Otimas informações sobre pf pode ser lida aqui http://www.section6.net/wiki/index.php/Setting_up_a_Firewall_NAT_using_PF
http://www.freebsddiary.org/pf.php e no manual claro Eu gosto do jeito do IPFW , mas ambos são otimos e tanto um qto o outro vai atender perfeitamente , acho que a escolha é mais em função de gosto , o que vc se sente mais a vontade, aliais o propio OS é isso , o melhor é aquele que vc sabe usar bem. []'s Em Qui, 2007-09-06 às 16:46 -0300, Marcio Antunes escreveu: > Muito obrigado lista.. sinceramente é um prazer participar desta > comunidade..incentiva cada vez mais o uso do FreeBSD.. Realmente essa > semana foi fogo ainda bem que tem um feriado ai.. esse assunto e o > squid .. foi pano para render muitas opiniões, todas de alto nivel. > > Vou montar um servidor para ele em FreeBSD, (se o meu amigo ainda > estiver vivo) o que ele tem é em slackware, e colocar em pratica tudo > que vcs me passaram. primeiramente vou usar o PF, não sei pq tenho > mais afinidade com ele.. vivo entre a cruz e espada com IPFW. até hoje > nao me decidi definitivamente com qual. > > Depois eu vou postar os resultados na lista. > > Valeu. > > Em 06/09/07, [EMAIL PROTECTED]<[EMAIL PROTECTED]> escreveu: > > Só para ilustrar, segue abaixo um artigo interessante sobre DOS, que vi > > no > > VOL (sim, estou certo que alguns não irão gostar, mas o conteúdo é bom :) > > Link: > > http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=7070&pagina=1 > > > > Att, > > Breno Fernandes > > > > > > > > > > > Esse tread cresceu bastante , como disse o colega de lista o semaninha > > > danada ... > > > > > > Bem vou espor umas idéias , vou tentar ser um Mythbuster ..... mesmo que > > > eu não tenha tanto talento qto. > > > > > > http://www.discoverybrasil.com/cacadores_funsite/ > > > > > > a pergunta é : > > > > > > Ataque de DDoS tem como evitar ? > > > > > > Resposta: Não, porque enquanto existir jovens espinhentos que não > > > praticam sexo sempre tera um desses querendo mostrar o poder de querer > > > ser um "HACKER" fazendo papel de "LAMER". > > > > > > Mas se isso é um fato , o quanto eu estou vuneravel a este tipo de > > > ataque ? > > > > > > Bem a definição disso passa por muitas coisas , com o aumento das bandas > > > de conexão é digamos até esperado que esse tipo de ataque seja mais > > > frequente e tenha maior probabilidade de atingir algum tipo de objetivo, > > > isso é se isso tem algum objetivo além de gerar discussões, > > > controvérsias e aborrecimento para algumas pessoas. > > > > > > Em contrapartida isso não tem nada de novidade é historicamente poucos > > > desses ataques tiveram realmente destaques mundiais , um lá pelos idos > > > de 1996 que tirou boa parte do que era uma redezinha internacional > > > funcionando que era usada denominada internet e o caso mais famoso na > > > minha opinião que vou o ataque em massa ao Yahoo onde o destaque foram > > > os servidores FreeBSD que sobreviveram muito bem. Desde então muita > > > coisa mudou , os sistemas operacionais evoluiram e temos o cenario > > > atual, alguma referencia pode ser encontrada : > > > > > > http://en.wikipedia.org/wiki/Denial-of-service_attack > > > > > > A resposta é que se voce tem um bom sistema bem configurado , não estou > > > me referindo a um OS específico , quase certo que voce de certa maneira > > > esta imune a este tipo de ataque, todos os sistemas adotaram ações > > > pró-ativas contra esses ataques, excessões podem existir lógico. > > > > > > > > > Bem essa lista trata de FreeBSD e seus "Primos" , então focando nisso > > > podemos considerar : > > > > > > Todos os BSD's tem proteção pró-ativa contra DDOS !!!! > > > > > > Experimente vc mesmo ai na sua rede "flodar" um BSD , olhe o prompt e > > > vera mensagens do sistema descartando pacotes , isso não requer qualquer > > > tipo de ação