[FUG-BR] Fluxo IPFW

Paulo Henrique paulo.rddck em bsd.com.br
Quinta Novembro 12 23:38:13 BRST 2009 

Fera acho que você está equivocado, o firewall em si é simples a forma de
funcionamento dele é que deve estar lhe deixando confuso.
Faz tempo que não uso o IPFW, contudo em breve voltará a fazer parte do meu
cotidiano, mas vamos ignorar o firewall, pelo visto a questão sua é mais a
logica de funcionamento.
Considerando isso, segue o seguinte.
Primeiro tem que definir qual é a sua interface ou inet interna, ou Lan,
considerando teremos realmente a quem se aplicar as politicas de fato, visto
que não vem, salvo em alguns casos, ter interesse em limitar a sua Wan.
Por Exemplo consideramos o seguinte ambiente.

Interface LAN:
Device xl0
Endereço IP: 192.168.0.1/24
Enlace de 100 Mbits

Interface Wan:
Device xl1
Endereço IP 189.189.189.187/30
Enlace de 10 Mbits

Bom, temos uma rede interna com 10 maquinas e que cada um poderá usar da
banda da Wan apenas 1Mbits.
Considerando esse cenário teremos veremos que se limitarmos o trafego
entrante da rede deixaremos de ter definitivamente os 10Mbits de Wan no qual
contratamos, pois mesmo tento tudo isso o firewall limitará a Wan para
1Mbits visto que é o trafego "in/out" externo ou da Wan, agora se tratarmos
o trafego interno "in/Out" teremos o desejado, espero ter ficado facil de
compreender.
Simplesmente assumimos que temos sempre dois trafegos do tipo IN e dois
trafegos do tipo OUT, visto que possuimos trafego "IN/OUT" do lado Lan e
"IN/OUT" do lado WAN, já que o de de fato pertence a nós é o gateway e o
unico trafego realmente dele é o trafego da interface lo.
Exemplo de trafego liberado para a Lan no sentido GW-> Lan.
ipfw add 00010 allow tcp from any 80 to 192.168.0.1/24 via xl0
com essa regra toda conecção com destino a rede interna na porta 80 que vier
de qualquer outro local para ela será permitido, já que suprimi a
explicidade da origem com o unico parametro a seguir sendo a porta de origem
da conecção, com essa regra teremos a seguinte situação em ASCII.

WAN:80(IN) -> GW -> LAN(OUT) -> Host
No caso a regra tratou separadamente o tipo de trafego, agora se apos essa
regra eu tiver a seguinte.

ipfw add 00011 deny tcp from any to any 80 via xl1

Estará ocorrendo exatamente o contrario.

LAN:80(IN) -> GW -X- WAN:any

Espero ter conseguido explicar esse fato de fato a unica coisa que será de
entrada para entrada e saida para saida é a parte integral do sistema,
qualquer outra interface terá trafego IN e OUT distintos, em que na liberaça
de um lado para resposta do outro precisa ser explicito a menos é claro e
inclusive aconselhavel a utilização de Firewall StateFull em que se uma
maquina que originou a conexão aguarda a resposta dessa coneção
automaticamente uma regra permitindo a resposta será criada tratando assim
dinamicamente os dois Fluxos, ou
Host(out)->IN(GW)OUT->(IN)destino(out)->IN(GW)OUT->(IN)Origem

quanto as demais opções se outro pessoal da lista não se promovel a ajudar
vou dar uma dedicada para relebrar e poder lhe explicar, pois faz tempo que
estava afastado do IPFW.

Abraços espero ter lhe esclarecido algo..

bom

2009/11/12 Paulo <paulo.gitch em gmail.com>

> Fuguianos, boa noite.
>
> Estou com uma dúvida cruel quanto algumas opções do IPFW. Encontrei vários
> documentos sobre esse assunto, mas não foram suficientes pra esclarecer as
> dúvidas.
>
> 1º.  O Controle do Fluxo
>   As simples opções in, out, recv, xmit e via me deixa confuso. A opção
> "via" server para filtar pacotes que estão sendo roteados pelas multiplas
> interfaces, mas qual é a diferença entre "in e recv" e "out e xmit"? recv e
> xmit seria para pacotes que foram originados pelo meu roteador ou pode ter
> sido originados por outros host que estão atrás do roteador?
>
>
> 2º.  Controle do Fluxo, ainda.
>   É preciso criar regras para os host tanto na interface interna quanto na
> externa para permitir sua saída, por exemplo:
>   ipfw add allow ip from host1 to any in via $interna
>   ipfw add allow ip from host1 to any out via $externa
>   Ou o roteador já conhece que esse tráfego deve ser roteado por esta
> utilizando a opção "via"?
>
>
> Estou aplicando alguns teste e lendo o que encontro, mas infelizmente tenho
> minhas dúvidas e preciso da ajuda de todos vocês para compreender o
> funcionamento. As regras do IPFW é lógica e muito simples, mais simples que
> as regras do PF, mas, atrás de toda essa simplicidade esconde um firewall
> poderosíssimo e complexo, e eu quero domar esse camarada.
> Preciso compreender como controlar o fluxo dos pacotes que estão entrando e
> saindo pelas interfaces internas e externas, só assim posso criar as
> necessárias e corretas.
>
>
> Se vocês puderem esclarecer eu ficarei muito agradecido.
>
>
>
> Paulo
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Mais detalhes sobre a lista de discussão freebsd