[FUG-BR] Bloqueio de Portas + PF

Terça Abril 24 17:09:44 BRT 2007

bom, mas a dica que voce me deu no email posterior funcionou beleza...

acho que foi o fato de voce ter especificado somsnet "pass quick log", 
ou seja nao especificou a direcao, entao o PF considerou tanto in como 
out...

como entao criei so uma regra (no caso da minha rede requisitar o servico)
pass quick logo proto tcp from rede to any

no meu servidor de email por exemplo, fiz nas duas direcoes, e 
economizei duas regras em cada entao...

Valeu!

c0re dumped escreveu:
> Ignore a parte que eu falo das regras repetidas. Não tinha percebido o
> in e out em cada uma. Sorry.
> Seus logs já dão a resposta do seu problema:
>
> 3. 001561 rule 0/0(match): block in on fxp1: 170.66.52.12.443 >
> x.x.x.x.1924: S 2300128873:2300128873(0) ack 1883772933 win 49640 <mss
> 1460,nop,nop,sackOK>
> Sua máquina x.x.x.x está usando a porta 1924 nesta conexão o que não
> bate com suas regras de fireall que dizem :
>
> $pass in quick log proto { tcp udp } from $rede_1 to any port $portas
> $pass out quick log proto { tcp udp } from $rede_1 to any port $portas
>
> pela definição da tua macro, a porta 1924 não está inclusa.
>
> As outras tentativas tb são negadas, pelo mesmo motivo.
>
> Desta forma, a única coisa que o firewall vai fazer é negar a conexão,
> já que você usa politica de negar por padrao.
>
>
>   
>> 6. 003653 rule 0/0(match): block in on fxp1: 170.66.52.12.443 >
>> x.x.x.x.1924: S 2350589401:2350589401(0) ack 1883772933 win 49640 <mss
>> 1460,nop,nop,sackOK>
>> 14. 032887 rule 0/0(match): block in on fxp1: 170.66.52.12.443 >
>> x.x.x.x.1925: S 2483462810:2483462810(0) ack 462237647 win 49640 <mss
>> 1460,nop,nop,sackOK>
>> 2. 986055 rule 0/0(match): block in on fxp1: 170.66.52.12.443 >
>> x.x.x.x.1925: S 2512858784:2512858784(0) ack 462237647 win 49640 <mss
>> 1460,nop,nop,sackOK>
>>     
>
> []'s
>   