[FUG-BR] firewall e sessão SSH

Márcio Elias marcioelias em gmail.com
Terça Abril 29 01:01:12 BRT 2014 

2014-04-29 0:22 GMT-03:00 Renato Sousa <rensousa em gmail.com>:

> Boa noite a todos,
>
> Estou implementando um firewall para um dos servidores FreeBSD que
> administro.  Alterei o script padrão (/etc/rc.firewall) com as regras que
> necessito utilizando firewall_type=client no arquivo /etc/rc.conf
> Toda vez que vou rodar o firewall para testar minha sessão ssh é terminada
> e quando vejo na maquina fisicamente o firewall só tem a ultima regra
> dropando todas as conexões.
> Observei melhor e notei que a sessão trava quando o comando ipfw -f é
> executado, limpando todas as regras e deixando a ultima regra fixa de drop.
> Lembro-me que já utilizei esse script em versões anteriores do FreeBSD e
> funcionava legal.  Como fazer para que o resto do script seja executado e o
> comando " ${fwcmd} add pass tcp from any to any established" garanta o
> funcionamento da sessão em andamento ?
>
> Abraços,
>
> Renato
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

O que acontece é que quando vc executa um flush via ssh, antes de ele
recarregar as regras ele já matou sua sessão e o comando de reinicialização
do firewall atrelado a ela tmb.

Coloca isso na sua configuração de kernel:

options IPFIREWALL_DEFAULT_TO_ACCEPT

Com isso vc sempre terá a regra 65535 allow all from any to any, mesmo
rodando um ipfw -f flush. Durante aqueles instantes que o seu script está
aplicando as regras, seu firewall estará todo aberto, não chega a ser um
problema já que é por um período muito curto de tempo, e sua sessão ssh não
vai cair.

Ai se vc quer aplicar uma politica de negação por padrão, acrescente no seu
script de firewall uma regra tipo:

${fwcmd} add 65534 deny all from any to any

-- 
Att.
__________________________________
Márcio Elias Hahn do Nascimento

Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel:   (55) 48-8469-1819
Emails: marcioelias em bsd.com.br / marcioelias em gmail.com
Skype: marcioeliashahn em hotmail.com
FreeBSD - The Power To Serve

Mais detalhes sobre a lista de discussão freebsd