[FUG-BR] migrando para ipfw

Quinta Março 27 17:13:41 BRT 2008

O Problema é que não estou entendendo como o ipfw trabalha com o forward, na
interface interna.

Resumindo, utilizando o estado da conexão libera tudo, mas colocando a porta
igual vc postou não navega.

É como eu postei no 1 e-mail, gostaria de saber como faz para o ipfw liberar
as portas passando pelo estado da conexão.

Resumindo a regra
eth1 = Interface interna

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables
-A FORWARD -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth1 -p udp --dport 80 -j ACCEPT

ou seja, a minha rede interna só navega.
Só esses 4 comandos eu gostaria de saber/entender no ipfw...
No google eu encontro kg e mais kg's mas uma explicação simples como o
comando acima eu não acho.

valeu mesmo

abraços

Em 27/03/08, Welkson Renny de Medeiros <welkson em focusautomacao.com.br>
escreveu:
>
> Dar uma lida nesse artigo:
>
> http://antigo.matik.com.br/modules.php?op=modload&name=FAQ&file=index&myfaq=yes&id_cat=32
>
> Welkson
>
>
> ----- Original Message -----
> From: "Daemon BR" <unix.list em gmail.com>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Thursday, March 27, 2008 4:42 PM
> Subject: Re: [FUG-BR] migrando para ipfw
>
>
> Ninguém ;/ ?
>
> Não estou achando nada no google, gostaria de liberar para minha rede
> interna somente a porta 53,443 e 80...
>
> Utilizando a regra established (allow tcp from any to any established)
> libera tudo...
>
> Gostaria de limitar, igual o exemplo iptables.
> Deve ser simples, mas é complicado procurar isso no google...
> Encontra kg, mas olhei até a pg 50... e nada.
>
>
>
>
> Em 27/03/08, Daemon BR <unix.list em gmail.com> escreveu:
> >
> > Simplificando...
> >
> > A Seguinte regra
> >
> >
> > IPF="ipfw -q add"
> > ipfw -q -f flush
> >
> > $IPF 3 divert natd via em0
> >
> > #loopback
> > $IPF 20 allow all from any to any via lo0
> > $IPF 30 deny all from any to 127.0.0.0/8
> > $IPF 40 deny all from 127.0.0.0/8 to any
> > $IPF 50 deny tcp from any to any frag
> >
> > # statefull
> > $IPF 60 check-state
> > $IPF 70 allow tcp from any to any established
> > $IPF 80 allow all from any to any out keep-state
> >
> > $IPF 150 allow tcp from any to any 25 in via em0
> > $IPF 160 allow tcp from any to any 25 out via em0
> > $IPF 170 allow udp from any to any 53 in via em0
> > $IPF 175 allow tcp from any to any 53 in via em0
> > $IPF 180 allow udp from any to any 53 out via em0
> > $IPF 185 allow tcp from any to any 53 out via em0
> > $IPF 200 allow tcp from any to any 80 in via em0
> > $IPF 210 allow tcp from any to any 80 out via em0
> >
> > $IPF 220 allow all from any to any via vr0
> >
> > # deny and log everything
> > $IPF 500 deny log all from any to any
> >
> > Está regra acima está liberando todo acesso... motivo:
> > $IPF 60 check-state
> > $IPF 70 allow tcp from any to any established
> > $IPF 80 allow all from any to any out keep-state
> >
> > Como ficaria para liberar somente a porta 80 (navegação) ?
> >
> >
> > Em 27/03/08, Daemon BR <unix.list em gmail.com> escreveu:
> > >
> > > Nossa estou apanhando muito no IPFW para fazer um exemplo simples
> > > abaixo, (em iptables).
> > > No caso estou postando um exemplo onde eu DROPO tudo, e libero somente
> a
> > > navegação na rede interna (80,53,443).
> > >
> > >
> > > iptables -A INPUT -m state --state INVALID -j DROP
> > > iptables -A INPUT  -i lo -j ACCEPT
> > > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> > > iptables -A INPUT -i eth0 -s IPCOMACESSOEXTERNOSSH -p tcp --dport 22
> -j
> > > ACCEPT
> > > iptables -A INPUT -i eth1 -j ACCEPT #Libera tudo na INPUT para rede
> > > local
> > >
> > > iptables -A FORWARD -m state --state INVALID -j DROP
> > > iptables -A FORWARD -p icmp -j ACCEPT
> > > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> > > iptables -A FORWARD -i eth1 -p tcp --dport 53 -j ACCEPT
> > > iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT
> > > iptables -A FORWARD -i eth1 -p udp --dport 80 -j ACCEPT
> > > iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT
> > > iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> > >
> > >  Minha grande dúvida é no estado dos pacotes do ipfw.
> > > Como faço o ESTABLISHED,RELATED no ipfw ? (Estou colocando na 1 regra,
> e
> > > automáticamente ele libera tudo).
> > > Preciso numerar as regras ? (Qual o motivo ?, pq sem colocar os
> números
> > > as mesmas funcionam).
> > >
> > > Segue abaixo o ipfw, onde estou liberando tudo... (Mesmo assim não
> está
> > > pingando...)
> > >
> > > #!/bin/sh
> > > IPF="ipfw -q add"
> > > ipfw -q -f flush
> > >
> > > $IPF 3 divert natd via em0
> > > $IPF 5 check-state
> > >
> > > $IPF 7 pass all from any to any via vr0 keep-state
> > >
> > > #loopback
> > > $IPF 10 allow all from any to any via lo0
> > > $IPF 20 deny all from any to 127.0.0.0/8
> > > $IPF 30 deny all from 127.0.0.0/8 to any
> > > $IPF 40 deny tcp from any to any frag
> > > $IPF 150 allow tcp from any to any 25 in via em0
> > > $IPF 160 allow tcp from any to any 25 out via em0
> > > $IPF 170 allow udp from any to any 53 in via em0
> > > $IPF 175 allow tcp from any to any 53 in via em0
> > > $IPF 180 allow udp from any to any 53 out via em0
> > > $IPF 185 allow tcp from any to any 53 out via em0
> > > $IPF 200 allow tcp from any to any 80 in via em0
> > > $IPF 210 allow tcp from any to any 80 out via em0
> > >
> > > $IPF 220 allow all from any to any via vr0
> > > # deny and log everything
> > > $IPF 500 deny log all from any to any
> > >
> > >
> > > Alguma alma boa, pode postar como ficaria este exemplo do iptables.
> > >
> > > obrigado
> > >
> >
> >
> >
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

-- 
Att
'
Cesar