Todo mundo estar zombando com a minha regra mas ninguém me deu alguma solução. Quando desabilito o firewall o dns funciona normal, então o problema esta na regra do rc.firewall. Agora será que alguem pode corrigir as regras que coloquei aqui e me passar o correto? Preciso de ajuda e não de gozação. Obrigado!
> From: irado furioso com tudo <ir...@bsd.com.br> > creio que não porque pela última regra êste é um firewall "arrombado > para o mundo" - "tudo aberto, fecho uma que outra coisa, o que eu > esquecer é o que vai fu**r" > > flames > /dev/null > > From: irado furioso com tudo <ir...@bsd.com.br> >> ${fwcmd} add 65000 pass all from any to any > > isso aqui dá medo só de olhar (risos) > > > ------------------------------ > From: Emmanuel Alves <manel...@gmail.com> > > ahahaha > > Proteção total :-) > > []s > > From: "Alex de A. Souza" <alex_a_so...@msn.com> > > Já fiz isso e não funcionou. Como faço para liberar o telnet no freebsd? > Fiz o teste e não funcionou. > >> From: Thiago Gomes <thiagome...@gmail.com> > >> Coloque as regras que o marcio enviou, creio que falta liberar >> as portas 53 >> >> 2009/9/15 Alex de A. Souza <alex_a_so...@msn.com>: >>> Essas são as regras do rc.firewall e named.conf que estou usando no >>> momento. >>> >>> >>> #---------------- RC.FIREWALL - INICIO --------------- >>> >>> # BLOQUEIOS DE PORTAS NETBIOS >>> ${fwcmd} add 100 deny udp from any to any 135-139,445 >>> ${fwcmd} add 100 deny tcp from any to any 135-139,445 >>> ${fwcmd} add 100 deny udp from any 135-139,445 to any >>> ${fwcmd} add 100 deny tcp from any 135-139,445 to any >>> >>> # BLOQUEIO DE PACOTES FRAGMENTADOS >>> ${fwcmd} add 100 deny all from any to any in frag >>> >>> >>> # PIPE 1000 >>> ${fwcmd} pipe 1234 config bw 1000Kbits/s queue 20 mask dst-ip >>> 0x0000ffff >>> ${fwcmd} pipe 512 config bw 500Kbits/s queue 20 mask dst-ip >>> 0x0000ffff >>> >>> >>> ${fwcmd} add set 1 divert natd all from 191.169.15.1 to any >>> ${fwcmd} add set 1 divert natd all from 191.169.30.1 to any >>> >>> # PROXY >>> ${fwcmd} add 50000 fwd localhost,1290 tcp from 191.168.0.0/16 to not >>> 200.223.236.0/24, >>> ,200.201.174.0/24,200.192.176.0/24,200.221.8.0/24,201.7.176.59/24,72.36.191.0/16 >>> 80 >>> >>> #PIPE - GERAL >>> ${fwcmd} add pipe 1000 ip from any to 191.169.0.0/24 >>> ${fwcmd} add pipe 512 ip from 191.169.0.0/24 to any >>> >>> ${fwcmd} add divert natd all from any to me via rl0 in >>> >>> ${fwcmd} add 65000 pass all from any to any >>> >>> ------------------- # FIM - RC.FIREWALL >>> #---------------------------------- >>> >>> -------------------# INICIO NAMED.CONF >>> # -------------------------------- >>> >>> listen-on { 127.0.0.1;200.222.222.34;200.222.222.0/24; }; >>> >>> zone "." { >>> type hint; >>> file "named.root"; >>> }; >>> >>> zone "0.0.127.IN-ADDR.ARPA" { >>> type master; >>> file "master/localhost.rev"; >>> }; >>> >>> // RFC 3152 >>> zone >>> "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA" >>> { >>> type master; >>> file "master/localhost-v6.rev"; >>> }; >>> >>> zone "provedor.com.br" IN { >>> type master; >>> file "provedor.com.br"; >>> allow-update { none; }; >>> }; >>> zone "34.in-addr.arpa" IN { >>> type master; >>> file "provedor.rev"; >>> allow-update { none; }; >>> }; >>> zone "bahianet.sec" IN { >>> type slave; >>> masters { >>> 200.222.222.34; >>> }; >>> file "slave/provedor.sec"; >>> }; >>> >>> #-------------------- fim --------------------------------- >>> >>> >>>> From: mantunes <mantunes.lis...@gmail.com> >>>> >>>> coloque essas regras e ver se funciona >>>> >>>> ipfw add allow udp from me 1024-65535 to any 53 out keep-state uid bind >>>> ipfw add pass tcp from any to any 53 setup >>>> ipfw add pass udp from any to any 53 >>>> ipfw add pass udp from any 53 to any >>>> ipfw add pass tcp from any 53 to any >>>> ipfw add pass udp from any to any 53 keep-state >>>> ipfw add pass tcp from any to any 53 keep-state >>>> >>>> >>>> >>>> >>>> 2009/9/11 Thiago Gomes <thiagome...@gmail.com>: >>>>> mande suas regraas do IPFW. faça o teste para ter se a porta do >>>>> dns esta aberta >>>>> >>>>> telnet <ip> 53 >>>>> >>>> From: Wanderson Tinti <wander...@bsd.com.br> >>>>> >>>> Alex, boa tarde. >>>> >>>> Coloque as configurações do Bind e IPFW para que possamos ajudar. Pelo >>>> que >>>> entendi nessa sua mensagem, você quer liberar consultas recursivas >>>> externas >>>> em seu servidor DNS para hosts que não estão nos seus domínios, é isso? >>>> >>>> >>>> From: irado furioso com tudo <ir...@bsd.com.br> >>>> >>>> possível é, não é desejável ou conveniente, tudo fica muito exposto. >>>> >>>>> Agora estou querendo colocar no mesmo servidor de GATEWAY tudo junto, >>>>> mas >>>>> quem ta fora da rede não consegue resolver o nome, acredito que seja a >>>>> compilação do kernel que abilita o IPFW com as seguintes regras; >>>> >>>> mas.. a razão de vc querer tudo junto é pq "quem ta fora da rede não >>>> consegue resolver o nome"?? isso NÃO É problema do gw em si, mas sim >>>> de outros fatores como, por exemplo, regras de fwll ou daemon que >>>> "esquece" de ser ativado (ou se rebelou, morreu..) >>>> >>>> >>>>> Como posso fazer isso funcionar, e qual a versão do FreeBSD para isso? >>>>> OBS: Estou usando o FreeBSD 8 BETA 4 e esta perfeito como GATEWAY. >>>> >>>> um beta para gw/servidor de produção? nem pensar. Sugiro, fortemente: >>>> >>>> a) definir o que vc quer de verdade e postar na lista >>>> >>>> b) usar 7.2-RELEASE e deixar os beta para máquina de testes >>>> >>>> c) se possível, fazer o gw separado de qualquer outra máquina (mesmo >>>> que com vários links isso é possível) e criar DMZ para os servidores >>>> (bind, mail, etc) >>>> >>>> divirta-se. > > > > ------------------------------ > > Message: 9 > Date: Tue, 15 Sep 2009 09:47:10 -0300 > From: mantunes <mantunes.lis...@gmail.com> > Subject: Re: [FUG-BR] Duvida sobre FIREWALL - IPFW. > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > <freebsd@fug.com.br> > Message-ID: > <e995072e0909150547r3c96ecbel2374c90d17f97...@mail.gmail.com> > Content-Type: text/plain; charset=ISO-8859-1 > > Aqui vai algumas referencias. > > http://free.bsd.com.br/~eksffa/freebsd/ipfw.txt > http://www.cyberciti.biz/faq/howto-setup-freebsd-ipfw-firewall/ > http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html > http://onlamp.com/pub/a/bsd/2006/08/24/ipfw-for-firewalls.html > > > 2009/9/15 Ricardo Alexandre Silveira <ricardoa...@gmail.com>: >> Bom dia amigos, aproveitando gostaria de agradecer a comunidade pois foi >> muito útil numa duvida sobre modulos do PHP5 onde instalei e configurei >> sem >> problemas, depois de um membro da comunidade respondeu a lista. >> >> e gostaria de mais um esclarecimento agora sobre FIREWALL nativo do >> FreeBSD >> 7.2 o IPFW. nunca usei o IPFW e preciso fazer umas regras básicas onde >> estou >> me batendo. >> As regras são: >> >> # Inicio >> >> # Politica >> bloqueia entrada >> libera forward >> libera saida >> >> # Regras >> Libera na entrada de qualquer IP na porta 80 >> Libera na entrada qualquer IP na porta 22 >> >> # Fim >> > > > > From: "Luiz Otavio O Souza" <lists...@gmail.com> > > Não me leve a mal... mas vocês estão fazendo uma confusão danada aqui... > > Faça isso por partes... desligue o firewall, faça o dns funcionar e só > depois você configura o firewall. > > Esse dns também esta aberto, qualquer um pode consultar... isso é errado e > permite que seu dns seja utilizado para ataques (dns amplification > attacks) > entre outras coisas... (allow-recursion é MANDATÓRIO em qualquer > configuração do bind). > > Sugiro que vocês parem e procurem ler a respeito da configuração do bind > que > é bem complexa e cheia de "e se" (sim a configuração do bind é no mínimo > um > nightmare). > > Se alguem desistir no meio do caminho, tente uma das alternativas (que são > bem mais simples de se configurar): unbound, dnscache. > > Dificilmente você consegue um dns resolver (cache) e o dns server > corretamente configurados no mesmo bind sem o uso de views... > > Luiz > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd