linhas para envio do e-mail
#ipfw -f flush
#ipfw add 50 divert 8668 ip from any to any via ed0
##### Micros com acesso livre
#ipfw add 500 allow ip from 192.168.44.81 to any
.........
##### internos (toda rede pode acessar os servidores)
#ipfw add 510 allow ip from 192.168.44.0/24 to 192.168.44.11 (servidor
FreeBsd)
#ipfw add 511 allow ip from 192.168.44.0/24 to 200.196.X.X
#ipfw add 512 allow ip from 192.168.44.0/24 to 200.196.X.X
#ipfw add 513 allow ip from 192.168.44.0/24 to 200.196.X.X
#ipfw add 514 allow ip from 192.168.44.0/24 to 200.196.X.X
#ipfw add 515 allow ip from 192.168.44.0/24 to 200.196.X.X
#ipfw add 516 allow ip from 192.168.44.0/24 to 200.196.X.X
#ipfw add 517 allow ip from 192.168.44.0/24 to 192.168.44.22 (servidor W2K
server)
#ipfw add 518 allow ip from 192.168.44.0/24 to 192.168.44.33 (servidor NT4
server)
##### Bloqueio de Sites
#www.hotmail.com
#ipfw add 1100 deny ip from any to 64.4.43.7
.....
#### SITES LIBERADOS
##### Sites de Banco
#Banco do Brasil
#ipfw add 2000 allow ip from any to 170.66.1.11
........
#### Universidades
#UFSC
#ipfw add 2051 allow ip from any to 150.162.0.0/16
...........
#### Sites para trabalho
#www.listasdaqui.com.br
.....
#www.anatel
#ipfw add 2134 allow ip from any to 200.252.158.0
##### Libera Acesso Interno
#ipfw add 3000 allow ip from 192.168.44.11 to any
#ipfw add 3001 allow ip from 192.168.44.22 to any
#ipfw add 3002 allow ip from 192.168.44.33 to any
##### libera micros com acesso "full" menos para os sites bloqueados acima
#ipfw add 3003 allow ip from 192.168.44.55 to any
..................
#########
#ipfw add 65534 deny log all from any to any
----- Original Message -----
From: "Alexandre D. Bensi (Aledon)" <alexandre em dep.ufscar.br>
To: <fugspbr em fugspbr.org>
Sent: Monday, December 10, 2001 9:25 AM
Subject: Re: [FUGSPBR] Erro na sequencia de Firewall
> Eh... tem algumas coisas estranhas...
> >
> > 10001 allow log tcp from any to 200.196.18.179 21,22,25,80,110 via ed0
> > 10002 deny log tcp from any to 200.196.X.X via ed0
>
> Bom, vc abriu conexão para as portas 21,22,25,80,110 mas depois negou
> todo resto... não pode, vc tem que abrir todas as portas acima da 1024
> (na verdade 1023) para resposta.
>
> > 65000 allow ip from any to any
> > 65001 deny log tcp from any to any 80
> > 65534 deny log all from any to any
>
> Depois vc abriu tudo, e fechou novamente... ?!? o IPFW vai morrer na
> primeira regra que casar com o pedido, nem vai chegar nessa ultima.
>
> Se vc quer contar e fazer log, coloque algumas regras no começo (para
> que o IPFW não morra no meio da regra e acabe não chegando até o fim)
> com a opcao count:
>
> > 65001 count log tcp from any to any 80
> []'s!
> --
> Atenciosamente,
> Alexandre D. Bensi (Aledon)
> System/Network Administrator
> --
> Icq Uin: 118731900
> E-Mail: echo alexandre dep p ufscar p br | sed 's/ /@/;s/ p /./g'
> --
> This mail send through Unix FreeBSD 4.4 STABLE - The Power to Serve
> ----
> Para sair da lista envie um e-mail para majordomo em fugspbr.org
> com as palavras "unsubscribe fugspbr" no corpo da mensagem.
>
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
Mais detalhes sobre a lista de discussão freebsd