[FUG-BR] firewall e sessão SSH

Paulo Henrique - BSDs Brasil paulo.rddck em bsd.com.br
Terça Abril 29 01:20:40 BRT 2014 

Em 29/04/2014 01:01, Márcio Elias escreveu:
> 2014-04-29 0:22 GMT-03:00 Renato Sousa <rensousa em gmail.com>:
>
>> Boa noite a todos,
>>
>> Estou implementando um firewall para um dos servidores FreeBSD que
>> administro.  Alterei o script padrão (/etc/rc.firewall) com as regras que
>> necessito utilizando firewall_type=client no arquivo /etc/rc.conf
>> Toda vez que vou rodar o firewall para testar minha sessão ssh é terminada
>> e quando vejo na maquina fisicamente o firewall só tem a ultima regra
>> dropando todas as conexões.
>> Observei melhor e notei que a sessão trava quando o comando ipfw -f é
>> executado, limpando todas as regras e deixando a ultima regra fixa de drop.
>> Lembro-me que já utilizei esse script em versões anteriores do FreeBSD e
>> funcionava legal.  Como fazer para que o resto do script seja executado e o
>> comando " ${fwcmd} add pass tcp from any to any established" garanta o
>> funcionamento da sessão em andamento ?
>>
>> Abraços,
>>
>> Renato
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> O que acontece é que quando vc executa um flush via ssh, antes de ele
> recarregar as regras ele já matou sua sessão e o comando de reinicialização
> do firewall atrelado a ela tmb.
>
> Coloca isso na sua configuração de kernel:
>
> options IPFIREWALL_DEFAULT_TO_ACCEPT
>
> Com isso vc sempre terá a regra 65535 allow all from any to any, mesmo
> rodando um ipfw -f flush. Durante aqueles instantes que o seu script está
> aplicando as regras, seu firewall estará todo aberto, não chega a ser um
> problema já que é por um período muito curto de tempo, e sua sessão ssh não
> vai cair.
>
> Ai se vc quer aplicar uma politica de negação por padrão, acrescente no seu
> script de firewall uma regra tipo:
>
> ${fwcmd} add 65534 deny all from any to any
>
Ou para manter ainda a politica padrão do firewall para denied nada mais 
simples e confortavel que um belo shell

ipfw -f && /etc/rc.d/ipfw start

ou mais simples ainda,

Caso tenha configurado corretamente as variaveis do seu /etc/rc.conf

basta um /etc/rc.d/ipfw restart

Que ele mesmo irá dar um flush e carregar suas regras.

Att.

-- 
Paulo Henrique.
Grupo de Usuários do FreeBSD no Brasil.
Fone: (21) 96713-5042

Mais detalhes sobre a lista de discussão freebsd