próximo acima anterior sumário índice
Next: Verificações bridge mais firewall!firewall!teste Up: FIREWALLING Previous: Regras por endereçobridge mais   Sumário   Índice Remissivo


Regras por protocolo bridge mais firewall!firewallrregras!por protocolo

Aqui continuamos a relatar as regras protocolo a protocolo. Neste caso queremos permitir que "pings" externos possam receber o eco do comando, por exemplo. Neste caso devemos inserir a seguinte regra:


\begin{tscreen} \begin{verbatim}ipfwadm -I -i accept -P icmp -S 192.168.2.0/255.255.255.128 \ -D 0.0.0.0/0.0.0.0\end{verbatim}\end{tscreen}

O parâmetro "-P icmp" funciona no protocolo especificado magicamente.

Até que seja instalado um proxy ftp, queremos permitir ainda chamadas ftp em portas específicas. A seguinte regra permite que as portas 20, 21 e 115 sejam acessadas por máquinas externas.


\begin{tscreen} \begin{verbatim}ipfwadm -I -i accept -P tcp -S 192.168.2.0/255.255.255.128 \ -D 0.0.0.0/0.0.0.0 20 21 115\end{verbatim}\end{tscreen}

Não foi possível conseguir com que o servidor de correio sendmail funcionasse com clientes locais sem um servidor de nomes. Melhor que configurar um servidor de nomes é configurá-lo no firewall, basta apenas aceitar através do firewall as solicitações do serviço de domínio de tcp destinadas ao servidor de nomes mais próximo e colocar seu endereço no arquivo /etc/resolv.conf dos clientes ("nameserver 123.456.789.31" em uma linha separada).


\begin{tscreen} \begin{verbatim}ipfwadm -I -i accept -P tcp -S 192.168.2.0/255.255.255.128 \ -D 123.456.789.31/255.255.255.255 54\end{verbatim}\end{tscreen}

Pode-se descobrir qual o número da porta e o protocolo requisitados por um serviço utilizando o tcpdump. Para tanto deve-se iniciar o serviço com o comando ftp ou telnet ou qualquer outro a partir de uma máquina interna e após pesquisá-lo nas portas de entrada e saída do firewall com o utilitário tcpdump:


\begin{tscreen} \begin{verbatim}tcpdump -i eth1 -e host cliente04\end{verbatim}\end{tscreen}

por exemplo. O arquivo /etc/services é uma outra fonte importante de informações nestes casos. Para permitir o uso de telnet e ftp de DENTRO para fora do firewall, é necessário permitir que os clientes locais acessem externamente uma porta específico. Entendo porque isto é necessário para o protocolo ftp - é o servidor que estabelece o fluxo de dados - mas não estou certo porque isso se faz necessário também para o programa telnet.


\begin{tscreen} \begin{verbatim}ipfwadm -I -i accept -P tcp -S 192.168.2.0/255.255.255.128 \ ftp telnet -D 0.0.0.0/0.0.0.0\end{verbatim}\end{tscreen}

Há um problema particular com alguns programas servidores que pesquisam pelo nome da máquina de firewall para decidir qual é o seu endereço de rede. Rpc.yppasswdd é um dos que apresentam problemas. Ele insiste em transmitir informações dizendo que ele se encontra fora do firewall (na segunda placa). Isto significa que os clientes internos não podem contactá-la.

Melhor que utilizar IPs alternativos ou mudar o código do servidor, é indicado mapear o nome do programa para o endereço da placa interna no arquivo /etc/hosts.

próximo acima anterior sumário índice
Next: Verificações bridge mais firewall!firewall!teste Up: FIREWALLING Previous: Regras por endereçobridge mais   Sumário   Índice Remissivo
Cyro Mendes de Moraes Neto 1999-12-30