date:20120809

[FUG-BR] jail com vimage carregando no boot

2012-08-09 Por tôpico Marcelo Gondim

Pessoal,

Como muitos aqui sabem o vimage é a virtualização da interface de rede 
nas jails, sendo que carregar a jail usando o vimage e subir os serviços 
dentro da jail é um pouco ruim e ainda não é contemplado pelo script 
/etc/rc.d/jail. Achei umas coisas na Internet e montei um artigo que 
espero que seja útil pra alguém.  :)

http://www.bsdinfo.com.br/2012/08/09/jail-com-vimage-carregando-automaticamente-no-boot/

A única coisa estranha que encontrei foram os panics sempre que eu dava 
um stop nas jails. Mas acredito que ainda saia alguma correção pra isso. 
rsrsrs

Grande abraço à todos,

Gondim
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy

2012-08-09 Por tôpico Tiago

Luiz,
[root@cachebsd30 ]# ipfw add fwd 127.0.0.1,3129 tcp from any to any 80 via em0
ipfw: getsockopt(IP_FW_ADD): Invalid argument

Você diz o desvio /volta no roteador de borda linux, ou na origem(no
meu caso o pppoe server)?


2012/8/9 Luiz Gustavo S. Costa :
> Em 9 de agosto de 2012 15:26, Tiago  escreveu:
>> Alguém que utilize tproxy poderia me informar qual seria o equivalente
>> no freebsd a estes comandos que uso no linux?
>>
>> ip rule add fwmark 1 lookup 100
>> ip route add local 0.0.0.0/0 dev lo table 100
>>
>> $IPTABLES -X
>> $IPTABLES -F
>> $IPTABLES -t mangle -F
>> $IPTABLES -t mangle -N DIVERT
>> $IPTABLES -t mangle -A DIVERT -j MARK --set-mark 1
>> $IPTABLES -t mangle -A DIVERT -j ACCEPT
>> $IPTABLES -t mangle -A PREROUTING -p tcp -m socket -j DIVERT
>> $IPTABLES -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY
>> --on-port 3128 --tproxy-mark 0x1/0x1
>>
>
> ipfw add fwd 127.0.0.1,3128 tcp from any to any 80 via em0
> ipfw add fwd 127.0.0.1 tcp from any 80 to any via em0
>
> se for um nat, você tem que tratar o desvio (para o cache) e a volta
> do cache no gateway (que faz o desvio e o nat)
>
>
> --
> Luiz Gustavo Costa (Powered by BSD)
> *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
> mundoUnix - Consultoria em Software Livre
> http://www.mundounix.com.br
> ICQ: 2890831 / MSN: cont...@mundounix.com.br
> Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
> Blog: http://www.luizgustavo.pro.br
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] VPN IPSEC [racoon ou strongswan]

2012-08-09 Por tôpico Saul Figueiredo

Em 9 de agosto de 2012 15:58, Saul Figueiredo escreveu:

>
>
> Em 9 de agosto de 2012 15:37, Saul Figueiredo 
> escreveu:
>
>
>>
>> Em 9 de agosto de 2012 12:13, Saul Figueiredo 
>> escreveu:
>>
>>
>>>
>>> Em 9 de agosto de 2012 10:59, Saul Figueiredo 
>>> escreveu:
>>>
>>>

 Em 8 de agosto de 2012 14:47, Saul Figueiredo 
 escreveu:

 Boa tarde.
>
> Estou tentando fechar uma vpn ipsec entre um router e um FreeBSD 8.2.
> Já tentei com o strongswan e com o raccon mas não funciona de jeito
> nenhum com os dois.
>
> Duvidando que seria as configurações, peguei a conf do strongswan e
> coloquei em um servidor CentOS [Linux] que tem o OpenSwan Instalado, 
> apenas
> me atentando de mudar os ips externos e a faixa de rede. RESULTADO:
> Funcionou no Openswan. A VPN fechou e consegui pingar nas duas pontas.
>
> Para usar o StrongSwan e o Racoon tive que compilar o kernel com essas
> opções:
> options IPSEC
> options IPSEC_DEBUG
> options IPSEC_NAT_T
> options IPSEC_FILTERTUNNEL
> #optionsIPSEC_ESP
>
> Com o mesmo router e o mesmo conf funciona no Linux. O que estaria
> errado ?
> Valeu!!!
>
>
> --
> "Deve-se aprender sempre, até mesmo com um inimigo."
> (Isaac Newton)
>
> Atenciosamente,
> Saul Figueiredo
> Analista FreeBSD/Linux
> Linux Professional Institute Certification Level 2
> saulfelip...@gmail.com
>  
>





 Quando o cliente router tenta conectar no meu servidor racoon dá esse
 erro:

 2012-08-08 17:02:23: ERROR: no suitable proposal found.
 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to get valid
 proposal.
 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to pre-process ph1
 packet (side: 1, status 1).
 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: phase1 negotiation failed.


 Quebrando a cabeça com isso viu...


 --
 "Deve-se aprender sempre, até mesmo com um inimigo."
 (Isaac Newton)

 Atenciosamente,
 Saul Figueiredo
 Analista FreeBSD/Linux
 Linux Professional Institute Certification Level 2
 saulfelip...@gmail.com
 

>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>> Novo erro agora:
>>> ERROR: exchange Identity Protection not allowed in any applicable rmconf
>>>
>>>
>>>
>>> --
>>> "Deve-se aprender sempre, até mesmo com um inimigo."
>>> (Isaac Newton)
>>>
>>> Atenciosamente,
>>> Saul Figueiredo
>>> Analista FreeBSD/Linux
>>> Linux Professional Institute Certification Level 2
>>> saulfelip...@gmail.com
>>> 
>>>
>>
>>
>>
>>
>>
>> Agora o tunel fechou, mas as redes não se comunicam :(
>>
>>
>> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb4), length
>> 92
>> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb5), length
>> 92
>> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb6), length
>> 92
>> IP 187.xxx.xxx.44.500 > 187.xxx.xxx.30.500: UDP, length 92
>> IP 187.xxx.xxx.30.500 > 187.xxx.xxx.44.500: UDP, length 92
>> IP 187.xxx.xxx.30.500 > 187.xxx.xxx.44.500: UDP, length 92
>> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb7), length
>> 92
>> IP 187.xxx.xxx.44.500 > 187.xxx.xxx.30.500: UDP, length 92
>> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb8), length
>> 92
>> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb9), length
>> 92
>> IP 187.xxx.xxx.44.500 > 187.xxx.xxx.30.500: UDP, length 92
>> IP 187.xxx.xxx.30.500 > 187.xxx.xxx.44.500: UDP, length 92
>> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xba), length
>> 92
>> IP 187.xxx.xxx.30.500 > 187.xxx.xxx.44.500: UDP, length 92
>> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xbb), length
>> 92
>> IP 187.xxx.xxx.44.500 > 187.xxx.xxx.30.500: UDP, length 92
>> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xbc), length
>> 92
>> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xbd), length
>> 92
>>
>>
>>
>>
>> e no ipfw a policy está allow
>>
>>
>>
>>
>> --
>> "Deve-se aprender sempre, até mesmo com um inimigo."
>> (Isaac Newton)
>>
>> Atenciosamente,
>> Saul Figueiredo
>> Analista FreeBSD/Linux
>> Linux Professional Institute Certification Level 2
>> saulfelip...@gmail.com
>> 
>>
>
>
>
>
>
>
> no log do racoon:
>
> 2012-08-09 15:56:29: DEBUG: suitable outbound SP found: 
> 192.168.1.0/24[0]
> 192.168.70.0/24[0]  proto=any dir=out.
> 2012-08-09 15:56:29: DEBUG: sub:0xbfbfe594: 
> 192.168.70.0/24[0]
> 192.168.1.0/24[0]  proto=any dir=in
> 2012-08-09 15:56:29: DEBUG: db :0x28547148: 
> 192.168.70.0/24[0]
> 192.168.1.0/24[0]  proto=any dir=in
> 2012-08-09 15:56:29: DEBUG: suitable inbound SP found: 
> 192.168.70.0/24[0]

[FUG-BR] FreeNAS ou NAS4Free

2012-08-09 Por tôpico Eduardo Schoedler

Pessoal,

Vocês conhecem alguma lista de discussão sobre essas distribuições,
baseadas em FreeBSD?

Alguém conhece essas plataformas?
Utilizam em conjunto com o XenServer para exportar volumes por iSCSI?
Como fazem para fazer backup, exportar, mover um volume de uma "caixa" para
outra?

Enfim, gostaria de saber casos de sucesso e também de problemas.

