On 8/3/06, Marcello Costa <[EMAIL PROTECTED]> wrote: > Em Qui, 2006-08-03 às 13:51 -0300, Nenhum _de_Nos escreveu: > > On 8/3/06, Marcello Costa <[EMAIL PROTECTED]> wrote: > > > Em Qui, 2006-08-03 às 10:33 -0300, Suporte Planet Hardware escreveu: > > > > Mais ai vc ta bloqueando todo o meu trafego da porta 1-1024 ??? > > > > > > > Sim , todas as portas de serviços > > > > entendo e concordo ... > > > > > Um desktop(client) usa portas acima da 1024 para se conectar as portas > > > de serviço( de 1 a 1024) , portanto se nos clientes não se roda nenhum > > > serviço , seja smtp,pop,http,ntp etc , pode bloquear todo o trafego dos > > > ips da sua rede que saem abaixo da porta 1024, exeções vc adiciona uma > > > regra asntes liberando o serviço > > > > nao seriam q chegam nao?? > > qd eu faco telnet uol.com.br 80 eu tenho um trafego de saida da rede, > > abaixo de 1k, e eh legitmo :) > > > > > o melhor é essa aqui mesmo > > > > > > ipfw add 6501 deny log ip from minharede/xx dst-port 1-1024 to any in > > > via interface_interna > > > > se eles nao vao prover servicos, nao seria ai o from not minha rede ? > > > > desculpa se falei besteira ... > > mas entendi q vc quer barrar um cliente por ex criando servidores > > > > > se quiser bloquear todos os smtps em sua rede seria > > > > > > ipfw add 6499 deny log ip from minharede/xx smtp to any in > > > via interface_interna > > > > > > isso iria bloquear o pessoal enviando spans de servidores de email > > > fajutos, propagação de virus, etc... > > > > > > coloque como log , escolha um ip qualquer , e monitore pelos logs , vc > > > vai perceber isso direitinho > > > > > > tem até um exemplo , badguys godguys no man do ipfw > > > > > > []'s > > > -- > > > Marcello Costa > > > BSD System Engineer > > > unixmafia at yahoo dot com dot br > > > > matheus > > > Matheus , mas na verdade voce pode fazer a regra tanto com "not" ou > sem , na verdade a lógica dá regra é que vale, qual pacote vai passar e > qual vai barrar > Nesse caso que citei de exemplo realmente é para barrar todo tipo de > servidor , quase todos , menos os que usam portas altas e/ou randomicas > como p2p , mas boa parte disso vc barra bloqueando as udps que não sejam > abaixo da porta 1024 tb.
hmm mas meu pensamento foi em todo tipo de servidor "na sua rede". como vc havia citado entendeu ... ? esta parte de a regra ser vista 4 vezes ( ate 4 ) eu nao sabia, pois nao sei muito sobre ipfw (o contato que tive de fw em bsd foi pf) > O firewaal analisa sua regra 4 vezes (match), entrada e saida de cada > interface , mas ele sabe se vc liberou ou bloqueou aquele pacote > > > PACKET FLOW > A packet is checked against the active ruleset in multiple places in the > protocol stack, under control of several sysctl variables. These places > and variables are shown below, and it is important to have this picture > in mind in order to design a correct ruleset. > > ^ to upper layers V > | | > +----------->-----------+ > ^ V > [ip(6)_input] [ip(6)_output] net.inet.ip.fw.enable=1 > | | > ^ V > [ether_demux] [ether_output_frame] net.link.ether.ipfw=1 > | | > +-->--[bdg_forward]-->--+ > net.link.ether.bridge_ipfw=1 > ^ V > | to devices | > > As can be noted from the above picture, the number of times the same > packet goes through the firewall can vary between 0 and 4 depending on > packet source and destination, and system configuration. > > então as regras : > > ipfw add 6501 deny log ip from minharede/xx dst-port 1-1024 to any in via > interface_interna > > ipfw add 6501 deny log ip from any to minharede/xx dst-port 1-1024 in > via interface_externa > > No final fazem a mesma coisa , mas a boa prática recomendado fazer match > de pacotes sempre na entrada , essa segunda regra é melhor porque impede > que o pacote alcance sua rede enquanto a primeira impede que sua rede > envie a resposta > > agora essa regra: > > ipfw add 6501 deny log from any to not minha_rede dst-port 1-1024 seria: ipfw add 6501 deny log from not minha_rede dst-port to any 1-1024 pois nao sabia/mencionei a checagem em mais de um ponto > essa regra vc vai bloquear acesso as portas de 1-1024 de todos os ip's > que não fazem parte da sua rede , ou seja , exatamente ao contrário do > desejado. > > um telnet uol.com.br 80 abre uma conexao de uma porta acima da 1024 da > maquina que solicitou para a porta 80 do servidor uol , isso vc não > deseja bloquear, uma regra que liberaria isso seria : acredito que estamos concordando de maneira bizarra ... qd vi seu mail em barrar tudo que seja <1k achei esquisito, pq isso bloquearia o telnet acima, e foi disso que falei no meu mail :) minha ideia era deixar saida em portas conhecidas e barrar tudo. e entrada deixava passar so os keep state > trafego de saida : > ipfw add numerodaregra tcp from minharede/xy to uol.com.br 80 > trafego de entrada do pacote : > ipfw add numerodaregra tcp from uol.com.br 80 to minharede/xy > > dinâmica : > > ipfw add numerodaregra tcp from minharede/xy to uol.com.br http > keep-state > > > Tem uns bons tutorias de ipfw , na freebsdbrasil.com.br tem em portugues > bem explicadinho. > > []'s queria ler os de pf mais a fundo pra reorganizar as ideias do modo PF, nao mais iptables. mas falta tempo ... :( matheus ps: nao tenho tempo por nao esta trabalhando com isso no momento, uso FreeBSD como ganho de conhecimento e como enthusiast, migrei minha rede slackware pra ele. vou lendo coisas aos poucos :) -- We will call you cygnus, The God of balance you shall be ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
