[FUG-BR] firewall e sessão SSH

Renato Botelho rbgarga em gmail.com
Terça Abril 29 17:01:35 BRT 2014 

On Tuesday, April 29, 2014 04:48:10 PM Rafael Henrique Faria wrote:
> 2014-04-29 16:43 GMT-03:00 Márcio Elias <marcioelias at gmail.com>:
> > Certeza que isso funciona? tive problemas a algum tempo e nunca mais
> > testei...
> > 
> > --
> > Att.
> > __________________________________
> > Márcio Elias Hahn do Nascimento
> > 
> > Bacharel em Tecnologias da Informação e Comunicação - TIC
> > Cel:   (55) 48-8469-1819
> > Emails: marcioelias at bsd.com.br / marcioelias at gmail.com
> > Skype: marcioeliashahn at hotmail.com
> > FreeBSD - The Power To Serve
> > 
> > 2014-04-29 6:17 GMT-03:00 Wenderson Souza <wendersonsouza at gmail.com>:
> >> Em terça-feira, 29 de abril de 2014, Paulo Henrique - BSDs Brasil <
> >> 
> >> paulo.rddck at bsd.com.br> escreveu:
> >> > Em 29/04/2014 01:01, Márcio Elias escreveu:
> >> > > 2014-04-29 0:22 GMT-03:00 Renato Sousa <rensousa at gmail.com
> >> 
> >> <javascript:;>
> >> 
> >> > >> Boa noite a todos,
> >> > >> 
> >> > >> Estou implementando um firewall para um dos servidores FreeBSD que
> >> > >> administro.  Alterei o script padrão (/etc/rc.firewall) com as
> >> > >> regras
> >> > 
> >> > que
> >> > 
> >> > >> necessito utilizando firewall_type=client no arquivo /etc/rc.conf
> >> > >> Toda vez que vou rodar o firewall para testar minha sessão ssh é
> >> > 
> >> > terminada
> >> > 
> >> > >> e quando vejo na maquina fisicamente o firewall só tem a ultima
> >> > >> regra
> >> > >> dropando todas as conexões.
> >> > >> Observei melhor e notei que a sessão trava quando o comando ipfw -f
> >> > >> é
> >> > >> executado, limpando todas as regras e deixando a ultima regra fixa
> >> > >> de
> >> > 
> >> > drop.
> >> > 
> >> > >> Lembro-me que já utilizei esse script em versões anteriores do
> >> 
> >> FreeBSD e
> >> 
> >> > >> funcionava legal.  Como fazer para que o resto do script seja
> >> 
> >> executado
> >> 
> >> > e o
> >> > 
> >> > >> comando " ${fwcmd} add pass tcp from any to any established" garanta
> >> > >> o
> >> > >> funcionamento da sessão em andamento ?
> >> > >> 
> >> > >> Abraços,
> >> > >> 
> >> > >> Renato
> >> > >> -------------------------
> >> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> > > 
> >> > > O que acontece é que quando vc executa um flush via ssh, antes de ele
> >> > > recarregar as regras ele já matou sua sessão e o comando de
> >> > 
> >> > reinicialização
> >> > 
> >> > > do firewall atrelado a ela tmb.
> >> > > 
> >> > > Coloca isso na sua configuração de kernel:
> >> > > 
> >> > > options IPFIREWALL_DEFAULT_TO_ACCEPT
> >> > > 
> >> > > Com isso vc sempre terá a regra 65535 allow all from any to any,
> >> > > mesmo
> >> > > rodando um ipfw -f flush. Durante aqueles instantes que o seu script
> >> 
> >> está
> >> 
> >> > > aplicando as regras, seu firewall estará todo aberto, não chega a ser
> >> 
> >> um
> >> 
> >> > > problema já que é por um período muito curto de tempo, e sua sessão
> >> > > ssh
> >> > 
> >> > não
> >> > 
> >> > > vai cair.
> >> > > 
> >> > > Ai se vc quer aplicar uma politica de negação por padrão, acrescente
> >> > > no
> >> > 
> >> > seu
> >> > 
> >> > > script de firewall uma regra tipo:
> >> > > 
> >> > > ${fwcmd} add 65534 deny all from any to any
> >> > 
> >> > Ou para manter ainda a politica padrão do firewall para denied nada
> >> > mais
> >> > simples e confortavel que um belo shell
> >> > 
> >> > ipfw -f && /etc/rc.d/ipfw start
> >> > 
> >> > ou mais simples ainda,
> >> > 
> >> > Caso tenha configurado corretamente as variaveis do seu /etc/rc.conf
> >> > 
> >> > basta um /etc/rc.d/ipfw restart
> >> > 
> >> > Que ele mesmo irá dar um flush e carregar suas regras.
> >> > 
> >> > Att.
> >> > 
> >> > --
> >> > Paulo Henrique.
> >> > Grupo de Usuários do FreeBSD no Brasil.
> >> > Fone: (21) 96713-5042
> >> > 
> >> > -------------------------
> >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> 
> >> Isso mesmo, geralmente faço pelo service ipfw restart
> >> 
> >> 
> >> --
> >> Atenciosamente,
> >> 
> >> Wenderson Souza - wendersonsouza at gmail.com
> >> Gerente de TI - 6P Telecom
> >> +55 (43) 3235-1720 Oi Fixo
> >> +55 (43) 9162-4333 Vivo Mobile
> >> Skype: wendersonsouza
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > 
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
> Para resolver esses problemas com quedas de link, eu passei a usar o
> screen. E hoje eu não sei como fiquei tanto tempo se usar ele.
> Além de quebrar um galho quando tem uma desconexão, quando cai o link,
> ou qualquer coisa do tipo, no meio de uma compilação ou outras coisas,
> até mesmo poder continuar algum trabalho de casa, de algo que eu
> comecei no computador do trabalho.

+1, só que ao invés de screen uso o tmux, que é BSD e melhor estruturado que o 
screen, mas aí já é questão de gosto. :)

-- 
Renato Botelho

Mais detalhes sobre a lista de discussão freebsd