Fala galerinha boa,

Estava aqui dando uma revisada no IPF (IP Filter - Filtro de pacotes padrão do NetBSD), e me deparei com uma coisa incômoda. O IPF não tem um comando para adicionar regras numa lista existente. Para fazer isso, por padrão, nós precisamos usar o comando echo para enviar a nova regra para o comando ipf com a opção -f -. Isso ficaria mais ou menos assim:

interface# echo 'block in quick all' | ipf -f -

Para cada regra que quisermos adicionar, precisaremos fazer isso. Que chato, usar o comando echo para adicionar regras à lista do IPF... Então fui fazer um script pra resolver essa situação. São coisas bestas que acho que já deveriam estar implementadas para facilitar a vida dos administradores. Mas em fim, olha aí como é complexo o script:

interface# cat ipfadd
echo $* | ipf -f -

Criei um arquivo chamado ipfadd e inseri APENAS uma linha nele. Esta linha pega os argumentos passados para o script e envia para o ipf -f - (como precisariamos fazer na mão grande).

Não podemos esquecer de dar permissão de execução para o script:

interface# chmod +x ipfadd
interface# ls -l ipfadd
-rwxr-xr-x 1 root wheel 19 Mar 3 01:11 ipfadd

Agora para usar ele sem incômodos copiamos para a pasta /sbin:

interface# cp ipfadd /sbin

Pronto. Agora adicionar regras à lista do IPF ficou mais fácil. Podemos fazer assim:

interface# ipfadd pass in all
interface# ipfadd pass out all

Agora para verificarmos a lista de regras, basta usar o comando ipfstat -io (as opções -io significam: i, para incomming, e o para outcomming):

interface# ipfstat -io
pass out all
pass in all

Veja que as regras que inserimos com o nosso novo script foram adcionadas com sucesso à lista. É claro que esse script pode ser melhorado, sempre existe campo para melhora. Mas o objetivo foi apenas encontrar uma solução bem rápida e simples para o desconforto apresentado.

Forte abraço,