[FUG-BR] Duvidas com PF

vic vic em wa.pro.br
Quarta Dezembro 7 16:42:27 BRST 2011 

On Wed, 07 Dec 2011 15:47:26 -0200, Luiz Gustavo wrote:
> Buenas,
>
> A primeira dúvida tá parecendo tabela de estado.
>
> talvez se você tentar limpar a tabela com o comando:
>
> pfctl -Fs
>
> Em relação a segunda dúvida, para o uso de reply-to/route-to você não
> precisa usar a tabela FIB, o próprio pf faz o roteamento.
>
> no caso ai, eu não sei se já tem ou não nas suas regras, mas você
> precisa especificar a saida dos links, tipo:
>
> pass out quick on $if_link1 route-to ($if_link1 $gw_link1) from any 
> to
> $if_link2
> pass out quick on $if_link2 route-to ($if_link2 $gw_link2) from any 
> to
> $if_link1
>
> *** Eu fiz de cabeça, não sei se é exatamente assim, mas é mais para
> entendimento (to sem tempo aqui pra pegar cola).
>
> abços
>
> Em Qua, 2011-12-07 às 15:31 -0200, Diogo Dalfovo escreveu:
>> Boa Tarde Pessoal!!
>>
>>
>> Estou refazendo o meu PF e surgiram algumas duvidas em relação ao 
>> bloqueio
>> e liberação, vamos la:
>>
>> tenho como padrao bloquear tudo que entra:
>> #set block-policy drop
>> set block-policy return
>>
>> #bloqueia tudo por padrao
>> block in log all
>>
>> e depois eu libero o icmp por exemplo
>> #teste
>> pass in log quick on $int_if proto icmp from $lan_net to 
>> $ip_firewall
>>
>> ele vai pingar sem problemas, agora quando eu comento essa regra do 
>> icmp ou
>> coloco block no lugar do pass e do um pfctl -f /etc/pf.conf  no
>> monitoramento do pftop ele "desaparece" mas continua o ping
>> agora se eu depois de comentar a regra eu desabilitar e reabilitar o 
>> PF o
>> bloqueio funciona. Pergunta:
>> Existe alguma forma de fazer essa liberaçao e bloqueio sem que seja
>> necessario parar e iniciar o PF? apenas usando o pfctl?
>>
>> Eu imagino o seguinte, estou recebendo um brute-force por exemplo se 
>> eu
>> bloquear esse IP que ja tem uma sessao aberta no meu firewall so vou 
>> ter
>> resultado se eu desabilitar e habilitar o PF?
>>
>>
>>
>> Segunda duvida.
>> Estava lendo sobre o reply-to, configurei a tabela FIB para eu ter 
>> dois
>> gateways OI/BRT e Embratel preciso que tudo que venha por um link 
>> volte
>> pelo mesmo link ai que entra a duvida. Faço isso na regra de entrada 
>> da
>> interface com o reply-to ou existe outra forma?
>>
>> #Link OI/BRT
>> pass in log on $ext_if1 reply-to ($ext_if1 ($ext_if1)) inet proto 
>> tcp \
>>     from any to any port { ssh } \
>>     (max-src-conn 10, max-src-conn-rate 5/3, \
>>     overload <bruteforce> flush global)
>>
>> #Link Embratel
>> pass in log on $ext_if2 reply-to ($ext_if2 ($ext_if2)) inet proto 
>> tcp \
>>     from any to any port { ssh } \
>>     (max-src-conn 10, max-src-conn-rate 5/3, \
>>     overload <bruteforce> flush global)
>>
>>
>> Diogo Dalfovo
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Para bloquear sem precisar reinciar o pf, você pode usar table:

# touch /var/db/pf/icmp_liberados

pf.conf:

table <icmp_liberados> persist file "/var/db/pf/icmp_liberados"

pass in log quick on $int_if proto icmp from <icmp_liberados> to 
$ip_firewall

Então você pode adicionar os endereços IP/faixas em 
/var/db/pf/icmp_liberados (1 por linha) ou via pfctl -t icmp_liberados 
-T add IP.

Veja mais em man pf.conf(5)

att.

-- 
vic
http://choppnerd.com
http://donttrack.us   |   http://dontbubble.us

Mais detalhes sobre a lista de discussão freebsd