Re: [FUG-BR] IPFW não funciona por muito tempo

Seg Abr 24 12:35:43 BRT 2006

Claro!

Assim está a minha rede:

                                           xxx.xxx.xxx.1 
xxx.xxx.xxx.3
------------------| Roteador |----------------------| Firewall(FreeBSD) 
|---------------------------| Switch |----------------

Aí vai:

 # set these to your network and netmask and ip
 net="xxx.xxx.xxx.0"
 mask="255.255.255.0"
 ip="xxx.xxx.xxx.3"

 dns1="xxx.xxx.xxx.38"
 dns2="xxx.xxx.xxx.34"
 dns3="xxx.xxx.xxx.60"
 dns4="xxx.xxx.xxx.3"
 dns5="200.20.94.50"

 setup_loopback

 # Impedindo redes nao-roteaveis RFC1918
 ${fwcmd} add deny all from any to 10.0.0.0/8
 ${fwcmd} add deny all from any to 172.16.0.0/12
 ${fwcmd} add deny all from any to 192.168.0.0/16
 ${fwcmd} add deny all from 10.0.0.0/8 to any
 ${fwcmd} add deny all from 172.16.0.0/12 to any
 ${fwcmd} add deny all from 192.168.0.0/16 to any

 # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
 # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
 ${fwcmd} add deny all from any to 0.0.0.0/8
 ${fwcmd} add deny all from any to 169.254.0.0/16
 ${fwcmd} add deny all from any to 192.0.2.0/24
 ${fwcmd} add deny all from any to 224.0.0.0/4
 ${fwcmd} add deny all from any to 240.0.0.0/4
 ${fwcmd} add deny all from 0.0.0.0/8 to any
 ${fwcmd} add deny all from 169.254.0.0/16 to any
 ${fwcmd} add deny all from 192.0.2.0/24 to any
 ${fwcmd} add deny all from 224.0.0.0/4 to any
 ${fwcmd} add deny all from 240.0.0.0/4 to any

 # Impede ataques DoS do virus SQL Slammer, Sapphire, Worm.SQL.Helkern.
 ${fwcmd} add deny udp from any to ${net}:${mask} 1434

 # Impede Pacotes NT
 ${fwcmd} add deny udp from any to ${net}:${mask} 137-139

 # Impede pacotes de BOOTP/DHCP e NETBIOS
 ${fwcmd} add deny udp from any to ${net}:${mask} 67
 ${fwcmd} add deny tcp from any to ${net}:${mask} 137-139

 # Para uso do Proxy Transparente
 ${fwcmd} add allow tcp from ${ip} to any
 ${fwcmd} add fwd 127.0.0.1,3128 tcp from ${net}:${mask} to any 80

 # Permite conexoes TCP ja estabelecidas
 ${fwcmd} add pass tcp from any to any established

 # Telefone IP
 ${fwcmd} add pass ip from any to xxx.xxx.xxx.36
 ${fwcmd} add pass ip from xxx.xxx.xxx.36 to any

 # Permite conexao a este firewall via SSH
 ${fwcmd} add pass tcp from xxx.xxx.xxx.8 to ${ip} 22 setup
 ${fwcmd} add pass tcp from xxx.xxx.xxx.38 to ${ip} 22 setup
 ${fwcmd} add pass tcp from xxx.xxx.xxx.60 to ${ip} 22 setup
 ${fwcmd} add deny tcp from any to ${ip} 22

 # Peemitir entrada de Correio Eletronico
 ${fwcmd} add pass tcp from any to xxx.xxx.xxx.34 25  setup

 # Permitir acesso ao DNS
 ${fwcmd} add pass udp from any to any 53 keep-state

 # Permite a transferencia de zona com o Guanabara
 ${fwcmd} add pass tcp from ${dns5} to ${dns1} 53 setup

 # Permite acesso aos servidores HTTP
 ${fwcmd} add pass tcp from any to xxx.xxx.xxx.34 80 setup
 ${fwcmd} add pass tcp from any to xxx.xxx.xxx.60 80 setup

