Paboritong Linya sa kanta ng Firehouse

With every kiss our love is like brand new
And every star up in the sky was made for me and you
Still we both know that the road is long
We know that we could be together because our love is strong

I've finally found the love of a lifetime
A Love to last my whole life through

.....

When I look into you eyes
I can see how much I love you
And it makes me realize
When I look into your eyes
I see all my dreams come true
When I look into your eyes

Paano gumawa ng Firewall na gamit ang IPTables (Part 4)

Sa nakaraang pag-aaral ay natutunan natin (may natutunan ba?) ang paggawa ng tumatayong magisa na firewall (stand alone firewall). Ngayon naman ay pag-aaralan natin kung paano gumawa ng firewall na magsisilbi ding gateway o router ng ating network. Kung isasalarawan natin ang aking sinasabi ay ganito ang kalalabasan.


LAN <----> FIREWALL <----> INTERNET


bale ang ating firewall ay may dalawang NIC, isang nakaharap sa internet at isa ang nakaharap sa ating network na siyang magsisilbing default gateway ng mga miyembro sa ating LAN.


Narito ang ating mga gagamitin sa design ng ating ng firewall:

Makinang Firewall:
dalawang Network Card: (eth0 and eth1)
kung saan:
eth0 == Ang NIC na nakaharap sa internet
eth1 == Ang NIC na nakaharap sa LAN

IP ng eth0 sa firewall: 1.2.3.4 (Public IP)
IP ng eth1 sa firewall: 192.168.0.254

IP ng LAN: 192.168.0.0/24

Serbisyong tumatakbo sa firewall:
SSH (22)

Nota:
Para sa kaalaman ng lahat, ang /24 ay katumbas ng netmask na 255.255.255.0

Maglagay din tayo ng Mail Server at Web Server sa loob ng LAN na may settings na kagaya ng mga sumusunod:

IP Ng Web Server: 192.168.0.252
IP Ng Mail Server: 192.168.0.253


Ang mga kinakailangang makamit:

1.) Payagang makalabas ang packet ng Mail Server ngunit sa port lamang ng SMTP (25).
2.) Ang papayagan lamang na makapag internet ay ang mga IP na 192.168.0.1, 192.168.0.10 at 192.168.0.100.
3.) Payagan ang buong mundo na maka access sa Web Server at Mail Server.
4.) Payagang maka pasok ang kahit sino sa OpenSSH na tumatakbo sa firewall
5.) Payagang maka access ang makinang firewall sa port 80 at 21 lamang para makakuha ng updates sa internet.
6.) Maliban sa mga nabanggit sa itaas, wala nang packet na papayagang makadaloy.


Base sa mga kailangang makamit ay masasabi nating lahat ng chains ay magagamit natin ngayon, hindi kagaya nung stand alone na firewall na puro INPUT chain lang ang nagamit.


Umpisahan na natin ang pag design sa ating firewall:

Kagaya ng nauna nating pag-aaral, uumpisahan natin ang rules na DROP lahat by default, kaya ang unang unang rule na dapat nating ilagay ay ang mga sumusunod:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

At para makasiguro tayong walang firewall rules na tumatakbo ay isunod datin ang rule na kagaya ng nasa ibaba:

iptables -F

At dahil sa ang firewall ay magsisilbi ring router/gateway, kailangan nating i enable ang ip forwarding sa pamamagitan ng command na gaya ng nasa ibaba

echo "1" > /proc/sys/net/ipv4/ip_forward


Ngayon ay isa-isahin natin ang mga dapat na allowed lamang base sa requirements.

1.) Payagang makalabas ang packet ng Mail Server ngunit sa port lamang ng SMTP (25).

iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 25 -s 192.168.0.253 -j ACCEPT

dito ay gumamit tayo ng panibagong opsyon na hindi nabanggit sa mga una nating pag-aral, ito ay ang "-i eth1", "-o eth0", at "-s 192.168.0.253" kung saan ang "-i" ay tumutukoy sa input interface, "-o" naman ay tumutukoy sa output interface at ang "-s" ay tumutukoy naman sa source IP na sa pagkakataong ito ay ang IP ng ating Mail Server.

Kung isasalin ulet natin sa salita ang rule ng gaya sa itaaas ay ganito ang kakalabasan

"Magdagdag ng rule na magpapasa (-A FORWARD) at pumasok sa interface eth1 (-i eth1) at lumabas sa interface eth2 (-o eth2) na ang protocol ay tcp (-p tcp) at papunta sa port ng SMTP (--dport 25) na galing sa ip na 192.168.0.253 (-s 192.168.0.253) at ito ay tanggapin (-j ACCEPT)"


2.) Ang papayagan lamang na makapag internet ay ang mga IP na 192.168.0.1, 192.168.0.10 at 192.168.0.100.

iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.0.1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.0.10 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.0.100 -j ACCEPT


Sa mga naunang rule ay pinapayagan natin ang ilang packet na makadaloy sa FORWARD chain at ang intensyon ay makalabas sa internet, ngunit para magkaroon ka ng komunikasyon sa internet ay kailangan mo ng public IP. Paano mo ito ngayon gagawin? Ang sagot? mag translate ka ng pribadong IP sa public IP. Gawin lang ang kagaya ng rule na nasa ibaba para makapag translate.

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to 1.2.3.4

mapapansin nyo na gumamit tayo ng "-t nat" na opsyon na kung saan ito ay tumutukoy sa pangalan ng table na gagamitin. Kinakailangan nating gamitin ang opsyon na -t dahil kapag hindi natin ito ginamit, ito ay gagamit ng filter table sa kadahilanang ito ang siyang default.

gumamit din tayo ng POSTROUTING na chain sa kadahilanang ito ang huling stage na dadaanan papalabas, dito tayo dapat mag translate ng IP

gumamit din tayo ng "-j SNAT --to 1.2.3.4" na ang ibig sabihin ay "source translation" na ang kasunod ay ang translated na IP na sa pagkakataong ito ay ang public IP

3.) Payagan ang buong mundo na maka access sa Web Server at Mail Server.

Ito naman ay manggagaling sa internet ang packet at papunta sa ating Mail at Web Server na kung saan ay parehong nasa likod ng firewall at pareho ring pribado ang IP.

Muli ay kailangan nating mag translate ng IP ngunit sa pagkakataong ito ay mula sa Public IP ay i translate natin para maging pribadong IP, kaya ang chain na dapat nating gamitin ay ang PREROUTING chain.

at dahil sa ang destinasyon ng packet ay mula sa labas papunta sa loob ng LAN, kailangan din nating payagan ang packet sa FORWARD chain.

kaya kung isusulat natin ang rule ay ganito ang kalalabasan:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.0.253
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.252

iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -j ACCEPT


4.) Payagang maka pasok ang kahit sino sa OpenSSH na tumatakbo sa firewall

Ang service na ito ay sa firewall mismo tumatakbo kaya ang chain na dapat nating gamitin ay ang INPUT chain

iptables -A INPUT -p tcp --dport 22 -j ACCEPT


5.) Payagang maka access ang makinang firewall sa port 80 at 21 lamang para makakuha ng updates sa internet.

Ito naman ay mula sa firewall papunta sa internet ngunit sa port lamang na 80 at 21. Dahil ito ay mula nasa firewall, hindi na natin kailangang mag translate ng IP dahil siya na mismo ang may public IP, kaya ang kailangan na lang nating gawin ay payagan ang port 80 at 21 na makalabas mula sa firewall. Tingnan ang rule sa ibaba

iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT


6.) Maliban sa mga nabanggit sa itaas, wala nang packet na papayagang makadaloy.

wala na tayong kinakailangang rule para makamit ang huling requirement na ito sa kadahilanang DROP ang ating default policy sa lahat ng chain, maliban sa nga pinayagan nating makalusot sa firewall, lahat ay babawalan na.


Kaya kung pagsasama-samahin natin ang mga rules ay ganito ang kalalabasan

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -F

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 25 -s 192.168.0.253 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.0.1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.0.10 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.0.100 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to 1.2.3.4

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.0.253
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.252

iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT



Sa tingin nyo ba ay okay na? kung ang sagot nyo ay Oo, mag-isip ulet kayo dahil nagkakamali kayo, dahil kung matatandaan nyo sa mga nakaraan nating pag-aaral ay kailngan nating gawing stateful ang ating firewall kung saan ay papayagang makalusot ang mga packet na parte na ng aktibong kuneksyon at may relasyon sa aktibong kuneksiyon.

At isa pang importanteng rule ay ang pag-allow ng DNS traffic sa na dumaloy sa firewall, kahit hindi natin binanggit sa requirement na dapat itong i-allow ay kailangan nating isama ang rule na mag aallow sa DNS traffic, kaya kailangan nating isama ang mga sumusunod na rule:

iptables -A FORWARD -p tcp --dport 53 ACCEPT
iptables -A FORWARD -p udp --dport 53 ACCEPT

iptables -A OUTPUT -p tcp --dport 53 ACCEPT
iptables -A OUTPUT -p udp --dport 53 ACCEPT

Kaya kung kukumpletohin natin ang ating firewall ay ganito ang kalalabasan. Isaayos na rin natin ang pagkakasunod-sunod para magandang tingnan

# Mag set ng DROP na default policy sa tatlong mayor na chain
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# i-flush muna ang rule para sigurado
iptables -F

# i-enable ang ip forwarding
echo "1" > /proc/sys/net/i[v4/ip_forward


# Payagan ang ESTABLISHED at RELATED na packet sa lahat ng chain
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# Payagan ang SSH connection papunta sa firewall
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Payagan ang DNS traffic na dumaloy sa firewall
iptables -A FORWARD -p tcp --dport 53 ACCEPT
iptables -A FORWARD -p udp --dport 53 ACCEPT


# I-translate ang packet na patungo sa Mail at Web server
# sa kadahilanang ang mga ito ay pribado lamang ang IP
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.0.253
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.252


# Payagan ang Mail server mula sa LAN na makalabas papunta sa port 25
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 25 -s 192.168.0.253 -j ACCEPT


# Payagan ang mga ip na 192.168.0.1, 192.168.0.10 at 192.168.0.100 na
# makalabas sa internet
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.0.1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.0.10 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.0.100 -j ACCEPT


# Payagan ang mga packet mula sa labas papunta sa loob ng LAN
# ngunit sa Mail at Web Server lamang
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -j ACCEPT


# I-translate ang sa public IP kapag ang source IP ay mula sa LAN
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to 1.2.3.4


# Payagan ang firewall na makapag internet ngunit limitado lamang sa port na 80 at 21
iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT


# Payagan ang firewall na maka-acess din ng DNS server
iptables -A OUTPUT -p tcp --dport 53 ACCEPT
iptables -A OUTPUT -p udp --dport 53 ACCEPT

Paano gumawa ng Firewall na gamit ang IPTables (Part 3)

Ngayon ay gagawa tayo ng disenyo ng isang basic na firewall, may mga makikita kayo ditong mga bagong opsyon na ginamit, sisikapin kong ipaliwanag ang mga ito habang ating pinag-aaralan.


Ang mga requirements ay ang mga sumusunod:

Mga services na tumatakbo sa firewall:
Web (80)
SMTP (25)
Secured Web (443)
Secured Shell (22)

ang kailangan lang ay yung mga nabanggit na services ang dapat lang na payagang makalusot sa firewall, at dapat na ang firewall natin ay makakuha ng updates mula sa internet para masigurong latest at patched ang mga packages na naka install.


pakatandaan na ang mga services ay sa firewall mismo tumatakbo kaya ang gagamitin nating CHAIN ay ang INPUT chain.

Isang magandang practice sa kahit anong firewall design ang mag set ng Default policy na DROP

kaya ang unang linya na dapat makita sa ating firewall ay kagaya ng nasa ibaba

iptables -P INPUT DROP

at marapat lang na sundan agad ng pag Flush ng rule para masigurong walang aktibong rule na tumatakbo kapag pinatakbo na natin ang ating firewall. magagawa ito sa pamamagitan ng paggaya sa rule na nasa ibaba.

iptables -F

hindi muna tayo mag seset ng default policy na DROP sa FORWARD at OUTPUT chain dahil tatalakayin din natin yun sa ibang pagkakataon kung saan ang firewall natin ay ginagamit din nating router o gateway ng ating LAN

