Re: [FUGSPBR] Script ipfw

[Joao Rocha Braga Filho]

(m3) Mario A. Mania (Bandnet.com.br) wrote:

Vou aproveitar a deixa:

Quem participou do I BSDCon, e assistiu a palestra sobre Tunning e tals..
akela q falow do WCARCHIVE, deve ter prestado a atencao a um detalhe que me
deixou confuso:
O Palestrante, naum me lembro o nome (desculpe), comentou que firewall com
 

   Jo�o Carlos Mendes Luiz. Amigo meu.

IPFW eh igual a BASIC, vc coloca o NUMERO da regra e ele vai de baixo para
cima ( ou seja, da menor para a maior ), exemplo:
ipfw add 2 deny tcp from 10.0.0.1 to any
ipfw add 3 deny tcp from 10.0.0.2 to any
ipfw add 4 allow tcp from 10.0.0.3 to any
entaum, primeiro o firewall barray (deny) as conexoes tcp do 10.0.0.1 para
qquer um (any),
depois, negaria as conexoes tcp do 10.0.0.2 para qquer um e por ultimo
ele permitiria (allow) as conexoes tcp do 10.0.0.3 para qquer um
ou seria o inverso???

Tipo, ai vai a duvida, (nao fiz testes justamente para gerar polemica
hehehe):
Se eu coloca a regra:
ipfw add 1 deny tcp from any to any
 

   Esta regra causaria nega��o de todo tr�fego TCP (UDP e ICMP 
passariam), a n�o ser que tivesse
uma regra com o mesmo n�mero que tivesse sido implementada antes.

somente o 10.0.0.3 taria liberado?

Ou se eu colocasse a regra:

ipfw add 5 deny tcp from any to any
 

   Esta regra causaria a nega��o de todo o tr�fego TCP, da mesma forma 
que a anterior. Mas como a
regra 4, que � avaliada antes desta, permite que passe tr�fego da 
10.0.0.3, en�o somente esta estaria
liberada.

ninguem estaria liberado????

m3BSD
----- Original Message ----- 
From: "Leandro Jos� da Silva" <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Sent: Tuesday, December 09, 2003 11:44 PM
Subject: Re: [FUGSPBR] Script ipfw

Ola senhor Joao Rocha tinha me esquecido de postar a regras do sitema
heheheheheh
estao essas regras
# Setup Loopback
#
ipfw add 30 pass all from any to any via lo0
ipfw add 31 deny all from any to 127.0.0.0/8
ipfw add 32 deny ip from 127.0.0.0/8 to any
# Firewall
#
ipfw add 37 deny tcp from any 445 to any
ipfw add 38 deny tcp from any to any 445
ipfw add 39 deny tcp from any 17300 to any
ipfw add 40 deny tcp from any to any 17300
ipfw add 43 deny udp from any 445 to any
ipfw add 44 deny udp from any to any 445
ipfw add 45 deny udp from any 137-139 to any
ipfw add 46 deny udp from any to any 137-139
ipfw add 47 deny udp from any 2001 to any
ipfwadd 48 deny udp from any to any 2001
ipfw add 49 deny udp from any 192 to any
ipfw add 50 deny udp from any to any 192
ipfw add 51 deny udp from any 67 to any
ipfw add 52 deny udp from any to any 67
ipfw add 53 deny udp from any 68 to any
ipfw add 54 deny udp from any to any 68
ipfw add 55 deny log udp from any to any 1900
ipfw add 56 permit icmp from any to any icmptypes 0,3,8
ipfw add 57 deny icmp from any to any
 

   Esqueceu de negar acesso � porta 135. E sugiro negar TCP e UDP para 
as portas
135, 137 a 139 e 445.

   Sugiro espa�ar mais os numeros das regras, tal como colocando de 10 
em 10. Um
dia vai ver como isto � melhor.



      Jo�o Rocha.

To: <[EMAIL PROTECTED]>
Sent: Tuesday, December 09, 2003 11:15 PM
Subject: Re: [FUGSPBR] Script ipfw
   

   Este � o seu script de firewall? Sabe o que falta para para bloquear
o resto dos IPs?
ipfw add 65000 deny log ip from any to any

   Mas antes tem que colocar as regras de permiss�es que o servidor
precisa, imclusive
para a loopback
ipfw add 10 allow ip from any to any via lo0

      Jo�o Rocha.



Leandro Jos� da Silva wrote:

     

Ol� pessoal

Meu nome eh leandro e eu estou precisando urgente de um script para que
       

eu
   

possa controlar banda e bloquear ips ao mac com o ipfw

jah tenho um controle de banda mas tenho que melhora-lo

tenho que bloquear todos os outros ips nao cadastrados mas nao estoi
conseguindo
se possivel alguem me ajudar agradecerei muito

o controle que uso hj eh
estou usando o paremtro net.inet.ip.fw.one_pass=0
ipfw -f flush
ipfw -f pipe flush
ipfw -f queue flush
. /root/clientes_db

# Natd

ipfw add 100 divert 8668 all from any to any via xl0

# Aggea-pia
ipfw pipe 10 config bw ${bw_aggeapia}Kbit/s queue 11
ipfw pipe 11 config bw ${bw_aggeapia}Kbit/s queue 11
ipfw add 500 pipe 10 ip from any to ${ip_aggeapia}
ipfw add 510 pipe 11 ip from ${ip_aggeapia} to any
# CDL
ipfw pipe 12 config bw ${bw_cdl}Kbit/s queue 11
ipfw pipe 13 config bw ${bw_cdl}Kbit/s queue 11
ipfw add 520 pipe 12 ip from any to ${ip_cdl}
ipfw add 530 pipe 13 ip from ${ip_cdl} to any
# Lider contab
ipfw pipe 14 config bw ${bw_lider}Kbit/s queue 11
ipfw pipe 15 config bw ${bw_lider}Kbit/s queue 11
ipfw add 540 pipe 14 ip from any to ${ip_lider}
ipfw add 550 pipe 15 ip from ${ip_lider} to any


_______________________________________________________________
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/


       

_______________________________________________________________
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
     

_______________________________________________________________
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
   

_______________________________________________________________
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
 



_______________________________________________________________
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/