Em Qui, 2006-08-03 às 13:51 -0300, Nenhum _de_Nos escreveu:
> On 8/3/06, Marcello Costa <unixmafia at yahoo.com.br> wrote:
> > Em Qui, 2006-08-03 às 10:33 -0300, Suporte Planet Hardware escreveu:
> > > Mais ai vc ta bloqueando todo o meu trafego da porta 1-1024 ???
> > >
> > Sim , todas as portas de serviços
>
> entendo e concordo ...
>
> > Um desktop(client) usa portas acima da 1024 para se conectar as portas
> > de serviço( de 1 a 1024) , portanto se nos clientes não se roda nenhum
> > serviço , seja smtp,pop,http,ntp etc , pode bloquear todo o trafego dos
> > ips da sua rede que saem abaixo da porta 1024, exeções vc adiciona uma
> > regra asntes liberando o serviço
>
> nao seriam q chegam nao??
> qd eu faco telnet uol.com.br 80 eu tenho um trafego de saida da rede,
> abaixo de 1k, e eh legitmo :)
>
> > o melhor é essa aqui mesmo
> >
> > ipfw add 6501 deny log ip from minharede/xx dst-port 1-1024 to any in
> > via interface_interna
>
> se eles nao vao prover servicos, nao seria ai o from not minha rede ?
>
> desculpa se falei besteira ...
> mas entendi q vc quer barrar um cliente por ex criando servidores
>
> > se quiser bloquear todos os smtps em sua rede seria
> >
> > ipfw add 6499 deny log ip from minharede/xx smtp to any in
> > via interface_interna
> >
> > isso iria bloquear o pessoal enviando spans de servidores de email
> > fajutos, propagação de virus, etc...
> >
> > coloque como log , escolha um ip qualquer , e monitore pelos logs , vc
> > vai perceber isso direitinho
> >
> > tem até um exemplo , badguys godguys no man do ipfw
> >
> > []'s
> > --
> > Marcello Costa
> > BSD System Engineer
> > unixmafia at yahoo dot com dot br
>
> matheus
>
Matheus , mas na verdade voce pode fazer a regra tanto com "not" ou
sem , na verdade a lógica dá regra é que vale, qual pacote vai passar e
qual vai barrar
Nesse caso que citei de exemplo realmente é para barrar todo tipo de
servidor , quase todos , menos os que usam portas altas e/ou randomicas
como p2p , mas boa parte disso vc barra bloqueando as udps que não sejam
abaixo da porta 1024 tb.
O firewaal analisa sua regra 4 vezes (match), entrada e saida de cada
interface , mas ele sabe se vc liberou ou bloqueou aquele pacote
PACKET FLOW
A packet is checked against the active ruleset in multiple places in the
protocol stack, under control of several sysctl variables. These places
and variables are shown below, and it is important to have this picture
in mind in order to design a correct ruleset.
^ to upper layers V
| |
+----------->-----------+
^ V
[ip(6)_input] [ip(6)_output] net.inet.ip.fw.enable=1
| |
^ V
[ether_demux] [ether_output_frame] net.link.ether.ipfw=1
| |
+-->--[bdg_forward]-->--+ net.link.ether.bridge_ipfw=1
^ V
| to devices |
As can be noted from the above picture, the number of times the same
packet goes through the firewall can vary between 0 and 4 depending on
packet source and destination, and system configuration.
então as regras :
ipfw add 6501 deny log ip from minharede/xx dst-port 1-1024 to any in via interface_interna
ipfw add 6501 deny log ip from any to minharede/xx dst-port 1-1024 in
via interface_externa
No final fazem a mesma coisa , mas a boa prática recomendado fazer match
de pacotes sempre na entrada , essa segunda regra é melhor porque impede
que o pacote alcance sua rede enquanto a primeira impede que sua rede
envie a resposta
agora essa regra:
ipfw add 6501 deny log from any to not minha_rede dst-port 1-1024
essa regra vc vai bloquear acesso as portas de 1-1024 de todos os ip's
que não fazem parte da sua rede , ou seja , exatamente ao contrário do
desejado.
um telnet uol.com.br 80 abre uma conexao de uma porta acima da 1024 da
maquina que solicitou para a porta 80 do servidor uol , isso vc não
deseja bloquear, uma regra que liberaria isso seria :
trafego de saida :
ipfw add numerodaregra tcp from minharede/xy to uol.com.br 80
trafego de entrada do pacote :
ipfw add numerodaregra tcp from uol.com.br 80 to minharede/xy
dinâmica :
ipfw add numerodaregra tcp from minharede/xy to uol.com.br http
keep-state
Tem uns bons tutorias de ipfw , na freebsdbrasil.com.br tem em portugues
bem explicadinho.
[]'s
--
Marcello Costa
BSD System Engineer
unixmafia at yahoo dot com dot br
_______________________________________________________
Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora!
http://br.mobile.yahoo.com/mailalertas/