Um detalhe que me ocorreu: Se o servidor que a Cristina está montando for um servidor de resolução recursivo, vai ser necessário liberar a saída de portas altas/UDP to any porta 53, para que o servidor consiga fazer consultas a servidores externos.
Uma coisa que eu uma ideia que eu já tive, mas nunca avaliei muito em termos de performance e eficiência, é fazer essa regra da seguinte maneira: ipfw add allow udp from me 1024-65535 to any 53 out keep-state uid bind. Alguem tem alguma opinião formada quanto a isso? (o range de portas eu ainda tenho ver com certeza) []s 2008/7/28 Cristina Fernandes Silva <[EMAIL PROTECTED]> > Parabens irado pelos tutoriais.. > > 2008/7/28 irado furioso com tudo <[EMAIL PROTECTED]>: > > Em Fri, 25 Jul 2008 09:12:24 -0300 > > "Cristina Fernandes Silva" <[EMAIL PROTECTED]> escreveu: > > > >> Valeu pelas dicas, sobre implementação das regras de bloqueio com > >> ipfw ou pf , o que eu poderia implementar para o DNS, saliento que > >> ele será somente dns e não terá outra função principalmente de nat, > >> controle de banda, proxy, web. > >> > >> Tem alguma dica ? > > > > > > bem.. voce tera de fazer uma analise criteriosa do serviço. Eu > > começaria assim: > > > > a) bloquear TUDO que venha da 'net pra mim - estabelecendo a politica > > > > b) aceitar ssh pela porta (???) ou por knock-door somente a partir da > > maquina "ip-addr aqui", que é a maquina de controle > > > > c) liberar consultas tcp/udp na porta 53 - DNS > > c-1) não estou bem certo, mas acho que uma outra porta deve TAMBÉM > > permanecer aberta pelo mesmo motivo - veja no handbook, por exemplo, > > quais as portas que "escutam" solicitações. > > > > btw, sugiro ler êstes dois artigos, que cometi tempos atrás, é possivel > > que vc possa aproveitar alguma coisa como, por exemplo, as alterações > > em sysctl.conf > > > > > http://under-linux.org/wiki/index.php/Tutoriais/FreeBSD/FreeBSD-Firewall-1 > > http://under-linux.org/wiki/index.php/Tutoriais/Seguranca/gw-firewall > > > > vc deverá desconsiderar tudo a que se refira a "gateway" ou "bridge", > > aproveitando apenas as regras "in" - não esqueça, nada "out", esta > > máquina não tem razão de deixar SAIR algo. > > > > adicionalmente insisto: uma boa pesquisa em http://www.onlamp.com/bsd > > vai esclarecer muita coisa :) > > > > divirta-se. > > > > > > -- > > saudações, > > irado furioso com tudo > > Linux User 179402/FreeBSD BSD50853/FUG-BR 154 > > Não uso drogas - 100% Miko$hit-free > > Deus, para a felicidade do homem, inventou a fé e o amor. > > O Diabo, invejoso, fez o homem confundir fé com religião e amor com > > casamento. (Machado de Assis) > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd