[FUG-BR] liberar ip específico via ipfw

[Thays Karine de Freitas]

Oi pessoal da lista,

Na minha rede fiz bloqueio do https/facebook via ipfw da seguinte maneira 
mandeira:
584 add deny ip from 69.171.224.0/19 to any via em1

só que preciso liberar alguns hosts específicos, como fazer isto via ipfw?

ja tentei:
allow ip from 192.168.0.50 to any
ipfw add 250 skipto 400 ip from 192.168.0.50 to any

alguem pode ajudar?

abraço
  
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] liberar ip específico via ipfw

[Welinaldo Lopes Nascimento]

o numero da regra é:
300 add deny ip from 69.171.224.0/19 to any via em1


Em 30 de maio de 2012 13:33, Thays Karine de Freitas <
thays.karin...@hotmail.com> escreveu:

>
> Oi pessoal da lista,
>
> Na minha rede fiz bloqueio do https/facebook via ipfw da seguinte maneira
> mandeira:
> 584 add deny ip from 69.171.224.0/19 to any via em1
>
> só que preciso liberar alguns hosts específicos, como fazer isto via ipfw?
>
> ja tentei:
> allow ip from 192.168.0.50 to any
> ipfw add 250 skipto 400 ip from 192.168.0.50 to any
>
> alguem pode ajudar?
>
> abraço
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
.:: Welinaldo L N
.:: Estudante de Desenvolvimento de Sistemas
.:: FreeBSD Community Member #BSD/OS
.:: Antes de imprimir, veja se realmente é necessário!
.ılı..ılı.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] liberar ip específico via ipfw

[Welinaldo Lopes Nascimento]

300? ou está no intervalo entre 250 e 400? o skipto só funcionará se a
regra está dentro deste intervalo..

Em 30 de maio de 2012 13:35, Welinaldo Lopes Nascimento <
welina...@bsd.com.br> escreveu:

> o numero da regra é:
> 300 add deny ip from 69.171.224.0/19 to any via em1
>
>
> Em 30 de maio de 2012 13:33, Thays Karine de Freitas <
> thays.karin...@hotmail.com> escreveu:
>
>
>> Oi pessoal da lista,
>>
>> Na minha rede fiz bloqueio do https/facebook via ipfw da seguinte maneira
>> mandeira:
>> 584 add deny ip from 69.171.224.0/19 to any via em1
>>
>> só que preciso liberar alguns hosts específicos, como fazer isto via ipfw?
>>
>> ja tentei:
>> allow ip from 192.168.0.50 to any
>> ipfw add 250 skipto 400 ip from 192.168.0.50 to any
>>
>> alguem pode ajudar?
>>
>> abraço
>>
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>
> --
> .:: Welinaldo L N
> .:: Estudante de Desenvolvimento de Sistemas
> .:: FreeBSD Community Member #BSD/OS
> .:: Antes de imprimir, veja se realmente é necessário!
>  .ılı..ılı.
>
>


-- 
.:: Welinaldo L N
.:: Estudante de Desenvolvimento de Sistemas
.:: FreeBSD Community Member #BSD/OS
.:: Antes de imprimir, veja se realmente é necessário!
.ılı..ılı.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] liberar ip específico via ipfw

[Thays Karine de Freitas]

ops, desculpa o numero da regra no meu casó é 280

> Date: Wed, 30 May 2012 13:36:51 -0300
> From: welina...@bsd.com.br
> To: freebsd@fug.com.br
> Subject: Re: [FUG-BR] liberar ip específico via ipfw
> 
> 300? ou está no intervalo entre 250 e 400? o skipto só funcionará se a
> regra está dentro deste intervalo..
> 
> Em 30 de maio de 2012 13:35, Welinaldo Lopes Nascimento <
> welina...@bsd.com.br> escreveu:
> 
> > o numero da regra é:
> > 300 add deny ip from 69.171.224.0/19 to any via em1
> >
> >
> > Em 30 de maio de 2012 13:33, Thays Karine de Freitas <
> > thays.karin...@hotmail.com> escreveu:
> >
> >
> >> Oi pessoal da lista,
> >>
> >> Na minha rede fiz bloqueio do https/facebook via ipfw da seguinte maneira
> >> mandeira:
> >> 584 add deny ip from 69.171.224.0/19 to any via em1
> >>
> >> só que preciso liberar alguns hosts específicos, como fazer isto via ipfw?
> >>
> >> ja tentei:
> >> allow ip from 192.168.0.50 to any
> >> ipfw add 250 skipto 400 ip from 192.168.0.50 to any
> >>
> >> alguem pode ajudar?
> >>
> >> abraço
> >>
> >> -
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> >
> >
> > --
> > .:: Welinaldo L N
> > .:: Estudante de Desenvolvimento de Sistemas
> > .:: FreeBSD Community Member #BSD/OS
> > .:: Antes de imprimir, veja se realmente é necessário!
> >  .ılı..ılı.
> >
> >
> 
> 
> -- 
> .:: Welinaldo L N
> .:: Estudante de Desenvolvimento de Sistemas
> .:: FreeBSD Community Member #BSD/OS
> .:: Antes de imprimir, veja se realmente é necessário!
> .ılı..ılı.
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
  
