[FUGSPBR] Duvidas com regras do IPFilter

Marcelo Gondim gondim em databras.com.br
Seg Nov 1 19:22:20 BRT 2004 

Olá pessoal,

Comecei a brincar com o FreeBSD 5.3 + IPFilter em uma VM(Virtual Machine) que 
criei soh pra esses testes.  :)
O FreeBSD tá instalado e com o IP 192.168.0.181. Da minha estação em casa faço 
uma VPN com um servidor de VPN que não vem ao caso e dela consigo pingar 
normalmente e acessar via ssh o FreeBSD instalado. Até aqui tudo bem, até que 
resolvi começar os testes com o IPFilter. Fiz as seguintes configurações:

Copiei o kernel GENERIC para GONDIM e adicionei as seguintes linhas:
options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK

Compilei o kernel e instalei ele da seguinte forma:
cd /usr/src; make buildkernel KERNCONF=GONDIM; make installkernel 
KERNCONF=GONDIM

Configurei o /etc/rc.conf dessa maneira:
ipfilter_enable="YES"             # Start ipf firewall
ipfilter_rules="/etc/ipf.rules"   # loads rules definition text file
ipmon_enable="YES"                # Start IP monitor log
ipmon_flags="-Ds"                # D = start as daemon
                                  # s = log to syslog
                                  # v = log tcp window, ack, seq
                                  # n = map IP & port to names

Fiz um touch /var/log/ipfilter.log e adicionei em /etc/syslogd.conf a linha:
local0.* /var/log/ipfilter.log

No arquivo /etc/ipf.rules coloquei as seguintes regras:
pass out quick on lo0
pass in  quick on lo0
pass out quick on lnc0
pass in quick on lnc0 proto tcp from any to 192.168.0.181/32 port = 22 flags S 
keep state

Após o reboot ou usando ipf -Fa -f /etc/ipf.rules, não sei porque cargas 
d'água não consigo fazer o ssh no FreeBSD(192.168.0.181). Mas se eu trocar a 
última regra pra:
pass in quick on lnc0 from any to any

Funciona perfeitamente, mas não é o tipo de regra que eu gostaria de deixar 
habilitada. heheheheh Tentei adicionar o log na regra e checar o ipfilter.log 
e nada. Aqui está regra modificada:
pass in log quick on lnc0 from any to any

Alguém pode me dar uma ajuda nesse enigma?  :)

[]'s a todos,
Gondim




_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd