Em 18 de janeiro de 2013 17:46, Mario Lobo <l...@bsd.com.br> escreveu:
> Em 18 de janeiro de 2013 16:44, Mario Lobo <l...@bsd.com.br> escreveu: > > > > > > > Em 18 de janeiro de 2013 06:27, Diogo Dalfovo <b1n4r1w...@gmail.com > >escreveu: > > > > Bom dia pessoal... > >> > >> Estou com problema que acredito ser no retorno do pacote usando PF no > >> Freebsd. Meu cenario é seguinte: > >> O firewall ligado em duas operadoras A e B e duas LANs 192.168.0.0/24 e > >> 192.168.2.0/24 faço NAT de cada rede pra cada saida da operadora e > tambem > >> ja testei configurando uma WAN com os IPs configurados tanto da > operadora > >> A > >> como da B mas em nenhum dos caso deu certo. Por ultimo depois da > madrugada > >> se estiver tudo "certo" ele pinga uma vez de em cada operadora e para. > >> > >> Mas resumindo a historia toda preciso que o venha da rede > >> 192.168.0.0/24saia e retorne pela operada A e a rede > >> 192.168.2.0/24 saia e retorne somente pela B ou se tem como fazer com > que > >> tudo que vier de uma interface saia e retorne pela interface da rede A e > >> igualmente pela B. > >> > >> Lembrando que o meu gateway esta pela rede B, segue o meu PF. > >> > >> ########################################### > >> # 1 - Interfaces > >> ########################################### > >> #Externa WAN > >> if_bgp = "fxp1" > >> if_gvt = "fxp0" > >> if_fw = "rl0" > >> if_bridge = "bridge0" > >> > >> ########################################## > >> # 2 - IPs do Firewall > >> ########################################## > >> ip_fw="" > >> ip_ebt = "A.A.187.0/24" > >> ip_gvt = "B.B.115.0/24" > >> > >> > >> ########################################## > >> # 3 - IPs Gateways > >> ########################################## > >> > >> ip_gw_gvt = "B.B.115.5" > >> ip_gw_ebt = "A.A.187.5" > >> > >> > >> > >> #pass in quick on $if_gvt reply-to ( $if_gvt $ip_gw_gvt ) from ip_gvt > >> #pass in quick on $if_ebt reply-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt > >> > >> #pass out quick log on $if_ebt route-to ( $if_ebt $ip_gw_ebt ) from > >> $ip_ebt label "ebt" > >> #pass out quick log on $if_bgp route-to ( $if_gvt $ip_gw_gvt ) from > >> $ip_gvt label "gvt" > >> > >> pass out quick log on $if_bridge route-to ( $if_ebt $ip_gw_ebt ) from > >> $ip_ebt label "ebt" > >> pass out quick log on $if_bridge route-to ( $if_gvt $ip_gw_gvt ) from > >> $ip_gvt label "gvt" > >> > >> como ele é uma bridge tanto faz se uso interface bridge ou a fisica o > >> resultado é o mesmo o pacote vai mais nao volta... alguem ja passou por > >> isso? ou ve onde estou errando? > >> > >> Diogo Dalfovo > >> ------------------------- > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > > > > Diogo; > > > > Voce tem que dizer no pacote entrante da LAN pra onde voce quer que ele > > seja roteado. > > > > Ex. > > > > pass in log quick on $lan_ebt_if route-to ($if_ebt $ip_gw_ebt ) inet > proto > > tcp from $lan_ebt_if:network to any > > > > pass in log quick on $lan_gvt_if route-to ($if_gvt $ip_gw_gvt ) inet > proto > > tcp from $lan_ebt_if:network to any > > > > Faz o NAT de tudo pra tudo que o keep state vai fazer o pacote voltar pro > > lugar certo. > > > > Esse exemplo eu peguei do nosso servidor de produção. 2 link (OI e > > EMBRATEL). Tenho o controle ate da rota de hosts individuais. > > > > Pode testar que vai rolar. > > -- > > Mario Lobo > > http://www.mallavoodoo.com.br > > FreeBSD since version 2.2.8 [not Pro-Audio.... YET!!] (99,7% winfoes > FREE) > > > OOOPS ! na segunda linha leia-se: $lan_gvt_if:network > > Desculpe > -- > Mario Lobo > http://www.mallavoodoo.com.br > FreeBSD since version 2.2.8 [not Pro-Audio.... YET!!] (99,7% winfoes FREE) > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Boa noite Mario... Obrigado pelas dicas, fiz o testes com estas configurações e sei que funciona num ambiente onde existe NAT, porem, existe um detalhe que nao deixei claro. Este servidor seria uma bridge entre o meu firewall (cisco) e as operadoras (A) e (B) para que todo trafego que esteja saindo com os endereços IP da operadora (A) não seja forçado a ser entregue na operadora (B), infelizmente o Cisco não faz pre-routing ou seja, nao consigo pegar a origem e dizer que ele deve sair pela interface do router (A) ele sempre vai sair pela (B) e vai dar problema. Esta bridge seria uma "arapuca" temporaria ate eu migrar todos os clientes da operadora (B) para a (A) foi uma tentativa de "enganar" o firewall pois tudo que vem pela interface (B) ele retorna mas a saida não... Se alguem ja fez uma arapuca dessa e puder mostrar o caminho das pedras seria interessante Mas de qualquer forma obrigado. Diogo Dalfovo ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd