Matheus, loga as conexões que vc está negando, com a opção "log", assim fica mais facil de achar o erro !
Ex: block log all E depois você pode ver o trafego que está sendo negado ! # tcpdump -e -ttt -i pflog0 Em 18/01/06, [EMAIL PROTECTED]<[EMAIL PROTECTED]> escreveu: > > a única coisa que estou vendo - pelo menos de imediato, é que somente são > permitidos os acessos, via ext_if, das portas relacionadas em tcp_services. > Qualquer outra porta/serviço será rejeitada/o. O que, de certa forma, causa > estranheza porque, se vc tem um servidor web - como aparenta, êle não será > acessível de fora, uma vez que o serviço é 80 (www) ou 448 (https), as > quais NÃO ESTÃO relacionadas. A porta 20 aparece em linha padrão do PF, > conforme a "cartilha", então deve estar ok, bem como os redirecionamentos > para o ftp-proxy (perguntar não ofende: vc ACRESCENTOU o ftp-proxy no > inetd?.. e ativou o inetd em /etc/rc.conf?) > > eu costumo colocar - pra me garantir - uma clausula "reject log all on > (interface)" ANTES de qualquer liberação que se siga, para essa interface. > Com isso eu garanto o registro de tudo o que for rejeitado em cada uma das > interfaces. > > seguindo o manual, dá uma olhada no que estiver sendo rejeitado com tcpdump > na interface ipflog0 ou o mesmo tcpdump no /var/log/ipflog. No man pf e no > man tcpdump vc tem como associa-lo a um arquivo ou a uma interface. No > arquivo, vc lê o histórico anterior, na intrface ipftraf0 (acho que é o > nome, veja com o ipconfig) vc tem o trânsito "on time". > > veja também "sysctl -s info" pra ver o que é que anda acontecendo (pacotes > rejeitados, passantes, etc..). Nat também (sysctl -s nat) ou regras (sysctl > -s r ). > > tudo serve para análise do pf. Dá trabalho, mas é bom, a gente aprende :) > > divirta-se. > > Original Message: > ----------------- > From: matheus lamberti [EMAIL PROTECTED] > Subject: [FUG-BR] Ajuda para liberacao de acesso externo no PF > > > > Mas qdo tento acessar de outro lugar (fora da empresa) nao consigo acesso. > > > > > > ## definicao das interfaces de rede > > i nt_if = "rl0" > > ext_if = "vr0" > > > ## definicao dos servicos utilizados > > tcp_services = "{ 22, 3389, 5000 }" > > icmp_types = "echoreq" > > > ## permite que os servicos tcp funcionem > > pass in on $ext_if inet proto tcp from any to ($ext_if) port > > $tcp_services flags S/SA keep state > > > ## permite que a internet consiga acessar os servidores > > pass in on $ext_if proto tcp from any to $srv_rdp port 3389 flags S/SA > > synproxy state > > pass in on $ext_if proto tcp from any to $srv_web port 22 flags S/SA > > synproxy state > > pass in on $ext_if proto tcp from any to $srv_web port 5000 flags S/SA > > synproxy state > > > ## necessario para o funcionamento do ftp-proxy > > pass in on $ext_if inet proto tcp from port 20 to ($ext_if) user proxy > > flags S/SA keep state > > > ## permite apenas os tipos icmp especificados > > pass in inet proto icmp all icmp-type $icmp_types keep state > > > ## permite total comunicacao na rede interna > > pass in on $int_if from $rede to any keep state > > pass out on $int_if from any to $rede keep state > > > > -------------------------------------------------------------------- > mail2web - Check your email from the web at > http://mail2web.com/ . -- Éderson H. Chimbida _______________________________________________ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br