Opa,
Eicke Felipe wrote:
Pessoal uso o ipfw para controle de pacotes aqui em minha rede, gostaria de permitir pings para fora de minha rede mas nao aceitar ping de fora para dentro.
Pensei em algo assim mas nao funciona:
ipfw add 1000 allow icmp from minha_rede to any
N�o faz sentido bloquear o protocolo ICMP todo. Isso invariavelmente pode causar prejuizos � sua rede, que precisa de ICMP. ICMP n�o � sin�nimo de PING. Echo Reply e Echo Request, parte do ICMP, s�o. Mas acho que voc� vai se interessar mais em evitar echo request, e outras requisicoes de informacoes, apenas pra quem nao for da sua rede.
Sugiro algo proximo a
${fwcmd} add set N drop icmp from { not ${minharede} or not ${minhaoutrarede} } to any in recv <interface> icmptypes 8,13,15,17
"man ipfw" tem uma lista com os codigos dos icmptypes.
Lendo a regra com atencao vai perceber que esta negando pra todos que nao sejam suas redes, ou seja pras suas redes tudo continua valido, e como voce nao bloqueou echo reply (apenas request), voce pode fazer o request e receber o reply.
Caso prefira sua analogia inicial, de "apenas eu posso fazer" tente usar regras din�nicas, pra saida, por exemplo
add pass icmp from ${minharede} to any out xmit <interface> keep-state
add drop icmp from any to ${minharede} in recv <interface> icmptypes <tipos>
ipfw add 1001 allow icmp from any to minha_rede "established"
Mas o established so funciona para pacotes TCP....
�, por isso regras din�micas s�o mais consideradas.
-- Atenciosamente,
Patrick Tracanelli
FreeBSD Brasil LTDA. The FreeBSD pt_BR Documentation Project http://www.freebsdbrasil.com.br [EMAIL PROTECTED] "Long live Hanin Elias, Kim Deal!"
_______________________________________________________________ Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