ou setup, é um recurso de segurança dos sistemas BSD's. > > > > > > Dai então a pergunta : > > > > > > Então vc pode simplemente ignorar um ataque DDOS ? > > > > > > Resposta : Não , não deve , vc deve ter o maximo de preocupação com > > > isso , mesmo porque saiba-se lá o que pode estar por detraz de um ataque > > > desses, vc deve ao menos tomar providencias com a intenção de ao menos > > > desistimular os esfeitos colaterais desses ataques. > > > > > > Como isso pode ser feito ? > > > > > > Bem qualquer filtro de pacote tem, ou deveria ter , mecanismos que > > > bloqueam pacotes cujo objetivo são simplesmente causar problemas. > > > > > > Onde vc encontra informações sobre como configurar meu firewall para > > > isso ? > > > > > > > > > Resposta : No manual horas, Handbook > > > > > > Uma das referencias especifica para IPFW > > > > > > http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html > > > > > > Onde na página do Handbook estão essas informações ? > > > > > > Bem veja as descrições e recomendações para uma configuração eficiente > > > do firewall. > > > > > > Logo no primeiro exemplo : > > > > > > Start your rules file like this: > > > > > > ############### start of example ipfw rules script ############# > > > # > > > ipfw -q -f flush # Delete all rules > > > # Set defaults > > > oif="tun0" # out interface > > > odns="192.0.2.11" # ISP's DNS server IP address > > > cmd="ipfw -q add " # build rule prefix > > > ks="keep-state" # just too lazy to key this each time > > > $cmd 00500 check-state > > > $cmd 00502 deny all from any to any frag > > > $cmd 00501 deny tcp from any to any established > > > $cmd 00600 allow tcp from any to any 80 out via $oif setup $ks > > > $cmd 00610 allow tcp from any to $odns 53 out via $oif setup $ks > > > $cmd 00611 allow udp from any to $odns 53 out via $oif $ks > > > ################### End of example ipfw rules script ############ > > > > > > Note as regras : > > > > > > $cmd 00500 check-state > > > $cmd 00502 deny all from any to any frag > > > $cmd 00501 deny tcp from any to any established > > > > > > A primeira busca por regras dinamicas , esse é uma boa ação , usar > > > regras dinamicas ao invéz de estáticas , pois assim diminue em muito o > > > processamento necessário para definir o que fazer com um determinado > > > pacotes. A segunda descarta os pacotes fragmentados e a terceira e mais > > > importante "DESCARTA pacotes marcados como established , pois eles não > > > deveriam estar ai correto ? Afinal o que faz o check-state antes , > > > aceita os pacotes criados por regras dinamicas do seu firewall , então > > > se o pacote não se encaixou no check-state ele tem mais é que ser > > > descartado mesmo. > > > > > > Mais sera tão simples assim ? Somente isso é suficiente ? > > > > > > Sim e não, simples mas apenas o suficiente para voce não ter efeitos > > > colaterais ao seus servidores , voce pode melhorar ainda se entender o > > > que vem ser um ataque DDOS. Regras como essas são um passo importante > > > > > > IPFW : > > > > > > # Bloqueia pacotes com opções de Source Routing e Record Route do > > > Cabecalho IP > > > ativadas. > > > add 00001 deny tcp from any to any ipoptions ssrr,lsrr,rr > > > > > > # Bloqueio de pacotes com combinações estranhas de flags do protocolo TCP > > > add 00003 deny tcp from any to any tcpflags syn,fin > > > add 00004 deny tcp from any to any tcpflags syn,rst > > > > > > PF : > > > > > > ## NORMALIZATION - Scrubbing will automatically drop TCP packets that > > > # have invalid flag combinations, so there's no need for typical > > > 'anti-portscan' > > > scrub in on $ext_if > > > scrub out on $ext_if no-df random-id min-ttl 24 max-mss 1492 > > > > > > > > > Ou seja , um ataque DDOS é simplemente o envio de um monte de pacote com > > > o objetivo de "atolar" sua rede , para conseguirem