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] liberar ip específico via ipfw

[Eduardo Schoedler]

Em 30 de maio de 2012 13:33, Thays Karine de Freitas <
thays.karin...@hotmail.com> escreveu:

> Na minha rede fiz bloqueio do https/facebook via ipfw da seguinte maneira
> mandeira:
> 584 add deny ip from 69.171.224.0/19 to any via em1
>
> só que preciso liberar alguns hosts específicos, como fazer isto via ipfw?
>
>
O certo é você fazer essa regra na saída da sua placa de LAN.

Crie um table e adicione os ips de excessão.
Ao invès de fazer um "deny ip from  to any", troque para "! table(x)".

ipfw add deny ip from 69.171.224.0/19 to ! table(1) out via emX

(não testei, a sintaxe pode estar errada)

Mais em:
man ipfw

-- 
Eduardo Schoedler
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] liberar ip específico via ipfw

[Marcelo Gondim]

Em 30/05/2012 13:38, Thays Karine de Freitas escreveu:
> ops, desculpa o numero da regra no meu casó é 280
>
>> Date: Wed, 30 May 2012 13:36:51 -0300
>> From: welina...@bsd.com.br
>> To: freebsd@fug.com.br
>> Subject: Re: [FUG-BR] liberar ip específico via ipfw
>>
>> 300? ou está no intervalo entre 250 e 400? o skipto só funcionará se a
>> regra está dentro deste intervalo..
>>
>> Em 30 de maio de 2012 13:35, Welinaldo Lopes Nascimento<
>> welina...@bsd.com.br>  escreveu:
>>
>>> o numero da regra é:
>>> 300 add deny ip from 69.171.224.0/19 to any via em1
>>>
>>>
>>> Em 30 de maio de 2012 13:33, Thays Karine de Freitas<
>>> thays.karin...@hotmail.com>  escreveu:
>>>
>>>
>>>> Oi pessoal da lista,
>>>>
>>>> Na minha rede fiz bloqueio do https/facebook via ipfw da seguinte maneira
>>>> mandeira:
>>>> 584 add deny ip from 69.171.224.0/19 to any via em1
>>>>
>>>> só que preciso liberar alguns hosts específicos, como fazer isto via ipfw?
>>>>
>>>> ja tentei:
>>>> allow ip from 192.168.0.50 to any
>>>> ipfw add 250 skipto 400 ip from 192.168.0.50 to any
Se em1 for a interface interna, senão substitua pela interface interna:

ipfw add allow all from 192.168.0.50 to 69.171.224.0/19 in via em1
ipfw add deny all from any to 69.171.224.0/19 in via em1

Seria isso que você queria fazer?

>>>>
>>>> alguem pode ajudar?
>>>>
>>>> abraço
>>>>
>>>> -
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>
>>>
>>> --
>>> .:: Welinaldo L N
>>> .:: Estudante de Desenvolvimento de Sistemas
>>> .:: FreeBSD Community Member #BSD/OS
>>> .:: Antes de imprimir, veja se realmente é necessário!
>>>   .ılı..ılı.
>>>
>>>
>>
>> -- 
>> .:: Welinaldo L N
>> .:: Estudante de Desenvolvimento de Sistemas
>> .:: FreeBSD Community Member #BSD/OS
>> .:: Antes de imprimir, veja se realmente é necessário!
>> .ılı..ılı.
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>   
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] liberar ip específico via ipfw

[Danilo Neves]