Sa ibaba nito ay ang pag allow ng mga services isa-isa. tingnan ang halimbawa sa ibaba

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

dito ay gumamit tayo ng mga panibagong opsyon na -p at --dport kung saan ang -p ay tumutukoy sa pangalan ng protocol na sa pagkakataong ito ay tcp habang ang --dport naman ay tumutukoy sa mismong port number na sa pagkakataong ito ay 80.

mapapansin nyo rin na ang opsyon na --dport ay may dalawang gitling (dashes), ito ay sa kadahilanang ito ay tinatawag na sub-options, ibig sabihin, hindi ito magiging available kung hindi gagamitin ang parent module option, samakatuwid ang rule na kagaya ng nasa ibaba ay hindi maaaring gamitin

iptables -A INPUT --dport 80 -j ACCEPT

ito ay mag reresulta sa pagkakamaling kagaya ng nasa ibaba

iptables v1.2.11: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.


sinabi niyang "Unknown arg `--dport' dahil hindi nag specify ng parent module option na siyang mag eenable sa --dport na sub-option

pakatandan na isa sa napakaimportanteng pre-requisites sa paggawa ng firewall ay ang kaalaman sa mga standard na port.


kung isusulat nating muli ang firewall rule para magawa natin ang mga requirements ay ganito ang kalalabasan


iptables -P INPUT DROP

iptables -F

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dpor 22 -j ACCEPT



sa tingin nyo ba ay okay na ito? kung ang sagot nyo ay Oo eh nagkakamali po kayo, dahil meron pang isang requirement na hindi pa natin nagagawa. Yun ang ang pag payag sa firewall na makakuha ng updates mula sa internet.

Nag set tayo ng Default policy sa INPUT chain na DROP, ngunit hindi tayo nag set sa FORWARD at OUTPUT chain, ibig bang sabihin nito eh pinapayagang nang makalabas ang packet? Ang sagot ay OO.

Pero kapag nagtangka tayong kumuha ng updates mula sa internet eh hindi tayo makakuha, bakit kaya?

Ganito yan, pinapayagan ng firewall na makalabas ang packet dahil ACCEPT ang default policy sa OUTPUT chain, NGUNIT yung packet na pabalik na yun nga ang mga packet na galing sa internet papunta sa ating firewall ay hindi pinapayagang makapasok dahil ito ay dadaan sa INPUT chain, at dahil ang pabalik na packet ay iba ang port na dadaanan na magsisimula sa port 1025 hanggang 65535 na tinatawag din nating mga "unprivelege port", ito ay hindi papayagan ng ating firewall dahil ang pinapayagan lang na makapasok ay ang packet na ang destinasyon ay ang port na 80, 443, 25 at 22. Paano ngayon yan? hindi naman natin puedeng ibukas ang port magmula 1025 hanggang 65535 dahil ito'y magiging sanhi ng pag ka hack ng ating system dahil marami nang port na bukas.

Ang solusyon ay kailangan nating gawing stateful ang ating firewall. Ano ba ang stateful firewall? Ito ay ang pagpayag sa mga packet na parte na ng existing ng connection (ESTABLIHED) o di kaya'y ng packet na may relasyon na sa existing na connetion (RELATED).

dahil state na ng packet ang pinag-uusapan dito, kailangan na natin ng panibagong modules option na -m na kasunod ang salitang "state" at sub-option na --state at ito ay i aapply natin sa INPUT chain. Tingan ang halimbawa sa ibaba

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


kaya kung kukumpletohin na natin ang ating firewall rule ay ganito ang kalalabasan

iptables -P INPUT DROP

iptables -F

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT





ngayon, kumpleto na ang ating basic na firewall design na kung saan ay limitado lang sa port na 80, 443,25 at 22 ang pinapayagang makapasok.

Paano gumawa ng Firewall na gamit ang IPTables (Part 2)

Sa unang part ay nalaman natin ang daloy ng packet, importante kasing matutunan muna kung paano dumadaloy ang packet para makagawa tayo ng kahit basic na firewall.

Ngayon naman ay pag-aaralan natin ang mga commands na madalas na ginagamit sa IPTables.

-A ay ginagamit para dugtungan (append) ang firewall rule
-I ay ginagamit para mag singit (Insert) ng rule sa firewall
-P ay ginagamit para i-set ang Default Policy
-F ay ginagamit para i-Flush ang rule
-D ay ginagamit para mag delete ng rule

Halimbawa:

Para mag set ng DROP na maging default policy, gamitin lang ang -P na command

iptables -P INPUT DROP


para naman mag append ng rule, gawin ang command na ito

iptables -A INPUT -i ! eth1 -j ACCEPT


mapapansin nyo na may ginamit akong opsyon na -i at -j, ang -i ay tumutukoy sa pangalan ng interface gaya ng eth0, eth1. At ang -j naman ay tumutukoy sa aksyon na gagawin sa rule kung ACCEPT, DROP or REJECT. ACCEPT ay para payagan ang packet na makalusot, samantalang ang DROP at REJECT naman ay para hindi payagan ang packet na makalusot, ang kaibahan lang nilang dalawa ay sa DROP ang packet ay tahimik na binabawalang makapasok samantalang ang REJECT naman ay nagbibigay ng impormasyon na ang packet ay hindi nakalusot.

mapapansin nyo rin na may ginamit akong ! na simbolo, ito ay para sabihing ang tatangaping packet lang ay ang packet na hindi papunta sa eth1.

kung isasalin natin sa salita ang IPTables rule na nasa itaas ay ganito ang kalalabasan

"Magdugtong ng IPTables rule (-A) na papunta sa INPUT chain ngunit hindi papunta sa eth1 (-i ! eth1) at ito'y palusutin (-j ACCEPT)"

marami pang commands na ginagamit sa CHAIN ng IPTables ngunit ang mga nabanggit sa itaas ang kadalasang ginagamit, para makita nyo ang mga commands at opsyon i-type nyo lang ang "man iptables" (Hindi kasama ang quotes).

Paano gumawa ng Firewall na gamit ang IPTables (Part 1)

Gaya ng naipangako ko, maglalagay ako dito ng tutorial about IPTables and ito na ang katuparan nung pangakong yun.

Una sa lahat, ano ba ang Firewall? ano ba ang IPTables? Bakit natin ito kailangan?

Ang firewall sa madaling salita eh isang teknolohiya (teknolohiya nga ba?) na siyang nagsisilbing bakod ng ating network para malimitahan ang mga pagpasok at paglabas ng packet.

Ang IPTables naman ay isang kasangkapan na gamit ng manggagamit (userland tool) na siyang direktang nakikipagusap sa kernel ng GNU/Linux na kung saan ang huli ay may built-in na mga chains. ang mga chains na ito ay ang INPUT, FORWARD at ang OUTPUT chains.

Meron ding dalawang chains na ang tawag ay PREROUTING at POSTROUTING chain at ito ang una at huling dadadanan ng packet. PREROUTING ay ang unang dadaanan at ito ang nag dedesisyon kung ang packet ba ay papunta mismo sa firewall box o di kaya'y papunta sa ibang makina. Tingnan ang mga representasyon sa ibaba

Itong representasyon na ito ay nagpapakita ng daloy ng packet na papunta sa FORWARD chain na ang ibig sabihin ay hindi sa firewall ang destinasyon ng packet kundi sa ibang makina.

papasok-->PREROUTING-->FORWARD-->POSTROUTING-->palabas


ito naman ay nagpapakita ng daloy ng packet na ang destinasyon ay ang firewall mismo

papasok-->PREROUTING-->INPUT


Ito naman ay nagpapakita ng daloy ng packet na galing mismo sa firewall

lokal na proseso-->OUTPUT-->POSTROUTING-->palabas


sa madaling salita, depende kung saan ang destinasyon ng packet, ang kanyang daloy ay ang mga sumusunod:

* PREROUTING, FORWARD at POSTROUTING chain ang dadaanan kapag sa ibang makina ang destinasyon

* PREROUTING at INPUT chain naman kapag ang destinasyon ay ang firewall mismo

* OUTPUT at POSTROUTING chain naman kapag ang packet ay galing mismo sa firewall at palabas