+ Responder ao Tópico



  1. #1
    haas
    Galera,

    Estou tentando fazer um firewall que bloqueia todas as portas TCP e libera somente algumas que eu definir, mas não estou tendo sucesso. As regras seguem abaixo:


    xl0 - Interface da Internet
    xl1 - Interface da Rede Interna




    #Reseta todas as regras de firewall existentes
    /sbin/ipfw -f flush

    #Bloqueia pacotes fragmentados
    /sbin/ipfw add 10 deny all from any to any in frag

    #Roteia pacotes da porta 80 da rede local para o proxy
    /sbin/ipfw add 40 fwd 192.168.1.254,3128 tcp from any to any 80 via xl1

    #Ativa a NAT para as redes indicadas
    /sbin/ipfw add 50 divert natd all from 192.168.1.0/24 to any via xl0 out
    /sbin/ipfw add 60 divert natd all from any to 200.x.x.x via xl0 in

    #Oculta host para o comando ping da Internet para a maquina ORION
    /sbin/ipfw add deny icmp from any to 200.x.x.x in icmptypes 8 via xl0

    #Libera pacotes nas portas tcp epecificadas vindos da Internet para a maquina OR
    /sbin/ipfw add allow tcp from any to 200.x.x.x 22 via xl0
    /sbin/ipfw add allow tcp from any to 200.x.x.x 80 via xl0
    /sbin/ipfw add allow tcp from any to 200.x.x.x 25 via xl0
    /sbin/ipfw add allow tcp from any to 200.x.x.x 110 via xl0
    /sbin/ipfw add allow tcp from any to 200.x.x.x 53 via xl0

    #Bloqueia pacotes nas portas 1-65535 vindos da Internet para a maquina ORION
    #Se faz excecao dessa regra, as regras do bloco "Libera pacotes nas portas tcp e
    /sbin/ipfw add deny tcp from any to 200.x.x.x 1-65535 via xl0




    Alguém poderia me ajudar a encontrar o erro?

    Valeu!!!

  2. nao tenho muito conhecimento do bsd, mas e se voce primeiro bloquear tudo

    /sbin/ipfw add deny tcp from any to 200.x.x.x 1-65535 via xl0

    e depois liberar so o que for necessario

    /sbin/ipfw add allow tcp from any to 200.x.x.x 22 via xl0
    /sbin/ipfw add allow tcp from any to 200.x.x.x 80 via xl0
    /sbin/ipfw add allow tcp from any to 200.x.x.x 25 via xl0
    /sbin/ipfw add allow tcp from any to 200.x.x.x 110 via xl0
    /sbin/ipfw add allow tcp from any to 200.x.x.x 53 via xl0

    pode ser isso, espero ter ajudado



  3. Faça isso e depois reinicie o firewall.

    sysctl net.inet.ip.fw.one_pass=0


    Sem mais,
    :twisted:

  4. #4
    TicoTuco
    nooosaa!!!
    entao...
    tudo depende do que vc fez...
    vc jah recompilou o kernel com as opcoes para habilitar o firewall???
    options ipfirewall
    options ipfirewall_verbose
    options ipfirewall_forward
    ?????????????
    por acaso vc recompilou o kernel com a opcao...
    options ipfirewall_default_to_Access
    ?????????????
    se sim recompile o kernel e remova essa opcao...
    vc percebeu que nao tem regra de volta dos seus pacotes?????
    ai vai um teste para vc fazer

    #Reseta todas as regras de firewall existentes
    /sbin/ipfw -f flush

    #Bloqueia pacotes fragmentados
    /sbin/ipfw add 10 deny all from any to any in frag

    #Roteia pacotes da porta 80 da rede local para o proxy
    /sbin/ipfw add 40 fwd 192.168.1.254,3128 tcp from any to any 80 via xl1

    #Ativa a NAT para as redes indicadas
    /sbin/ipfw add 50 divert natd all from 192.168.1.0/24 to any via xl0 out
    /sbin/ipfw add 60 divert natd all from any to 200.x.x.x via xl0 in

    #Oculta host para o comando ping da Internet para a maquina ORION
    /sbin/ipfw add deny icmp from any to 200.x.x.x in icmptypes 8 via xl0

    #Libera pacotes nas portas tcp epecificadas vindos da Internet para a maquina OR
    /sbin/ipfw add allow tcp from any to 200.x.x.x 22 setup keep-state
    /sbin/ipfw add allow tcp from any to 200.x.x.x 80 setup keep-state
    /sbin/ipfw add allow tcp from any to 200.x.x.x 25 setup keep-state
    /sbin/ipfw add allow tcp from any to 200.x.x.x 110 setup keep-state
    /sbin/ipfw add allow tcp from any to 200.x.x.x 53 setup keep-state


    aaaaaaaaaaaaaaa,... e uma coisa muuuuito importante..
    no seu /etc/rc.conf

    firewall_enable="YES"
    firewall_script="/usr/local/etc/firewall.conf"
    firewall_type="UNKNOW"
    firewall_quiet="NO"
    firewall_logging="YES"

    penso que seu script de firewall esteja em /usr/local/etc
    com o nome firewall.conf

    e chega... se quiser mais pergunte pro google.com.br



  5. Faltou o
    ipfw add check-state na primeira regra.
    Quando se usa o "keep-state", (regra dinamica) tem que ser usado o check-state antes das regras.
    6)






Tópicos Similares

  1. Lista de todas as portas TCP e UDP
    Por byosni no fórum Redes
    Respostas: 3
    Último Post: 13-01-2011, 13:00
  2. regra para bloquear todas as portas
    Por roggy no fórum Servidores de Rede
    Respostas: 1
    Último Post: 24-05-2004, 11:41
  3. Redirecionamento de todas as portas!!
    Por Perdigao no fórum Servidores de Rede
    Respostas: 2
    Último Post: 23-04-2004, 09:41
  4. Redirecionar todas as portas para o Squid com Iptables
    Por rdsat no fórum Servidores de Rede
    Respostas: 5
    Último Post: 28-11-2003, 15:39
  5. Liberando todas as portas no firewall pra um ip
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 26-08-2003, 09:17

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L