Thaysvc tbem pode fazer o seguinte :D

 ipfw add 1 skipto 3 ip from 192.168.10.26 to 192.168.1.1
 ipfw add 2 deny all from any to 69.171.224.0/19 in via em1
 ipfw add 3 allow ip from any to 69.171.224.0/19 in via em1




Em 30 de maio de 2012 16:03, Marcelo Gondim escreveu:

> Em 30/05/2012 13:38, Thays Karine de Freitas escreveu:
> > ops, desculpa o numero da regra no meu casó é 280
> >
> >> Date: Wed, 30 May 2012 13:36:51 -0300
> >> From: welina...@bsd.com.br
> >> To: freebsd@fug.com.br
> >> Subject: Re: [FUG-BR] liberar ip específico via ipfw
> >>
> >> 300? ou está no intervalo entre 250 e 400? o skipto só funcionará se a
> >> regra está dentro deste intervalo..
> >>
> >> Em 30 de maio de 2012 13:35, Welinaldo Lopes Nascimento<
> >> welina...@bsd.com.br>  escreveu:
> >>
> >>> o numero da regra é:
> >>> 300 add deny ip from 69.171.224.0/19 to any via em1
> >>>
> >>>
> >>> Em 30 de maio de 2012 13:33, Thays Karine de Freitas<
> >>> thays.karin...@hotmail.com>  escreveu:
> >>>
> >>>
> >>>> Oi pessoal da lista,
> >>>>
> >>>> Na minha rede fiz bloqueio do https/facebook via ipfw da seguinte
> maneira
> >>>> mandeira:
> >>>> 584 add deny ip from 69.171.224.0/19 to any via em1
> >>>>
> >>>> só que preciso liberar alguns hosts específicos, como fazer isto via
> ipfw?
> >>>>
> >>>> ja tentei:
> >>>> allow ip from 192.168.0.50 to any
> >>>> ipfw add 250 skipto 400 ip from 192.168.0.50 to any
> Se em1 for a interface interna, senão substitua pela interface interna:
>
> ipfw add allow all from 192.168.0.50 to 69.171.224.0/19 in via em1
> ipfw add deny all from any to 69.171.224.0/19 in via em1
>
> Seria isso que você queria fazer?
>
> >>>>
> >>>> alguem pode ajudar?
> >>>>
> >>>> abraço
> >>>>
> >>>> -
> >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>
> >>>
> >>>
> >>> --
> >>> .:: Welinaldo L N
> >>> .:: Estudante de Desenvolvimento de Sistemas
> >>> .:: FreeBSD Community Member #BSD/OS
> >>> .:: Antes de imprimir, veja se realmente é necessário!
> >>>   .ılı..ılı.
> >>>
> >>>
> >>
> >> --
> >> .:: Welinaldo L N
> >> .:: Estudante de Desenvolvimento de Sistemas
> >> .:: FreeBSD Community Member #BSD/OS
> >> .:: Antes de imprimir, veja se realmente é necessário!
> >> .ılı..ılı.
> >> -
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] liberar ip específico via ipfw

[Danilo Neves]

Ops corrigindo
ipfw add 1 skipto 3 ip from 192.168.1.20 to 69.171.224.0/19 in via em1
 ipfw add 2 deny all from any to 69.171.224.0/19 in via em1
 ipfw add 3 allow ip from any to any

Em 30 de maio de 2012 18:29, Danilo Neves escreveu:

