[FUG-BR] Migração IPTABLES > IPFW

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Terça Julho 24 19:33:41 BRT 2007 

A algum tempo eu testei o wipfw... funfou direitinho... pena que não suporte 
traffic shaper, iria resolver um problemão pra mim em um Windows 2003 Server 
(olha o flame rsrs)... :-) Agora tem até interface gráfica... vou baixar 
essa versão nova para testar...


-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br



                      Powered by ....

                                           (__)
                                        \\\'',)
                                          \/  \ ^
                                          .\._/_)

                                      www.FreeBSD.org


----- Original Message ----- 
From: "Ederson Mota Pereira" <eder em ideavalley.com.br>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
<freebsd em fug.com.br>
Sent: Tuesday, July 24, 2007 6:41 PM
Subject: Re: [FUG-BR] Migração IPTABLES > IPFW




Pessoal,

Aproveitando esta discussao, nao sei se voces conhecem o WIPFW
(http://wipfw.sourceforge.net/), um port do ipfw para windows. Por acaso,
alguem conhece um port do ipfw para Linux? Estou pesquisando sobre isso ha
algum tempo, mas sem sucesso.

Se nao, prefiro reinstalar a maquina e todos os servicos dela do que lidar
com iptables :p

Obrigado,




On Tue, 24 Jul 2007 14:14:03 -0300, Alessandro de Souza Rocha
<etherlinkii em gmail.com> wrote:

> Em 24/07/07, Alexandre Biancalana<biancalana em gmail.com> escreveu:
>> On 7/24/07, Patrick Tracanelli <eksffa em freebsdbrasil.com.br> wrote:
>> >
>> > Eu sempre recomendo algumas estrategias na hora de fazer essa
>> migracao:
>> >
>> > 1 - Pegue tudo na CHAIN FORWARD e {PRE,POST}ROUTING do netfilter e
>> > converta para NAT. Se sua opcao eh IPFW, brinque MUITO com divert e
>> natd
>> > ANTES de por qualquer outra regra no firewall. Faca divert seletivo,
>> > nunca "from any to any". Explore tudo que o natd pode fazer. Ai voce
>> ja
>> > vai ter em mente como substituir qualquer regra dessas chains ai. Se
>> > quiser estudar pf faca a mesma coisa com "nat" e "rdr" do pf.
>> >
>> > 2 - Pegue todos os filtros da chain OUTPUT do netfilter e seja
>> seletivo,
>> > separe o "output" cuja origem eh a propria maquina (o proprio
>> firewall).
>> >
>> > 3 - Todos os outros output output, converta-os pra input. Tudo q nao
>> eh
>> > roiginado do proprio firewall, pra sair por uma interface
>> > IMPERATIVAMENTE tem que ter saido por outra. Dai fazer regras de
>> output
>> > a reveria como se faz no netfilter é entropia e desperdiço de
>> recursos,
>> > pois essa eh a ultima chain processada, e pra chegar nela, o Linux
>> "tem
>> > a manha" de processar tudo antes... dai a performance vai pro espco.
>> > Sim, vc pode achar q Linux tem boa performance, mas nao tem hehe. Nao
>> se
>> > comparar com o que poderia ser... e na questao de firewall o metodo de
>> > processamento das regras deixa essa diferenca de decisao de engenharia
>> > de software muito clara.
>> >
>> > 4 - Pegue as regras da chain input e converta-as para regras de IN no
>> > firewall do BSD.
>> >
>> > 5 - Tenha em mente (ipfw) que o processamento eh first match wins. Se
>> > nao entender isso e isso ficar tao instintitvo quanto respirar, nao
>> vai
>> > dar pra continuar... ai comece de novo. Se for usar pf tenha em mente
>> > que eh last match wins. Ou seja processa tudo e vai "se lembrando" da
>> > ultima decisao, salvo, se a regra tem "quick".
>> >
>> > 6 - Coloque todas as regras mais frequentes, (ipfw) como as primeiras,
>> > sempre que possivel.
>> >
>> > 7 - Se for usar controle de banda, oriente-o a interfaces. Evite
>> deixar
>> > aplicando a todas interfaces, e oriente à interface interna (a mais
>> > proxima do perimetro onde a estacao se encontra).
>> >
>> > 8 - Use one_pass=0 no ipfw, com controle de banda. Senao suas regras
>> > assumem "allow" ao chegar no controle. E voce pode nao querer isso.
>> >
>> > 9 - Nao pegue scripts prontos, de terceiros. Faca seu proprio
>> firewall.
>> >
>> > 10 - O que voce nao entender, leia na pagina de manual antes. É
>> incrivel
>> > como "man ipfw" é clara. Leia os textos, nao se apgeue a seção de
>> > EXAMPLES.
>> >
>> > 11 - Faca testes. Testes e mais testes. Teste o "divert". Teste o
>> > "forward". Entenda a diferenca entre eles. Teste-o antes de ter q
>> qoutra
>> > regra no firewall, pra nao ter confusao de comportamento.
>> >
>> > 12 - Agora pega todos aqueles conceitos de CHAIN e a sintaxe
>> alieginena
>> > do iptables e ESQUECE. Faca LAVAGEM CEREBRAL. Bem vindo a um mundo
>> onde
>> > voce nao tem q pensar em como usar a ferramenta, tem apenas q
>> projetar o
>> > firewall.. nao saber pra que que serve o -j o -J o -s -i -a -d -l -k
>> -n
>> > -j -S ou se alguma dessas opcoes nao existem, ou ainda o
>> > --uma-expressa-que-nao-diz-nada=valor porque acabaram-se as letras do
>> > alfabeto para ser uma nova opcao.
>>
>>
>>
>> FANTÁSTICOS pontos Patrick !!!
>>
>> Apenas mais uma dica, use e abuse de diretivas de log (ipfw add
>> <deny|allow>
>> log  ou  <block|pass> log) que facilitam MUITO no debug de eventuais
>> problemas e visibilidade do que o firewall está fazendo. Só tome
>> cuidados em
>> gerar muito log quando a rede for grande >300 maquinas.
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
> So uma unicas coisas que a galera esqueceu e muito facil colocar o
> squid autenticar no AD do win2003 vc pode usar ldap_auth, msnt_auth ou
> ntlm_auth todas elas sao facil de implementar basta vc saber qual a
> que te agrada mais.



-- 
Using Opera's revolutionary e-mail client: http://www.opera.com/mail/
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd