IPFW bloqueando todas as portas TCP e habilitando algumas
Galera,
Estou tentando fazer um firewall que bloqueia todas as portas TCP e libera somente algumas que eu definir, mas não estou tendo sucesso. As regras seguem abaixo:
xl0 - Interface da Internet
xl1 - Interface da Rede Interna
#Reseta todas as regras de firewall existentes
/sbin/ipfw -f flush
#Bloqueia pacotes fragmentados
/sbin/ipfw add 10 deny all from any to any in frag
#Roteia pacotes da porta 80 da rede local para o proxy
/sbin/ipfw add 40 fwd 192.168.1.254,3128 tcp from any to any 80 via xl1
#Ativa a NAT para as redes indicadas
/sbin/ipfw add 50 divert natd all from 192.168.1.0/24 to any via xl0 out
/sbin/ipfw add 60 divert natd all from any to 200.x.x.x via xl0 in
#Oculta host para o comando ping da Internet para a maquina ORION
/sbin/ipfw add deny icmp from any to 200.x.x.x in icmptypes 8 via xl0
#Libera pacotes nas portas tcp epecificadas vindos da Internet para a maquina OR
/sbin/ipfw add allow tcp from any to 200.x.x.x 22 via xl0
/sbin/ipfw add allow tcp from any to 200.x.x.x 80 via xl0
/sbin/ipfw add allow tcp from any to 200.x.x.x 25 via xl0
/sbin/ipfw add allow tcp from any to 200.x.x.x 110 via xl0
/sbin/ipfw add allow tcp from any to 200.x.x.x 53 via xl0
#Bloqueia pacotes nas portas 1-65535 vindos da Internet para a maquina ORION
#Se faz excecao dessa regra, as regras do bloco "Libera pacotes nas portas tcp e
/sbin/ipfw add deny tcp from any to 200.x.x.x 1-65535 via xl0
Alguém poderia me ajudar a encontrar o erro?
Valeu!!!
IPFW bloqueando todas as portas TCP e habilitando algumas
nao tenho muito conhecimento do bsd, mas e se voce primeiro bloquear tudo
/sbin/ipfw add deny tcp from any to 200.x.x.x 1-65535 via xl0
e depois liberar so o que for necessario
/sbin/ipfw add allow tcp from any to 200.x.x.x 22 via xl0
/sbin/ipfw add allow tcp from any to 200.x.x.x 80 via xl0
/sbin/ipfw add allow tcp from any to 200.x.x.x 25 via xl0
/sbin/ipfw add allow tcp from any to 200.x.x.x 110 via xl0
/sbin/ipfw add allow tcp from any to 200.x.x.x 53 via xl0
pode ser isso, espero ter ajudado
IPFW bloqueando todas as portas TCP e habilitando algumas
Faça isso e depois reinicie o firewall.
sysctl net.inet.ip.fw.one_pass=0
Sem mais,
:twisted:
IPFW bloqueando todas as portas TCP e habilitando algumas
nooosaa!!!
entao...
tudo depende do que vc fez...
vc jah recompilou o kernel com as opcoes para habilitar o firewall???
options ipfirewall
options ipfirewall_verbose
options ipfirewall_forward
?????????????
por acaso vc recompilou o kernel com a opcao...
options ipfirewall_default_to_Access
?????????????
se sim recompile o kernel e remova essa opcao...
vc percebeu que nao tem regra de volta dos seus pacotes?????
ai vai um teste para vc fazer
#Reseta todas as regras de firewall existentes
/sbin/ipfw -f flush
#Bloqueia pacotes fragmentados
/sbin/ipfw add 10 deny all from any to any in frag
#Roteia pacotes da porta 80 da rede local para o proxy
/sbin/ipfw add 40 fwd 192.168.1.254,3128 tcp from any to any 80 via xl1
#Ativa a NAT para as redes indicadas
/sbin/ipfw add 50 divert natd all from 192.168.1.0/24 to any via xl0 out
/sbin/ipfw add 60 divert natd all from any to 200.x.x.x via xl0 in
#Oculta host para o comando ping da Internet para a maquina ORION
/sbin/ipfw add deny icmp from any to 200.x.x.x in icmptypes 8 via xl0
#Libera pacotes nas portas tcp epecificadas vindos da Internet para a maquina OR
/sbin/ipfw add allow tcp from any to 200.x.x.x 22 setup keep-state
/sbin/ipfw add allow tcp from any to 200.x.x.x 80 setup keep-state
/sbin/ipfw add allow tcp from any to 200.x.x.x 25 setup keep-state
/sbin/ipfw add allow tcp from any to 200.x.x.x 110 setup keep-state
/sbin/ipfw add allow tcp from any to 200.x.x.x 53 setup keep-state
aaaaaaaaaaaaaaa,... e uma coisa muuuuito importante..
no seu /etc/rc.conf
firewall_enable="YES"
firewall_script="/usr/local/etc/firewall.conf"
firewall_type="UNKNOW"
firewall_quiet="NO"
firewall_logging="YES"
penso que seu script de firewall esteja em /usr/local/etc
com o nome firewall.conf
e chega... se quiser mais pergunte pro google.com.br
IPFW bloqueando todas as portas TCP e habilitando algumas
Faltou o
ipfw add check-state na primeira regra.
Quando se usa o "keep-state", (regra dinamica) tem que ser usado o check-state antes das regras.
:(6)