> Thaysvc tbem pode fazer o seguinte :D
>
>  ipfw add 1 skipto 3 ip from 192.168.10.26 to 192.168.1.1
>  ipfw add 2 deny all from any to 69.171.224.0/19 in via em1
>  ipfw add 3 allow ip from any to 69.171.224.0/19 in via em1
>
>
>
>
> Em 30 de maio de 2012 16:03, Marcelo Gondim escreveu:
>
> Em 30/05/2012 13:38, Thays Karine de Freitas escreveu:
>> > ops, desculpa o numero da regra no meu casó é 280
>> >
>> >> Date: Wed, 30 May 2012 13:36:51 -0300
>> >> From: welina...@bsd.com.br
>> >> To: freebsd@fug.com.br
>> >> Subject: Re: [FUG-BR] liberar ip específico via ipfw
>> >>
>> >> 300? ou está no intervalo entre 250 e 400? o skipto só funcionará se a
>> >> regra está dentro deste intervalo..
>> >>
>> >> Em 30 de maio de 2012 13:35, Welinaldo Lopes Nascimento<
>> >> welina...@bsd.com.br>  escreveu:
>> >>
>> >>> o numero da regra é:
>> >>> 300 add deny ip from 69.171.224.0/19 to any via em1
>> >>>
>> >>>
>> >>> Em 30 de maio de 2012 13:33, Thays Karine de Freitas<
>> >>> thays.karin...@hotmail.com>  escreveu:
>> >>>
>> >>>
>> >>>> Oi pessoal da lista,
>> >>>>
>> >>>> Na minha rede fiz bloqueio do https/facebook via ipfw da seguinte
>> maneira
>> >>>> mandeira:
>> >>>> 584 add deny ip from 69.171.224.0/19 to any via em1
>> >>>>
>> >>>> só que preciso liberar alguns hosts específicos, como fazer isto via
>> ipfw?
>> >>>>
>> >>>> ja tentei:
>> >>>> allow ip from 192.168.0.50 to any
>> >>>> ipfw add 250 skipto 400 ip from 192.168.0.50 to any
>> Se em1 for a interface interna, senão substitua pela interface interna:
>>
>> ipfw add allow all from 192.168.0.50 to 69.171.224.0/19 in via em1
>> ipfw add deny all from any to 69.171.224.0/19 in via em1
>>
>> Seria isso que você queria fazer?
>>
>> >>>>
>> >>>> alguem pode ajudar?
>> >>>>
>> >>>> abraço
>> >>>>
>> >>>> -
>> >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >>>>
>> >>>
>> >>>
>> >>> --
>> >>> .:: Welinaldo L N
>> >>> .:: Estudante de Desenvolvimento de Sistemas
>> >>> .:: FreeBSD Community Member #BSD/OS
>> >>> .:: Antes de imprimir, veja se realmente é necessário!
>> >>>   .ılı..ılı.
>> >>>
>> >>>
>> >>
>> >> --
>> >> .:: Welinaldo L N
>> >> .:: Estudante de Desenvolvimento de Sistemas
>> >> .:: FreeBSD Community Member #BSD/OS
>> >> .:: Antes de imprimir, veja se realmente é necessário!
>> >> .ılı..ılı.
>> >> -
>> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >
>> > -
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >
>>
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] liberar ip específico via ipfw

[Eduardo Schoedler]

Em 30 de maio de 2012 18:32, Danilo Neves escreveu:

> Ops corrigindo
> ipfw add 1 skipto 3 ip from 192.168.1.20 to 69.171.224.0/19 in via em1
>  ipfw add 2 deny all from any to 69.171.224.0/19 in via em1
>  ipfw add 3 allow ip from any to any
>
>
Muita regra para pouca coisa...  lembrem-se: quanto menos regras, mais
rápido.
Minha solução trata somente a excessão.

-- 
Eduardo Schoedler
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] liberar ip específico via ipfw

[Danilo Neves]

Também acho Eduardo...tava seguindo o raciocínio dela do esquema do skipto
:D
Além da sua regra..fica mais uma outra alternativa aii :D

ipfw add 1 deny ip from { not 192.168.0.50 or 192.168.0.0/24 } to
69.171.224.0/19 in via em1





Em 30 de maio de 2012 19:06, Eduardo Schoedler escreveu:

> Em 30 de maio de 2012 18:32, Danilo Neves  >escreveu:
>
> > Ops corrigindo
> > ipfw add 1 skipto 3 ip from 192.168.1.20 to 69.171.224.0/19 in via em1
> >  ipfw add 2 deny all from any to 69.171.224.0/19 in via em1
> >  ipfw add 3 allow ip from any to any
> >
> >
> Muita regra para pouca coisa...  lembrem-se: quanto menos regras, mais
> rápido.
> Minha solução trata somente a excessão.
>
> --
> Eduardo Schoedler
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] liberar ip específico via ipfw

[Eduardo Schoedler]

Em 30 de maio de 2012 22:10, Danilo Neves escreveu:

> Também acho Eduardo...tava seguindo o raciocínio dela do esquema do skipto
> :D
> Além da sua regra..fica mais uma outra alternativa aii :D
>
> ipfw add 1 deny ip from { not 192.168.0.50 or 192.168.0.0/24 } to
> 69.171.224.0/19 in via em1
>
>
Se você possui muitas excessões, é aconselhado utilizar 'table' porque fica
mais rápido.