 # Permite acesso aos servidores HTTPS
 ${fwcmd} add pass tcp from any to xxx.xxx.xxx.34 443 setup
 ${fwcmd} add pass tcp from any to xxx.xxx.xxx.60 443 setup

 # Permite acesso aos servidores FTP
 ${fwcmd} add pass tcp from any to xxx.xxx.xxx.59 20,21 setup
 ${fwcmd} add pass tcp from any 1024-65535 to xxx.xxx.xxx.59 2048-2148

 # Permite atualizacoes NTP
 ${fwcmd} add pass udp from any to any 123 keep-state

 # Bloquear iMesh versao 1
 ${fwcmd} add deny tcp from ${net}:${mask} to any 5000

 # Bloquear Napster
 ${fwcmd} add deny tcp from ${net}:${mask} to any 
6699,4444,5555,6666,7777,8888

 # Bloquear MSN
 ${fwcmd} add deny tcp from any to any 1863

 # Bloquear IRC
 ${fwcmd} add deny tcp from any to any 6666-6669

 # Bloquear ICQ(4000, 5190), AOL(5190)
 ${fwcmd} add deny tcp from any to any 4000,5190
 ${fwcmd} add deny udp from any to any 4000,5190

 # Bloquear Yahoo! Messenger
 ${fwcmd} add deny tcp from any to any 5050
 ${fwcmd} add deny udp from any to any 5050

 # Permite estabelecer qualquer outra conexao TCP e UDP externa
 ${fwcmd} add pass tcp from ${ip}:${mask} to any
 ${fwcmd} add pass udp from ${ip}:${mask} to any

 # Permite a entrada de pacotes ICMP dos tipos echo, echo reply
 # e destination unreachable
 ${fwcmd} add pass icmp from any to ${net}:${mask} icmptypes 0,3,8

 # Permite saida de pacotes ICMP
 ${fwcmd} add pass icmp from ${net}:${mask} to any

 # Negar tudo. Por aqui, nao passa mais nada. Foda-se!
 ${fwcmd} add deny all from any to any

 # Everything else is denied by default, unless the
 # IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
 # config file.

----- Original Message ----- 
From: "Celso Viana" <celso.vianna em gmail.com>
To: "Lista de discussao sobre FreeBSD" <freebsd em fug.com.br>
Sent: Monday, April 24, 2006 11:56 AM
Subject: Re: [FUG-BR] IPFW não funciona por muito tempo

Não está sendo criada nenhuma regra dinâmica que bloqueia tudo? Pode
postar suas regras para analisarmos?

Celso

Em 24/04/06, Armindo S. Gomes<armindo em redetec.org.br> escreveu:
> Prezados,
>
> Estou tentando migrar meu firewall, que atualmente é um FreeBSD 4.9, para 
> o
> FreeBSD 6. O problema é que, depois de cerca de 5-10 minutos funcionando
> como ele tem que funcionar (entre o roteador e o switch) ele simplesmente
> começa a recusar qq pacote. Aí basta eu adicionar uma regra no topo da 
> lista
> liberando todo o tráfego que ele volta a funcionar, mesmo depois de 
> retirada
> a regra. Aí depois de 5-10 minutos ele volta com o problema...
>
> Alguém teria idéia do que seja isso?
>
> Lembro que estou usando o mesmo conjunto de regras em ambos.
>
> Desde já agradeço!
>
> ____________________________________
> Armindo Gomes
> Rede de Tecnologia do Rio de Janeiro
> Informática
> Tel.: 21 2221 9292 | Cel.: 21 8153 2759
>
>
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>

--
Celso Vianna
BSD User: 51318
http://www.bsdcounter.org

63 8404-8559
Palmas/TO
_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br

_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br