[FUG-BR] ipfw com deny sem sentido

Marcelo Gondim gondim em bsdinfo.com.br
Quarta Fevereiro 8 11:59:41 BRST 2012 

Em 08/02/2012 11:36, Joao Rocha Braga Filho escreveu:
> 2012/2/8 Marcelo Gondim<gondim em bsdinfo.com.br>:
>> Olá pessoal,
>>
>> Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo
>> funciona normal mas fica me gerando uns logs que ai meu ver não deveriam
>> existir.
>> Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr
>> pra ter certeza que não era isso:
>>
>> $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100
>> $fw add deny log tcp from any to me 3306 in via em0
> Quantos programas estão acessando o MySQL? E eles estão sendo educados
> e encerrando a conexão, ou estão saindo à francesa, sem encerrar a conexão,
> e ela fica aberta até dar timeout?

Olá João,

Foi exatamente isso que perguntei ao programador ainda agora por e-mail, 
se ele está fechando as conexões corretamente porque se não tiver, pode 
estar saindo por timeout o stateful e aí os próximos pacotes estariam 
fora mesmo. O padrão inclusive são 5 minutos o timeout do ack:

net.inet.ip.fw.dyn_ack_lifetime=300
net.inet.ip.fw.dyn_syn_lifetime=20
net.inet.ip.fw.dyn_fin_lifetime=1

Pelo que conheço o programador pode realmente ser esse o problema. rsrsrs

>
>
>
> João Rocha.
>
>> Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona
>> perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas
>> está me gerando log de bloqueio dele:
>>
>> em /var/log/security ele gera:
>>
>> Feb  8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277
>> 69.162.120.106:3306 in via em0
>> Feb  8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595
>> 69.162.120.106:3306 in via em0
>> Feb  8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869
>> 69.162.120.106:3306 in via em0
>> Feb  8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931
>> 69.162.120.106:3306 in via em0
>> Feb  8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740
>> 69.162.120.106:3306 in via em0
>>
>> Não entendi porque ele está dando deny em alguns pacotes e gerando log.
>> Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes
>> estão caindo nesse deny. Why?  :)
>>
>> Grande abraço à todos.
>>
>> Gondim
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>

Mais detalhes sobre a lista de discussão freebsd