[FUGSPBR] Problema ao carregar regras de Firewall

Marcelo Eyng marcelo em viamax.com.br
Qua Out 31 17:00:03 BRST 2001


Estou tendo dificuldades em carregar minhas regras de firewall, abaixo minha
configuração.
O problema e que se uso o default "OPEN" do /etc/rc.firewall, funciona sem
problemas, mas quando tento usar meu arquivo de regras, ocorre o seguinte:

1 - minha estação esta com uma regra para acesso livre, antes dos bloqueios,
mas quando carrego o arquivo ele trava os sites que estão bloqueados, mesmo
com uma regra maior que a que libera a minha estaçao.
2 - os micros que nao estão na "secao" de micros liberados perdem o acesso
por completo.


usava este arquivo anteriormente, quando tinha uma conexao PPP dedicada,
quando troquei para um link, a unica diferenca, foi que adicionei a regra 50
do divert, e o resto permaneceu inalterado.

Obrigado

Marcelo Eyng


Obs: as linhas foram comentadas para envio do e-mail


#  firewall_type="/etc/firewall/firewall"  ------- >  do rc.conf


arquivo com regras de firewall  em /etc/firewall/firewall  --> setado com
755


# ipfw -f flush

# Bloqueia pacotes com opções de Source Routing e Record Route do Cabecalho
IP ativadas.
# ipfw add 00001 deny tcp from any to any ipoptions ssrr,lsrr,rr

# Regra anti-spoofing de saída: só permite a saída de pacotes que realmente
estejam utilizando o endereço real da máquina como origem
# ipfw add 00002 deny ip from not 192.168.44.0 to any via ed0 out

# Bloqueio de pacotes com combinações estranhas de flags do protocolo TCP
#ipfw add 00003 deny tcp from any to 192.168.44.0 tcpflags syn,fin
#ipfw add 00004 deny tcp from any to 192.168.44.0 tcpflags syn,rst

# Permite qualquer pacote TCP de conexão já estabelecida
# ipfw add 00008 permit log tcp from any to any establishe
# ipfw add 00028 permit log ip from any to any establishe

# Permite a saída de pacotes tcp, e queries de DNS
# ipfw add 00013 permit tcp from 192.168.44.0 to any via ed0 out
# ipfw add 00014 permit udp from 192.168.44.0 to any 53 via ed0 out

# Permite a entrada de DNS responses
# ipfw add 00015 permit udp from any 53 to 200.196.X.X via ed0 in

# Permite conexões TCP vindas da rede local com destino aos serviços de FTP,
SSH e SMTP, gerando logs de tais conexões
# add 00016 permit log tcp from 192.168.44.0/24 to 200.196.18.179
20,21,22,25,110 setup via ed0 in
# add 00017 permit log tcp from 192.168.44.0/24 to 200.196.18.179
21,22,23,25,110 via ed0 in

###### DIVERT
# ipfw add 50 divert 8668 ip from any to any via ed0

##### Micros com acesso livre
##### Meu micro esta aqui (privilégios!!!!)
# ipfw add 500 allow ip from 192.168.X.X to any

####################################################################
##### Bloqueio de Sites especificos
##### Nesta secao, faco bloqueio de n sites
# ipfw add 1100 deny ip from any to IP_BLOQUEADO

####################################################################
#### SITES LIBERADOS
#### Aqui libero Sites de Utilidade utilizados por todos na empresa
# ipfw add 2000 allow ip from any to IP_LIBERADO
# ipfw add 2051 allow ip from any to 150.162.0.0/16

######################################################
##### Libera Acesso Interno
##### Aqui dou acesso Full a alguns micros da minha lan, com execao dos
sites bloquados acima
# ipfw add 3003 allow ip from 192.168.X.X to any

#ipfw add 10001 allow log tcp from any to 200.196.18.179 21,22,25,80,110 via
ed0
#ipfw add 10002 deny log tcp from any to 200.196.X.X via ed0
# ipfw add 65000 allow ip from any to any
# ipfw add 65001 deny log tcp from any to any 80
# ipfw add 65534 deny log all from any to any

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.fug.com.br/pipermail/freebsd/attachments/20011031/b0b899b3/attachment.html>


Mais detalhes sobre a lista de discussão freebsd