[FUG-BR] IPFW VS SMTP e POP

Nilson nilson em forge.com.br
Terça Janeiro 5 13:23:01 BRST 2010 

2010/1/5 Bruno Torres Viana <btviana at gmail.com>:
> ifconfig (re1=LAN re2=WAN)
>

Lá no primeiro email você disse que possuia "duas placas externas",
existe essa outra "WAN" (re0?) ou não?

> re1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
>
> options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
>        ether 00:1d:7d:0d:25:80
>        inet 192.168.25.4 netmask 0xffffff00 broadcast 192.168.25.255
>        media: Ethernet autoselect (100baseTX <full-duplex>)
>        status: active
> re2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
>
> options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
>        ether 00:1d:0f:be:93:e5
>        inet 192.168.1.64 netmask 0xffffff00 broadcast 192.168.1.255
>        media: Ethernet autoselect (100baseTX <full-duplex>)
>        status: active
>
>
> netstat -nr
> Internet:
> Destination        Gateway            Flags    Refs      Use  Netif Expire
> default            192.168.1.1        UGS        11    17360    re2
> 127.0.0.1          link#4             UH          0       12    lo0
> 192.168.1.0/24     link#3             U           0      241    re2
> 192.168.1.64       link#3             UHS         0      114    lo0
> 192.168.25.0/24    link#2             U           4    30202    re1
> 192.168.25.4       link#2             UHS         0        0    lo0

Vou partir do pressuposto em que 1) seu objetivo é que
os computadores que estão atras da placa de rede re1
e que possuem o ip 192.168.25.4 como gateway consigam
navegar na internet ou simplesmente enviar/receber emails.

>
> ipfw show
> 00005 63367 23159498 allow log ip from any to any via re1

Essa regra 5 já abriu totalmente teu firewall para que a LAN
possa iniciar a conexões.

> [cut...]
> 00299  1754   124034 deny log ip from any to any out via re2

Opa, deny any to any na re2? Por que?

> [cut...]
> 00304     0        0 deny log ip from 0.0.0.0/8 to any in via re0

0.0.0.0/8 ?

> 00332   286    14488 deny log tcp from any to any established in via re2
> 00333     0        0 deny log tcp from any to any established in via re2

Aqui vejo outro problema, acho incorreto o uso que você está
fazendo do established. Claro que tudo depende da logica, motivações
e objetivos do firewall, mas no caso de um firewall simples como o seu
(esta bem poluido viu? da pra resumir um monte e arrancar varios
desses logs) eu não vejo logica em bloquear conexões estabelecidas.
Penso que você deve bloquear/inibir que as conexões sejam
estabelecidas, então se uma tentativa de conexão passou do
handshake é por que era permitida, logo allow nas establisheds.

2) Você nem precisa de firewall ou nat pra fazer esse seu router
funcionar, basta um gateway_enable="YES" no rc.conf

3) Pra finalizar, como vc é iniciante em firewalls e ipfw, eu sugiro
que você não abuse tanto do in/out/via, pois no início é dificil
visualizar o exato fluxo de pacotes, e se vc errar um IN nesse
momento o seu firewall não funcionará como deveria.

--
Nilson

Mais detalhes sobre a lista de discussão freebsd