IPFW bloqueando todas as portas TCP e habilitando algumas

Galera,

Estou tentando fazer um firewall que bloqueia todas as portas TCP e libera somente algumas que eu definir, mas não estou tendo sucesso. As regras seguem abaixo:


xl0 - Interface da Internet
xl1 - Interface da Rede Interna




#Reseta todas as regras de firewall existentes
/sbin/ipfw -f flush

#Bloqueia pacotes fragmentados
/sbin/ipfw add 10 deny all from any to any in frag

#Roteia pacotes da porta 80 da rede local para o proxy
/sbin/ipfw add 40 fwd 192.168.1.254,3128 tcp from any to any 80 via xl1

#Ativa a NAT para as redes indicadas
/sbin/ipfw add 50 divert natd all from 192.168.1.0/24 to any via xl0 out
/sbin/ipfw add 60 divert natd all from any to 200.x.x.x via xl0 in

#Oculta host para o comando ping da Internet para a maquina ORION
/sbin/ipfw add deny icmp from any to 200.x.x.x in icmptypes 8 via xl0

#Libera pacotes nas portas tcp epecificadas vindos da Internet para a maquina OR
/sbin/ipfw add allow tcp from any to 200.x.x.x 22 via xl0
/sbin/ipfw add allow tcp from any to 200.x.x.x 80 via xl0
/sbin/ipfw add allow tcp from any to 200.x.x.x 25 via xl0
/sbin/ipfw add allow tcp from any to 200.x.x.x 110 via xl0
/sbin/ipfw add allow tcp from any to 200.x.x.x 53 via xl0

#Bloqueia pacotes nas portas 1-65535 vindos da Internet para a maquina ORION
#Se faz excecao dessa regra, as regras do bloco "Libera pacotes nas portas tcp e
/sbin/ipfw add deny tcp from any to 200.x.x.x 1-65535 via xl0




Alguém poderia me ajudar a encontrar o erro?

Valeu!!!

nao tenho muito conhecimento do bsd, mas e se voce primeiro bloquear tudo

/sbin/ipfw add deny tcp from any to 200.x.x.x 1-65535 via xl0

e depois liberar so o que for necessario

/sbin/ipfw add allow tcp from any to 200.x.x.x 22 via xl0
/sbin/ipfw add allow tcp from any to 200.x.x.x 80 via xl0
/sbin/ipfw add allow tcp from any to 200.x.x.x 25 via xl0
/sbin/ipfw add allow tcp from any to 200.x.x.x 110 via xl0
/sbin/ipfw add allow tcp from any to 200.x.x.x 53 via xl0

pode ser isso, espero ter ajudado

Faça isso e depois reinicie o firewall.

sysctl net.inet.ip.fw.one_pass=0


Sem mais,
:twisted:

nooosaa!!!
entao...
tudo depende do que vc fez...
vc jah recompilou o kernel com as opcoes para habilitar o firewall???
options ipfirewall
options ipfirewall_verbose
options ipfirewall_forward
?????????????
por acaso vc recompilou o kernel com a opcao...
options ipfirewall_default_to_Access
?????????????
se sim recompile o kernel e remova essa opcao...
vc percebeu que nao tem regra de volta dos seus pacotes?????
ai vai um teste para vc fazer

#Reseta todas as regras de firewall existentes
/sbin/ipfw -f flush

#Bloqueia pacotes fragmentados
/sbin/ipfw add 10 deny all from any to any in frag

#Roteia pacotes da porta 80 da rede local para o proxy
/sbin/ipfw add 40 fwd 192.168.1.254,3128 tcp from any to any 80 via xl1

#Ativa a NAT para as redes indicadas
/sbin/ipfw add 50 divert natd all from 192.168.1.0/24 to any via xl0 out
/sbin/ipfw add 60 divert natd all from any to 200.x.x.x via xl0 in

#Oculta host para o comando ping da Internet para a maquina ORION
/sbin/ipfw add deny icmp from any to 200.x.x.x in icmptypes 8 via xl0

#Libera pacotes nas portas tcp epecificadas vindos da Internet para a maquina OR
/sbin/ipfw add allow tcp from any to 200.x.x.x 22 setup keep-state
/sbin/ipfw add allow tcp from any to 200.x.x.x 80 setup keep-state
/sbin/ipfw add allow tcp from any to 200.x.x.x 25 setup keep-state
/sbin/ipfw add allow tcp from any to 200.x.x.x 110 setup keep-state
/sbin/ipfw add allow tcp from any to 200.x.x.x 53 setup keep-state


aaaaaaaaaaaaaaa,... e uma coisa muuuuito importante..
no seu /etc/rc.conf

firewall_enable="YES"
firewall_script="/usr/local/etc/firewall.conf"
firewall_type="UNKNOW"
firewall_quiet="NO"
firewall_logging="YES"

penso que seu script de firewall esteja em /usr/local/etc
com o nome firewall.conf

e chega... se quiser mais pergunte pro google.com.br

Faltou o
ipfw add check-state na primeira regra.
Quando se usa o "keep-state", (regra dinamica) tem que ser usado o check-state antes das regras.
:(6)