Esta web utiliza cookies, puedes ver nuestra política de cookies aquí. Si continuas navegando estás aceptándola

Firewall bajo jails


Siguiendo con el artículo anterior sobre jails y este otro sobre ipfw vamos a explicar como configurar reglas de firewall en un jail, en el host padre cargaremos el módulo de firewall pero no filtraremos nada, cada jail filtrará su propio tráfico.

 

NOTA: La única configuración de red en los jails que permite reglas de fw es en modo bridge.

Cargamos el módulo de firewall en el host padre:

sysrc firewall_enable="YES"
sysrc firewall_type="open"
sysrc firewall_logging="YES"

Configuramos el jail indicándole donde buscar el script de firewall:

jexec 1 tcsh
sysrc firewall_enable="YES"
sysrc firewall_script="/etc/ipfw.rules"
sysrc firewall_logif="YES"

Ctrl+d
service jail stop www
service jail start www

Creamos un script donde se permite todo el tráfico:

jexec 1 tcsh
vim /etc/ipfw.rules
#!/bin/sh
ipfw -q -f flush
cmd="ipfw -q add"

$cmd 00499 allow all from any to any

Cargamos las ACLs:

service ipfw restart

Comprobamos que se hayan cargado correctamente:

root@www:/ # ipfw list
00499 allow ip from any to any
65535 deny ip from any to any

Entramos al jail vía ssh:

ssh kr0m@192.168.69.24 -p22

Ahora bloqueamos el puerto 22:

vim /etc/ipfw.rules
#!/bin/sh
ipfw -q -f flush
cmd="ipfw -q add"

$cmd 00498 deny tcp from any to me 22 in
$cmd 00499 allow all from any to any

Cargamos las ACLs:

service ipfw restart

Comprobamos que se hayan cargado correctamente:

root@www:/ # ipfw list
00498 deny tcp from any to me 22 in
00499 allow ip from any to any
65535 deny ip from any to any

Comprobamos que ya no podemos conectar:

ssh kr0m@192.168.69.24 -p22

Autor: Kr0m -- 17/06/2019 21:36:02