Obrigado,

-- 
Eduardo Schoedler
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy

2012-08-09 Por tôpico Luiz Gustavo S. Costa

Em 9 de agosto de 2012 15:26, Tiago  escreveu:
> Alguém que utilize tproxy poderia me informar qual seria o equivalente
> no freebsd a estes comandos que uso no linux?
>
> ip rule add fwmark 1 lookup 100
> ip route add local 0.0.0.0/0 dev lo table 100
>
> $IPTABLES -X
> $IPTABLES -F
> $IPTABLES -t mangle -F
> $IPTABLES -t mangle -N DIVERT
> $IPTABLES -t mangle -A DIVERT -j MARK --set-mark 1
> $IPTABLES -t mangle -A DIVERT -j ACCEPT
> $IPTABLES -t mangle -A PREROUTING -p tcp -m socket -j DIVERT
> $IPTABLES -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY
> --on-port 3128 --tproxy-mark 0x1/0x1
>

ipfw add fwd 127.0.0.1,3128 tcp from any to any 80 via em0
ipfw add fwd 127.0.0.1 tcp from any 80 to any via em0

se for um nat, você tem que tratar o desvio (para o cache) e a volta
do cache no gateway (que faz o desvio e o nat)


-- 
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: cont...@mundounix.com.br
Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
Blog: http://www.luizgustavo.pro.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] VPN IPSEC [racoon ou strongswan]

2012-08-09 Por tôpico Saul Figueiredo

Em 9 de agosto de 2012 15:37, Saul Figueiredo escreveu:

>
>
> Em 9 de agosto de 2012 12:13, Saul Figueiredo 
> escreveu:
>
>
>>
>> Em 9 de agosto de 2012 10:59, Saul Figueiredo 
>> escreveu:
>>
>>
>>>
>>> Em 8 de agosto de 2012 14:47, Saul Figueiredo 
>>> escreveu:
>>>
>>> Boa tarde.

 Estou tentando fechar uma vpn ipsec entre um router e um FreeBSD 8.2.
 Já tentei com o strongswan e com o raccon mas não funciona de jeito
 nenhum com os dois.

 Duvidando que seria as configurações, peguei a conf do strongswan e
 coloquei em um servidor CentOS [Linux] que tem o OpenSwan Instalado, apenas
 me atentando de mudar os ips externos e a faixa de rede. RESULTADO:
 Funcionou no Openswan. A VPN fechou e consegui pingar nas duas pontas.

 Para usar o StrongSwan e o Racoon tive que compilar o kernel com essas
 opções:
 options IPSEC
 options IPSEC_DEBUG
 options IPSEC_NAT_T
 options IPSEC_FILTERTUNNEL
 #optionsIPSEC_ESP

 Com o mesmo router e o mesmo conf funciona no Linux. O que estaria
 errado ?
 Valeu!!!


 --
 "Deve-se aprender sempre, até mesmo com um inimigo."
 (Isaac Newton)

 Atenciosamente,
 Saul Figueiredo
 Analista FreeBSD/Linux
 Linux Professional Institute Certification Level 2
 saulfelip...@gmail.com
  

>>>
>>>
>>>
>>>
>>>
>>> Quando o cliente router tenta conectar no meu servidor racoon dá esse
>>> erro:
>>>
>>> 2012-08-08 17:02:23: ERROR: no suitable proposal found.
>>> 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to get valid
>>> proposal.
>>> 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to pre-process ph1
>>> packet (side: 1, status 1).
>>> 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: phase1 negotiation failed.
>>>
>>>
>>> Quebrando a cabeça com isso viu...
>>>
>>>
>>> --
>>> "Deve-se aprender sempre, até mesmo com um inimigo."
>>> (Isaac Newton)
>>>
>>> Atenciosamente,
>>> Saul Figueiredo
>>> Analista FreeBSD/Linux
>>> Linux Professional Institute Certification Level 2
>>> saulfelip...@gmail.com
>>> 
>>>
>>
>>
>>
>>
>>
>>
>>
>> Novo erro agora:
>> ERROR: exchange Identity Protection not allowed in any applicable rmconf
>>
>>
>>
>> --
>> "Deve-se aprender sempre, até mesmo com um inimigo."
>> (Isaac Newton)
>>
>> Atenciosamente,
>> Saul Figueiredo
>> Analista FreeBSD/Linux
>> Linux Professional Institute Certification Level 2
>> saulfelip...@gmail.com
>> 
>>
>
>
>
>
>
> Agora o tunel fechou, mas as redes não se comunicam :(
>
>
> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb4), length 92
> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb5), length 92
> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb6), length 92
> IP 187.xxx.xxx.44.500 > 187.xxx.xxx.30.500: UDP, length 92
> IP 187.xxx.xxx.30.500 > 187.xxx.xxx.44.500: UDP, length 92
> IP 187.xxx.xxx.30.500 > 187.xxx.xxx.44.500: UDP, length 92
> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb7), length 92
> IP 187.xxx.xxx.44.500 > 187.xxx.xxx.30.500: UDP, length 92
> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb8), length 92
> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb9), length 92
> IP 187.xxx.xxx.44.500 > 187.xxx.xxx.30.500: UDP, length 92
> IP 187.xxx.xxx.30.500 > 187.xxx.xxx.44.500: UDP, length 92
> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xba), length 92
> IP 187.xxx.xxx.30.500 > 187.xxx.xxx.44.500: UDP, length 92
> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xbb), length 92
> IP 187.xxx.xxx.44.500 > 187.xxx.xxx.30.500: UDP, length 92
> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xbc), length 92
> IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xbd), length 92
>
>
>
>
> e no ipfw a policy está allow
>
>
>
>
> --
> "Deve-se aprender sempre, até mesmo com um inimigo."
> (Isaac Newton)
>
> Atenciosamente,
> Saul Figueiredo
> Analista FreeBSD/Linux
> Linux Professional Institute Certification Level 2
> saulfelip...@gmail.com
> 
>






no log do racoon:

2012-08-09 15:56:29: DEBUG: suitable outbound SP found: 192.168.1.0/24[0]
192.168.70.0/24[0] proto=any dir=out.
2012-08-09 15:56:29: DEBUG: sub:0xbfbfe594: 192.168.70.0/24[0]
192.168.1.0/24[0] proto=any dir=in
2012-08-09 15:56:29: DEBUG: db :0x28547148: 192.168.70.0/24[0]
192.168.1.0/24[0] proto=any dir=in
2012-08-09 15:56:29: DEBUG: suitable inbound SP found: 192.168.70.0/24[0]
192.168.1.0/24[0] proto=any dir=in.
2012-08-09 15:56:29: DEBUG: new acquire 192.168.1.0/24[0]
192.168.70.0/24[0]proto=any dir=out
2012-08-09 15:56:29: [187.xxx.xxx.44] DEBUG2: Checking remote conf
"anonymous" anonymous.
2012-08-09 15:56:29: DEBUG2: enumrmconf: "anonymous" matches.
2012-08-09 15:56:29: [187.xxx.xxx.44] DEBUG: configuration "anonymous"
selected.
2012-08-09 15:56:29: DEBUG: getsainfo params: loc='192.168.1.0/24' rmt='
192.168.70.0/24' peer='NULL' client='NU

Re: [FUG-BR] VPN IPSEC [racoon ou strongswan]

2012-08-09 Por tôpico Saul Figueiredo

Em 9 de agosto de 2012 12:13, Saul Figueiredo escreveu:

>
>
> Em 9 de agosto de 2012 10:59, Saul Figueiredo 
> escreveu:
>
>
>>
>> Em 8 de agosto de 2012 14:47, Saul Figueiredo 
>> escreveu:
>>
>> Boa tarde.
>>>
>>> Estou tentando fechar uma vpn ipsec entre um router e um FreeBSD 8.2.
>>> Já tentei com o strongswan e com o raccon mas não funciona de jeito
>>> nenhum com os dois.
>>>
>>> Duvidando que seria as configurações, peguei a conf do strongswan e
>>> coloquei em um servidor CentOS [Linux] que tem o OpenSwan Instalado, apenas
>>> me atentando de mudar os ips externos e a faixa de rede. RESULTADO:
>>> Funcionou no Openswan. A VPN fechou e consegui pingar nas duas pontas.
>>>
>>> Para usar o StrongSwan e o Racoon tive que compilar o kernel com essas
>>> opções:
>>> options IPSEC
>>> options IPSEC_DEBUG
>>> options IPSEC_NAT_T
>>> options IPSEC_FILTERTUNNEL
>>> #optionsIPSEC_ESP
>>>
>>> Com o mesmo router e o mesmo conf funciona no Linux. O que estaria
>>> errado ?
>>> Valeu!!!
>>>
>>>
>>> --
>>> "Deve-se aprender sempre, até mesmo com um inimigo."
>>> (Isaac Newton)
>>>
>>> Atenciosamente,
>>> Saul Figueiredo
>>> Analista FreeBSD/Linux
>>> Linux Professional Institute Certification Level 2
>>> saulfelip...@gmail.com
>>>  
>>>
>>
>>
>>
>>
>>
>> Quando o cliente router tenta conectar no meu servidor racoon dá esse
>> erro:
>>
>> 2012-08-08 17:02:23: ERROR: no suitable proposal found.
>> 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to get valid
>> proposal.
>> 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to pre-process ph1
>> packet (side: 1, status 1).
>> 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: phase1 negotiation failed.
>>
>>
>> Quebrando a cabeça com isso viu...
>>
>>
>> --
>> "Deve-se aprender sempre, até mesmo com um inimigo."
>> (Isaac Newton)
>>
>> Atenciosamente,
>> Saul Figueiredo
>> Analista FreeBSD/Linux
>> Linux Professional Institute Certification Level 2
>> saulfelip...@gmail.com
>> 
>>
>
>
>
>
>
>
>
> Novo erro agora:
> ERROR: exchange Identity Protection not allowed in any applicable rmconf
>
>
>
> --
> "Deve-se aprender sempre, até mesmo com um inimigo."
> (Isaac Newton)
>
> Atenciosamente,
> Saul Figueiredo
> Analista FreeBSD/Linux
> Linux Professional Institute Certification Level 2
> saulfelip...@gmail.com
> 
>





Agora o tunel fechou, mas as redes não se comunicam :(


IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb4), length 92
IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb5), length 92
IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb6), length 92
IP 187.xxx.xxx.44.500 > 187.xxx.xxx.30.500: UDP, length 92
IP 187.xxx.xxx.30.500 > 187.xxx.xxx.44.500: UDP, length 92
IP 187.xxx.xxx.30.500 > 187.xxx.xxx.44.500: UDP, length 92
IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb7), length 92
IP 187.xxx.xxx.44.500 > 187.xxx.xxx.30.500: UDP, length 92
IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb8), length 92
IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb9), length 92
IP 187.xxx.xxx.44.500 > 187.xxx.xxx.30.500: UDP, length 92
IP 187.xxx.xxx.30.500 > 187.xxx.xxx.44.500: UDP, length 92
IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xba), length 92
IP 187.xxx.xxx.30.500 > 187.xxx.xxx.44.500: UDP, length 92
IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xbb), length 92
IP 187.xxx.xxx.44.500 > 187.xxx.xxx.30.500: UDP, length 92
IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xbc), length 92
IP 187.xxx.xxx.44 > 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xbd), length 92




e no ipfw a policy está allow




-- 
"Deve-se aprender sempre, até mesmo com um inimigo."
(Isaac Newton)

Atenciosamente,
Saul Figueiredo
Analista FreeBSD/Linux
Linux Professional Institute Certification Level 2
saulfelip...@gmail.com

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy

2012-08-09 Por tôpico Tiago

Alguém que utilize tproxy poderia me informar qual seria o equivalente
no freebsd a estes comandos que uso no linux?

ip rule add fwmark 1 lookup 100
ip route add local 0.0.0.0/0 dev lo table 100

$IPTABLES -X
$IPTABLES -F
$IPTABLES -t mangle -F
$IPTABLES -t mangle -N DIVERT
$IPTABLES -t mangle -A DIVERT -j MARK --set-mark 1
$IPTABLES -t mangle -A DIVERT -j ACCEPT
$IPTABLES -t mangle -A PREROUTING -p tcp -m socket -j DIVERT
$IPTABLES -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY
--on-port 3128 --tproxy-mark 0x1/0x1


Em 8 de agosto de 2012 16:28, Luiz Gustavo S. Costa
 escreveu:
> acho que o erro ta ai, você ta fazendo NAT do pacote na porta 80, tá
> alterando o head do pacote.
>
> Você tem que mudar o gateway do pacote, em linux acho que tem que
> fazer um monte de "xunxu", iproute, etc.. não sei ao certo como fazer
> isso no linux.
>
> de forma que o pacote chegue no cache como se fosse o gateway padrão
> daquela conexão. Dessa forma, você consegue fazer o tproxy atuar.
>
> Em 8 de agosto de 2012 16:17, Tiago  escreveu:
>> Luiz, o meu cenário é o seguinte:
>>
>> Depois de autenticado no pppoeserver, eu redireciono nessa máquina com
>> uma regra do tipo:
>> iptables -t nat -A PREROUTING -i ppp425 -s 189.x.x.x/32 -p tcp --dport
>> 80 -j DNAT --to-destination 177.x.x.x:3129
>>
>> Sendo que se nessa máquina(pppoeserver) eu tenho um default gateway
>> que aponta para o meu roteador de borda.
>>
>> Ou seja, toda conexão para porta 80 está indo para o lusca e toda
>> conexão para outras portas seguem para o default gateway direto.
>>
>> Basicamente é isso que está acontecendo, quando eu seto manualmente o
>> proxy no navegador 177.x.x.x:3128 funciona, e se eu usar http_port
>> 3129 transparent vai funcionar também. Exceto quando uso o http_port
>> 3129 tproxy
>>
>>
>>
>>
>> Em 8 de agosto de 2012 15:33, Luiz Gustavo S. Costa
>>  escreveu:
>>> Em 8 de agosto de 2012 15:26, Tiago  escreveu:
 Pessoal, acerca desse problema... confirmo que com a opção transparent
 está funcionando. No entanto, tproxy ainda não.

 Será que não está faltando habilitar algum recurso? Alguma idéia?

>>>
>>> como você ta capturando os pacotes no freebsd ?
>>>
>>> é interessante mudar o gateway das conexões destino porta 80 para o
>>> freebsd com tproxy e no tproxy, desviar via fwd do ipfw
>>>
>>> se fizer redir via porta no roteador, pode ser que altere o cabeçalho do 
>>> pacote
>>>
>>> observe isso
>>>
>>>
>>> --
>>> Luiz Gustavo Costa (Powered by BSD)
>>> *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
>>> mundoUnix - Consultoria em Software Livre
>>> http://www.mundounix.com.br
>>> ICQ: 2890831 / MSN: cont...@mundounix.com.br
>>> Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
>>> Blog: http://www.luizgustavo.pro.br
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
>
> --
> Luiz Gustavo Costa (Powered by BSD)
> *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
> mundoUnix - Consultoria em Software Livre
> http://www.mundounix.com.br
> ICQ: 2890831 / MSN: cont...@mundounix.com.br
> Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
> Blog: http://www.luizgustavo.pro.br
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] VPN IPSEC [racoon ou strongswan]

2012-08-09 Por tôpico Saul Figueiredo

Em 9 de agosto de 2012 10:59, Saul Figueiredo escreveu:

>
>
> Em 8 de agosto de 2012 14:47, Saul Figueiredo 
> escreveu:
>
> Boa tarde.
>>
>> Estou tentando fechar uma vpn ipsec entre um router e um FreeBSD 8.2.
>> Já tentei com o strongswan e com o raccon mas não funciona de jeito
>> nenhum com os dois.
>>
>> Duvidando que seria as configurações, peguei a conf do strongswan e
>> coloquei em um servidor CentOS [Linux] que tem o OpenSwan Instalado, apenas
>> me atentando de mudar os ips externos e a faixa de rede. RESULTADO:
>> Funcionou no Openswan. A VPN fechou e consegui pingar nas duas pontas.
>>
>> Para usar o StrongSwan e o Racoon tive que compilar o kernel com essas
>> opções:
>> options IPSEC
>> options IPSEC_DEBUG
>> options IPSEC_NAT_T
>> options IPSEC_FILTERTUNNEL
>> #optionsIPSEC_ESP
>>
>> Com o mesmo router e o mesmo conf funciona no Linux. O que estaria errado
>> ?
>> Valeu!!!
>>
>>
>> --
>> "Deve-se aprender sempre, até mesmo com um inimigo."
>> (Isaac Newton)
>>
>> Atenciosamente,
>> Saul Figueiredo
>> Analista FreeBSD/Linux
>> Linux Professional Institute Certification Level 2
>> saulfelip...@gmail.com
>>  
>>
>
>
>
>
>
> Quando o cliente router tenta conectar no meu servidor racoon dá esse erro:
>
> 2012-08-08 17:02:23: ERROR: no suitable proposal found.
> 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to get valid proposal.
> 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to pre-process ph1
> packet (side: 1, status 1).
> 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: phase1 negotiation failed.
>
>
> Quebrando a cabeça com isso viu...
>
>
> --
> "Deve-se aprender sempre, até mesmo com um inimigo."
> (Isaac Newton)
>
> Atenciosamente,
> Saul Figueiredo
> Analista FreeBSD/Linux
> Linux Professional Institute Certification Level 2
> saulfelip...@gmail.com
> 
>







Novo erro agora:
ERROR: exchange Identity Protection not allowed in any applicable rmconf


-- 
"Deve-se aprender sempre, até mesmo com um inimigo."
(Isaac Newton)

Atenciosamente,
Saul Figueiredo
Analista FreeBSD/Linux
Linux Professional Institute Certification Level 2
saulfelip...@gmail.com

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] VPN IPSEC [racoon ou strongswan]

2012-08-09 Por tôpico Saul Figueiredo

Em 8 de agosto de 2012 14:47, Saul Figueiredo escreveu:

> Boa tarde.
>
> Estou tentando fechar uma vpn ipsec entre um router e um FreeBSD 8.2.
> Já tentei com o strongswan e com o raccon mas não funciona de jeito nenhum
> com os dois.
>
> Duvidando que seria as configurações, peguei a conf do strongswan e
> coloquei em um servidor CentOS [Linux] que tem o OpenSwan Instalado, apenas
> me atentando de mudar os ips externos e a faixa de rede. RESULTADO:
> Funcionou no Openswan. A VPN fechou e consegui pingar nas duas pontas.
>
> Para usar o StrongSwan e o Racoon tive que compilar o kernel com essas
> opções:
> options IPSEC
> options IPSEC_DEBUG
> options IPSEC_NAT_T
> options IPSEC_FILTERTUNNEL
> #optionsIPSEC_ESP
>
> Com o mesmo router e o mesmo conf funciona no Linux. O que estaria errado ?
> Valeu!!!
>
>
> --
> "Deve-se aprender sempre, até mesmo com um inimigo."
> (Isaac Newton)
>
> Atenciosamente,
> Saul Figueiredo
> Analista FreeBSD/Linux
> Linux Professional Institute Certification Level 2
> saulfelip...@gmail.com
>  
>





Quando o cliente router tenta conectar no meu servidor racoon dá esse erro:

2012-08-08 17:02:23: ERROR: no suitable proposal found.
2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to get valid proposal.
2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to pre-process ph1
packet (side: 1, status 1).
2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: phase1 negotiation failed.


Quebrando a cabeça com isso viu...


-- 
"Deve-se aprender sempre, até mesmo com um inimigo."
(Isaac Newton)

Atenciosamente,
Saul Figueiredo
Analista FreeBSD/Linux
Linux Professional Institute Certification Level 2
saulfelip...@gmail.com

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Grafico Conexões estabelecidas

2012-08-09 Por tôpico Ricardo - Listas

Pessoal, bom dia.

Tentei fazer aqui, mas não está dando muito certo, um gráfico com MRTG, da
quantidade de conexões TCP estabelecidas em uma determinada porta.

 

A situação é a seguinte, exitem 3 placas de rede no firewall, a da rede
interna, e duas externas. Com o pfctl ss consigo a quantidade de conexões,
se eu rodar o comando na mão, ai fiz um script bem simples para coletar os
dados.

 

Após isso criei o arquivo cfg do mrtg, quando executo o mrtg nesse arquivo,
ele coleta os dados e imprime os valores corretos no arquivo .log, mas
depois de algumas execuções pela cron, o arquivo .log do mrtg começa a ser
alimentado com zeros.

 

Alguém possui alguma coisa parecida funcionando e que possa contribuir pra
que eu consiga gerar esse gráfico e acompanhar a quantidade de conexões
estabelecidas sem ter que conectar no firewall e verificar manualmente?

Existe alguma ferramenta que facilite essa visualização?

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] jail com vimage carregando no boot

Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy

Re: [FUG-BR] VPN IPSEC [racoon ou strongswan]

[FUG-BR] FreeNAS ou NAS4Free

Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy

Re: [FUG-BR] VPN IPSEC [racoon ou strongswan]

Re: [FUG-BR] VPN IPSEC [racoon ou strongswan]

Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy

Re: [FUG-BR] VPN IPSEC [racoon ou strongswan]

Re: [FUG-BR] VPN IPSEC [racoon ou strongswan]

[FUG-BR] Grafico Conexões estabelecidas

11 matches

Site Navigation

Mail list logo

Footer information