Re: [FUG-BR] ipfw + 3 way handshake
Entao, corrijam-me se estiver equivocado, mais ele nao conta na regra do check-state, por que na verdade quem eh processada eh a regra dinamica criada pelo argumento setup... por isso da necessidade de rodar o ipfw -d show e constatar se de fato, essas regras estao sendo criadas e estao contando pacotes... -- Att. __ Márcio Elias Hahn do Nascimento Araranguá - SC Cel: (55) 48-9661-0233 msn: marcioeliash...@hotmail.com 2013/8/31 Marcelo Gondim > Em 31/08/13 00:39, Márcio Elias escreveu: > > As regras postadas estao corretas, se bloqueou no stablished eh por que o > > ipfw nao achou a regra dinamica criada, ou seja nao caiu no check-state. > > > > Como ficaram as regras que vc implementou ai? > > > > experimenta executar o comando: ipfw -d show > > > > Veja se vc encontra regras dinamicas (criadas pelo setup keep-state). > > > Pois é Marcio, > > Uma coisa que sempre achei estranho no ipfw é que sempre aparece zerado > o contador do check-state. Como se não tivesse passando nada ali. > Tem alguma sysctl pra habilitar ele? Porque comigo nunca apareceu nada > no contador dele. > > []'s > Gondim > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw + 3 way handshake
Em 31/08/13 00:39, Márcio Elias escreveu: > As regras postadas estao corretas, se bloqueou no stablished eh por que o > ipfw nao achou a regra dinamica criada, ou seja nao caiu no check-state. > > Como ficaram as regras que vc implementou ai? > > experimenta executar o comando: ipfw -d show > > Veja se vc encontra regras dinamicas (criadas pelo setup keep-state). > Pois é Marcio, Uma coisa que sempre achei estranho no ipfw é que sempre aparece zerado o contador do check-state. Como se não tivesse passando nada ali. Tem alguma sysctl pra habilitar ele? Porque comigo nunca apareceu nada no contador dele. []'s Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw + 3 way handshake
As regras postadas estao corretas, se bloqueou no stablished eh por que o ipfw nao achou a regra dinamica criada, ou seja nao caiu no check-state. Como ficaram as regras que vc implementou ai? experimenta executar o comando: ipfw -d show Veja se vc encontra regras dinamicas (criadas pelo setup keep-state). -- Att. __ Márcio Elias Hahn do Nascimento Araranguá - SC Cel: (55) 48-9661-0233 msn: marcioeliash...@hotmail.com 2013/8/30 Marcelo Gondim > Em 30/08/13 20:09, Luiz Gustavo S. Costa escreveu: > > Em 30 de agosto de 2013 20:01, Marcelo Gondim > escreveu: > >> Pessoal, > >> > >> Estou com um problema que é o seguinte. Quando coloco essa regra: > >> > >> ipfw add allow tcp from any to me 80 in via em0 setup limit src-addr 10 > >> > >> Na minha concepção só seria registrado como regra consumindo stateful se > >> houvesse o 3 way handshake na tentativa de conexão, por causa do setup. > >> Ou o ipfw não faz dessa forma? Eu sei que o pf tem esse recurso usando o > >> synproxy. > >> > >>The synproxy state option can be used to cause > >>pf(4) itself to complete the handshake with the active endpoint, > perform > >>a handshake with the passive endpoint, and then forward packets > between > >>the endpoints. > >> > >> []'s > >> Gondim > >> - > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > Godim, > > > > Por padrão, o ipfw não mantem estado (state), você tem que especificar > > isso, veja no man [1], na sessão de examplos, tem um exemplo do que > > você quer fazer: > > > >ipfw add check-state > >ipfw add deny tcp from any to any established > >ipfw add allow tcp from my-net to any setup keep-state > > > >ipfw add allow tcp from my-net/24 to any setup limit src-addr 10 > >ipfw add allow tcp from any to me setup limit src-addr 4 > > > > > > [1] > http://www.freebsd.org/cgi/man.cgi?query=ipfw&apropos=0&sektion=0&manpath=FreeBSD+9.1-RELEASE&arch=default&format=html#EXAMPLES > > > Guga, não rolou. Quando tentei fazer isso o deny do established bloqueou > minha conexão. Ou eu estou fazendo algo bem errado ou esse esquema aí > tem algo errado. :( > > []'s > Gondim > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw + 3 way handshake
