[GTER] Regras dinamicas IPFW - recarregar

NOC Provale noc at provale.com.br
Fri Feb 3 10:17:17 -02 2017 

Bom dia, Francisco.

Aqui implementamos uma solução parecida, mas usando a opção 'set' do ipfw.

Com o set, é possível colocar algo como uma tag nas regras que quiser 
para identificá-las como pertencentes a um determinado grupo.

Então no seu caso, você colocar as regras que você pode apagar com */set 
1/* e as que não pode (as de keep-state no caso) com */set 2/*.
E aí, quando precisar dar o flush, apenas entra com */ipfw delete set 
1/*, apagando todas as regras do grupo 1, deixando as do grupo 2 intactas.

Para efeitos, veja o que consta no manual do ipfw:

  set set_number
              Each rule is associated with a set_number in the range 0..31.
              Sets can be individually disabled and enabled, so this 
parameter
              is of fundamental importance for atomic ruleset 
manipulation.  It
              can be also used to simplify deletion of groups of rules.  
If a
              rule is entered without specifying a set number, set 0 will be
              used.
*Set 31 is special in that it cannot be disabled, and rules in set**
**             31 are not deleted by the ipfw flush command (but you can 
delete**
**             them with the ipfw delete set 31 command). Set 31 is also 
used**
**             for the default rule.*

Talvez usar o set 31 para as regras de keep-state que você não quer 
apagar atenda a sua necessidade, sem configurar o set para as demais.

Att.,

*_Bruno Santos_
Departamento de Tecnologia*
/Provale Informática Ltda./
Tel: (12) 2131-4900
http://www.provale.com.br/ <http://www.provale.com.br>

Por favor, considere o Meio Ambiente antes de imprimir essa mensagem.
Please, consider the Environment before printing this message.

Em 01/02/2017 16:09, Francisco Ramon escreveu:
> Boa tarde pessoal!
>
> Estou tentando montar um firewall em BSD utilizando regras com IPFW. Até
> agora tudo certinho... o problema que estou tendo é quando preciso
> recarregar o script com as regras...
>
> Quando utilizo as regras dinâmicas (com keep-state), se no meu script tiver
> o "ipfw -f flush" ele acaba apagando essas regras e com isso acaba matando
> as conexões dinâmicas e algumas (ou todas) não deveriam ser encerradas.
>
> Alguém utiliza esse tipo de script para recarregar as regras e tem alguma
> ideia para não perder as regras dinâmicas?
>
> Obrigado!
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list