[FUGSPBR] duvida ipfw

louis louis louislula em hotmail.com
Qui Set 16 11:59:58 BRT 2004 

O interessante eh primeiro vc montar um firewall enxuto, sem servicos 
adicionais, depois vc trabalha as regras em servidores a parte!


>From: Eduardo Crestani <eduardocrestani em uol.com.br>
>Reply-To: fugspbr em fugspbr.org
>To: Lista BSD <fugspbr em fugspbr.org>
>Subject: [FUGSPBR] duvida ipfw
>Date: Thu, 16 Sep 2004 09:10:29 -0300
>
>Pessoal,
>
>Ha algum tempo estou tentando configurar meu ipfw num servidor que montei. 
>O
>servidor fornecesse os seguintes serviços:
>-NAT
>-Bind
>-Samba
>-Firebird 1.5
>
>O que ocorre é que eu não consigo fechar todas as portas, se eu fecho os
>usuário na rede interna não consegue navegar ou compartilhar os recursos do
>samba.
>E se eu libero, fico desprotegido, com as seguintes portas abertas:
>
>22/tcp   open     ssh
>53/tcp   open     domain
>135/tcp  filtered msrpc
>139/tcp  filtered netbios-ssn
>445/tcp  filtered microsoft-ds
>593/tcp  filtered http-rpc-epmap
>1214/tcp filtered fasttrack
>4444/tcp filtered krb524
>6346/tcp filtered gnutella
>
>Já tentei de tudo, mas não consigo acertar esse script para que ele ao 
>mesmo
>tempo dê segurança ao servidor e forneça todos os serviços para as 
>estações.
>
>Obs: eu ja tentei dar um deny nessas portas que estão abertas...mas parece 
>que
>não adianta muito, e elas continuam abertas. Alguém teria como me ajudar?
>
>Eis meu script do ipfw:
>
>fwcmd="/sbin/ipfw"
>
>ip="<IP EXTERNO DO SERVIDOR>"
>ip_interno="192.168.66.0/24"
>ip_serv="192.168.66.2"
>interf="rl1"
>interf2="rl0"
>
>$fwcmd -f flush
>
>#libera tudo
>#$fwcmd add pass all from any to any
>
>#libera o nat
>$fwcmd add divert natd all from any to any via ${interf}
>
>#libera tudo
>$fwcmd add allow ip from any to any via ${interf}
>
>#libera ssh
>$fwcmd add allow tcp from any to ${ip} 22 via ${interf}
>
>#permite conexoes ja estabelecida
>$fwcmd add pass tcp from any to any established
>
>#permite conexoes frag.
>$fwcmd add pass all from any to any frag
>
>#permite saida
>$fwcmd add allow tcp from any to any out
>
>#lib dns,ntp
>$fwcmd add pass udp from ${ip_interno} to any 53,123 keep-state
>$fwcmd add pass udp from any 53,123 to ${ip_interno} keep-state
>
>#reseta o serv. de auth
>$fwcmd add reset log tcp from any to me 113 in recv any
>
>#libera icmp
>$fwcmd add allow icmp from any to any icmptypes 0,3,8,11,12,13,14
>
>#rejeita desnecessarios
>$fwcmd add deny ip from any to ${ip} 53,135,139,445,593,4444,5000 via
>${interf}
>
>#rejeita e manda pro log
>$fwcmd add deny log all from any to any in via ${interf}
>
>
>
>
>
>--
>EDUARDO CRESTANI
>Programador | UIN# 38352716
>FreeBSD 5.2.1 | Slack 10
>
>_______________________________________________________________
>Para enviar um novo email para a lista: fugspbr em fugspbr.org
>Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

_________________________________________________________________
MSN Messenger: converse com os seus amigos online.  
http://messenger.msn.com.br

_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd