[GTER] Regras dinamicas IPFW - recarregar

NOC Provale noc at provale.com.br
Fri Feb 3 10:29:50 -02 2017


Bom dia, Francisco.

Aqui implementamos uma solução parecida, mas usando a opção 'set' do ipfw.

Com o set, é possível colocar algo como uma tag nas regras que quiser 
para identificá-las como pertencentes a um determinado grupo.

Então no seu caso, você colocar as regras que você pode apagar com set 1 
e as que não pode (as de keep-state no caso) com set 2.
E aí, quando precisar dar o flush, apenas entra com ipfw delete set 1, 
apagando todas as regras do grupo 1, deixando as do grupo 2 intactas.

Para efeitos, veja o que consta no manual do ipfw:

  set set_number
              Each rule is associated with a set_number in the range 0..31.
              Sets can be individually disabled and enabled, so this 
parameter
              is of fundamental importance for atomic ruleset 
manipulation.  It
              can be also used to simplify deletion of groups of rules.  
If a
              rule is entered without specifying a set number, set 0 
will be
              used.
              Set 31 is special in that it cannot be disabled, and rules 
in set
              31 are not deleted by the ipfw flush command (but you can 
delete
              them with the ipfw delete set 31 command).  Set 31 is also 
used
              for the default rule.

Talvez usar o set 31 para as regras de keep-state que você não quer 
apagar atenda a sua necessidade, sem configurar o set para as demais.

Att.,

Bruno Santos
Departamento de Tecnologia
Provale Informática Ltda.
Tel: (12) 2131-4900
http://www.provale.com.br/

Em 01/02/2017 16:09, Francisco Ramon escreveu:
> Boa tarde pessoal!
>
> Estou tentando montar um firewall em BSD utilizando regras com IPFW. Até
> agora tudo certinho... o problema que estou tendo é quando preciso
> recarregar o script com as regras...
>
> Quando utilizo as regras dinâmicas (com keep-state), se no meu script tiver
> o "ipfw -f flush" ele acaba apagando essas regras e com isso acaba matando
> as conexões dinâmicas e algumas (ou todas) não deveriam ser encerradas.
>
> Alguém utiliza esse tipo de script para recarregar as regras e tem alguma
> ideia para não perder as regras dinâmicas?
>
> Obrigado!
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list