[FUGSPBR] BRIDGE + IPFW

Vini vini em veloxmail.com.br
Ter Set 23 16:48:09 BRT 2003 

Oi gente,

Bom, tudo vai depender...

Se a regra default for DENY:
Sempre que vc der um flush nada mais passará, mas vc pode colocar uma 
regra logo após o flush deixando passar somente conexões estabelecidas,

ipfw add NNN allow from any to any established

duvido que vc perderá algo entre o tempo de dar o flush e colocar a 
regra acima, mas dependendo do seu caso isso pode não ser legal, eu por 
exemplo não faço isso não, quando muito eu deixo passar conexões já 
estabelecidas pra um ip, normalmente o meu.


Se sua regra default é ALLOW:
Realmente vc não perderá as conexões, masss se vc usar regras dinâmicas,
o que é sempre melhor, vc não vai conseguir passar por que normalmente 
uma regra dinâmica tem que ser criada a partir de uma nova conexão, isso 
só vc usou "setup" na regra inicial, então como a conexão já existe não 
vão vir mais pacotes com flag SYN, sendo assim se vc bloquear o trafego 
no final vc não irá passar denovo.

Tudo vai depender na anatomia das suas regras.

Uma coisa que eu fazia com IPFW1 e nunca testei isso com IPFW2, era 
colocar uma regra com keep-state sem o "setup" assim ele deixava passar 
qualquer coisa que viesse por essa regra, então eu podia tirar a regra e 
colocar ela logo depois que não perdia meu ssh.

Se vc puder explicar melhor a anatomia das suas regras aqui talvez 
possamos ajudar melhor.

Esse EXEMPLO talvez resolva seu problema

ifpw add NNN allow tcp from 192.168.0.5 to 192.168.200.15 22 keep-state 
in via xl1

Repare que se vc fizer isso,

ifpw add NNN allow tcp from 192.168.0.5 to 192.168.200.15 22 setup 
keep-state in via xl1

Só valerá para conexões novas, e eu só testei isso com ipfw1, se vc 
tiver o ipfw2, testa e conta o resultado pra gente aqui.

LEMBRE-SE QUE QUANDO VC ESTA USANDO UMA BRIDGE VC SÓ CONSEGUE 
ESPECIFICAR A INTERFACE DE ENTRADA E NUNCA A DE SAÍDA.

Espero ter ajudado...

Até mais
Vini


Renato Botelho escreveu:
> Julio Cesar Dutra Junior wrote:
> 
>> Olá a todos.
>> Tenho uma bridge com ipfw rodando numa boa.
>> Quando executo o script de firewall, na mão, para atualizar as regras 
>> correntes, são cortadas todas as coneções.
>> No inicio do script, limpo todas as regras com:
>>
>> ipfw -F flush
>>
>> Como soluciono este problema, fazendo com que as conecções 
>> estabelecidas não sejam interrompidas?
>>
> 
> Se vc colocar o ipfw como DEFAULT_TO_ACCEPT eu acho que nao vai mais 
> acontecer isso, porque hoje, quando voce dah o flush, a unica regra que 
> fica eh a "deny ip from any to any", por isso, todas sao cortadas, eu 
> acredito que essa mudanca seja suficiente, me corrijam se eu estiver 
> errado.
> 
> Para colocar o default to accept eh soh colocar a seguinte linha no seu 
> kernel
> 
> optione IPFIREWALL_DEFAULT_TO_ACCEPT
> 
> e recompilar o mesmo.
> 
> []s
> 
> Renato
> 
> _______________________________________________________________
> Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> 
> 


_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd