[FUGSPBR] Problemas c/ ipfw
Gilliatt Borges Bastos
gilliatt em unsigned.eti.br
Qui Jul 24 06:25:46 BRT 2003
Legal, de uma olhada nestas regras:
# Regra para checagem de regra dinamica
${fwcmd} 1 add check-state
# Regra para liberar trafego em loopback
${fwcmd} 10 add allow ip from any to any via lo0
# Aceitando trafego DNS rede interna e Internet
${fwcmd} 30 add allow tcp from any to ${oip} 53 setup keep-state
${fwcmd} 40 add allow udp from ${oip} to any 53 keep-state
${fwcmd} 50 add allow udp from any to ${oip} 53 keep-state
${fwcmd} 60 add allow tcp from any to ${iipjk} 53 setup keep-state
${fwcmd} 70 add allow udp from ${iipjk} to any 53 keep-state
${fwcmd} 80 add allow udp from any to ${iipjk} 53 keep-state
${fwcmd} 90 add allow tcp from any to ${iiptp} 53 setup keep-state
${fwcmd} 100 add allow udp from ${iiptp} to any 53 keep-state
${fwcmd} 110 add allow udp from any to ${iiptp} 53 keep-state
# Administrador da rede :)
for client in ${admin}
do
${fwcmd} add pass ip from 192.168.${client} to any via ${iif}
${fwcmd} add pass ip from any to 192.168.${client} via ${iif}
done
# Regra para liberar liberar Internet
${fwcmd} 160 add allow tcp from ${netjk} to ${iipjk} 3128 setup keep-state
${fwcmd} 160 add allow tcp from ${nettp} to ${iiptp} 3128 setup keep-state
# Abilitando o NAT total
echo "Abilitando o NAT nas regras de Firewall..."
${fwcmd} 800 add divert natd all from any to any via ${oif}
# Regra que permite trafego saindo pela placa de Internet
${fwcmd} 900 add allow tcp from ${oip} to any out via ${oif}
${fwcmd} 910 add allow tcp from ${web} to ${oip} in via ${oif}
# Regra para Spoofing
${fwcmd} 1000 add deny ip from ${netjk} to any in via ${oif}
${fwcmd} 1100 add deny ip from ${nettp} to any in via ${oif}
${fwcmd} 1200 add deny ip from ${onet} to any in via ${oif}
# Regras para ataque de redes reservadas de acordo com RFC
${fwcmd} 1300 add deny ip from 10.0.0.0/8 to any via ${oif}
${fwcmd} 1400 add deny ip from any to 10.0.0.0/8 via ${oif}
${fwcmd} 1500 add deny ip from any to 172.16.0.0/12 via ${oif}
${fwcmd} 1600 add deny ip from 172.16.0.0/12 to any via ${oif}
${fwcmd} 1700 add deny ip from any to 192.168.0.0/16 via ${oif}
${fwcmd} 1800 add deny ip from 192.168.0.0/16 to any via ${oif}
# Rodando regras para Atacantes
${fwcmd} 65000 add deny all from any to any
Estas são minha regras... gostaria de saber o pq não funciona ?
O que está errado, se alguem puder me explicar...
Aceito qualquer ajuda :)
Em Qui 24 Jul 2003 06:31, Giovanni P. Tirloni escreveu:
> * Gilliatt Borges Bastos (gilliatt em unsigned.eti.br) wrote:
> > Estou montando um firewall com tudo fechado e vou abrindo apenas o que
> > for necessario, mas infelizmente não sonsegui fazer o nat.
> > As outras regras funcionam normalmente. Como fazer um nat de uma maquina
> > interna pata fora quando vc tem o firewall fechado ?
>
> Tente usar keep-state tanto na regra que abre a conexao
> entrante na interface local quanto na que abre a conexao
> na interface externa.
>
> Já tive melhores experiências com ipfilter nesse tipo
> de configuração.
>
> --
> Giovanni P. Tirloni
> http://www.tirloni.org
> _______________________________________________________________
> Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
--
+-------------------------------+
Admistrador de Sistemas/Rede
Jk Comercio e Serviço Ltda
www.jkexpress.com.br
+-------------------------------+
Site: www.unsigned.eti.br
Email unsigned em unsigned.eti.br
Email gborges em jkexpress.com.br
Cel 9593-8333
Res 6605-8195
*-------------------------------+
_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd