2014-04-29 0:22 GMT-03:00 Renato Sousa <renso...@gmail.com>:
> Boa noite a todos,
>
> Estou implementando um firewall para um dos servidores FreeBSD que
> administro. Alterei o script padrão (/etc/rc.firewall) com as regras que
> necessito utilizando firewall_type=client no arquivo /etc/rc.conf
> Toda vez que vou rodar o firewall para testar minha sessão ssh é terminada
> e quando vejo na maquina fisicamente o firewall só tem a ultima regra
> dropando todas as conexões.
> Observei melhor e notei que a sessão trava quando o comando ipfw -f é
> executado, limpando todas as regras e deixando a ultima regra fixa de drop.
> Lembro-me que já utilizei esse script em versões anteriores do FreeBSD e
> funcionava legal. Como fazer para que o resto do script seja executado e o
> comando " ${fwcmd} add pass tcp from any to any established" garanta o
> funcionamento da sessão em andamento ?
>
> Abraços,
>
> Renato
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
O que acontece é que quando vc executa um flush via ssh, antes de ele
recarregar as regras ele já matou sua sessão e o comando de reinicialização
do firewall atrelado a ela tmb.
Coloca isso na sua configuração de kernel:
options IPFIREWALL_DEFAULT_TO_ACCEPT
Com isso vc sempre terá a regra 65535 allow all from any to any, mesmo
rodando um ipfw -f flush. Durante aqueles instantes que o seu script está
aplicando as regras, seu firewall estará todo aberto, não chega a ser um
problema já que é por um período muito curto de tempo, e sua sessão ssh não
vai cair.
Ai se vc quer aplicar uma politica de negação por padrão, acrescente no seu
script de firewall uma regra tipo:
${fwcmd} add 65534 deny all from any to any
--
Att.
__________________________________
Márcio Elias Hahn do Nascimento
Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel: (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
