[FUG-BR] IPFW com DNS

Alex de A. Souza alex_a_souza em msn.com
Terça Setembro 15 09:46:17 BRT 2009 

Já fiz isso e não funcionou. Como faço para liberar o telnet no freebsd?
Fiz o teste e não funcionou.

> From: Thiago Gomes <thiagomespb em gmail.com>

> Coloque as regras que o marcio enviou, creio que falta liberar
> as portas 53
>
> 2009/9/15 Alex de A. Souza <alex_a_souza em msn.com>:
>> Essas são as regras do rc.firewall e named.conf que estou usando no 
>> momento.
>>
>>
>> #----------------  RC.FIREWALL - INICIO ---------------
>>
>>        # BLOQUEIOS DE PORTAS NETBIOS
>>        ${fwcmd} add 100 deny udp from any to any 135-139,445
>>        ${fwcmd} add 100 deny tcp from any to any 135-139,445
>>        ${fwcmd} add 100 deny udp from any 135-139,445 to any
>>        ${fwcmd} add 100 deny tcp from any 135-139,445 to any
>>
>>        # BLOQUEIO DE PACOTES FRAGMENTADOS
>>        ${fwcmd} add 100 deny all from any to any in frag
>>
>>
>>        # PIPE 1000
>>        ${fwcmd} pipe 1234 config bw 1000Kbits/s queue 20 mask dst-ip
>> 0x0000ffff
>>        ${fwcmd} pipe 512 config bw 500Kbits/s queue 20 mask dst-ip
>> 0x0000ffff
>>
>>
>>        ${fwcmd} add set 1 divert natd all from 191.169.15.1 to any
>>        ${fwcmd} add set 1 divert natd all from 191.169.30.1 to any
>>
>>  # PROXY
>>  ${fwcmd} add 50000 fwd localhost,1290 tcp from 191.168.0.0/16 to not
>> 200.223.236.0/24,
>> ,200.201.174.0/24,200.192.176.0/24,200.221.8.0/24,201.7.176.59/24,72.36.191.0/16
>> 80
>>
>>        #PIPE  - GERAL
>>        ${fwcmd} add pipe 1000 ip from any to 191.169.0.0/24
>>        ${fwcmd} add pipe 512 ip from 191.169.0.0/24 to any
>>
>>        ${fwcmd} add divert natd all from any to me via rl0 in
>>
>>        ${fwcmd} add 65000 pass all from any to any
>>
>> ------------------- #  FIM - RC.FIREWALL 
>> #----------------------------------
>>
>> -------------------# INICIO NAMED.CONF # --------------------------------
>>
>>        listen-on       { 127.0.0.1;200.222.222.34;200.222.222.0/24; };
>>
>> zone "." {
>>        type hint;
>>        file "named.root";
>> };
>>
>> zone "0.0.127.IN-ADDR.ARPA" {
>>        type master;
>>        file "master/localhost.rev";
>> };
>>
>> // RFC 3152
>> zone
>> "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA" 
>> {
>>        type master;
>>        file "master/localhost-v6.rev";
>> };
>>
>> zone "provedor.com.br" IN {
>>        type master;
>>        file "provedor.com.br";
>>        allow-update { none; };
>> };
>> zone "34.in-addr.arpa" IN  {
>>        type master;
>>        file "provedor.rev";
>>        allow-update { none; };
>> };
>> zone "bahianet.sec" IN {
>>        type slave;
>>        masters {
>>                200.222.222.34;
>>        };
>>        file "slave/provedor.sec";
>> };
>>
>> #-------------------- fim ---------------------------------
>>
>>
>>> From: mantunes <mantunes.listas em gmail.com>
>>>
>>> coloque essas regras e ver se funciona
>>>
>>> ipfw add allow udp from me 1024-65535 to any 53 out keep-state uid bind
>>> ipfw add pass tcp from any to any 53 setup
>>> ipfw add pass udp from any to any 53
>>> ipfw add pass udp from any 53 to any
>>> ipfw add pass tcp from any 53 to any
>>> ipfw add pass udp from any to any 53 keep-state
>>> ipfw add pass tcp from any to any 53 keep-state
>>>
>>>
>>>
>>>
>>> 2009/9/11 Thiago Gomes <thiagomespb em gmail.com>:
>>>> mande suas regraas do IPFW. faça o teste para ter se a porta do
>>>> dns esta aberta
>>>>
>>>> telnet <ip> 53
>>>>
>>> From: Wanderson Tinti <wanderson em bsd.com.br>
>>>>
>>> Alex, boa tarde.
>>>
>>> Coloque as configurações do Bind e IPFW para que possamos ajudar. Pelo 
>>> que
>>> entendi nessa sua mensagem, você quer liberar consultas recursivas
>>> externas
>>> em seu servidor DNS para hosts que não estão nos seus domínios, é isso?
>>>
>>>
>>> From: irado furioso com tudo <irado em bsd.com.br>
>>>
>>> possível é, não é desejável ou conveniente, tudo fica muito exposto.
>>>
>>>> Agora estou querendo colocar no mesmo servidor de GATEWAY tudo junto, 
>>>> mas
>>>> quem ta fora da rede não consegue resolver o nome, acredito que seja a
>>>> compilação do kernel que abilita o IPFW com as seguintes regras;
>>>
>>> mas.. a razão de vc querer tudo junto é pq "quem ta fora da rede não
>>> consegue resolver o nome"?? isso NÃO É problema do gw em si, mas sim
>>> de outros fatores como, por exemplo, regras de fwll ou daemon que
>>> "esquece" de ser ativado (ou se rebelou, morreu..)
>>>
>>>
>>>> Como posso fazer isso funcionar, e qual a versão do FreeBSD para isso?
>>>> OBS: Estou usando o FreeBSD 8 BETA 4 e esta perfeito como GATEWAY.
>>>
>>> um beta para gw/servidor de produção? nem pensar. Sugiro, fortemente:
>>>
>>> a) definir o que vc quer de  verdade e postar na lista
>>>
>>> b) usar 7.2-RELEASE e deixar os beta para máquina de testes
>>>
>>> c) se possível, fazer o gw separado de qualquer outra máquina (mesmo
>>> que com vários links isso é possível) e criar DMZ para os servidores
>>> (bind, mail, etc)
>>>
>>> divirta-se.

Mais detalhes sobre a lista de discussão freebsd