[FUG-BR] IPFW com DNS
Alex de A. Souza
alex_a_souza em msn.com
Terça Setembro 15 12:36:01 BRT 2009
Todo mundo estar zombando com a minha regra mas ninguém me deu alguma
solução.
Quando desabilito o firewall o dns funciona normal, então o problema esta na
regra do rc.firewall.
Agora será que alguem pode corrigir as regras que coloquei aqui e me passar
o correto?
Preciso de ajuda e não de gozação.
Obrigado!
> From: irado furioso com tudo <irado em bsd.com.br>
> creio que não porque pela última regra êste é um firewall "arrombado
> para o mundo" - "tudo aberto, fecho uma que outra coisa, o que eu
> esquecer é o que vai fu**r"
>
> flames > /dev/null
>
> From: irado furioso com tudo <irado em bsd.com.br>
>> ${fwcmd} add 65000 pass all from any to any
>
> isso aqui dá medo só de olhar (risos)
>
>
> ------------------------------
> From: Emmanuel Alves <manel.pb em gmail.com>
>
> ahahaha
>
> Proteção total :-)
>
> []s
>
> From: "Alex de A. Souza" <alex_a_souza em msn.com>
>
> Já fiz isso e não funcionou. Como faço para liberar o telnet no freebsd?
> Fiz o teste e não funcionou.
>
>> From: Thiago Gomes <thiagomespb em gmail.com>
>
>> Coloque as regras que o marcio enviou, creio que falta liberar
>> as portas 53
>>
>> 2009/9/15 Alex de A. Souza <alex_a_souza em msn.com>:
>>> Essas são as regras do rc.firewall e named.conf que estou usando no
>>> momento.
>>>
>>>
>>> #---------------- RC.FIREWALL - INICIO ---------------
>>>
>>> # BLOQUEIOS DE PORTAS NETBIOS
>>> ${fwcmd} add 100 deny udp from any to any 135-139,445
>>> ${fwcmd} add 100 deny tcp from any to any 135-139,445
>>> ${fwcmd} add 100 deny udp from any 135-139,445 to any
>>> ${fwcmd} add 100 deny tcp from any 135-139,445 to any
>>>
>>> # BLOQUEIO DE PACOTES FRAGMENTADOS
>>> ${fwcmd} add 100 deny all from any to any in frag
>>>
>>>
>>> # PIPE 1000
>>> ${fwcmd} pipe 1234 config bw 1000Kbits/s queue 20 mask dst-ip
>>> 0x0000ffff
>>> ${fwcmd} pipe 512 config bw 500Kbits/s queue 20 mask dst-ip
>>> 0x0000ffff
>>>
>>>
>>> ${fwcmd} add set 1 divert natd all from 191.169.15.1 to any
>>> ${fwcmd} add set 1 divert natd all from 191.169.30.1 to any
>>>
>>> # PROXY
>>> ${fwcmd} add 50000 fwd localhost,1290 tcp from 191.168.0.0/16 to not
>>> 200.223.236.0/24,
>>> ,200.201.174.0/24,200.192.176.0/24,200.221.8.0/24,201.7.176.59/24,72.36.191.0/16
>>> 80
>>>
>>> #PIPE - GERAL
>>> ${fwcmd} add pipe 1000 ip from any to 191.169.0.0/24
>>> ${fwcmd} add pipe 512 ip from 191.169.0.0/24 to any
>>>
>>> ${fwcmd} add divert natd all from any to me via rl0 in
>>>
>>> ${fwcmd} add 65000 pass all from any to any
>>>
>>> ------------------- # FIM - RC.FIREWALL
>>> #----------------------------------
>>>
>>> -------------------# INICIO NAMED.CONF
>>> # --------------------------------
>>>
>>> listen-on { 127.0.0.1;200.222.222.34;200.222.222.0/24; };
>>>
>>> zone "." {
>>> type hint;
>>> file "named.root";
>>> };
>>>
>>> zone "0.0.127.IN-ADDR.ARPA" {
>>> type master;
>>> file "master/localhost.rev";
>>> };
>>>
>>> // RFC 3152
>>> zone
>>> "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA"
>>> {
>>> type master;
>>> file "master/localhost-v6.rev";
>>> };
>>>
>>> zone "provedor.com.br" IN {
>>> type master;
>>> file "provedor.com.br";
>>> allow-update { none; };
>>> };
>>> zone "34.in-addr.arpa" IN {
>>> type master;
>>> file "provedor.rev";
>>> allow-update { none; };
>>> };
>>> zone "bahianet.sec" IN {
>>> type slave;
>>> masters {
>>> 200.222.222.34;
>>> };
>>> file "slave/provedor.sec";
>>> };
>>>
>>> #-------------------- fim ---------------------------------
>>>
>>>
>>>> From: mantunes <mantunes.listas em gmail.com>
>>>>
>>>> coloque essas regras e ver se funciona
>>>>
>>>> ipfw add allow udp from me 1024-65535 to any 53 out keep-state uid bind
>>>> ipfw add pass tcp from any to any 53 setup
>>>> ipfw add pass udp from any to any 53
>>>> ipfw add pass udp from any 53 to any
>>>> ipfw add pass tcp from any 53 to any
>>>> ipfw add pass udp from any to any 53 keep-state
>>>> ipfw add pass tcp from any to any 53 keep-state
>>>>
>>>>
>>>>
>>>>
>>>> 2009/9/11 Thiago Gomes <thiagomespb em gmail.com>:
>>>>> mande suas regraas do IPFW. faça o teste para ter se a porta do
>>>>> dns esta aberta
>>>>>
>>>>> telnet <ip> 53
>>>>>
>>>> From: Wanderson Tinti <wanderson em bsd.com.br>
>>>>>
>>>> Alex, boa tarde.
>>>>
>>>> Coloque as configurações do Bind e IPFW para que possamos ajudar. Pelo
>>>> que
>>>> entendi nessa sua mensagem, você quer liberar consultas recursivas
>>>> externas
>>>> em seu servidor DNS para hosts que não estão nos seus domínios, é isso?
>>>>
>>>>
>>>> From: irado furioso com tudo <irado em bsd.com.br>
>>>>
>>>> possível é, não é desejável ou conveniente, tudo fica muito exposto.
>>>>
>>>>> Agora estou querendo colocar no mesmo servidor de GATEWAY tudo junto,
>>>>> mas
>>>>> quem ta fora da rede não consegue resolver o nome, acredito que seja a
>>>>> compilação do kernel que abilita o IPFW com as seguintes regras;
>>>>
>>>> mas.. a razão de vc querer tudo junto é pq "quem ta fora da rede não
>>>> consegue resolver o nome"?? isso NÃO É problema do gw em si, mas sim
>>>> de outros fatores como, por exemplo, regras de fwll ou daemon que
>>>> "esquece" de ser ativado (ou se rebelou, morreu..)
>>>>
>>>>
>>>>> Como posso fazer isso funcionar, e qual a versão do FreeBSD para isso?
>>>>> OBS: Estou usando o FreeBSD 8 BETA 4 e esta perfeito como GATEWAY.
>>>>
>>>> um beta para gw/servidor de produção? nem pensar. Sugiro, fortemente:
>>>>
>>>> a) definir o que vc quer de verdade e postar na lista
>>>>
>>>> b) usar 7.2-RELEASE e deixar os beta para máquina de testes
>>>>
>>>> c) se possível, fazer o gw separado de qualquer outra máquina (mesmo
>>>> que com vários links isso é possível) e criar DMZ para os servidores
>>>> (bind, mail, etc)
>>>>
>>>> divirta-se.
>
>
>
> ------------------------------
>
> Message: 9
> Date: Tue, 15 Sep 2009 09:47:10 -0300
> From: mantunes <mantunes.listas em gmail.com>
> Subject: Re: [FUG-BR] Duvida sobre FIREWALL - IPFW.
> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> <freebsd em fug.com.br>
> Message-ID:
> <e995072e0909150547r3c96ecbel2374c90d17f97120 em mail.gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1
>
> Aqui vai algumas referencias.
>
> http://free.bsd.com.br/~eksffa/freebsd/ipfw.txt
> http://www.cyberciti.biz/faq/howto-setup-freebsd-ipfw-firewall/
> http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html
> http://onlamp.com/pub/a/bsd/2006/08/24/ipfw-for-firewalls.html
>
>
> 2009/9/15 Ricardo Alexandre Silveira <ricardoas30 em gmail.com>:
>> Bom dia amigos, aproveitando gostaria de agradecer a comunidade pois foi
>> muito útil numa duvida sobre modulos do PHP5 onde instalei e configurei
>> sem
>> problemas, depois de um membro da comunidade respondeu a lista.
>>
>> e gostaria de mais um esclarecimento agora sobre FIREWALL nativo do
>> FreeBSD
>> 7.2 o IPFW. nunca usei o IPFW e preciso fazer umas regras básicas onde
>> estou
>> me batendo.
>> As regras são:
>>
>> # Inicio
>>
>> # Politica
>> bloqueia entrada
>> libera forward
>> libera saida
>>
>> # Regras
>> Libera na entrada de qualquer IP na porta 80
>> Libera na entrada qualquer IP na porta 22
>>
>> # Fim
>>
>
>
>
> From: "Luiz Otavio O Souza" <lists.br em gmail.com>
>
> Não me leve a mal... mas vocês estão fazendo uma confusão danada aqui...
>
> Faça isso por partes... desligue o firewall, faça o dns funcionar e só
> depois você configura o firewall.
>
> Esse dns também esta aberto, qualquer um pode consultar... isso é errado e
> permite que seu dns seja utilizado para ataques (dns amplification
> attacks)
> entre outras coisas... (allow-recursion é MANDATÓRIO em qualquer
> configuração do bind).
>
> Sugiro que vocês parem e procurem ler a respeito da configuração do bind
> que
> é bem complexa e cheia de "e se" (sim a configuração do bind é no mínimo
> um
> nightmare).
>
> Se alguem desistir no meio do caminho, tente uma das alternativas (que são
> bem mais simples de se configurar): unbound, dnscache.
>
> Dificilmente você consegue um dns resolver (cache) e o dns server
> corretamente configurados no mesmo bind sem o uso de views...
>
> Luiz
>
Mais detalhes sobre a lista de discussão freebsd