Como validar em qual regra uma conexão esta entrando?



  • Bom dia!

    Como posso visualizar qual regra de firewall esta atuando em uma conexão?

    Procurei a respeito mas não achei nada!….até achei onde visualizar as atividades das regras através dos respectivos números, ver os pacotes que entram nesta...bloqueio..etc, mas não é isto que preciso.....

    Quero visualizar se os hosts (ip) da rede estão entrando na devida regra.

    Outra pergunta é: Na visualização das regras tem um campo ID que fica em branco....isto é configurável?...Onde posso aplicar o uso desse id?



  • Basta usar a lógica, as regras são aplicadas de cima pra baixo, é só ver qual casa com o tráfego.
    Ver em qual regra o tráfego está batendo somente na opção 10 do console, porém só mostra os bloqueios.



  • @kelsen:

    Basta usar a lógica, as regras são aplicadas de cima pra baixo, é só ver qual casa com o tráfego.
    Ver em qual regra o tráfego está batendo somente na opção 10 do console, porém só mostra os bloqueios.

    Então…em teste isto é até fácil pois de certa forma conseguimos "garantir" e visualizar o minimo ou máximo que definimos....mas em ambiente de produção esta sendo um pouco complicado...tem muitas variáveis que podem mascarar este diagnóstico.

    Juntar 4 links, algumas centenas de hosts, QoS, traffic Shapper, schedules, balanceamento de link´s, vlans...etc...etc ... com a falta de experiência na ferramenta, esta sendo um pouco tumultuado...

    Estou me virando bem...mas achei que tinha uma forma mais visual de verificar isto.....

    Mas ainda sim....para que serve o campo ID nas regras?



  • Em teste aqui, você poderia marcar a opção de logar suas regras, dessa forma utilizando o comando "tcpdump -v -S -l -n -e -ttt -i pflog0" no console você pode ver em qual regra bate e como vc já sabe como ver o número da regra, fica mais facil.
    Em produção acho que só seria viável com um servidor de log, impossível ver todos os logs na console, o Splunk é ótimo, mas é pago, é so pesquisar.
    Sobre o ID, pelo que eu sei não é uma opção do pf, provavelmente é utilizado somente pro código da interface web.

    Edit: Mais uma coisa que me esqueci, em system logs-> firewall, clicando nos ícones x ou seta verde, um popup mostra qual regra desencadiou a ação (block ou pass); unindo tudo vc tem total condição pro que vc quer.



  • vou ver o que consigo de informação pelo tcpdump…

    esta questão dos logs eu já estava pesquisando alguma solução para manda-los para algum lugar.
    Encontrei esse servidor de logs: http://8pussy.org/, não só para isso, mas também para gerenciar logs de outras coisas na rede.

    Obrigado pelas dicas…..



  • Parece interessante esse software, não conhecia, vou dar uma olhada.
    Obrigado.


Log in to reply