[FUG-BR] Bloqueio de Portas + PF
Fabiano (BiGu)
bigu em grupoheringer.com.br
Terça Abril 24 17:00:52 BRT 2007
opa, entao teria so uma regra?
sempre me confundi com isso, mas essa sua explicacao abriu as portas, o
esquema eh o tal do keep state hehehe
bom, coloquei o keep state e funcionou blz...
so uma duvida:
no log abaixo apareceu dois blocks, dei uma olhada e eles sao bastante
semelhantes ao outros "pass" ...tem alguma situacao em especial nessa
conexao q nao percebi?
rule 128/0(match): pass out on fxp1: x.x.x.x.3139 > 170.66.52.12.443: S
3227806314:3227806314(0) win 16384 <mss 1460,nop,nop,sackOK>
rule 128/0(match): pass out on fxp1: x.x.x.x.3141 > 170.66.2.59.443: S
2462356084:2462356084(0) win 16384 <mss 1460,nop,nop,sackOK>
rule 128/0(match): pass out on fxp1: x.x.x.x.3143 > 170.66.2.59.443: S
1144136653:1144136653(0) win 16384 <mss 1460,nop,nop,sackOK>
rule 128/0(match): pass out on fxp1: x.x.x.x.3144 > 170.66.2.59.443: S
2454951909:2454951909(0) win 16384 <mss 1460,nop,nop,sackOK>
rule 128/0(match): pass out on fxp1: x.x.x.x.3145 > 170.66.1.60.443: S
2280419113:2280419113(0) win 16384 <mss 1460,nop,nop,sackOK>
rule 128/0(match): pass out on fxp1: x.x.x.x.3146 > 170.66.2.59.443: S
4109434905:4109434905(0) win 16384 <mss 1460,nop,nop,sackOK>
rule 128/0(match): pass out on fxp1: x.x.x.x.3147 > 170.66.2.59.443: S
1602477047:1602477047(0) win 16384 <mss 1460,nop,nop,sackOK>
rule 128/0(match): pass out on fxp1: x.x.x.x.3148 > 170.66.2.59.443: S
2279216012:2279216012(0) win 16384 <mss 1460,nop,nop,sackOK>
rule 128/0(match): pass out on fxp1: x.x.x.x.3149 > 170.66.2.59.443: S
1311173916:1311173916(0) win 16384 <mss 1460,nop,nop,sackOK>
rule 128/0(match): pass out on fxp1: x.x.x.x.3150 > 170.66.2.59.443: S
4083079116:4083079116(0) win 16384 <mss 1460,nop,nop,sackOK>
rule 128/0(match): pass out on fxp1: x.x.x.x.3151 > 170.66.2.59.443: S
3081647422:3081647422(0) win 16384 <mss 1460,nop,nop,sackOK>
rule 128/0(match): pass out on fxp1: x.x.x.x.3152 > 170.66.2.59.443: S
3317434135:3317434135(0) win 16384 <mss 1460,nop,nop,sackOK>
rule 128/0(match): pass out on fxp1: x.x.x.x.3153 > 170.66.2.59.443: S
3133294414:3133294414(0) win 16384 <mss 1460,nop,nop,sackOK>
rule 1/0(match): block out on fxp1: x.x.x.x.3126 > 170.66.1.60.443: R
3816619224:3816619224(0) win 0
Obrigado pela dica, vou corrigir meu firewall..achei que tinha que
liberar ida e volta...mas o keep state resolve o problema...
[]´s
c0re dumped escreveu:
> O PF é um firewall statefull, em termos práticos significa que você
> não precisa fazer uma regra pra ida E outra pra volta, bas adicionar
> keep state ao final de cada regra.
>
> Outra, você tem certeza que a aplicação só vai responder nessas portas
> ? De ambos os lados ? Por que é isso que suas regras dizem...
>
>
>
>> $pass in quick log proto { tcp udp } from any to $rede_1 \
>> port $portas
>> $pass in quick log proto { tcp udp } from $rede_1 to any \
>> port $portas
>> $pass out quick log proto { tcp udp } from any to $rede_1 \
>> port $portas
>> $pass out quick log proto { tcp udp } from $rede_1 to any \
>> port $portas
>>
>
> Perceba que você tem regras repetidas. Alguma razão especial ?
>
> Simplificando estas regras:
>
> 1 - Supondo que quem vai iniciar a conexão são as suas maquinas:
> O que está acontecendo é que
>
> $pass quick log proto { tcp udp } from $rede_1 to any port $portas keep state
>
> 2 - Supondo que suas máquinas provêem o serviço a ser utilizado:
>
> $pass quick log proto { tcp udp } from any to $rede_1 port $portas keep state
>
> O keep state já cria uma tabela de estados pra cada conexão, prevendo
> os valores e flags aceitáveis pra o pacote de reposta. Só isso basta.
>
> []'s
>
>
Mais detalhes sobre a lista de discussão freebsd