Em 30/08/13 20:09, Luiz Gustavo S. Costa escreveu: > Em 30 de agosto de 2013 20:01, Marcelo Gondim > escreveu: >> Pessoal, >> >> Estou com um problema que é o seguinte. Quando coloco essa regra: >> >> ipfw add allow tcp from any to me 80 in via em0 setup limit src-addr 10 >> >> Na minha concepção só seria registrado como regra consumindo stateful se >> houvesse o 3 way handshake na tentativa de conexão, por causa do setup. >> Ou o ipfw não faz dessa forma? Eu sei que o pf tem esse recurso usando o >> synproxy. >> >>The synproxy state option can be used to cause >>pf(4) itself to complete the handshake with the active endpoint, perform >>a handshake with the passive endpoint, and then forward packets between >>the endpoints. >> >> []'s >> Gondim >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > Godim, > > Por padrão, o ipfw não mantem estado (state), você tem que especificar > isso, veja no man [1], na sessão de examplos, tem um exemplo do que > você quer fazer: > >ipfw add check-state >ipfw add deny tcp from any to any established >ipfw add allow tcp from my-net to any setup keep-state > >ipfw add allow tcp from my-net/24 to any setup limit src-addr 10 >ipfw add allow tcp from any to me setup limit src-addr 4 > > > [1] > http://www.freebsd.org/cgi/man.cgi?query=ipfw&apropos=0&sektion=0&manpath=FreeBSD+9.1-RELEASE&arch=default&format=html#EXAMPLES > Guga, não rolou. Quando tentei fazer isso o deny do established bloqueou minha conexão. Ou eu estou fazendo algo bem errado ou esse esquema aí tem algo errado. :( []'s Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw + 3 way handshake
Em 30 de agosto de 2013 20:01, Marcelo Gondim escreveu: > > Pessoal, > > Estou com um problema que é o seguinte. Quando coloco essa regra: > > ipfw add allow tcp from any to me 80 in via em0 setup limit src-addr 10 > > Na minha concepção só seria registrado como regra consumindo stateful se > houvesse o 3 way handshake na tentativa de conexão, por causa do setup. > Ou o ipfw não faz dessa forma? Eu sei que o pf tem esse recurso usando o > synproxy. > > The synproxy state option can be used to cause > pf(4) itself to complete the handshake with the active endpoint, perform > a handshake with the passive endpoint, and then forward packets between > the endpoints. > > []'s > Gondim > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Godim, Por padrão, o ipfw não mantem estado (state), você tem que especificar isso, veja no man [1], na sessão de examplos, tem um exemplo do que você quer fazer: ipfw add check-state ipfw add deny tcp from any to any established ipfw add allow tcp from my-net to any setup keep-state ipfw add allow tcp from my-net/24 to any setup limit src-addr 10 ipfw add allow tcp from any to me setup limit src-addr 4 [1] http://www.freebsd.org/cgi/man.cgi?query=ipfw&apropos=0&sektion=0&manpath=FreeBSD+9.1-RELEASE&arch=default&format=html#EXAMPLES -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] ipfw + 3 way handshake
Pessoal, Estou com um problema que é o seguinte. Quando coloco essa regra: ipfw add allow tcp from any to me 80 in via em0 setup limit src-addr 10 Na minha concepção só seria registrado como regra consumindo stateful se houvesse o 3 way handshake na tentativa de conexão, por causa do setup. Ou o ipfw não faz dessa forma? Eu sei que o pf tem esse recurso usando o synproxy. The synproxy state option can be used to cause pf(4) itself to complete the handshake with the active endpoint, perform a handshake with the passive endpoint, and then forward packets between the endpoints. []'s Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
