Bom, tudo vai depender...
Se a regra default for DENY:
Sempre que vc der um flush nada mais passar�, mas vc pode colocar uma regra logo ap�s o flush deixando passar somente conex�es estabelecidas,
ipfw add NNN allow from any to any established
duvido que vc perder� algo entre o tempo de dar o flush e colocar a regra acima, mas dependendo do seu caso isso pode n�o ser legal, eu por exemplo n�o fa�o isso n�o, quando muito eu deixo passar conex�es j� estabelecidas pra um ip, normalmente o meu.
Se sua regra default � ALLOW:
Realmente vc n�o perder� as conex�es, masss se vc usar regras din�micas,
o que � sempre melhor, vc n�o vai conseguir passar por que normalmente uma regra din�mica tem que ser criada a partir de uma nova conex�o, isso s� vc usou "setup" na regra inicial, ent�o como a conex�o j� existe n�o v�o vir mais pacotes com flag SYN, sendo assim se vc bloquear o trafego no final vc n�o ir� passar denovo.
Tudo vai depender na anatomia das suas regras.
Uma coisa que eu fazia com IPFW1 e nunca testei isso com IPFW2, era colocar uma regra com keep-state sem o "setup" assim ele deixava passar qualquer coisa que viesse por essa regra, ent�o eu podia tirar a regra e colocar ela logo depois que n�o perdia meu ssh.
Se vc puder explicar melhor a anatomia das suas regras aqui talvez possamos ajudar melhor.
Esse EXEMPLO talvez resolva seu problema
ifpw add NNN allow tcp from 192.168.0.5 to 192.168.200.15 22 keep-state in via xl1
Repare que se vc fizer isso,
ifpw add NNN allow tcp from 192.168.0.5 to 192.168.200.15 22 setup keep-state in via xl1
S� valer� para conex�es novas, e eu s� testei isso com ipfw1, se vc tiver o ipfw2, testa e conta o resultado pra gente aqui.
LEMBRE-SE QUE QUANDO VC ESTA USANDO UMA BRIDGE VC S� CONSEGUE ESPECIFICAR A INTERFACE DE ENTRADA E NUNCA A DE SA�DA.
Espero ter ajudado...
At� mais Vini
Renato Botelho escreveu:
Julio Cesar Dutra Junior wrote:
Ol� a todos.
Tenho uma bridge com ipfw rodando numa boa.
Quando executo o script de firewall, na m�o, para atualizar as regras correntes, s�o cortadas todas as cone��es.
No inicio do script, limpo todas as regras com:
ipfw -F flush
Como soluciono este problema, fazendo com que as conec��es estabelecidas n�o sejam interrompidas?
Se vc colocar o ipfw como DEFAULT_TO_ACCEPT eu acho que nao vai mais acontecer isso, porque hoje, quando voce dah o flush, a unica regra que fica eh a "deny ip from any to any", por isso, todas sao cortadas, eu acredito que essa mudanca seja suficiente, me corrijam se eu estiver errado.
Para colocar o default to accept eh soh colocar a seguinte linha no seu kernel
optione IPFIREWALL_DEFAULT_TO_ACCEPT
e recompilar o mesmo.
[]s
Renato
_______________________________________________________________ Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
_______________________________________________________________ Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
