[FUGSPBR] regras ipfw

Max ldd em starweb.com.br
Sáb Jun 29 12:36:35 BRT 2002 

Prezados,

  Desculpe insistir neste assunto novamente, mais por mais que procure,
ainda não consegui encontrar uma solução para meu caso, e lendo o tutorial
em portugues do ipfw (http://free.bsd.com.br/~eksffa/freebsd/ipfw.php), me
deparei com meu caso, mais mesmo assim todas as tentativas foram sem sucesso
. abaixo reproduzo a parte do tutorial :

"                    Vamos analizar um caso especial: FTP. Se você fosse
fazer um firewall cujas regras fossem exclusivamente 'stateless', você teria
que manter todas as portas entre a 1024 e a 65000 abertas. O motivo é
simples, o protocolo FTP é um protocolo revoltadinho que estabelece suas
conexões em qualquer porta não reservada, ou seja qualquer porta acima da
1024. Uma solução não muito prática é liberar as portas 21 e 22 de forma
'stateless' e forçar seus clientes FTP a estabelecerem conexões
exclusivamente não-passivas (FTP Modo Passivo). O problema é que nem todos
os seus clientes (como os que usam Windows por exemplo) tem muita noção de
FTP a ponto de coloca-lo em modo nãp-passivo, por mais simples que isso
seja. Nesse caso, portanto, permitimos a inicialização de uma conexão na
porta 21 (onde todas as requisições FTP iniciam) e posteriormente permitimos
o roteamento de pacotes pertencentes à essa conexão por qualquer porta
(utilizando "stablished"). Essa é a forma mais eficiente de se controlar FTP
via firewall, e essa prática pode ser adotada pra outros serviços que tenham
comportamente similar a esse."

No meu caso tb não quero deixar as portas 1024 a 65000 abertas e não posso
forçar a todos o usuarios a utilizarem o ftp no modo passivo.

Então ao meu entender tentei adicionar a seguite regra :

/sbin/ipfw add allow tcp from any to any 21 setup tentei tb :

/sbin/ipfw add allow tcp from any to any 21 keep-state

NÃO DEU CERTO . Então, como seria a regra que permitiria a inicialização de
uma conexão na porta 21 (onde todas as requisições FTP iniciam) e
posteriormente permitir  o roteamento de pacotes pertencentes à essa conexão
por qualquer porta (utilizando "stablished").  como diz o tutorial?

Minhas outras regras são :

/sbin/ipfw add allow all from 192.168.10.0:255.255.255.224 to any via any
/sbin/ipfw add pass tcp from any to any established
/sbin/ipfw add pass all from any to any frag
/sbin/ipfw  add deny all from any to any

Lembrando que as conexões (FTP) serão realizadas de dentro para fora da
minha rede, pois não possuo nenhum servidor ftp.


Agradeço qualquer dica, docs , etc e tb pela paciencia de lerem um e-mail
deste tamnaho!

Max





>
>----- Original Message -----
>From: "irado furioso com tudo" <irado em freeshell.org>
>To: <fugspbr em fugspbr.org>
>Sent: Wednesday, June 26, 2002 3:44 PM
>Subject: Re: [FUGSPBR] regras ipfw
>
>
>> Em  Wed, 26 Jun 2002 15:04:28 -0300
>> "Max" <ldd em starweb.com.br>, conhecido dependente de drogas (Coke e
>> BigMac's), wrote:
>>
>> > Amigos,
>> >
>>
>> > por telnet, ssh. Por ftp, consigo conectar em site externos, mais só
>> > isso, não consigo listar diretorios. Quando executo comandos como
>> > "ls" "dir" a conexao para e não é listado nada.
>> >
>>
>> você precisa estabelecer conexão passiva de ftp. Não tem a ver
>> (diretamente) com as regras do fw. Experimente, por exemplo, com o
>> /stand/sysinstal - instalar pacotes. Em ftp convencional, não conecta
>> nunca, com o passivo fica tudo ok.
>>


______________________________________________
http://www2.fugspbr.org/mailman/listinfo/fugspbr

Mais detalhes sobre a lista de discussão freebsd