Acho que consegui o que eu queria hehehe.. Está correto desta forma ? (Posso seguir este padrão) ?
IPF="ipfw -q add" ipfw -q -f flush $IPF 3 divert natd via em0 #loopback $IPF 20 allow all from any to any via lo0 $IPF 30 deny all from any to 127.0.0.0/8 $IPF 40 deny all from 127.0.0.0/8 to any $IPF 50 deny tcp from any to any frag $IPF 60 check-state $IPF 71 allow tcp from any to any dst-port 53 keep-state via vr0 $IPF 72 allow udp from any to any dst-port 53 keep-state via vr0 $IPF 73 allow tcp from any to any dst-port 80 keep-state via vr0 #libera o output $IPF 80 allow all from any to any out keep-state #libera a INPUT para rede interna. $IPF 90 allow all from any to any via vr0 $IPF 500 deny log all from any to any Em 27/03/08, Thiago | www.t2web.com.br <[EMAIL PROTECTED]> escreveu: > > eu nao usaria established... > > já que ta usando keep-state :D > > > abraços... > > Em 27/03/08, Daemon BR <[EMAIL PROTECTED]> escreveu: > > > > Simplificando... > > > > A Seguinte regra > > > > > > > > IPF="ipfw -q add" > > ipfw -q -f flush > > > > $IPF 3 divert natd via em0 > > > > > > #loopback > > $IPF 20 allow all from any to any via lo0 > > $IPF 30 deny all from any to 127.0.0.0/8 > > $IPF 40 deny all from 127.0.0.0/8 to any > > $IPF 50 deny tcp from any to any frag > > > > > > # statefull > > $IPF 60 check-state > > $IPF 70 allow tcp from any to any established > > $IPF 80 allow all from any to any out keep-state > > > > > > $IPF 150 allow tcp from any to any 25 in via em0 > > $IPF 160 allow tcp from any to any 25 out via em0 > > $IPF 170 allow udp from any to any 53 in via em0 > > $IPF 175 allow tcp from any to any 53 in via em0 > > $IPF 180 allow udp from any to any 53 out via em0 > > $IPF 185 allow tcp from any to any 53 out via em0 > > $IPF 200 allow tcp from any to any 80 in via em0 > > $IPF 210 allow tcp from any to any 80 out via em0 > > > > $IPF 220 allow all from any to any via vr0 > > > > # deny and log everything > > $IPF 500 deny log all from any to any > > > > > > Está regra acima está liberando todo acesso... motivo: > > $IPF 60 check-state > > $IPF 70 allow tcp from any to any established > > $IPF 80 allow all from any to any out keep-state > > > > Como ficaria para liberar somente a porta 80 (navegação) ? > > > > > > Em 27/03/08, Daemon BR <[EMAIL PROTECTED]> escreveu: > > > > > > > > Nossa estou apanhando muito no IPFW para fazer um exemplo simples > > abaixo, > > > (em iptables). > > > No caso estou postando um exemplo onde eu DROPO tudo, e libero somente > a > > > navegação na rede interna (80,53,443). > > > > > > > > > iptables -A INPUT -m state --state INVALID -j DROP > > > iptables -A INPUT -i lo -j ACCEPT > > > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > > iptables -A INPUT -i eth0 -s IPCOMACESSOEXTERNOSSH -p tcp --dport 22 > -j > > > ACCEPT > > > iptables -A INPUT -i eth1 -j ACCEPT #Libera tudo na INPUT para rede > > local > > > > > > iptables -A FORWARD -m state --state INVALID -j DROP > > > iptables -A FORWARD -p icmp -j ACCEPT > > > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > > > iptables -A FORWARD -i eth1 -p tcp --dport 53 -j ACCEPT > > > iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT > > > iptables -A FORWARD -i eth1 -p udp --dport 80 -j ACCEPT > > > iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT > > > iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE > > > > > > Minha grande dúvida é no estado dos pacotes do ipfw. > > > Como faço o ESTABLISHED,RELATED no ipfw ? (Estou colocando na 1 regra, > e > > > automáticamente ele libera tudo). > > > Preciso numerar as regras ? (Qual o motivo ?, pq sem colocar os > números > > as > > > mesmas funcionam). > > > > > > Segue abaixo o ipfw, onde estou liberando tudo... (Mesmo assim não > está > > > pingando...) > > > > > > #!/bin/sh > > > IPF="ipfw -q add" > > > ipfw -q -f flush > > > > > > $IPF 3 divert natd via em0 > > > $IPF 5 check-state > > > > > > $IPF 7 pass all from any to any via vr0 keep-state > > > > > > #loopback > > > $IPF 10 allow all from any to any via lo0 > > > $IPF 20 deny all from any to 127.0.0.0/8 > > > $IPF 30 deny all from 127.0.0.0/8 to any > > > $IPF 40 deny tcp from any to any frag > > > $IPF 150 allow tcp from any to any 25 in via em0 > > > $IPF 160 allow tcp from any to any 25 out via em0 > > > $IPF 170 allow udp from any to any 53 in via em0 > > > $IPF 175 allow tcp from any to any 53 in via em0 > > > $IPF 180 allow udp from any to any 53 out via em0 > > > $IPF 185 allow tcp from any to any 53 out via em0 > > > $IPF 200 allow tcp from any to any 80 in via em0 > > > $IPF 210 allow tcp from any to any 80 out via em0 > > > > > > $IPF 220 allow all from any to any via vr0 > > > # deny and log everything > > > $IPF 500 deny log all from any to any > > > > > > > > > Alguma alma boa, pode postar como ficaria este exemplo do iptables. > > > > > > obrigado > > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > -- > Thiago Torres > > T2web Consultoria TI & Hospedagem Web > Phone: +55 (82) 3035-5734 > Mobile: +55 (82) 9351-4490 > http://www.t2web.com.br > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Att ' Cesar ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
