um truque que me ensinaram para reiniciar a firewall remotamente é dar o seguinte (comando do tcsh:) # sleep 10 ; sh /etc/rc.firewall simple > & /tmp/firewall.log
é importante que voce NÃO TOQUE no teclado até a shell retornar. essa linha vai dar 10 segundos para sessão ficar em silêncio, e ai então re-executará o script de firewall redirecionando toda a saída para um arquivo temporário, sem exibir nada na tela. Assumindo-se que o seu arquivo esteja OK (ou que voce pelo menos tenha uma regra logo depois do flush que libera o ssh para o seu micro), o script vai ser executado e te retornar uma shell e depois voce pode buscar no arquivo gerado se houve algum erro de inicialização da firewall. Só cuidado com: - as regras básicas (as que liberam o ssh para o micro que voce estiver) sempre devem sempre, independente das outras terem erros ou não (inclusive erros de abrir e fechar aspas, que acabam por zonear o resto do arquivo a partir daquele ponto!). - regras stateful (inclusive ssh) vão ser todas fechadas, já que elas vão ser apagadas e reescritas. assim, os states se perdem. - programas que mandam dados periodicamente podem quebrar isso (e te trancar pra fora do sistema). exemplos disso são coisas rodando em background (tail -f /var/log/messages &) e o gerenciador de consoles"screen", se voce configurou ele para aparecer com algum dado periódico (horario ou load) na barra. O importante é que, entre dar o [enter] do comando e a shell retornar (10 a 20 segundos depois, dependendo do numero de regras, carga e velocidade do sistema), NADA deve ser enviado por nenhum dos dois lados através da sessão ssh. []s 2008/7/29 Renato Frederick <[EMAIL PROTECTED]> > > compilar o meu kernel sem a opção > > options IPFIREWALL_DEFAULT_TO_ACCEPT > > SEM a opção "DEFAULT_TO_ACCEPT", ou seja por padrão tudo fechado. Caso esta > opção esteja presente ai o padrão é tudo aberto. > > Vejo como desvantagem o bloqueio da sessão SSH se você der um "flush"... > vai > cair no deny all :-( > > > > > > ou seja, o meu firewall é fechado, > > > > um de nós dois está enganado.. ali em cima diz que o default dêle é > > ACEITAR. Eu (se for o caso) não vejo desvantagem em defini-lo como > > "fechado" por default, mais fácil de controlar. > > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
