[FUG-BR] ipfw + 3 way handshake

Márcio Elias marcioelias em gmail.com
Sábado Agosto 31 00:39:57 BRT 2013 

As regras postadas estao corretas, se bloqueou no stablished eh por que o
ipfw nao achou a regra dinamica criada, ou seja nao caiu no check-state.

Como ficaram as regras que vc implementou ai?

experimenta executar o comando: ipfw -d show

Veja se vc encontra regras dinamicas (criadas pelo setup keep-state).

-- 
Att.
__________________________________
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliashahn em hotmail.com


2013/8/30 Marcelo Gondim <gondim em bsdinfo.com.br>

> Em 30/08/13 20:09, Luiz Gustavo S. Costa escreveu:
> > Em 30 de agosto de 2013 20:01, Marcelo Gondim <gondim em bsdinfo.com.br>
> escreveu:
> >> Pessoal,
> >>
> >> Estou com um problema que é o seguinte. Quando coloco essa regra:
> >>
> >> ipfw add allow tcp from any to me 80 in via em0 setup limit src-addr 10
> >>
> >> Na minha concepção só seria registrado como regra consumindo stateful se
> >> houvesse o 3 way handshake na tentativa de conexão, por causa do setup.
> >> Ou o ipfw não faz dessa forma? Eu sei que o pf tem esse recurso usando o
> >> synproxy.
> >>
> >>    The synproxy state option can be used to cause
> >>    pf(4) itself to complete the handshake with the active endpoint,
> perform
> >>    a handshake with the passive endpoint, and then forward packets
> between
> >>    the endpoints.
> >>
> >> []'s
> >> Gondim
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > Godim,
> >
> > Por padrão, o ipfw não mantem estado (state), você tem que especificar
> > isso, veja no man [1], na sessão de examplos, tem um exemplo do que
> > você quer fazer:
> >
> >    ipfw add check-state
> >    ipfw add deny tcp from any to any established
> >    ipfw add allow tcp from my-net to any setup keep-state
> >
> >    ipfw add allow tcp from my-net/24 to any setup limit src-addr 10
> >    ipfw add allow tcp from any to me setup limit src-addr 4
> >
> >
> > [1]
> http://www.freebsd.org/cgi/man.cgi?query=ipfw&apropos=0&sektion=0&manpath=FreeBSD+9.1-RELEASE&arch=default&format=html#EXAMPLES
> >
> Guga, não rolou. Quando tentei fazer isso o deny do established bloqueou
> minha conexão. Ou eu estou fazendo algo bem errado ou esse esquema aí
> tem algo errado.  :(
>
> []'s
> Gondim
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Mais detalhes sobre a lista de discussão freebsd