Re: [FUG-BR] Ajuda para liberacao de acesso externo no PF
matheus lamberti wrote:
> Ola lista, peguei o firewall de exemplo do site do OpenBSD,
> fiz umas adaptacoes as minhas necessidades e tenho a presente situacao,
> na rede interna tudo funciona normalmente.
> Mas qdo tento acessar de outro lugar (fora da empresa) nao consigo acesso.
[...]
> ## protecao contra ips spoofados
> block drop in quick on $ext_if from to any
> block drop out quick on $ext_if from any to
Matheus,
A sua rede interna é 172.16.0.0/27, e nessa regra aí em cima você acabou
bloqueando o tráfego dessas máquinas com a Internet (a tabela "malvados"
inclui esse range).
Sugestão: retire essas duas regras, ou ainda melhor: retire o "quick"
das duas... dessa forma as outras regras também serão avaliadas, e o
tráfego para a Internet vai funcionar (por causa das 2 últimas regras do
seu PF):
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state
--
Rainer Alves
___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] Ajuda para liberacao de acesso externo no PF
Ola lista, peguei o firewall de exemplo do site do OpenBSD, fiz umas adaptacoes
as minhas necessidades e tenho a presente situacao, na rede interna tudo
funciona normalmente. Mas qdo tento acessar de outro lugar (fora da empresa)
nao consigo acesso.
Segue abaixo o conjunto completo de regras do meu pf (desculpem o tamanho)
Obrigado desde ja ...
## definicao das interfaces de rede
int_if = "rl0"
ext_if = "vr0"
## definicao dos servicos utilizados
tcp_services = "{ 22, 3389, 5000 }"
icmp_types = "echoreq"
## definicao de redes e servidores
rede = "172.16.0.0/27"
srv_rdp = "172.16.0.6"
srv_web = "172.16.0.30"
## definicao de tabelas
table { 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12,
10.0.0.0/8, 20.20.0.0/12 }
## opcoes gerais
set block-policy drop
set debug none
set fingerprints "/etc/pf.os"
set loginterface $ext_if
set optimization normal
set skip on lo0
set limit { frags 5000, states 2500 }
## normalizacao de pacotes entrantes
scrub in all
## controle de banda
altq on $ext_if cbq bandwidth 350Kb queue { ftpq, rdpq, sshq, webq }
queue ftpq bandwidth 10% cbq(default)
queue rdpq bandwidth 20%
queue sshq bandwidth 30%
queue webq bandwidth 40%
# nat e redirecionamento
nat on $ext_if from $int_if:network to any -> ($ext_if)
rdr on $ext_if proto tcp from any to $ext_if port rdp -> $srv_rdp port
3389
rdr on $ext_if proto tcp from any to $ext_if port ssh -> $srv_rdp port
22
rdr on $ext_if proto tcp from any to $ext_if port 5000 -> $srv_web port
5000
rdr on $int_if proto tcp from any to any port ftp -> 127.0.0.1 port
8021
rdr on $int_if proto tcp from any to any port www -> 127.0.0.1 port
3128
## politica padrao do firewall
block all
## permite que na interface loopback tudo aconteca
pass quick on lo0 all
## protecao contra ips spoofados
block drop in quick on $ext_if from to any
block drop out quick on $ext_if from any to
## permite que os servicos tcp funcionem
pass in on $ext_if inet proto tcp from any to ($ext_if) port
$tcp_services flags S/SA keep state
## permite que a internet consiga acessar os servidores
pass in on $ext_if proto tcp from any to $srv_rdp port 3389 flags S/SA
synproxy state
pass in on $ext_if proto tcp from any to $srv_web port 22 flags S/SA
synproxy state
pass in on $ext_if proto tcp from any to $srv_web port 5000 flags S/SA
synproxy state
## necessario para o funcionamento do ftp-proxy
pass in on $ext_if inet proto tcp from port 20 to ($ext_if) user proxy
flags S/SA keep state
## permite apenas os tipos icmp especificados
pass in inet proto icmp all icmp-type $icmp_types keep state
## permite total comunicacao na rede interna
pass in on $int_if from $rede to any keep state
pass out on $int_if from any to $rede keep state
## permite que as comunicacoes da rede interna saiam para internet
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state
matheus lamberti de abreu
BSD User ID: 051370
Embora nem tudo seja permitido, tudo é possível. [ Adágio Alquímico ]
Do, or do not. There is no 'try'. [ Master Yoda ]
Se a vida é regida por uma licença, esta é BSD. [
http://planeta.ubuntubrasil.org ]
-
Yahoo! Photos
Ring in the New Year with Photo Calendars. Add photos, events, holidays,
whatever.
___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Erro Firefox 1.5, Vmware 3
Olá, Está acontecendo algo com o meu sistema que realmente me deixou intrigado, eu havia instalado o VMWare3 e funcionava perfeitamente. Como alguns devem saber, reinstalei meu FreeBSD e algumas coisas começaram a dar errado... aquele erro do df no VMWare acho que era da versão (do vmware) mesmo, pois atualizei os ports e esse erro não ocorreu mais, entretanto ele está travando minha máquina, o que acontecia quando eu usava o FreeBSD 5.4, com o 6.0 nunca havia acontecido... Alguém tem idéia do que pode ser? (Não, não é ACPI, já desabilitei até na BIOS para testar) Abraços, Marcelo. Em 09/01/06, gethostbyname <[EMAIL PROTECTED]> escreveu: > > Ah, se é para testes, então está explicado. Pensava que você estava > utilizando o vmware para utilização normal. > Tudo bem que as novas versões do vmware devem estar bem melhores, mas > lembro-me que ele gerava alguns erros fatais quando eu executava o cdrom > com o sistema operacional Tropix [Não me lembro a versão agora]. > > abraços, > PH > > > Marcelo Vilela escreveu: > > >Olá, > > > >Tenho o FreeBSD instalado na minha máquina real e uso o vmware para > testes > >de segurança, compatibilidade de redes, etc. os problemas causados no > vmware > >são do vmware instalado no FreeBSD, e não o contrário. > > > >Desculpe se fui pouco claro. > > > >Abraços, > >Marcelo. > > > > > > > > ___ > Freebsd mailing list > Freebsd@fug.com.br > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] Imagem do Disco
Olá lista Alguem sabe como faço para gerar uma imagem do meu hd completo, vou utilizar o g4u para efetuar um ghost. Abraços -- Linux is for people who hate Windows, BSD is for people who love UNIX" ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] redirecionar cliente windows...
posso indicar a vc usar o redir; ports/net/redir []s --- reply --- > From: [EMAIL PROTECTED] > To: freebsd@fug.com.br > Subject: [FUG-BR] redirecionar cliente windows... > Date: 2006-01-16 11:01:00 > -- > > Bom dia.. > > estou usando ipfw+natd com freebsd 6. > > tenho algumas maquinas na rede que tem um programa for windows chamado > radmin de acesso remoto que funciona na porta 4899. estou tentando fazer o > redirecionamento de tudo que entre no ip do servidor pela porta 4899 seja > redirecionado para a maquina que tem o server do radmin instalado na rede. > > minhas regras do ipfw > > 00050 divert 8668 ip from any to any via rl0 > 00051 fwd 192.168.50.228,4899 tcp from 192.168.50.0/24 to any dst-port 4899 > # regra que estou tentando usar... mais naum funciona :( > 00069 fwd 127.0.0.1,3128 tcp from 192.168.50.0/24 to any dst-port 80 > #redirecionamento do squid... funciona ok > 00200 deny ip from any to 127.0.0.0/8 > 00300 deny ip from 127.0.0.0/8 to any > 65000 allow ip from any to any > 65535 allow ip from any to any > > 192.168.50.228 seria o ip da maquina windows com o radmin na rede. > Alguem poderia me ajudar? > Desde ja agradeco as respostas e tambem de minhas duvidas passadas. > > Zanna Reis > Analista de Sistemas > === MPET - RJ = >Freebsd - 6.0 > p4 3.0 512 ram lol > > > ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
