[FUG-BR] RES: Bloquear porta com ipfw.
Junior Pires
junior em gujao.com
Sexta Agosto 11 11:41:26 BRT 2006
> Juliano Benassi wrote:
>> Felippe,
>>
>> O que quer dizer o "dst-port"?
>> Eu uso apenas: ipfw add deny tcp from any to me 22
>>
>> Att.
>> Juliano L. Benassi
>>
>>
>> ----- Original Message -----
>> From: "Felippe de Meirelles Motta" <lippebsd em gmail.com>
>> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)""
>> <freebsd em fug.com.br>
>> Sent: Friday, August 11, 2006 10:22 AM
>> Subject: Re: [FUG-BR] RES: Bloquear porta com ipfw.
>>
>>
>> duany em feesc.org.br wrote:
>>
>>> Eu uso assim
>>> $IPFW add 209 deny all from any to any 6667
>>> $IPFW add 210 deny all from any to any 5190
>>> $IPFW add 211 deny all from any to any 1863
>>>
>>> -----Mensagem original-----
>>> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
>>> nome
>>> de Chacal4P
>>> Enviada em: sexta-feira, 11 de agosto de 2006 08:59
>>> Para: freebsd em fug.com.br
>>> Assunto: [FUG-BR] Bloquear porta com ipfw.
>>>
>>> Olá,
>>>
>>> Estou tentando bloquear umas portas mas não esta dando certo, veja as
>>> regras que já usei:
>>>
>>> $IPFW add deny ip from any to any 8080 via rl0 $IPFW add deny ip from
>>> ip
>>> to any 8080 via rl0 $IPFW add deny ip from any to any 8080 via rl0
>>> layer2
>>> $IPFW add deny ip from any to any 8080 via rl0 no layer2
>>>
>>> Minhas regras completas estão assim:
>>>
>>> #!/bin/sh
>>>
>>> # Limpa todas as regras
>>> $IPFW -f flush
>>>
>>> # Desativa passagem unica
>>> $IPFW disable one_pass
>>>
>>> # Permite layer2 em lo0 e interface externa $IPFW add permit all from
>>> any
>>> to any layer2 via lo0 $IPFW add permit all from any to any layer2 via
>>> rl0
>>>
>>> # Bloqueia porta para fora (não funciona) $IPFW add deny ip from any to
>>> any 8080 via rl0 $IPFW add deny ip from any to any 3128 via rl0
>>>
>>> # Redirecionamento Squid para minha rede interna $IPFW add fwd
>>> 127.0.0.1,3128 tcp from 192.168.1.0/30 to any 80 $IPFW add fwd
>>> 127.0.0.1,3128 tcp from 192.168.2.0/30 to any 80 $IPFW add fwd
>>> 127.0.0.1,3128 tcp from 192.168.3.0/30 to any 80
>>>
>>> Abaixo dessas regras tem o controle de banda e mac x ip.
>>>
>>> Muito obrigado.
>>>
>>> --
>>> "Não sabendo que era impossivel, ele foi la e fez."
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>>>
>> Opa,
>>
>> Aconselho a utilizar um firewall de politica fechada. Permita o que tem
>> de permitir, e bloqueie todo o restante. Vou enviar minha regra de
>> firewall para bloquear que se conectem via ssh em minha maquina, onde
>> este servico roda sobre a porta 22, via protocolo TCP.
>>
>> ipfw add deny tcp from any to me dst-port 22
>>
>> --
>>
>> Att,
>>
>> Felippe de Meirelles Motta
>> BSD User Number 31337
>> http://lippebsd.blogspot.com/
>> "BSD is for people who love UNIX!"
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>
> Juliano,
>
> dst-port - destination-port
> src-port - source-port
>
> Nao faz diferenca, pra o jeito que voce utilizou. :P
>
>
> --
>
> Att,
>
> Felippe de Meirelles Motta
> BSD User Number 31337
> http://lippebsd.blogspot.com/
> "BSD is for people who love UNIX!"
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> --
> Esta mensagem foi verificada pelo sistema de antivírus e
> acredita-se estar livre de perigo.
>
>
>
Só pra constar, não é necessário colocar "dst-port" junto à regra, por
quando você coloca por exemplo "ipfw add 15 deny tcp from any to any
8080", o firewall entente que "8080" é a dst-port , e discrimina isso
sozinho.
--
Esta mensagem foi verificada pelo sistema de antivírus e
acredita-se estar livre de perigo.
Mais detalhes sobre a lista de discussão freebsd