-- 
Eduardo Schoedler
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] liberar ip específico via ipfw

[Thays Karine de Freitas]

Olá pessoal,

aproveitando esta thread, fiz bloqueio do msn na minha rede com a seguinte 
regra:
deny tcp from 10.0.0.0/8 to any 1863

só que preciso liberar alguns ips para acesso ao msn, via ipfw..

fiz uma table com os ips a serem liberado e tentei a seguinte regra, sem 
sussesso:

allow tcp from table to any dst-port 1863

alguem pode dar uma sugestão?

Obrigada  
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] liberar ip específico via ipfw

[Marcelo Gondim]

Em 03/06/2012 00:39, Thays Karine de Freitas escreveu:
> Olá pessoal,
>
> aproveitando esta thread, fiz bloqueio do msn na minha rede com a seguinte 
> regra:
> deny tcp from 10.0.0.0/8 to any 1863
>
> só que preciso liberar alguns ips para acesso ao msn, via ipfw..
>
> fiz uma table com os ips a serem liberado e tentei a seguinte regra, sem 
> sussesso:
>
> allow tcp from table to any dst-port 1863

Fez errado. :)  Primeiro você define a table. Ex.:

iptables table 1 add 192.168.10.1
iptables table 1 add 192.168.10.2
iptables table 1 add 192.168.10.3

Depois usa a table assim:

ipfw add allow tcp from "table(1)" to any 1863
>
> alguem pode dar uma sugestão?
>
> Obrigada  
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] liberar ip específico via ipfw

[Marcelo Gondim]

Em 03/06/2012 01:00, Marcelo Gondim escreveu:
> Em 03/06/2012 00:39, Thays Karine de Freitas escreveu:
>> Olá pessoal,
>>
>> aproveitando esta thread, fiz bloqueio do msn na minha rede com a seguinte 
>> regra:
>> deny tcp from 10.0.0.0/8 to any 1863
>>
>> só que preciso liberar alguns ips para acesso ao msn, via ipfw..
>>
>> fiz uma table com os ips a serem liberado e tentei a seguinte regra, sem 
>> sussesso:
>>
>> allow tcp from table to any dst-port 1863
> Fez errado. :)  Primeiro você define a table. Ex.:
>
> iptables table 1 add 192.168.10.1
> iptables table 1 add 192.168.10.2
> iptables table 1 add 192.168.10.3
aff sorry

ipfw table 1 add 192.168.10.1
ipfw table 1 add 192.168.10.2
ipfw table 1 add 192.168.10.3


Tava com iptables na cabeça aqui e digitei errado.

>
> Depois usa a table assim:
>
> ipfw add allow tcp from "table(1)" to any 1863
>> alguem pode dar uma sugestão?
>>
>> Obrigada 
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] liberar ip específico via ipfw

[William Inocencio]

Thays,

Não é mais fácil você liberar o acesso das máquinas e depois fazer um deny all ?
Quem fizer o match será bloqueado ou permitido.

maquinas="10.0.0.4 10.0.0.6"

for ip in maquinas
do
allow tcp from $ip to any dst-port 1863
done

deny tcp from 10.0.0.0/8 to any 1863 


Att,

William
--

Message: 1
Date: Sun, 3 Jun 2012 06:39:43 +0300
From: Thays Karine de Freitas 
Subject: Re: [FUG-BR] liberar ip específico via ipfw
To: 
Message-ID: 
Content-Type: text/plain; charset="iso-8859-1"


Olá pessoal,

aproveitando esta thread, fiz bloqueio do msn na minha rede com a seguinte 
regra:
deny tcp from 10.0.0.0/8 to any 1863

só que preciso liberar alguns ips para acesso ao msn, via ipfw..

fiz uma table com os ips a serem liberado e tentei a seguinte regra, sem 
sussesso:

allow tcp from table to any dst-port 1863

alguem pode dar uma sugestão?

Obrigada                           
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] liberar ip específico via ipfw

[Paulo Henrique]

Em 3 de junho de 2012 17:13, William Inocencio
escreveu:

> Thays,
>
> Não é mais fácil você liberar o acesso das máquinas e depois fazer um deny
> all ?
> Quem fizer o match será bloqueado ou permitido.
>
> maquinas="10.0.0.4 10.0.0.6"
>
> for ip in maquinas
> do
> allow tcp from $ip to any dst-port 1863
> done
>
> deny tcp from 10.0.0.0/8 to any 1863
>
>
>
Saudações,
 Bom vejo que há varios fatores que fará o objetivo não ser alcançado.

Primeiro,
A rede do facebook não é constituido de apenas um unico CIDR.
Segundo,
Falta de considerações quanto aos proxies.
Terceiro,
Falta compreensão quanto ao modo cujo com exceção do packet filter
considera as regras.

Respostas.
Primeiro.
Segue o retorno de uma consulta whois sobre o AS do Facebook.

69.171.224.0 - 69.171.255.255
74.119.76.0 - 74.119.79.255
204.15.20.0 - 204.15.23.255
66.220.144.0 - 66.220.159.255
69.63.176.0 - 69.63.191.255
2620:0:1C00:: - 2620:0:1CFF:::::
173.252.64.0 - 173.252.127.255

Se uma unica rede ficar aberta, o acesso poderá ser feito atraves de outros
dominios, como:
faceboook.com.uk, facebook.com.jp e outros,

Segundo,
Para dar um fim quanto aos proxies eu aconselho a usar o squid junto com
dansguardian ou squidguard,
Segue abaixo uma lista de palavras que permite dar um fim na utilização de
proxies para varios serviços.
--Inicio Lista SquidGuard
--
hotmail|conversation-window|ebuddy|messenger|live|e-messenger|
onlinemessenger|iloveim|siteburg|audiowatcher|msnger|
bhi|imaginarlo|messbrasil|msn2go|messenger-online|
msnanywhere|web2messenger|meebo|phonefox|imhaha|safehazard|cooltunnel|calculatepie|.comunicationtube|
MINGLE|prox|webproxy|atenmee|freevarcheap|apeoixy|wearephoenix|isuzuforums|
ambrosiasw|newyorkjets|motime|talibkweli|plexapp|chiefdelph|buddy
-Fim lista squidguard


Terceiro e o erro principal, compreender como um firewall funciona, e suas
limitações.
Primeiro, com excessão do packet filter, todos os demais firewall a regra
que o pacote coincidir sofrerá a ação do mesmo.
Em resumo se o pacote coincide com a primeira regra ( posição da regra
baseado nos numeros ) então este será a ação aplicada ao pacote.
Para não extender o que já está por demais DOCUMENTADO, segue em resumos
regras stateless que em conjunto com o filtro de url resolverá o problema,
considere que o padrão do firewall é OPEN aqui, que em resumo se não há
excessão de bloqueio a ação final será liberar.

ipfw add 0010 deny all from any to 69.171.224.0 - 69.171.255.255 via WAN
ipfw add 0011 deny all from any to 74.119.76.0 - 74.119.79.255 via WAN
ipfw add 0012 deny all from any to  204.15.20.0 - 204.15.23.255 via WAN
ipfw add 0013 deny all from any to 66.220.144.0 - 66.220.159.255 via WAN
ipfw add 0014 deny all from any to 69.63.176.0 - 69.63.191.255 via WAN
ipfw add 0015 deny all from any to 173.252.64.0 - 173.252.127.255 via WAN

para bloquear o MSN, considerando que a sua rede interna seja 10.0.0.0/8

ipfw add 0016 deny all from 10.0.0.0/8 to any 1863 via LAN

e para não deixar ninguem puto por que não consegue acessar a internet,

ipfw add 65535 allow all from any to any via LAN ( se o sistema estiver com
IPFIREWALL _DEFAULT_TO_ACCEPT ) configurado no kernel nao será necessário
se preocupar com a ultima regra, porem embora trabalhoso manter o firewall
fechado é muitas vezes melhor do que tentar deixar ele aberto.

Configure o Proxy em modo transparente que as conexões dos MSNs tentará
tanto pela porta 80 como pela 443 e mesmo assim não será possivel pois será
pego pelo squidguard.

Não é dificil só é chato ter que ficar monitorando.

Agora de nada disso serve se a sua empresa não tem politica de segurança
claramente definidas e normas de uso plenamente implantadas com direto de
demissão por justa causa caso não as respeite.

Resumo, demite 3 por justa causa e verá todos depois seguinte a regra :D


Att.

-- 
:=)><(=:

Flamers > /dev/null !!!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] liberar ip específico via ipfw

[Celso Viana]

Em 3 de junho de 2012 00:39, Thays Karine de Freitas
 escreveu:
>
> Olá pessoal,
>
> aproveitando esta thread, fiz bloqueio do msn na minha rede com a seguinte 
> regra:
> deny tcp from 10.0.0.0/8 to any 1863
>
> só que preciso liberar alguns ips para acesso ao msn, via ipfw..
>
> fiz uma table com os ips a serem liberado e tentei a seguinte regra, sem 
> sussesso:
>
> allow tcp from table to any dst-port 1863
>
> alguem pode dar uma sugestão?
>
> Obrigada
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Não esqueçam Ultrasurf, Tor, proxies internet nas portas 80/443,
tuneis, etc... enfim: se o usuário tiver um pouquinho de imaginação (e
eles sempre tem e a internet também ajuda), é muito difícil ter um
bloqueio eficiente.

-- 
Celso Vianna
BSD User: 51318
http://www.bsdcounter.org

63 8404-8559
Palmas/TO
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] liberar ip específico via ipfw

[Paulo Henrique]

Em 3 de junho de 2012 23:00, Celso Viana  escreveu:

> Em 3 de junho de 2012 00:39, Thays Karine de Freitas
>  escreveu:
> >
> > Olá pessoal,
> >
> > aproveitando esta thread, fiz bloqueio do msn na minha rede com a
> seguinte regra:
> > deny tcp from 10.0.0.0/8 to any 1863
> >
> > só que preciso liberar alguns ips para acesso ao msn, via ipfw..
> >
> > fiz uma table com os ips a serem liberado e tentei a seguinte regra, sem
> sussesso:
> >
> > allow tcp from table to any dst-port 1863
> >
> > alguem pode dar uma sugestão?
> >
> > Obrigada
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> Não esqueçam Ultrasurf, Tor, proxies internet nas portas 80/443,
> tuneis, etc... enfim: se o usuário tiver um pouquinho de imaginação (e
> eles sempre tem e a internet também ajuda), é muito difícil ter um
> bloqueio eficiente.
>
> Por isso que a melhor estrategia ainda é a demissão, contudo problematica.
Uma forma de contornar é brincar de gato e rato utilizando uma estrategia
de firewall fechado, e proxy autenticado, e permissão explicita de sair.
Só utilizo a segunda, pois a primeira não é responsabilidade da TI apenas é
da empresa como um todo.


Att.
-- 
:=)><(=:

Flamers > /dev/null !!!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] liberar ip específico via ipfw

[Thays Karine de Freitas]

Pessoal será se alguem pode me ajudar?
até hoje não consegui liberar um IP para acessar o msn depois de ter bloqueado 
a rede toda para tcp na porta 1863

criei uma table para os ips a serem liberados

ja tentei as seguintes regras sem sucesso:

allow tcp from tableX 1863 to any via em1
allow tcp from tableX 1863 to any
allow tcp from any to tableX 1863 in via em1

será se alguem ja fez isso e deu certo?




> Date: Sun, 3 Jun 2012 10:13:55 -0700
> From: williaminocen...@yahoo.com
> To: freebsd@fug.com.br
> Subject: Re: [FUG-BR] liberar ip específico via ipfw
> 
> Thays,
> 
> Não é mais fácil você liberar o acesso das máquinas e depois fazer um deny 
> all ?
> Quem fizer o match será bloqueado ou permitido.
> 
> maquinas="10.0.0.4 10.0.0.6"
> 
> for ip in maquinas
> do
> allow tcp from $ip to any dst-port 1863
> done
> 
> deny tcp from 10.0.0.0/8 to any 1863 
> 
> 
> Att,
> 
> William
> --
> 
> Message: 1
> Date: Sun, 3 Jun 2012 06:39:43 +0300
> From: Thays Karine de Freitas 
> Subject: Re: [FUG-BR] liberar ip específico via ipfw
> To: 
> Message-ID: 
> Content-Type: text/plain; charset="iso-8859-1"
> 
> 
> Olá pessoal,
> 
> aproveitando esta thread, fiz bloqueio do msn na minha rede com a seguinte 
> regra:
> deny tcp from 10.0.0.0/8 to any 1863
> 
> só que preciso liberar alguns ips para acesso ao msn, via ipfw..
> 
> fiz uma table com os ips a serem liberado e tentei a seguinte regra, sem 
> sussesso:
> 
> allow tcp from table to any dst-port 1863
> 
> alguem pode dar uma sugestão?
> 
> Obrigada   
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
  
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd