Fera acho que você está equivocado, o firewall em si é simples a forma de funcionamento dele é que deve estar lhe deixando confuso. Faz tempo que não uso o IPFW, contudo em breve voltará a fazer parte do meu cotidiano, mas vamos ignorar o firewall, pelo visto a questão sua é mais a logica de funcionamento. Considerando isso, segue o seguinte. Primeiro tem que definir qual é a sua interface ou inet interna, ou Lan, considerando teremos realmente a quem se aplicar as politicas de fato, visto que não vem, salvo em alguns casos, ter interesse em limitar a sua Wan. Por Exemplo consideramos o seguinte ambiente.
Interface LAN: Device xl0 Endereço IP: 192.168.0.1/24 Enlace de 100 Mbits Interface Wan: Device xl1 Endereço IP 189.189.189.187/30 Enlace de 10 Mbits Bom, temos uma rede interna com 10 maquinas e que cada um poderá usar da banda da Wan apenas 1Mbits. Considerando esse cenário teremos veremos que se limitarmos o trafego entrante da rede deixaremos de ter definitivamente os 10Mbits de Wan no qual contratamos, pois mesmo tento tudo isso o firewall limitará a Wan para 1Mbits visto que é o trafego "in/out" externo ou da Wan, agora se tratarmos o trafego interno "in/Out" teremos o desejado, espero ter ficado facil de compreender. Simplesmente assumimos que temos sempre dois trafegos do tipo IN e dois trafegos do tipo OUT, visto que possuimos trafego "IN/OUT" do lado Lan e "IN/OUT" do lado WAN, já que o de de fato pertence a nós é o gateway e o unico trafego realmente dele é o trafego da interface lo. Exemplo de trafego liberado para a Lan no sentido GW-> Lan. ipfw add 00010 allow tcp from any 80 to 192.168.0.1/24 via xl0 com essa regra toda conecção com destino a rede interna na porta 80 que vier de qualquer outro local para ela será permitido, já que suprimi a explicidade da origem com o unico parametro a seguir sendo a porta de origem da conecção, com essa regra teremos a seguinte situação em ASCII. WAN:80(IN) -> GW -> LAN(OUT) -> Host No caso a regra tratou separadamente o tipo de trafego, agora se apos essa regra eu tiver a seguinte. ipfw add 00011 deny tcp from any to any 80 via xl1 Estará ocorrendo exatamente o contrario. LAN:80(IN) -> GW -X- WAN:any Espero ter conseguido explicar esse fato de fato a unica coisa que será de entrada para entrada e saida para saida é a parte integral do sistema, qualquer outra interface terá trafego IN e OUT distintos, em que na liberaça de um lado para resposta do outro precisa ser explicito a menos é claro e inclusive aconselhavel a utilização de Firewall StateFull em que se uma maquina que originou a conexão aguarda a resposta dessa coneção automaticamente uma regra permitindo a resposta será criada tratando assim dinamicamente os dois Fluxos, ou Host(out)->IN(GW)OUT->(IN)destino(out)->IN(GW)OUT->(IN)Origem quanto as demais opções se outro pessoal da lista não se promovel a ajudar vou dar uma dedicada para relebrar e poder lhe explicar, pois faz tempo que estava afastado do IPFW. Abraços espero ter lhe esclarecido algo.. bom 2009/11/12 Paulo <[email protected]> > Fuguianos, boa noite. > > Estou com uma dúvida cruel quanto algumas opções do IPFW. Encontrei vários > documentos sobre esse assunto, mas não foram suficientes pra esclarecer as > dúvidas. > > 1º. O Controle do Fluxo > As simples opções in, out, recv, xmit e via me deixa confuso. A opção > "via" server para filtar pacotes que estão sendo roteados pelas multiplas > interfaces, mas qual é a diferença entre "in e recv" e "out e xmit"? recv e > xmit seria para pacotes que foram originados pelo meu roteador ou pode ter > sido originados por outros host que estão atrás do roteador? > > > 2º. Controle do Fluxo, ainda. > É preciso criar regras para os host tanto na interface interna quanto na > externa para permitir sua saída, por exemplo: > ipfw add allow ip from host1 to any in via $interna > ipfw add allow ip from host1 to any out via $externa > Ou o roteador já conhece que esse tráfego deve ser roteado por esta > utilizando a opção "via"? > > > Estou aplicando alguns teste e lendo o que encontro, mas infelizmente tenho > minhas dúvidas e preciso da ajuda de todos vocês para compreender o > funcionamento. As regras do IPFW é lógica e muito simples, mais simples que > as regras do PF, mas, atrás de toda essa simplicidade esconde um firewall > poderosíssimo e complexo, e eu quero domar esse camarada. > Preciso compreender como controlar o fluxo dos pacotes que estão entrando e > saindo pelas interfaces internas e externas, só assim posso criar as > necessárias e corretas. > > > Se vocês puderem esclarecer eu ficarei muito agradecido. > > > > Paulo > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
