[FUGSPBR] Duvidas com regras do IPFilter

Luis VI ilenich em bbs2.sul.com.br
Ter Nov 2 23:03:56 BRST 2004 

Olá Gondim!

Tá estranho isso ai...

Tem certeza que o ssh tá escutando no IP correto?
No Openssh tem a variável "ListenAddress";

Qual você tá usando?

Teste também o "ipfstat -t" que mostra as conexões como no "top".

Abraço...
Luis



> Em Ter 02 Nov 2004 10:12, Alexandre Vasconcelos escreveu:
>> Marcelo Gondim wrote:
>> > Olá pessoal,
>> >
>> > Comecei a brincar com o FreeBSD 5.3 + IPFilter em uma VM(Virtual
>> Machine)
>> > que criei soh pra esses testes.  :)
>> > O FreeBSD tá instalado e com o IP 192.168.0.181. Da minha estação em
>> casa
>> > faço uma VPN com um servidor de VPN que não vem ao caso e dela consigo
>> > pingar normalmente e acessar via ssh o FreeBSD instalado. Até aqui
>> tudo
>> > bem, até que resolvi começar os testes com o IPFilter. Fiz as
>> seguintes
>> > configurações:
>> >
>> > Copiei o kernel GENERIC para GONDIM e adicionei as seguintes linhas:
>> > options IPFILTER
>> > options IPFILTER_LOG
>> > options IPFILTER_DEFAULT_BLOCK
>>
>> IPFilter 3.4.31, certo? confirma pra mim com ipf -V
>
> ipf: IP Filter: v3.4.35 (336)
> Kernel: IP Filter: v3.4.35
> Running: yes
> Log Flags: 0 = none set
> Default: block all, Logging: available
> Active list: 0
>
>>
>> > Compilei o kernel e instalei ele da seguinte forma:
>> > cd /usr/src; make buildkernel KERNCONF=GONDIM; make installkernel
>> > KERNCONF=GONDIM
>> >
>> > Configurei o /etc/rc.conf dessa maneira:
>> > ipfilter_enable="YES"             # Start ipf firewall
>> > ipfilter_rules="/etc/ipf.rules"   # loads rules definition text file
>> > ipmon_enable="YES"                # Start IP monitor log
>> > ipmon_flags="-Ds"                # D = start as daemon
>> >                                   # s = log to syslog
>> >                                   # v = log tcp window, ack, seq
>> >                                   # n = map IP & port to names
>>
>> Adiciona o "v" no ipmon flags pra gente tentar pegar mais detalhes..
>
> Adicionado  :)
>
>>
>> > Fiz um touch /var/log/ipfilter.log e adicionei em /etc/syslogd.conf a
>> > linha: local0.* /var/log/ipfilter.log
>> >
>> > No arquivo /etc/ipf.rules coloquei as seguintes regras:
>> > pass out quick on lo0
>> > pass in  quick on lo0
>> > pass out quick on lnc0
>> > pass in quick on lnc0 proto tcp from any to 192.168.0.181/32 port = 22
>> > flags S keep state
>>
>> Supondo que lnc0 é a sua única interface além da de loopback, tente
>> remover o flags S e recarregue as regras com ipf -Fa -f /etc/ipf.rules
>
> removi o flags S
>
>>
>> > Após o reboot ou usando ipf -Fa -f /etc/ipf.rules, não sei porque
>> cargas
>> > d'água não consigo fazer o ssh no FreeBSD(192.168.0.181). Mas se eu
>> > trocar a última regra pra:
>> > pass in quick on lnc0 from any to any
>>
>> Uma vez que você colocou ipfilter_enable="YES" no rc.conf, após o reboot
>> não é necessário recarregar as regras, a não ser que você as tenha
>> mudado depois do reboot.
>>
>> > Funciona perfeitamente, mas não é o tipo de regra que eu gostaria de
>> > deixar habilitada. heheheheh Tentei adicionar o log na regra e checar
>> o
>> > ipfilter.log e nada. Aqui está regra modificada:
>> > pass in log quick on lnc0 from any to any
>>
>> Quando estiver tentando dar o ssh a partir de outra máquina neste
>> servidor, entre como root na console e digite ipmon -a e nos envie a
>> saída para analisarmos.
>
> Usando as seguintes regras ainda continuo bloqueado a fazer ssh no
> 192.168.0.181:
>
> pass out quick on lo0
> pass in  quick on lo0
> pass out quick on lnc0
> pass in  quick on lnc0 proto tcp from any to 192.168.0.181 port = 22 keep
> state
>
> No ipmon -a só ficou registrado essa linha:
>
> 02/11/2004 16:06:41.702877 STATE:NEW 192.168.177.2,36124 ->
> 192.168.0.181,22
> PR tcp
>
> []'s
> Gondim
>
>
> _______________________________________________________________
> Para enviar um novo email para a lista: fugspbr em fugspbr.org
> Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>
>

_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd