[GTER] Regras dinamicas IPFW - recarregar
NOC Provale
noc at provale.com.br
Fri Feb 3 10:29:50 -02 2017
Bom dia, Francisco.
Aqui implementamos uma solução parecida, mas usando a opção 'set' do ipfw.
Com o set, é possível colocar algo como uma tag nas regras que quiser
para identificá-las como pertencentes a um determinado grupo.
Então no seu caso, você colocar as regras que você pode apagar com set 1
e as que não pode (as de keep-state no caso) com set 2.
E aí, quando precisar dar o flush, apenas entra com ipfw delete set 1,
apagando todas as regras do grupo 1, deixando as do grupo 2 intactas.
Para efeitos, veja o que consta no manual do ipfw:
set set_number
Each rule is associated with a set_number in the range 0..31.
Sets can be individually disabled and enabled, so this
parameter
is of fundamental importance for atomic ruleset
manipulation. It
can be also used to simplify deletion of groups of rules.
If a
rule is entered without specifying a set number, set 0
will be
used.
Set 31 is special in that it cannot be disabled, and rules
in set
31 are not deleted by the ipfw flush command (but you can
delete
them with the ipfw delete set 31 command). Set 31 is also
used
for the default rule.
Talvez usar o set 31 para as regras de keep-state que você não quer
apagar atenda a sua necessidade, sem configurar o set para as demais.
Att.,
Bruno Santos
Departamento de Tecnologia
Provale Informática Ltda.
Tel: (12) 2131-4900
http://www.provale.com.br/
Em 01/02/2017 16:09, Francisco Ramon escreveu:
> Boa tarde pessoal!
>
> Estou tentando montar um firewall em BSD utilizando regras com IPFW. Até
> agora tudo certinho... o problema que estou tendo é quando preciso
> recarregar o script com as regras...
>
> Quando utilizo as regras dinâmicas (com keep-state), se no meu script tiver
> o "ipfw -f flush" ele acaba apagando essas regras e com isso acaba matando
> as conexões dinâmicas e algumas (ou todas) não deveriam ser encerradas.
>
> Alguém utiliza esse tipo de script para recarregar as regras e tem alguma
> ideia para não perder as regras dinâmicas?
>
> Obrigado!
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list