fazer isso precisam > > > rodar scripts que enviam randomicamente pacotes com todos os tipos de > > > combinações possiveis , alguns ataques podem ser direcionados a portas, > > > de serviços especificas ou mesmo protocolos como ICMP, então uma boa > > > prática poderia ser tambem uma boa filtragem de ICMP. > > > > > > > > > do man ipfw : > > > > > > > > > icmptypes types > > > Matches ICMP packets whose ICMP type is in the list types. > > > The > > > list may be specified as any combination of individual > > > types > > > (numeric) separated by commas. Ranges are not allowed. The > > > sup- > > > ported ICMP types are: > > > > > > echo reply (0), destination unreachable (3), source quench > > > (4), > > > redirect (5), echo request (8), router advertisement (9), > > > router > > > solicitation (10), time-to-live exceeded (11), IP header > > > bad > > > (12), timestamp request (13), timestamp reply (14), > > > information > > > request (15), information reply (16), address mask request > > > (17) > > > and address mask reply (18). > > > > > > Descartar icmp tipo 3 e 5 vindo da interface externa e não deixando sair > > > icmp tipo 0 e 8 da sua rede interna para o mundo são uma boa prática > > > > > > add 00018 deny icmp from any to any via $ext_if in icmptypes 3,5 > > > add 00018 deny icmp from any to any via $ext_if out icmptypes 0,8 > > > > > > Ah , uma referenciazinha , sera que tem BSD lá a algum tempo? > > > > > > http://www.rnp.br/newsgen/9901/ipfw-bsd.html > > > > > > Mas a pergunta persiste , assim eu fico imune ao ataque DDOS ? > > > > > > Resposta : Sua rede fica imune , vc não precisa usar nenhuma solução > > > comercial , ipfw e pf ajudam mas seu BSD já ta pronto para aguentar o > > > tranco mas o seu link com a internet cheio de pacotes "voando" de uma ou > > > de varias origens isso esta fora do seu alcance , portando depende do > > > seu fornecedor de link/operadora, procure obter o máximo de informação > > > após um ataque , tente contatos, reporte o ataque ao CERT , pois a > > > melhor maneira de realmente diminuir ataques é fazendo com que as > > > consequencias para quem faz isso seja bastante ruim, crie logs , mas > > > cuidado para não tomar muito remédio e fica envenenado, veja no > > > handbook: > > > > > > > > > 28.6.5.3 Logging Firewall Messages > > > > > > .................... > > > > > > Logging is a two edged sword, if you are not careful, you can lose > > > yourself in the over abundance of log data and fill your disk up with > > > growing log files. DoS attacks that fill up disk drives is one of the > > > oldest attacks around. These log message are not only written to > > > syslogd, but also are displayed on the root console screen and soon > > > become very annoying. > > > > > > > > > O que mais pode ser feito ? > > > > > > Se vc implementar sugestões como as acima o "pentelho" vai sentir > > > dificuldade em "scanear" sua rede , isso já sera um dado positivo pois > > > vai desestimular o ataque , soluções com portsentry e snort ajudam ainda > > > mais a desestimular esses "meninos". > > > > > > Bem o afinal de contas qual o mito ? > > > > > > Bem isso digo agora num precisa de solução mirabolante ou comercial ou > > > produzida pelos "super hiper entendidos " que vendem seus produtos , > > > voce mesmo pode fazer isso no seu BSD se tiver um pouco de dedicação e > > > bastante pesquisa em sites e manuais, e digo mais vai funcionar melhor > > > ainda já que vc não tem que atender a "Gregos e Troianos". > > > > > > So para lembrar que : > > > > > > http://www.fug.com.br/content/view/353/2/ > > > > > > > > > Bem espero ter ajudado , mais informações , mais detalhes sobre PF podem > > > enrriquecer essa thead > > > > > > abraço e boa sorte a todos > > > > > > ------------------------- > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd