Re: [FUG-BR] PF - regra de pbr (para cgnat ou nat n-1)
Em 13/11/2018 18:21, Marcos Vinícius escreveu:
Boa tarde!
Alguem teria um exemplo de como eu faço uma regra de PBR para pegar
determinada rede e fazer um next-hop para outro host.
No caso aqui eu preciso redirecionar determinada rede para que seja feito o
cgnat em outro servidor.
Tenho um exemplo aqui de como faço no Juniper, mas no FreeBSD não sei como
fazer.
Obrigado pela atenção!
Exemplo:
term CGNAT {
from {
source-address {
100.64.0.0/10;
}
}
then {
next-ip 10.20.1.10/32;
}
}
term accept {
then accept;
}
}
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Você pode fazer isso com o ipfw por exemplo:
# PBR com FWD
# com peso
ipfw add 00050 prob 0.3 fwd 200.xxx.xxx.207 ip from me to any out keep-state
ipfw add 00100 prob 0.5 fwd 200.xxx.xxx.202 ip from me to any out keep-state
# sem peso
ipfw add 00150 fwd 200.xxx.xxx.202 ip from me to any out keep-state
[]´s
Gondim
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF - regra de pbr (para cgnat ou nat n-1)
Boa tarde!
Alguem teria um exemplo de como eu faço uma regra de PBR para pegar
determinada rede e fazer um next-hop para outro host.
No caso aqui eu preciso redirecionar determinada rede para que seja feito o
cgnat em outro servidor.
Tenho um exemplo aqui de como faço no Juniper, mas no FreeBSD não sei como
fazer.
Obrigado pela atenção!
Exemplo:
term CGNAT {
from {
source-address {
100.64.0.0/10;
}
}
then {
next-ip 10.20.1.10/32;
}
}
term accept {
then accept;
}
}
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF no FreeBSD 11.2
Em ter, 3 de jul de 2018 às 20:16, Ricardo Ferreira escreveu: > > Em ter, 2018-07-03 às 17:50 -0300, Otavio Augusto escreveu: > > Será usado FreeBSD puro mesmo > > Em ter, 3 de jul de 2018 às 17:27, Paulo Henrique > > escreveu: > > > > > > Em Ter, 3 de jul de 2018 17:19, Otavio Augusto > > > escreveu: > > > > > > > Boa tarde, > > > > Estou em um projeto de firewall redundante e a escolha foi o PF ( > > > > CARP > > > > + PFsync). > > > > > > > > Com relação as regras tanto para filtro quanto para nat gostaria > > > > de > > > > saber se a documentação atual no site do OpenBSD é válida para > > > > FreeBSD também. > > > > > > > > > > > > > > > > Se for só firewall recomendo utilizar PFsense !! > > > > > > > > > > > > -- > > > > Otavio Augusto > > > > - > > > > Consultor de TI > > > > echo fkrmzfkz.xdrzc*tfd | tr a-z.* j-za-i@. > > > > http://www.citiustecnologia.com.br > > > > - > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > > - > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > Existem diferenças de sintaxe especialmente nat, scrub e outras mas a > doc do FreeBSD é bastante precisa e rica em detalhes. Diferenças tipo > OBSD: pass out on re0 from 10.0.0.0/24 to any nat-to 20.30.40.50 > FBSD: nat pass on re0 from 10.0.0.0/24 to any -> 20.30.40.50 > Vá de man pf.conf tem todos os detalhes e exemplos. Valeu vou basear somente a oficial do freebsd > -- > > Atenciosamente, > > Ricardo Ferreira > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI echo fkrmzfkz.xdrzc*tfd | tr a-z.* j-za-i@. http://www.citiustecnologia.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF no FreeBSD 11.2
Em ter, 2018-07-03 às 17:50 -0300, Otavio Augusto escreveu: > Será usado FreeBSD puro mesmo > Em ter, 3 de jul de 2018 às 17:27, Paulo Henrique > escreveu: > > > > Em Ter, 3 de jul de 2018 17:19, Otavio Augusto > > escreveu: > > > > > Boa tarde, > > > Estou em um projeto de firewall redundante e a escolha foi o PF ( > > > CARP > > > + PFsync). > > > > > > Com relação as regras tanto para filtro quanto para nat gostaria > > > de > > > saber se a documentação atual no site do OpenBSD é válida para > > > FreeBSD também. > > > > > > > > > > > > Se for só firewall recomendo utilizar PFsense !! > > > > > > > > > -- > > > Otavio Augusto > > > - > > > Consultor de TI > > > echo fkrmzfkz.xdrzc*tfd | tr a-z.* j-za-i@. > > > http://www.citiustecnologia.com.br > > > - > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > Existem diferenças de sintaxe especialmente nat, scrub e outras mas a doc do FreeBSD é bastante precisa e rica em detalhes. Diferenças tipo OBSD: pass out on re0 from 10.0.0.0/24 to any nat-to 20.30.40.50 FBSD: nat pass on re0 from 10.0.0.0/24 to any -> 20.30.40.50 Vá de man pf.conf tem todos os detalhes e exemplos. -- Atenciosamente, Ricardo Ferreira - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF no FreeBSD 11.2
On 03/07/18 17:19, Otavio Augusto wrote: > Boa tarde, > Estou em um projeto de firewall redundante e a escolha foi o PF ( CARP > + PFsync). > > Com relação as regras tanto para filtro quanto para nat gostaria de > saber se a documentação atual no site do OpenBSD é válida para > FreeBSD também. Não. O pf do FreeBSD é bem diferente do OpenBSD atual. Use a documentação do FreeBSD. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF no FreeBSD 11.2
Curiosidade, o que pesou contra o pfsense na definição do projeto? Atenciosamente P.S.: Também prefiro freebsd puro... Em ter, 2018-07-03 às 17:50 -0300, Otavio Augusto escreveu: > Será usado FreeBSD puro mesmo > Em ter, 3 de jul de 2018 às 17:27, Paulo Henrique > escreveu: > > > > Em Ter, 3 de jul de 2018 17:19, Otavio Augusto > > escreveu: > > > > > Boa tarde, > > > Estou em um projeto de firewall redundante e a escolha foi o PF ( > > > CARP > > > + PFsync). > > > > > > Com relação as regras tanto para filtro quanto para nat gostaria > > > de > > > saber se a documentação atual no site do OpenBSD é válida para > > > FreeBSD também. > > > > > > > > > > > > Se for só firewall recomendo utilizar PFsense !! > > > > > > > > > -- > > > Otavio Augusto > > > - > > > Consultor de TI > > > echo fkrmzfkz.xdrzc*tfd | tr a-z.* j-za-i@. > > > http://www.citiustecnologia.com.br > > > - > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF no FreeBSD 11.2
Será usado FreeBSD puro mesmo Em ter, 3 de jul de 2018 às 17:27, Paulo Henrique escreveu: > > Em Ter, 3 de jul de 2018 17:19, Otavio Augusto > escreveu: > > > Boa tarde, > > Estou em um projeto de firewall redundante e a escolha foi o PF ( CARP > > + PFsync). > > > > Com relação as regras tanto para filtro quanto para nat gostaria de > > saber se a documentação atual no site do OpenBSD é válida para > > FreeBSD também. > > > > > > > > Se for só firewall recomendo utilizar PFsense !! > > > > > > -- > > Otavio Augusto > > - > > Consultor de TI > > echo fkrmzfkz.xdrzc*tfd | tr a-z.* j-za-i@. > > http://www.citiustecnologia.com.br > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI echo fkrmzfkz.xdrzc*tfd | tr a-z.* j-za-i@. http://www.citiustecnologia.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF no FreeBSD 11.2
Em Ter, 3 de jul de 2018 17:19, Otavio Augusto escreveu: > Boa tarde, > Estou em um projeto de firewall redundante e a escolha foi o PF ( CARP > + PFsync). > > Com relação as regras tanto para filtro quanto para nat gostaria de > saber se a documentação atual no site do OpenBSD é válida para > FreeBSD também. > > > > Se for só firewall recomendo utilizar PFsense !! > > > -- > Otavio Augusto > - > Consultor de TI > echo fkrmzfkz.xdrzc*tfd | tr a-z.* j-za-i@. > http://www.citiustecnologia.com.br > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF no FreeBSD 11.2
Boa tarde, Estou em um projeto de firewall redundante e a escolha foi o PF ( CARP + PFsync). Com relação as regras tanto para filtro quanto para nat gostaria de saber se a documentação atual no site do OpenBSD é válida para FreeBSD também. -- Otavio Augusto - Consultor de TI echo fkrmzfkz.xdrzc*tfd | tr a-z.* j-za-i@. http://www.citiustecnologia.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF com RDR na externa mas para acesso pela rede interna
Boa tarde. Tenho um FreeBSD 8.4 com PF e o utilizo como gateway na empresa,
então o forward está habilitado e o firewall rodando com NAT da rede interna
para externa traduzindo para o endereço externo do servidor, e RDR de portas
específicas no endereço externo para endereços internos na rede. O problema é
uma máquina interna acessar uma porta específica utilizando o IP externo como
destino, mas que tem um RDR para outra máquina na rede interna.
Ex: Tenho um servidor com endereço 192.x.x.60 com um serviço rodando na porta
7070. No gateway tenho uma regra que redireciona os acessos ao endereço externo
200.x.x.131 na porta 7070 para o servidor interno 192.x.x.60 na porta 7070. Mas
se uma máquina na rede interna com endereço 192.x.x.96 precisar acessar o
serviço utilizando o IP externo 201.x.x.131 na porta 7070, o RDR não funciona.
Regras do firewall com relação a esse
problema:ext_if0="re2"ext_addr0="200.x.x.131"ext_net="{
200.x.x.128/26}"
int_if0="re0"int_addr0="192.x.x.1"int_net="{ 192.x.x.0/16 }"
set fingerprints "/etc/pf.os"set block-policy returnscrub in allset skip on lo0
nat pass on $ext_if0 from any to any -> $ext_addr0
rdr pass on $ext_if0 proto tcp from any to $ext_addr0 port 7070 -> 192.x.x.60
pass out allblock in on $ext_if0 all
=
Se estou em um computador fora da rede, um telnet para 200.x.x.131 7070
funciona, mas dentro da rede não.Alguma dica?
Rafael Chagas Pelegrineli
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF com RDR na externa mas para acesso pela rede interna
- Mensagem original -
> De: "Rafael Chagas Pelegrineli" <rafpele...@yahoo.com.br>
> Para: "Lista Brasileira de Discussão sobre FreeBSD" <freebsd@fug.com.br>
> Enviadas: Quinta-feira, 24 de setembro de 2015 16:27:35
> Assunto: [FUG-BR] PF com RDR na externa mas para acesso pela rede interna
> Boa tarde. Tenho um FreeBSD 8.4 com PF e o utilizo como gateway na empresa,
> então o forward está habilitado e o firewall rodando com NAT da rede interna
> para externa traduzindo para o endereço externo do servidor, e RDR de portas
> específicas no endereço externo para endereços internos na rede. O problema é
> uma máquina interna acessar uma porta específica utilizando o IP externo como
> destino, mas que tem um RDR para outra máquina na rede interna.
>
> Ex: Tenho um servidor com endereço 192.x.x.60 com um serviço rodando na porta
> 7070. No gateway tenho uma regra que redireciona os acessos ao endereço
> externo
> 200.x.x.131 na porta 7070 para o servidor interno 192.x.x.60 na porta 7070.
> Mas
> se uma máquina na rede interna com endereço 192.x.x.96 precisar acessar o
> serviço utilizando o IP externo 201.x.x.131 na porta 7070, o RDR não funciona.
> Regras do firewall com relação a esse
> problema:ext_if0="re2"ext_addr0="200.x.x.131"ext_net="{
> 200.x.x.128/26}"
>
> int_if0="re0"int_addr0="192.x.x.1"int_net="{ 192.x.x.0/16 }"
> set fingerprints "/etc/pf.os"set block-policy returnscrub in allset skip on
> lo0
>
> nat pass on $ext_if0 from any to any -> $ext_addr0
>
> rdr pass on $ext_if0 proto tcp from any to $ext_addr0 port 7070 -> 192.x.x.60
> pass out allblock in on $ext_if0 all
>
> =
> Se estou em um computador fora da rede, um telnet para 200.x.x.131 7070
> funciona, mas dentro da rede não.Alguma dica?
> Rafael Chagas Pelegrineli
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Oi,
O melhor seria usar DNS com view Mas se não tem outra saída, este tipo de
cenário eu costumava fazer direto com
pf assim:
no nat on $int_if proto {tcp, udp} from $int_if to
nat on $int_if proto {tcp, udp} from to $ip_interno port 8080 ->
$int_if
rdr on $int_if proto tcp from to $ip_externo port 8080 ->
$ip_int_if port 8080
Assim tu consegue injetar, através de um NAT específico na interface interna, o
pacote de volta pra rede interna.
Tenta colocar isso no pfsense.
(A porta 8080 é do exemplo, claro... ;-)
Abraço!
---
Rafael Mentz Aquino
LK6 Soluções em TI
Rua Domingos de Almeida, 135 sala 1102
Centro - Novo Hamburgo - RS
(51) 3065-6001 - -7030
www.lk6.com.br
Catálogo Virtual: http://www.youblisher.com/p/1205960-LK6-TI/
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF com RDR na externa mas para acesso pela rede interna
Boa tarde.
Provavelmente está acontecendo o seguinte problema neste acesso:
A estação 192.x.x.96 manda um pacote para 201.x.x.131.
O FreeBSD então direciona o pacote de 192.x.x.96 para 192.x.x.60
O servidor 192.x.x.60 recebe o pacote e tenta responder para 192.x.x.96.
Mas a estação 192.x.x.96 está esperando a resposta de 201.x.x.131 que
foi onde ela tentou conectar e não de 192.x.x.60, por isso ela descarta o
pacote.
Se for este o caso tem duas formas de resolver este problema.
A primeira é utilizar um dns interno diferente do externo de forma que o
dns interno responda por um nome como servico.minhaempresa.com.br e aponte
para 192.x.x.60 e o dns externo aponte este mesmo dns para 200.x.x.131, e ao
invés de conectar pelo ip conectar pelo endereço DNS.
A segunda alternativa é o FreeBSD quando direcionar o pacote da rede
interna para o servidor na porta 7070 tambem fazer nat, desta forma o
retorno da estação será para o FreeBSD que deverá traduzir os endereços
corretamente.
Félix
-Mensagem Original-
From: Rafael Chagas Pelegrineli
Sent: Thursday, September 24, 2015 4:27 PM
To: freebsd@fug.com.br
Subject: [FUG-BR] PF com RDR na externa mas para acesso pela rede interna
Boa tarde.Tenho um FreeBSD 8.4 com PF e o utilizo como gateway na
empresa, então o forward está habilitado e o firewall rodando com NAT da
rede interna para externa traduzindo para o endereço externo do servidor, e
RDR de portas específicas no endereço externo para endereços internos na
rede. O problema é uma máquina interna acessar uma porta específica
utilizando o IP externo como destino, mas que tem um RDR para outra máquina
na rede interna.
Ex: Tenho um servidor com endereço 192.x.x.60 com um serviço rodando na
porta 7070. No gateway tenho uma regra que redireciona os acessos ao
endereço externo 200.x.x.131 na porta 7070 para o servidor interno
192.x.x.60 na porta 7070. Mas se uma máquina na rede interna com endereço
192.x.x.96 precisar acessar o serviço utilizando o IP externo 201.x.x.131 na
porta 7070, o RDR não funciona.
Regras do firewall com relação a esse
problema:ext_if0="re2"ext_addr0="200.x.x.131"ext_net="{
200.x.x.128/26}"
int_if0="re0"int_addr0="192.x.x.1"int_net="{ 192.x.x.0/16 }"
set fingerprints "/etc/pf.os"set block-policy returnscrub in allset skip on
lo0
nat pass on $ext_if0 from any to any -> $ext_addr0
rdr pass on $ext_if0 proto tcp from any to $ext_addr0 port 7070 ->
192.x.x.60
pass out allblock in on $ext_if0 all
=
Se estou em um computador fora da rede, um telnet para 200.x.x.131 7070
funciona, mas dentro da rede não.Alguma dica?
Rafael Chagas Pelegrineli
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF bloquei de tráfego UDP dúvida
Bom dia pessoal. Estou rodando um tcpdump e estou notando uma grande quantidade de bloquei de tráfego UDP, alguém pode me ajudar a desvendar isso? Segue: block in on re1: 192.168.0.22.59087 74.102.93.218.33709: UDP, length 18 10:51:13.322468 rule 2..16777216/0(match):block in on re1: 192.168.0.22.59087 183.81.63.14.51113: UDP, length 18 10:51:13.322544 rule 2..16777216/0(match): block in on re1: 192.168.0.22.59087 76.70.77.89.22428: UDP, length 18 10:51:13.322607 rule 2..16777216/0(match): block in on re1: 192.168.0.22.59087 182.164.149.225.18070: UDP, length 18 10:51:14.055326 rule 2..16777216/0(match): block in on re2: 189.58.79.200.36646 10.1.1.254.59087: UDP, length 28 10:51:14.108374 rule 2..16777216/0(match): block in on re0: 172.16.1.11.51507 8.8.4.4.53: 47222+ A? m.hotmail.com. (31) -- E-mail: jamaica...@gmail.com Aux Suporte de Sistemas (UNISUL) E-mail: joao.may...@unisul.br MSN: joaomayk...@hotmail.com Cel: (48) 9144 2326 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF bloquei de tráfego UDP dúvida
da um print na sua regra 1 e 2 do fw... bloqueou ate dns. repara q ta bloqueando nas 3 interfaces... deve ter algo tipo 'deny udp from any to any' [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb. Em 11 de dezembro de 2014 10:56, joao jamaicabsd jamaica...@gmail.com escreveu: Bom dia pessoal. Estou rodando um tcpdump e estou notando uma grande quantidade de bloquei de tráfego UDP, alguém pode me ajudar a desvendar isso? Segue: block in on re1: 192.168.0.22.59087 74.102.93.218.33709: UDP, length 18 10:51:13.322468 rule 2..16777216/0(match):block in on re1: 192.168.0.22.59087 183.81.63.14.51113: UDP, length 18 10:51:13.322544 rule 2..16777216/0(match): block in on re1: 192.168.0.22.59087 76.70.77.89.22428: UDP, length 18 10:51:13.322607 rule 2..16777216/0(match): block in on re1: 192.168.0.22.59087 182.164.149.225.18070: UDP, length 18 10:51:14.055326 rule 2..16777216/0(match): block in on re2: 189.58.79.200.36646 10.1.1.254.59087: UDP, length 28 10:51:14.108374 rule 2..16777216/0(match): block in on re0: 172.16.1.11.51507 8.8.4.4.53: 47222+ A? m.hotmail.com. (31) -- E-mail: jamaica...@gmail.com Aux Suporte de Sistemas (UNISUL) E-mail: joao.may...@unisul.br MSN: joaomayk...@hotmail.com Cel: (48) 9144 2326 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF bloquei de tráfego UDP dúvida
E aí Fabrício, bom dia.
Aquela regra alí bloqueando o DNS está correta mesmo, essa rede é negada
pra tudo mesmo.
Segue as primeiras regras de filtragem:
# REGRAS DE FILTRAGEM
block out quick proto { tcp,udp } from 127.0.0.1 to 127.0.0.1 port 3128
block log all
#pass all
pass out keep state
anchor ftp-proxy/*
2014-12-11 11:12 GMT-02:00 Fabricio Lima lis...@fabriciolima.com.br:
da um print na sua regra 1 e 2 do fw...
bloqueou ate dns.
repara q ta bloqueando nas 3 interfaces...
deve ter algo tipo 'deny udp from any to any'
[ ]'s
Fabricio Lima
When your hammer is C++, everything begins to look like a thumb.
Em 11 de dezembro de 2014 10:56, joao jamaicabsd jamaica...@gmail.com
escreveu:
Bom dia pessoal.
Estou rodando um tcpdump e estou notando uma grande quantidade de bloquei
de tráfego UDP, alguém pode me ajudar a desvendar isso? Segue:
block in on re1: 192.168.0.22.59087 74.102.93.218.33709: UDP, length
18
10:51:13.322468 rule 2..16777216/0(match):block in on re1:
192.168.0.22.59087 183.81.63.14.51113: UDP, length 18
10:51:13.322544 rule 2..16777216/0(match): block in on re1:
192.168.0.22.59087 76.70.77.89.22428: UDP, length 18
10:51:13.322607 rule 2..16777216/0(match): block in on re1:
192.168.0.22.59087 182.164.149.225.18070: UDP, length 18
10:51:14.055326 rule 2..16777216/0(match): block in on re2:
189.58.79.200.36646 10.1.1.254.59087: UDP, length 28
10:51:14.108374 rule 2..16777216/0(match): block in on re0:
172.16.1.11.51507 8.8.4.4.53: 47222+ A? m.hotmail.com. (31)
--
E-mail: jamaica...@gmail.com
Aux Suporte de Sistemas (UNISUL)
E-mail: joao.may...@unisul.br
MSN: joaomayk...@hotmail.com
Cel: (48) 9144 2326
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
E-mail: jamaica...@gmail.com
Aux Suporte de Sistemas (UNISUL)
E-mail: joao.may...@unisul.br
MSN: joaomayk...@hotmail.com
Cel: (48) 9144 2326
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF bloquei de tráfego UDP dúvida
A regra abaixo que está na macro o nr de algumas portas UDP mesmo liberadas
ainda estão sendo bloqueadas:
pass in quick on $IF_LAN proto udp from $REDE_LAN to any port
$LAN_PORTS_UDP keep state
mas essa outra regra que fica logo abaixo consegue liberar qualquer tráfego
udp
pass in quick on $IF_LAN proto udp from any to any keep state
Em 11 de dezembro de 2014 11:27, joao jamaicabsd jamaica...@gmail.com
escreveu:
E aí Fabrício, bom dia.
Aquela regra alí bloqueando o DNS está correta mesmo, essa rede é negada
pra tudo mesmo.
Segue as primeiras regras de filtragem:
# REGRAS DE FILTRAGEM
block out quick proto { tcp,udp } from 127.0.0.1 to 127.0.0.1 port 3128
block log all
#pass all
pass out keep state
anchor ftp-proxy/*
2014-12-11 11:12 GMT-02:00 Fabricio Lima lis...@fabriciolima.com.br:
da um print na sua regra 1 e 2 do fw...
bloqueou ate dns.
repara q ta bloqueando nas 3 interfaces...
deve ter algo tipo 'deny udp from any to any'
[ ]'s
Fabricio Lima
When your hammer is C++, everything begins to look like a thumb.
Em 11 de dezembro de 2014 10:56, joao jamaicabsd jamaica...@gmail.com
escreveu:
Bom dia pessoal.
Estou rodando um tcpdump e estou notando uma grande quantidade de
bloquei
de tráfego UDP, alguém pode me ajudar a desvendar isso? Segue:
block in on re1: 192.168.0.22.59087 74.102.93.218.33709: UDP, length
18
10:51:13.322468 rule 2..16777216/0(match):block in on re1:
192.168.0.22.59087 183.81.63.14.51113: UDP, length 18
10:51:13.322544 rule 2..16777216/0(match): block in on re1:
192.168.0.22.59087 76.70.77.89.22428: UDP, length 18
10:51:13.322607 rule 2..16777216/0(match): block in on re1:
192.168.0.22.59087 182.164.149.225.18070: UDP, length 18
10:51:14.055326 rule 2..16777216/0(match): block in on re2:
189.58.79.200.36646 10.1.1.254.59087: UDP, length 28
10:51:14.108374 rule 2..16777216/0(match): block in on re0:
172.16.1.11.51507 8.8.4.4.53: 47222+ A? m.hotmail.com. (31)
--
E-mail: jamaica...@gmail.com
Aux Suporte de Sistemas (UNISUL)
E-mail: joao.may...@unisul.br
MSN: joaomayk...@hotmail.com
Cel: (48) 9144 2326
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
E-mail: jamaica...@gmail.com
Aux Suporte de Sistemas (UNISUL)
E-mail: joao.may...@unisul.br
MSN: joaomayk...@hotmail.com
Cel: (48) 9144 2326
--
E-mail: jamaica...@gmail.com
Aux Suporte de Sistemas (UNISUL)
E-mail: joao.may...@unisul.br
MSN: joaomayk...@hotmail.com
Cel: (48) 9144 2326
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF bloquei de tráfego UDP dúvida
Em 11 de dezembro de 2014 10:56, joao jamaicabsd jamaica...@gmail.com escreveu: Bom dia pessoal. Estou rodando um tcpdump e estou notando uma grande quantidade de bloquei de tráfego UDP, alguém pode me ajudar a desvendar isso? Segue: block in on re1: 192.168.0.22.59087 74.102.93.218.33709: UDP, length 18 10:51:13.322468 rule 2..16777216/0(match):block in on re1: 192.168.0.22.59087 183.81.63.14.51113: UDP, length 18 10:51:13.322544 rule 2..16777216/0(match): block in on re1: 192.168.0.22.59087 76.70.77.89.22428: UDP, length 18 10:51:13.322607 rule 2..16777216/0(match): block in on re1: 192.168.0.22.59087 182.164.149.225.18070: UDP, length 18 10:51:14.055326 rule 2..16777216/0(match): block in on re2: 189.58.79.200.36646 10.1.1.254.59087: UDP, length 28 10:51:14.108374 rule 2..16777216/0(match): block in on re0: 172.16.1.11.51507 8.8.4.4.53: 47222+ A? m.hotmail.com. (31) -- E-mail: jamaica...@gmail.com Aux Suporte de Sistemas (UNISUL) E-mail: joao.may...@unisul.br MSN: joaomayk...@hotmail.com Cel: (48) 9144 2326 - João, deve ter uma regra block in log para todos udp Roda ai e ve que regra é essa: $ pfctl -vvs rules | grep @2 eu deixo passar apenas dns o resto netbios etc bloqueio tudo, porem sem log -- Fernando Gilli - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF bloquei de tráfego UDP dúvida
Essa é a saída do comando que vc passou, e falando nisso, pode explicar mais sobre o comando citado? Obrigado. @2 block return log all @20 pass in log quick on re2 inet proto tcp from any to any port = rdp flags S/SA keep state queue pri5up @21 pass in log quick on re2 inet proto tcp from any to any port = 8080 flags S/SA keep state queue pri5up @22 pass in quick on re2 inet proto tcp from any to (re2:1) port = smtp flags S/SA keep state queue pri5up @23 pass in quick on re2 inet proto tcp from any to (re2:1) port = pop3 flags S/SA keep state queue pri5up @24 pass in quick on re2 inet proto tcp from any to (re2:1) port = smtps flags S/SA keep state queue pri5up @25 pass in quick on re2 inet proto tcp from any to (re2:1) port = pop3s flags S/SA keep state queue pri5up @26 pass in quick on re2 inet proto tcp from any to (re2:1) port = rdp flags S/SA keep state queue pri5up @27 pass in quick on re2 inet proto tcp from any to (re2:1) port = 8080 flags S/SA keep state queue pri5up @28 pass in quick on re2 inet proto udp from any to any port = domain keep state queue pri5up @29 pass in quick on re2 inet proto udp from any to any port = 3389 keep state queue pri5up Em 11 de dezembro de 2014 12:07, Fernando Gilli ferna...@wekers.org escreveu: Em 11 de dezembro de 2014 10:56, joao jamaicabsd jamaica...@gmail.com escreveu: Bom dia pessoal. Estou rodando um tcpdump e estou notando uma grande quantidade de bloquei de tráfego UDP, alguém pode me ajudar a desvendar isso? Segue: block in on re1: 192.168.0.22.59087 74.102.93.218.33709: UDP, length 18 10:51:13.322468 rule 2..16777216/0(match):block in on re1: 192.168.0.22.59087 183.81.63.14.51113: UDP, length 18 10:51:13.322544 rule 2..16777216/0(match): block in on re1: 192.168.0.22.59087 76.70.77.89.22428: UDP, length 18 10:51:13.322607 rule 2..16777216/0(match): block in on re1: 192.168.0.22.59087 182.164.149.225.18070: UDP, length 18 10:51:14.055326 rule 2..16777216/0(match): block in on re2: 189.58.79.200.36646 10.1.1.254.59087: UDP, length 28 10:51:14.108374 rule 2..16777216/0(match): block in on re0: 172.16.1.11.51507 8.8.4.4.53: 47222+ A? m.hotmail.com. (31) -- E-mail: jamaica...@gmail.com Aux Suporte de Sistemas (UNISUL) E-mail: joao.may...@unisul.br MSN: joaomayk...@hotmail.com Cel: (48) 9144 2326 - João, deve ter uma regra block in log para todos udp Roda ai e ve que regra é essa: $ pfctl -vvs rules | grep @2 eu deixo passar apenas dns o resto netbios etc bloqueio tudo, porem sem log -- Fernando Gilli - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- E-mail: jamaica...@gmail.com Aux Suporte de Sistemas (UNISUL) E-mail: joao.may...@unisul.br MSN: joaomayk...@hotmail.com Cel: (48) 9144 2326 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] pf + dummynet
Olá pessoal. Pesquisei na net sobre o patch que o pfsense usa para habilitar o dummynet no pf e não ficou muito claro. Alguém usa ou sabe como isso funciona ? Estou precisando implementar. Obrigado. Jorge Petry. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF balanceamento entre portas de entrada
olá pessoal...
tenho o squid rodando em duas instancias num ambiente de testes, sendo que
cada instancia está corretamente ouvindo numa porta, 3128, e 3129
agora para facilitar as coisas, gostaria de por uma regra no pf que faça
com que tudo que chegar destinado a porta 3128 fosse balanceado entre as
duas instancias (portas 3128 e 3129)
algo assim não deu certo (sintax error)
rdr on $nic_interna from 192.168.0.0/24 to port 3128 - 127.0.0.1 port
{3128,3129}
alguém sabe algo?
abraços
--
*EnioRM *
*Backup na nuvem **com o Dropbox **http://db.tt/VfwUj00m
http://db.tt/VfwUj00m*
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF balanceamento entre portas de entrada
Tenta usar uma porta diferente da 3128 para redirecionar para ambas as
portas!!!
Enviado do meu Xperia™ smartphone
EnioRM eni...@gmail.com escreveu:
olá pessoal...
tenho o squid rodando em duas instancias num ambiente de testes, sendo que
cada instancia está corretamente ouvindo numa porta, 3128, e 3129
agora para facilitar as coisas, gostaria de por uma regra no pf que faça
com que tudo que chegar destinado a porta 3128 fosse balanceado entre as
duas instancias (portas 3128 e 3129)
algo assim não deu certo (sintax error)
rdr on $nic_interna from 192.168.0.0/24 to port 3128 - 127.0.0.1 port
{3128,3129}
alguém sabe algo?
abraços
--
*EnioRM *
*Backup na nuvem **com o Dropbox **http://db.tt/VfwUj00m
http://db.tt/VfwUj00m*
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF balanceamento entre portas de entrada
2013/11/28 Paulo Henrique - BSD paulo.rd...@bsd.com.br
Tenta usar uma porta diferente da 3128 para redirecionar para ambas as
portas!!!
Enviado do meu Xperia™ smartphone
EnioRM eni...@gmail.com escreveu:
olá pessoal...
tenho o squid rodando em duas instancias num ambiente de testes, sendo que
cada instancia está corretamente ouvindo numa porta, 3128, e 3129
agora para facilitar as coisas, gostaria de por uma regra no pf que faça
com que tudo que chegar destinado a porta 3128 fosse balanceado entre as
duas instancias (portas 3128 e 3129)
algo assim não deu certo (sintax error)
rdr on $nic_interna from 192.168.0.0/24 to port 3128 - 127.0.0.1 port
{3128,3129}
alguém sabe algo?
abraços
--
*EnioRM *
*Backup na nuvem **com o Dropbox **http://db.tt/VfwUj00m
http://db.tt/VfwUj00m*
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Boa tarde Paulo obrigado pela resposta.
O problema é ter as duas instancias rodando em portas iguais, não da certo,
exceto se eu atrelasse cada uma delas com portas iguais porem a endereços
ips diferentes, .. os browsers só buscam a porta 3128, e no servidor eu
quero balancear isso mais ou menos assim
/ squid 1 - 3128
rede - 3128|
\ squid 2 - 3129
ambas instancias estão amarradas ao loopback porem portas diferentes senão
da bo rs
abraços
--
*EnioRM *
*Backup na nuvem **com o Dropbox **http://db.tt/VfwUj00m
http://db.tt/VfwUj00m*
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF balanceamento entre portas de entrada
Em 28/11/13 15:26, EnioRM escreveu:
2013/11/28 Paulo Henrique - BSD paulo.rd...@bsd.com.br
Tenta usar uma porta diferente da 3128 para redirecionar para ambas as
portas!!!
Enviado do meu Xperia™ smartphone
EnioRM eni...@gmail.com escreveu:
olá pessoal...
tenho o squid rodando em duas instancias num ambiente de testes, sendo que
cada instancia está corretamente ouvindo numa porta, 3128, e 3129
agora para facilitar as coisas, gostaria de por uma regra no pf que faça
com que tudo que chegar destinado a porta 3128 fosse balanceado entre as
duas instancias (portas 3128 e 3129)
algo assim não deu certo (sintax error)
rdr on $nic_interna from 192.168.0.0/24 to port 3128 - 127.0.0.1 port
{3128,3129}
alguém sabe algo?
abraços
--
*EnioRM *
*Backup na nuvem **com o Dropbox **http://db.tt/VfwUj00m
http://db.tt/VfwUj00m*
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Boa tarde Paulo obrigado pela resposta.
O problema é ter as duas instancias rodando em portas iguais, não da certo,
exceto se eu atrelasse cada uma delas com portas iguais porem a endereços
ips diferentes, .. os browsers só buscam a porta 3128, e no servidor eu
quero balancear isso mais ou menos assim
/ squid 1 - 3128
rede - 3128|
\ squid 2 - 3129
ambas instancias estão amarradas ao loopback porem portas diferentes senão
da bo rs
abraços
Com PF não sei não mas no ipfw você pode ter algo assim:
ipfw add prob 0.5 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any 80
in em1 keep-state
ipfw add prob 0.5 fwd 192.168.0.1,3129 tcp from 192.168.0.0/24 to any 80
in em1 keep-state
Seria isso? :)
[]'s
Gondim
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF balanceamento entre portas de entrada
Em 28/11/13 15:53, Marcelo Gondim escreveu:
Em 28/11/13 15:26, EnioRM escreveu:
2013/11/28 Paulo Henrique - BSD paulo.rd...@bsd.com.br
Tenta usar uma porta diferente da 3128 para redirecionar para ambas as
portas!!!
Enviado do meu Xperia™ smartphone
EnioRM eni...@gmail.com escreveu:
olá pessoal...
tenho o squid rodando em duas instancias num ambiente de testes, sendo que
cada instancia está corretamente ouvindo numa porta, 3128, e 3129
agora para facilitar as coisas, gostaria de por uma regra no pf que faça
com que tudo que chegar destinado a porta 3128 fosse balanceado entre as
duas instancias (portas 3128 e 3129)
algo assim não deu certo (sintax error)
rdr on $nic_interna from 192.168.0.0/24 to port 3128 - 127.0.0.1 port
{3128,3129}
alguém sabe algo?
abraços
--
*EnioRM *
*Backup na nuvem **com o Dropbox **http://db.tt/VfwUj00m
http://db.tt/VfwUj00m*
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Boa tarde Paulo obrigado pela resposta.
O problema é ter as duas instancias rodando em portas iguais, não da certo,
exceto se eu atrelasse cada uma delas com portas iguais porem a endereços
ips diferentes, .. os browsers só buscam a porta 3128, e no servidor eu
quero balancear isso mais ou menos assim
/ squid 1 - 3128
rede - 3128|
\ squid 2 - 3129
ambas instancias estão amarradas ao loopback porem portas diferentes senão
da bo rs
abraços
Com PF não sei não mas no ipfw você pode ter algo assim:
ipfw add prob 0.5 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any 80
in em1 keep-state
ipfw add prob 0.5 fwd 192.168.0.1,3129 tcp from 192.168.0.0/24 to any 80
in em1 keep-state
Ops creio que seria assim:
ipfw add fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any 80
in em1 keep-state
ipfw add prob 0.5 fwd 192.168.0.1,3129 tcp from 192.168.0.0/24 to any 80
in em1 keep-state
A segunda regra com prob.
Seria isso? :)
[]'s
Gondim
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF balanceamento entre portas de entrada
2013/11/28 Marcelo Gondim gon...@bsdinfo.com.br
Em 28/11/13 15:53, Marcelo Gondim escreveu:
Em 28/11/13 15:26, EnioRM escreveu:
2013/11/28 Paulo Henrique - BSD paulo.rd...@bsd.com.br
Tenta usar uma porta diferente da 3128 para redirecionar para ambas as
portas!!!
Enviado do meu Xperia™ smartphone
EnioRM eni...@gmail.com escreveu:
olá pessoal...
tenho o squid rodando em duas instancias num ambiente de testes,
sendo que
cada instancia está corretamente ouvindo numa porta, 3128, e 3129
agora para facilitar as coisas, gostaria de por uma regra no pf que
faça
com que tudo que chegar destinado a porta 3128 fosse balanceado entre
as
duas instancias (portas 3128 e 3129)
algo assim não deu certo (sintax error)
rdr on $nic_interna from 192.168.0.0/24 to port 3128 - 127.0.0.1
port
{3128,3129}
alguém sabe algo?
abraços
--
*EnioRM *
*Backup na nuvem **com o Dropbox **http://db.tt/VfwUj00m
http://db.tt/VfwUj00m*
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Boa tarde Paulo obrigado pela resposta.
O problema é ter as duas instancias rodando em portas iguais, não da
certo,
exceto se eu atrelasse cada uma delas com portas iguais porem a
endereços
ips diferentes, .. os browsers só buscam a porta 3128, e no
servidor eu
quero balancear isso mais ou menos assim
/ squid 1 - 3128
rede - 3128|
\ squid 2 - 3129
ambas instancias estão amarradas ao loopback porem portas diferentes
senão
da bo rs
abraços
Com PF não sei não mas no ipfw você pode ter algo assim:
ipfw add prob 0.5 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any 80
in em1 keep-state
ipfw add prob 0.5 fwd 192.168.0.1,3129 tcp from 192.168.0.0/24 to any 80
in em1 keep-state
Ops creio que seria assim:
ipfw add fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any 80
in em1 keep-state
ipfw add prob 0.5 fwd 192.168.0.1,3129 tcp from 192.168.0.0/24 to any 80
in em1 keep-state
A segunda regra com prob.
Seria isso? :)
[]'s
Gondim
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Opa! Boa tarde Marcelo.
A idéia é isso mesmo!
Eu não uso IPFW infelizmente, mas como FreeBSD me dá a possibilidade de
tê-lo rodando junto com PF, resolvi testar aqui e a regras estão corretas
exceto pelo fato que tive que acrescentar o prob 0.5 nas duas linhas do
ipfw para dar certo
eu testei abrir por exemplo facebook.com ou o meu email que ambos usam
https, notei que as conexões são balanceadas mas mesmo assim continua
abrindo corretamente.
abraço e obrigado
--
*EnioRM *
*Backup na nuvem **com o Dropbox **http://db.tt/VfwUj00m
http://db.tt/VfwUj00m*
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF - nat
Estou usando PF como nat na minha rede e notei que não passa de 10.000 conexões no nat. # pfctl -ss |grep -ic all 9614 Será que existe algum limite de conexão no nat ? É o segundo servidor que já noto isso. 8.2-STABLE - amd64 []´s Glauco - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - nat
Oi Glauco,
Talvez o número máximo de conexões nat venha de um dos valores
listados abaixo ...
# pfctl -sm
stateshard limit1
src-nodes hard limit1
frags hard limit 5000
tableshard limit 1000
table-entries hard limit 20
veja que o default é 1 para states e para src-nodes. Tenta
aumentar um deles (ou os dois) que deve funcionar,
coloca no pf.conf e faz um reload:
set limit { states 15000, src-nodes 15000 }
abraços.
2012/1/18 Glauco D. G. Sombrio freebs...@matrix.com.br:
Estou usando PF como nat na minha rede e notei que não passa de 10.000
conexões no nat.
# pfctl -ss |grep -ic all
9614
Será que existe algum limite de conexão no nat ?
É o segundo servidor que já noto isso.
8.2-STABLE - amd64
[]´s
Glauco
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] pf e ipfw juntos.
Cabral Bandeira escreveu:
Olá, eu estou usando o pf como firewall padrão e o ipfw para controle de
banda ACK, acontece que não navega com os 2 ativados, somente o ping
funciona. Se eu faço pfctl -F all o internet funciona normal. Como resolver?
Meu uso é como desktop, com o MacBook e OS X Lion. Não tem Suporte a ALTQ.
No ipfw uso o http://intrarts.com/throttled.html
Aprendi pf em uma hora :) Acho que aprendi creio eu.
Mas gostaria de saber se preciso melhorar algo. Se abaixo.
set block-policy drop
set optimization normal
set ruleset-optimization basic
set timeout interval 10
set timeout frag 30
set skip on lo0
set debug none
set limit frags 4096
set state-policy floating
set require-order yes
if = en1
scrub in all
# Quebra pacotes mal formados
scrub all reassemble tcp
scrub out all no-df max-mss 1492 random-id
antispoof for $if inet
#icmp_types=echoreq
block in
pass out
# loopback is good
pass in quick on lo0 all
pass out quick on lo0 all
antispoof quick for $if inet
# allow icmp
#pass in inet proto icmp all icmp-type $icmp_types
block in on $if inet proto icmp from ! 192.168.1.5 to any icmp-type 8 code 0
# allow dns queries
pass out on $if proto udp from any to any port 53
# pass http traffic
pass out on $if proto tcp from $if to any port 80 flags S/SA
# pass ftp traffic
pass out on $if proto tcp from $if to any port { 21 , 20 } flags S/SA
pass in quick inet proto { tcp, udp } from any to any port = 16000
pass out quick inet proto { tcp, udp } from any to any port = 16000
pass in quick inet proto { tcp, udp } from any to any port = 16003
pass out quick inet proto { tcp, udp } from any to any port = 16003
pass in quick inet proto { tcp, udp } from any to any port = 51413
pass out quick inet proto { tcp, udp } from any to any port = 51413
pass in quick inet proto { tcp, udp } from any to any port = 38772
pass out quick inet proto { tcp, udp } from any to any port = 38772
pass in quick inet proto udp from any to any port = 123
pass out quick inet proto udp from any to any port = 123
pass in quick inet proto udp from any to any port = 192
pass out quick inet proto udp from any to any port = 192
pass in quick inet proto tcp from any to any port = 443
pass out quick inet proto tcp from any to any port = 443
pass in quick inet proto tcp from any to any port = 548
pass out quick inet proto tcp from any to any port = 548
pass in quick inet proto udp from any to any port = 5353
pass out quick inet proto udp from any to any port = 5353
# Ativa a proteção contra falsificações para todas as interfaces
block in quick from urpf-failed
# block scans com nmap
block in quick proto tcp flags FUP/WEUAPRSF
block in quick proto tcp flags WEUAPRSF/WEUAPRSF
block in quick proto tcp flags SRAFU/WEUAPRSF
block in quick proto tcp flags /WEUAPRSF
block in quick proto tcp flags SR/SR
block in quick proto tcp flags SF/SF
block drop in quick on $if from any os { NMAP }
pass on lo0 all
-
Cabral Bandeira
Cabra,
Tive problema parecido com o pfSense.
Descobri (no chute mesmo), que você precisa DERRUBAR o pf (pfctl -d),
ativar o ipfw e carregar as regras, e por fim carregar o pf (pfctl -e)
Veja:
#!/bin/sh
# copie no /usr/local/etc/rc.d/ e permita execução (chmod +x focus.sh)
# OBSERVE QUE NÃO É /etc/rc.d/
# lembre de alterar SIS0 para sua placa de rede local (LAN - veja no
ifconfig)
echo Desativando PF...
pfctl -d
echo Carregando firewall
kldload ipfw
kldload dummynet
echo Limpando regras...
ipfw -f flush
ipfw -f pipe flush
ipfw -f queue flush
ipfw -f table 1 flush
echo Cadastrando IPs na TABLE 1 - limite 300kbps
ipfw -q table 1 add 192.168.0.249# servidor
hr (replicacao)
# se usuario for da TABLE 1, saltar para regra 600 (limite 300kbps)
ipfw add skipto 600 all from any to table(1)
echo Aplicanco controle de banda para os demais (500kbps) na interface
sis0...
ipfw 500 add pipe 11 ip from not me to 192.168.0.0/24 not src-port
5432,445,139,2,3389 out via sis0
ipfw pipe 11 config bw 500Kbit/s mask dst-ip 0x
echo Aplicando controle de banda exclusivo para TABLE 1 (300kbps) na
interface sis0...
ipfw 600 add pipe 12 ip from not me to 192.168.0.0/24 not src-port
5432,445,139,2,3389 out via sis0
ipfw pipe 12 config bw 300Kbit/s mask dst-ip 0x
echo Reativando PF...
pfctl -e
--
Welkson Renny de Medeiros
Desenvolvimento / Gerência de Redes
Focus Automação Comercial
FreeBSD Community Member
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] pf e ipfw juntos.
Olá, eu estou usando o pf como firewall padrão e o ipfw para controle de banda
ACK, acontece que não navega com os 2 ativados, somente o ping funciona. Se eu
faço pfctl -F all o internet funciona normal. Como resolver?
Meu uso é como desktop, com o MacBook e OS X Lion. Não tem Suporte a ALTQ.
No ipfw uso o http://intrarts.com/throttled.html
Aprendi pf em uma hora :) Acho que aprendi creio eu.
Mas gostaria de saber se preciso melhorar algo. Se abaixo.
set block-policy drop
set optimization normal
set ruleset-optimization basic
set timeout interval 10
set timeout frag 30
set skip on lo0
set debug none
set limit frags 4096
set state-policy floating
set require-order yes
if = en1
scrub in all
# Quebra pacotes mal formados
scrub all reassemble tcp
scrub out all no-df max-mss 1492 random-id
antispoof for $if inet
#icmp_types=echoreq
block in
pass out
# loopback is good
pass in quick on lo0 all
pass out quick on lo0 all
antispoof quick for $if inet
# allow icmp
#pass in inet proto icmp all icmp-type $icmp_types
block in on $if inet proto icmp from ! 192.168.1.5 to any icmp-type 8 code 0
# allow dns queries
pass out on $if proto udp from any to any port 53
# pass http traffic
pass out on $if proto tcp from $if to any port 80 flags S/SA
# pass ftp traffic
pass out on $if proto tcp from $if to any port { 21 , 20 } flags S/SA
pass in quick inet proto { tcp, udp } from any to any port = 16000
pass out quick inet proto { tcp, udp } from any to any port = 16000
pass in quick inet proto { tcp, udp } from any to any port = 16003
pass out quick inet proto { tcp, udp } from any to any port = 16003
pass in quick inet proto { tcp, udp } from any to any port = 51413
pass out quick inet proto { tcp, udp } from any to any port = 51413
pass in quick inet proto { tcp, udp } from any to any port = 38772
pass out quick inet proto { tcp, udp } from any to any port = 38772
pass in quick inet proto udp from any to any port = 123
pass out quick inet proto udp from any to any port = 123
pass in quick inet proto udp from any to any port = 192
pass out quick inet proto udp from any to any port = 192
pass in quick inet proto tcp from any to any port = 443
pass out quick inet proto tcp from any to any port = 443
pass in quick inet proto tcp from any to any port = 548
pass out quick inet proto tcp from any to any port = 548
pass in quick inet proto udp from any to any port = 5353
pass out quick inet proto udp from any to any port = 5353
# Ativa a proteção contra falsificações para todas as interfaces
block in quick from urpf-failed
# block scans com nmap
block in quick proto tcp flags FUP/WEUAPRSF
block in quick proto tcp flags WEUAPRSF/WEUAPRSF
block in quick proto tcp flags SRAFU/WEUAPRSF
block in quick proto tcp flags /WEUAPRSF
block in quick proto tcp flags SR/SR
block in quick proto tcp flags SF/SF
block drop in quick on $if from any os { NMAP }
pass on lo0 all
-
Cabral Bandeira
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] pf e ipfw juntos.
quais as regras do ipfw?
set optimization normal
set ruleset-optimization basic
set timeout interval 10
set timeout frag 30
set skip on lo0
set debug none
set limit frags 4096
set state-policy floating
set require-order yes
if = en1
scrub in all
# Quebra pacotes mal formados
scrub all reassemble tcp
scrub out all no-df max-mss 1492 random-id
antispoof for $if inet
#icmp_types=echoreq
block in
pass out
# loopback is good
pass in quick on lo0 all
pass out quick on lo0 all
antispoof quick for $if inet
# allow icmp
#pass in inet proto icmp all icmp-type $icmp_types
block in on $if inet proto icmp from ! 192.168.1.5 to any icmp-type 8 code 0
# allow dns queries
pass out on $if proto udp from any to any port 53
# pass http traffic
pass out on $if proto tcp from $if to any port 80 flags S/SA
# pass ftp traffic
pass out on $if proto tcp from $if to any port { 21 , 20 } flags S/SA
pass in quick inet proto { tcp, udp } from any to any port = 16000
pass out quick inet proto { tcp, udp } from any to any port = 16000
pass in quick inet proto { tcp, udp } from any to any port = 16003
pass out quick inet proto { tcp, udp } from any to any port = 16003
pass in quick inet proto { tcp, udp } from any to any port = 51413
pass out quick inet proto { tcp, udp } from any to any port = 51413
pass in quick inet proto { tcp, udp } from any to any port = 38772
pass out quick inet proto { tcp, udp } from any to any port = 38772
pass in quick inet proto udp from any to any port = 123
pass out quick inet proto udp from any to any port = 123
pass in quick inet proto udp from any to any port = 192
pass out quick inet proto udp from any to any port = 192
pass in quick inet proto tcp from any to any port = 443
pass out quick inet proto tcp from any to any port = 443
pass in quick inet proto tcp from any to any port = 548
pass out quick inet proto tcp from any to any port = 548
pass in quick inet proto udp from any to any port = 5353
pass out quick inet proto udp from any to any port = 5353
# Ativa a proteção contra falsificações para todas as interfaces
block in quick from urpf-failed
# block scans com nmap
block in quick proto tcp flags FUP/WEUAPRSF
block in quick proto tcp flags WEUAPRSF/WEUAPRSF
block in quick proto tcp flags SRAFU/WEUAPRSF
block in quick proto tcp flags /WEUAPRSF
block in quick proto tcp flags SR/SR
block in quick proto tcp flags SF/SF
block drop in quick on $if from any os { NMAP }
pass on lo0 all
-
Cabral Bandeira
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] pf e ipfw juntos.
São equivalentes: set skip on lo0 # loopback is good pass in quick on lo0 all pass out quick on lo0 all - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] pf e ipfw juntos.
Li na lista o Patrick comentando sobre o pf.
http://www.fug.com.br/historico/html/freebsd/2006-04/msg00588.html Nao pude
filtrar lsrr, rr,
etc de IP.
Seria bom usar essas 3 regras no ipfw?
ipfw add deny log tcp from any to any ipoptions ssrr,lsrr,rr
ipfw add deny log tcp from any to any tcpflags syn,fin
ipfw add deny log tcp from any to any tcpflags syn,rst
Regras que uso abaixo.
/sbin/ipfw zero
/sbin/ipfw -f flush
INTERFACE=en1
MAXSPEED=51200
RULENUM=00100
/usr/local/sbin/throttled -s $MAXSPEED -r $RULENUM -d 17779 -w 100 -d 17778 -w
25 -d 1 -w 1 -T || exit
IP=any
# skip your internal network, these rules are for 192.168.x.x
/sbin/ipfw add $RULENUM skipto `expr $RULENUM + 1` ip from $IP to
192.168.0.0/16 out xmit $INTERFACE
#prioritize empty acks and setup
/sbin/ipfw add $RULENUM divert 17779 tcp from $IP to any out xmit $INTERFACE
tcpflags ack iplen 0-70
/sbin/ipfw add $RULENUM divert 17779 tcp from $IP to any setup out xmit
$INTERFACE
#prioritize icmp
/sbin/ipfw add $RULENUM divert 17779 icmp from any to any out xmit $INTERFACE
# these rules allow http/https/ssh/telnet/pop/irc/sirc
# to be prioritized by the throttle.
#
# Setting up the configuration this way catches more file transfer types
# and minimizes lag in response driven services.
#prioritize nameserver lookups
/sbin/ipfw add $RULENUM divert 17779 tcp from $IP to any 53 out xmit $INTERFACE
/sbin/ipfw add $RULENUM divert 17779 udp from $IP to any 53 out xmit $INTERFACE
#prioritize iTunes
/sbin/ipfw add $RULENUM divert 17778 tcp from $IP 3689 to any out xmit
$INTERFACE
# prioritize Skype
/sbin/ipfw add $RULENUM divert 17778 udp from $IP 16000 to any out xmit
$INTERFACE
#prioritize imap
/sbin/ipfw add $RULENUM divert 17778 tcp from $IP to any 587 out xmit $INTERFACE
/sbin/ipfw add $RULENUM divert 17778 tcp from $IP to any 993 out xmit $INTERFACE
#prioritize Apple
/sbin/ipfw add $RULENUM divert 17778 udp from $IP to any 192 out xmit $INTERFACE
/sbin/ipfw add $RULENUM divert 17778 udp from $IP to any 5353 out xmit
$INTERFACE
/sbin/ipfw add $RULENUM divert 17778 tcp from $IP to any 548 out xmit $INTERFACE
#prioritize http/https
/sbin/ipfw add $RULENUM divert 17778 tcp from $IP to any 80 out xmit $INTERFACE
/sbin/ipfw add $RULENUM divert 17778 tcp from $IP to any 443 out xmit $INTERFACE
#prioritize msn
/sbin/ipfw add $RULENUM divert 17778 tcp from $IP to any 1863 out xmit
$INTERFACE
#prioritize irc
/sbin/ipfw add $RULENUM divert 17778 tcp from $IP to any 6667 out xmit
$INTERFACE
/sbin/ipfw add $RULENUM divert 17778 tcp from $IP to any 6668 out xmit
$INTERFACE
#prioritize torrent
/sbin/ipfw add $RULENUM divert 1 tcp from $IP to any 51413 out xmit
$INTERFACE
/sbin/ipfw add $RULENUM divert 1 udp from $IP to any 51413 out xmit
$INTERFACE
#bind to throttle low priority services.
/sbin/ipfw add $RULENUM divert 1 ip from $IP to any out xmit $INTERFACE
-
Cabral Bandeira
Em 17/07/2011, às 18:41, Rodrigo Mosconi escreveu:
quais as regras do ipfw?
set optimization normal
set ruleset-optimization basic
set timeout interval 10
set timeout frag 30
set skip on lo0
set debug none
set limit frags 4096
set state-policy floating
set require-order yes
if = en1
scrub in all
# Quebra pacotes mal formados
scrub all reassemble tcp
scrub out all no-df max-mss 1492 random-id
antispoof for $if inet
#icmp_types=echoreq
block in
pass out
# loopback is good
pass in quick on lo0 all
pass out quick on lo0 all
antispoof quick for $if inet
# allow icmp
#pass in inet proto icmp all icmp-type $icmp_types
block in on $if inet proto icmp from ! 192.168.1.5 to any icmp-type 8 code 0
# allow dns queries
pass out on $if proto udp from any to any port 53
# pass http traffic
pass out on $if proto tcp from $if to any port 80 flags S/SA
# pass ftp traffic
pass out on $if proto tcp from $if to any port { 21 , 20 } flags S/SA
pass in quick inet proto { tcp, udp } from any to any port = 16000
pass out quick inet proto { tcp, udp } from any to any port = 16000
pass in quick inet proto { tcp, udp } from any to any port = 16003
pass out quick inet proto { tcp, udp } from any to any port = 16003
pass in quick inet proto { tcp, udp } from any to any port = 51413
pass out quick inet proto { tcp, udp } from any to any port = 51413
pass in quick inet proto { tcp, udp } from any to any port = 38772
pass out quick inet proto { tcp, udp } from any to any port = 38772
pass in quick inet proto udp from any to any port = 123
pass out quick inet proto udp from any to any port = 123
pass in quick inet proto udp from any to any port = 192
pass out quick inet proto udp from any to any port = 192
pass in quick inet proto tcp from any to any port = 443
pass out quick inet proto tcp from any to any port = 443
pass in quick inet proto tcp from any to any port = 548
pass out quick inet proto tcp from any to any port = 548
pass in quick inet proto udp from
[FUG-BR] PF vx FTPS
Caros, permito no pf que alguns ips façam ftp e agora surgiu a necessidade de permitir que façam ftps para um determinado ip na porta 990. Criei uma regra que permite acessar esse ip com ftps mas apos conectar nao lista as pastas de jeito nenhum. Ja alterei as confs de nat-anchor e rdr-anchor e nada. Alguem ja fez isso funcionar? Parece que tem algo a ver com passive mode... Valeu!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF vx FTPS
Boa tarde Christiano, você está utilizando o ftp-proxy? 2011/6/29 Christiano Liberato christianoliber...@gmail.com: Caros, permito no pf que alguns ips façam ftp e agora surgiu a necessidade de permitir que façam ftps para um determinado ip na porta 990. Criei uma regra que permite acessar esse ip com ftps mas apos conectar nao lista as pastas de jeito nenhum. Ja alterei as confs de nat-anchor e rdr-anchor e nada. Alguem ja fez isso funcionar? Parece que tem algo a ver com passive mode... Valeu!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Rafael Henrique da Silva Faria - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF vx FTPS
boa tarde, Concordo que seja o modo passivo, no proftpd existe uma linha: #PassivePorts 49152 65534 Não sei se é o teu caso, mas já tentaste descomentar e usar o ftp-proxy ? aproveite e veja se bate a porta com netstat. -- abraço. Em 29 de junho de 2011 17:24, Rafael Henrique Faria rafaelhfa...@cenadigital.com.br escreveu: Boa tarde Christiano, você está utilizando o ftp-proxy? 2011/6/29 Christiano Liberato christianoliber...@gmail.com: Caros, permito no pf que alguns ips façam ftp e agora surgiu a necessidade de permitir que façam ftps para um determinado ip na porta 990. Criei uma regra que permite acessar esse ip com ftps mas apos conectar nao lista as pastas de jeito nenhum. Ja alterei as confs de nat-anchor e rdr-anchor e nada. Alguem ja fez isso funcionar? Parece que tem algo a ver com passive mode... Valeu!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Rafael Henrique da Silva Faria - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- João Luis Mancy dos Santos joaocep at gmail.com(msn too) http://joaocep.blogspot.com uin 82889044 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF vx FTPS
ummm posso estar enganado mas me diga uma coisa: usando a porta 21 funciona? Se funcionar pode ser algo parecido quando você muda a porta padrão de ftp no linux usando conntrack. O conntrack, pelo menos no linux, é programado pra trabalhar com a porta 21 do ftp e quando mudava a porta, o mesmo não funcionava mais e não listava as pastas. Não sei se isso mudou ou se está relacionado ao seu problema mas é uma de se pensar. A primeira coisa é testar com a porta padrão e ver se funciona. ;) Em 29/06/2011 17:28, João Mancy escreveu: boa tarde, Concordo que seja o modo passivo, no proftpd existe uma linha: #PassivePorts 49152 65534 Não sei se é o teu caso, mas já tentaste descomentar e usar o ftp-proxy ? aproveite e veja se bate a porta com netstat. -- abraço. Em 29 de junho de 2011 17:24, Rafael Henrique Faria rafaelhfa...@cenadigital.com.br escreveu: Boa tarde Christiano, você está utilizando o ftp-proxy? 2011/6/29 Christiano Liberatochristianoliber...@gmail.com: Caros, permito no pf que alguns ips façam ftp e agora surgiu a necessidade de permitir que façam ftps para um determinado ip na porta 990. Criei uma regra que permite acessar esse ip com ftps mas apos conectar nao lista as pastas de jeito nenhum. Ja alterei as confs de nat-anchor e rdr-anchor e nada. Alguem ja fez isso funcionar? Parece que tem algo a ver com passive mode... Valeu!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Rafael Henrique da Silva Faria - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF vx FTPS
2011/6/29 Christiano Liberato christianoliber...@gmail.com: Caros, permito no pf que alguns ips façam ftp e agora surgiu a necessidade de permitir que façam ftps para um determinado ip na porta 990. Criei uma regra que permite acessar esse ip com ftps mas apos conectar nao lista as pastas de jeito nenhum. Ja alterei as confs de nat-anchor e rdr-anchor e nada. Alguem ja fez isso funcionar? Parece que tem algo a ver com passive mode... Até onde sei é impossível atender a todas as modalidades de conexão FTP. Se você usar o ftp-proxy vai cobrir 2 tipos: FTP ativo FTP passivo Ambos sem SSL, se você desligar o ftp-proxy e tiver as regras liberando os usuários internos a sair pra portas altas, vai cobrir o seguinte: FTP passivo FTP com SSL O que acontece é que quando você habilita o ftp-proxy, as conexões pra porta 21 são redirecionadas pro proxy, e é ele quem abre a conexão com o server, e nessa hora não vai rolar a troca de chaves pois o ftp-proxy não sabe fazer isso. Mesmo se ele soubesse, teria que rolar uma troca de chaves entre o proxy e o server e outra entre o client e o proxy. Nesse caso, o client nunca teria certeza que o destinatário é quem diz ser. O protocolo FTP é tosco e cheio de problemas, o ideal seria não usá-lo mais, mas na teoria a prática é simples, já na prática as coisas são diferentes. []s -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF vx FTPS
On Wed, 29 Jun 2011 16:54:37 -0300, Christiano Liberato christianoliber...@gmail.com wrote: Caros, permito no pf que alguns ips façam ftp e agora surgiu a necessidade de permitir que façam ftps para um determinado ip na porta 990. Criei uma regra que permite acessar esse ip com ftps mas apos conectar nao lista as pastas de jeito nenhum. Ja alterei as confs de nat-anchor e rdr-anchor e nada. Alguem ja fez isso funcionar? Parece que tem algo a ver com passive mode... Valeu!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd No caso do ftp passivo, se não quiser usar o ftp-proxy e se você usar o proftpd ou o pure-ftpd (ou algum outro servidor que tenha suporte) você pode configurar a faixa de portas para usar no passivo e o endereço IP visto na internet. No proftpd.conf são as opções MasqueradeAddress e PassivePorts. No pure-ftpd são as opções ForcePassiveIP e PassivePortRange. E verifique se o valor da sysctl net.inet.ip.portrange.first é menor ou igual à configuração do PassivePorts. att. -- vic http://choppnerd.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF vx FTPS
A um tempo eu escrevi isso: http://joaocep.blogspot.com/2010/02/freebsd-8-e-ftpproxy.html no artigo acima tem uma modificação: inetd.conf: ftp-proxy stream tcp nowait root /usr/sbin/ftp-proxy ftp-proxy no mais: Concordo com o Renato. Não tem como atender a tudo. Se possível , tente usar SCP ( Openssh ) um abraço Em 29 de junho de 2011 18:06, Renato Botelho rbga...@gmail.com escreveu: 2011/6/29 Christiano Liberato christianoliber...@gmail.com: Caros, permito no pf que alguns ips façam ftp e agora surgiu a necessidade de permitir que façam ftps para um determinado ip na porta 990. Criei uma regra que permite acessar esse ip com ftps mas apos conectar nao lista as pastas de jeito nenhum. Ja alterei as confs de nat-anchor e rdr-anchor e nada. Alguem ja fez isso funcionar? Parece que tem algo a ver com passive mode... Até onde sei é impossível atender a todas as modalidades de conexão FTP. Se você usar o ftp-proxy vai cobrir 2 tipos: FTP ativo FTP passivo Ambos sem SSL, se você desligar o ftp-proxy e tiver as regras liberando os usuários internos a sair pra portas altas, vai cobrir o seguinte: FTP passivo FTP com SSL O que acontece é que quando você habilita o ftp-proxy, as conexões pra porta 21 são redirecionadas pro proxy, e é ele quem abre a conexão com o server, e nessa hora não vai rolar a troca de chaves pois o ftp-proxy não sabe fazer isso. Mesmo se ele soubesse, teria que rolar uma troca de chaves entre o proxy e o server e outra entre o client e o proxy. Nesse caso, o client nunca teria certeza que o destinatário é quem diz ser. O protocolo FTP é tosco e cheio de problemas, o ideal seria não usá-lo mais, mas na teoria a prática é simples, já na prática as coisas são diferentes. []s -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- João Luis Mancy dos Santos joaocep at gmail.com(msn too) http://joaocep.blogspot.com uin 82889044 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF vx FTPS (Resolvido)
Caros, problema resolvido. Estou utilizando ftp-proxy sim. No caso da questao ftps, alem da porta 990 abri tambem as portas 5000-5120 somente para o ip especifico do ftps. Obrigado a todos!! Em 29 de junho de 2011 18:20, João Mancy joao...@gmail.com escreveu: A um tempo eu escrevi isso: http://joaocep.blogspot.com/2010/02/freebsd-8-e-ftpproxy.html no artigo acima tem uma modificação: inetd.conf: ftp-proxy stream tcp nowait root /usr/sbin/ftp-proxy ftp-proxy no mais: Concordo com o Renato. Não tem como atender a tudo. Se possível , tente usar SCP ( Openssh ) um abraço Em 29 de junho de 2011 18:06, Renato Botelho rbga...@gmail.com escreveu: 2011/6/29 Christiano Liberato christianoliber...@gmail.com: Caros, permito no pf que alguns ips façam ftp e agora surgiu a necessidade de permitir que façam ftps para um determinado ip na porta 990. Criei uma regra que permite acessar esse ip com ftps mas apos conectar nao lista as pastas de jeito nenhum. Ja alterei as confs de nat-anchor e rdr-anchor e nada. Alguem ja fez isso funcionar? Parece que tem algo a ver com passive mode... Até onde sei é impossível atender a todas as modalidades de conexão FTP. Se você usar o ftp-proxy vai cobrir 2 tipos: FTP ativo FTP passivo Ambos sem SSL, se você desligar o ftp-proxy e tiver as regras liberando os usuários internos a sair pra portas altas, vai cobrir o seguinte: FTP passivo FTP com SSL O que acontece é que quando você habilita o ftp-proxy, as conexões pra porta 21 são redirecionadas pro proxy, e é ele quem abre a conexão com o server, e nessa hora não vai rolar a troca de chaves pois o ftp-proxy não sabe fazer isso. Mesmo se ele soubesse, teria que rolar uma troca de chaves entre o proxy e o server e outra entre o client e o proxy. Nesse caso, o client nunca teria certeza que o destinatário é quem diz ser. O protocolo FTP é tosco e cheio de problemas, o ideal seria não usá-lo mais, mas na teoria a prática é simples, já na prática as coisas são diferentes. []s -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- João Luis Mancy dos Santos joaocep at gmail.com(msn too) http://joaocep.blogspot.com uin 82889044 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF vs VPN
Boa tarde, preciso acessar a vpn de duas empresas da minha rede local. Quando tento acessar a mesma empresa simultaneamente, o segundo login nao conclui. Se as duas pessoas simultaneamente acessam empresas diferentes, vai numa boa. Tenho um outro link adsl para testes que funciona as duas opções. Liberei tcp para porta 1723 e protocolo GRE tambem. Alguem ja passou por essa? Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF vs VPN
olha se funciona assim rdr on $ext_if proto tcp from any to any port 1723 - 200.0.0.51 port 1723 rdr on $ext_if proto gre from any to any - 200.0.0.51 Em 24 de fevereiro de 2011 14:36, Christiano Liberato christianoliber...@gmail.com escreveu: Boa tarde, preciso acessar a vpn de duas empresas da minha rede local. Quando tento acessar a mesma empresa simultaneamente, o segundo login nao conclui. Se as duas pessoas simultaneamente acessam empresas diferentes, vai numa boa. Tenho um outro link adsl para testes que funciona as duas opções. Liberei tcp para porta 1723 e protocolo GRE tambem. Alguem ja passou por essa? Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF vs VPN
Alessandro, obrigado pela resposta. Mas continua com o mesmo problema... Nas minhas regras fiz apenas: pass in on $INT_INTERNA inet proto tcp from $REDE_INTERNA to 200.200.200.1 port 1723 keep state pass in on $INT_INTERNA inet proto gre from $REDE_INTERNA to 200.200.200.1 keep state Como nao tinha surgido a necessidade de duas pessoas acessarem, nao tive problemas... E nao acredito que a regra esteja errada pois uma pessoa loga normalmente. Em 24 de fevereiro de 2011 15:06, Alessandro de Souza Rocha etherlin...@gmail.com escreveu: olha se funciona assim rdr on $ext_if proto tcp from any to any port 1723 - 200.0.0.51 port 1723 rdr on $ext_if proto gre from any to any - 200.0.0.51 Em 24 de fevereiro de 2011 14:36, Christiano Liberato christianoliber...@gmail.com escreveu: Boa tarde, preciso acessar a vpn de duas empresas da minha rede local. Quando tento acessar a mesma empresa simultaneamente, o segundo login nao conclui. Se as duas pessoas simultaneamente acessam empresas diferentes, vai numa boa. Tenho um outro link adsl para testes que funciona as duas opções. Liberei tcp para porta 1723 e protocolo GRE tambem. Alguem ja passou por essa? Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF vs VPN
O problema é no protocolo GRE. Não é possível fazer duas conexões GRE simultâneas entre duas maquinas(IPs) pois não há como fazer keep state, já que o cabeçalho não tem dst port e src port. A única solução é colocar dois IPs públicos no seu roteador, um para cada conexão. A outra solução é usar outro tipo de VPN, como o OpenVPN. 2011/2/24 Christiano Liberato christianoliber...@gmail.com Alessandro, obrigado pela resposta. Mas continua com o mesmo problema... Nas minhas regras fiz apenas: pass in on $INT_INTERNA inet proto tcp from $REDE_INTERNA to 200.200.200.1 port 1723 keep state pass in on $INT_INTERNA inet proto gre from $REDE_INTERNA to 200.200.200.1 keep state Como nao tinha surgido a necessidade de duas pessoas acessarem, nao tive problemas... E nao acredito que a regra esteja errada pois uma pessoa loga normalmente. Em 24 de fevereiro de 2011 15:06, Alessandro de Souza Rocha etherlin...@gmail.com escreveu: olha se funciona assim rdr on $ext_if proto tcp from any to any port 1723 - 200.0.0.51 port 1723 rdr on $ext_if proto gre from any to any - 200.0.0.51 Em 24 de fevereiro de 2011 14:36, Christiano Liberato christianoliber...@gmail.com escreveu: Boa tarde, preciso acessar a vpn de duas empresas da minha rede local. Quando tento acessar a mesma empresa simultaneamente, o segundo login nao conclui. Se as duas pessoas simultaneamente acessam empresas diferentes, vai numa boa. Tenho um outro link adsl para testes que funciona as duas opções. Liberei tcp para porta 1723 e protocolo GRE tambem. Alguem ja passou por essa? Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- /* * Klaus Schneider */ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF vs VPN
use OpenVPN e veja feliz.. -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF vs VPN
olha aqui tuto do openvpn. http://www.hardware.com.br/tutoriais/openvpn/ Em 24 de fevereiro de 2011 16:26, mantunes mantunes.lis...@gmail.com escreveu: use OpenVPN e veja feliz.. -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF vs VPN
Klaus, No caso teria q usar o openvpn como client? Pois no momento estou testando do ruindows. Em 24 de fevereiro de 2011 16:22, Klaus Schneider klau...@gmail.comescreveu: O problema é no protocolo GRE. Não é possível fazer duas conexões GRE simultâneas entre duas maquinas(IPs) pois não há como fazer keep state, já que o cabeçalho não tem dst port e src port. A única solução é colocar dois IPs públicos no seu roteador, um para cada conexão. A outra solução é usar outro tipo de VPN, como o OpenVPN. 2011/2/24 Christiano Liberato christianoliber...@gmail.com Alessandro, obrigado pela resposta. Mas continua com o mesmo problema... Nas minhas regras fiz apenas: pass in on $INT_INTERNA inet proto tcp from $REDE_INTERNA to 200.200.200.1 port 1723 keep state pass in on $INT_INTERNA inet proto gre from $REDE_INTERNA to 200.200.200.1 keep state Como nao tinha surgido a necessidade de duas pessoas acessarem, nao tive problemas... E nao acredito que a regra esteja errada pois uma pessoa loga normalmente. Em 24 de fevereiro de 2011 15:06, Alessandro de Souza Rocha etherlin...@gmail.com escreveu: olha se funciona assim rdr on $ext_if proto tcp from any to any port 1723 - 200.0.0.51 port 1723 rdr on $ext_if proto gre from any to any - 200.0.0.51 Em 24 de fevereiro de 2011 14:36, Christiano Liberato christianoliber...@gmail.com escreveu: Boa tarde, preciso acessar a vpn de duas empresas da minha rede local. Quando tento acessar a mesma empresa simultaneamente, o segundo login nao conclui. Se as duas pessoas simultaneamente acessam empresas diferentes, vai numa boa. Tenho um outro link adsl para testes que funciona as duas opções. Liberei tcp para porta 1723 e protocolo GRE tambem. Alguem ja passou por essa? Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- /* * Klaus Schneider */ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF vs VPN
no server tambem.. Em 24 de fevereiro de 2011 16:50, Christiano Liberato christianoliber...@gmail.com escreveu: Klaus, No caso teria q usar o openvpn como client? Pois no momento estou testando do ruindows. Em 24 de fevereiro de 2011 16:22, Klaus Schneider klau...@gmail.comescreveu: O problema é no protocolo GRE. Não é possível fazer duas conexões GRE simultâneas entre duas maquinas(IPs) pois não há como fazer keep state, já que o cabeçalho não tem dst port e src port. A única solução é colocar dois IPs públicos no seu roteador, um para cada conexão. A outra solução é usar outro tipo de VPN, como o OpenVPN. 2011/2/24 Christiano Liberato christianoliber...@gmail.com Alessandro, obrigado pela resposta. Mas continua com o mesmo problema... Nas minhas regras fiz apenas: pass in on $INT_INTERNA inet proto tcp from $REDE_INTERNA to 200.200.200.1 port 1723 keep state pass in on $INT_INTERNA inet proto gre from $REDE_INTERNA to 200.200.200.1 keep state Como nao tinha surgido a necessidade de duas pessoas acessarem, nao tive problemas... E nao acredito que a regra esteja errada pois uma pessoa loga normalmente. Em 24 de fevereiro de 2011 15:06, Alessandro de Souza Rocha etherlin...@gmail.com escreveu: olha se funciona assim rdr on $ext_if proto tcp from any to any port 1723 - 200.0.0.51 port 1723 rdr on $ext_if proto gre from any to any - 200.0.0.51 Em 24 de fevereiro de 2011 14:36, Christiano Liberato christianoliber...@gmail.com escreveu: Boa tarde, preciso acessar a vpn de duas empresas da minha rede local. Quando tento acessar a mesma empresa simultaneamente, o segundo login nao conclui. Se as duas pessoas simultaneamente acessam empresas diferentes, vai numa boa. Tenho um outro link adsl para testes que funciona as duas opções. Liberei tcp para porta 1723 e protocolo GRE tambem. Alguem ja passou por essa? Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- /* * Klaus Schneider */ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF vs VPN
Do meu lado posso usar como client mas do outro é na empresa onde vamos desenvolver o projeto. Aí nao tem jeito Em 24 de fevereiro de 2011 17:03, mantunes mantunes.lis...@gmail.comescreveu: no server tambem.. Em 24 de fevereiro de 2011 16:50, Christiano Liberato christianoliber...@gmail.com escreveu: Klaus, No caso teria q usar o openvpn como client? Pois no momento estou testando do ruindows. Em 24 de fevereiro de 2011 16:22, Klaus Schneider klau...@gmail.com escreveu: O problema é no protocolo GRE. Não é possível fazer duas conexões GRE simultâneas entre duas maquinas(IPs) pois não há como fazer keep state, já que o cabeçalho não tem dst port e src port. A única solução é colocar dois IPs públicos no seu roteador, um para cada conexão. A outra solução é usar outro tipo de VPN, como o OpenVPN. 2011/2/24 Christiano Liberato christianoliber...@gmail.com Alessandro, obrigado pela resposta. Mas continua com o mesmo problema... Nas minhas regras fiz apenas: pass in on $INT_INTERNA inet proto tcp from $REDE_INTERNA to 200.200.200.1 port 1723 keep state pass in on $INT_INTERNA inet proto gre from $REDE_INTERNA to 200.200.200.1 keep state Como nao tinha surgido a necessidade de duas pessoas acessarem, nao tive problemas... E nao acredito que a regra esteja errada pois uma pessoa loga normalmente. Em 24 de fevereiro de 2011 15:06, Alessandro de Souza Rocha etherlin...@gmail.com escreveu: olha se funciona assim rdr on $ext_if proto tcp from any to any port 1723 - 200.0.0.51 port 1723 rdr on $ext_if proto gre from any to any - 200.0.0.51 Em 24 de fevereiro de 2011 14:36, Christiano Liberato christianoliber...@gmail.com escreveu: Boa tarde, preciso acessar a vpn de duas empresas da minha rede local. Quando tento acessar a mesma empresa simultaneamente, o segundo login nao conclui. Se as duas pessoas simultaneamente acessam empresas diferentes, vai numa boa. Tenho um outro link adsl para testes que funciona as duas opções. Liberei tcp para porta 1723 e protocolo GRE tambem. Alguem ja passou por essa? Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- /* * Klaus Schneider */ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF vs VPN
Realmente.. não tem jeito.. sugiro mudar o projeto para OpenVPN. Em 24 de fevereiro de 2011 17:06, Christiano Liberato christianoliber...@gmail.com escreveu: Do meu lado posso usar como client mas do outro é na empresa onde vamos desenvolver o projeto. Aí nao tem jeito Em 24 de fevereiro de 2011 17:03, mantunes mantunes.lis...@gmail.comescreveu: no server tambem.. Em 24 de fevereiro de 2011 16:50, Christiano Liberato christianoliber...@gmail.com escreveu: Klaus, No caso teria q usar o openvpn como client? Pois no momento estou testando do ruindows. Em 24 de fevereiro de 2011 16:22, Klaus Schneider klau...@gmail.com escreveu: O problema é no protocolo GRE. Não é possível fazer duas conexões GRE simultâneas entre duas maquinas(IPs) pois não há como fazer keep state, já que o cabeçalho não tem dst port e src port. A única solução é colocar dois IPs públicos no seu roteador, um para cada conexão. A outra solução é usar outro tipo de VPN, como o OpenVPN. 2011/2/24 Christiano Liberato christianoliber...@gmail.com Alessandro, obrigado pela resposta. Mas continua com o mesmo problema... Nas minhas regras fiz apenas: pass in on $INT_INTERNA inet proto tcp from $REDE_INTERNA to 200.200.200.1 port 1723 keep state pass in on $INT_INTERNA inet proto gre from $REDE_INTERNA to 200.200.200.1 keep state Como nao tinha surgido a necessidade de duas pessoas acessarem, nao tive problemas... E nao acredito que a regra esteja errada pois uma pessoa loga normalmente. Em 24 de fevereiro de 2011 15:06, Alessandro de Souza Rocha etherlin...@gmail.com escreveu: olha se funciona assim rdr on $ext_if proto tcp from any to any port 1723 - 200.0.0.51 port 1723 rdr on $ext_if proto gre from any to any - 200.0.0.51 Em 24 de fevereiro de 2011 14:36, Christiano Liberato christianoliber...@gmail.com escreveu: Boa tarde, preciso acessar a vpn de duas empresas da minha rede local. Quando tento acessar a mesma empresa simultaneamente, o segundo login nao conclui. Se as duas pessoas simultaneamente acessam empresas diferentes, vai numa boa. Tenho um outro link adsl para testes que funciona as duas opções. Liberei tcp para porta 1723 e protocolo GRE tambem. Alguem ja passou por essa? Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- /* * Klaus Schneider */ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF vs VPN
Se não pode colocar OpenVPN no servidor, tu vai precisar de 1 ip público para cada cliente vpn dentro da rede ou fechar a VPN no roteador ao invés de fazer isso em cada estação. 2011/2/24 Christiano Liberato christianoliber...@gmail.com Do meu lado posso usar como client mas do outro é na empresa onde vamos desenvolver o projeto. Aí nao tem jeito Em 24 de fevereiro de 2011 17:03, mantunes mantunes.lis...@gmail.com escreveu: no server tambem.. Em 24 de fevereiro de 2011 16:50, Christiano Liberato christianoliber...@gmail.com escreveu: Klaus, No caso teria q usar o openvpn como client? Pois no momento estou testando do ruindows. Em 24 de fevereiro de 2011 16:22, Klaus Schneider klau...@gmail.com escreveu: O problema é no protocolo GRE. Não é possível fazer duas conexões GRE simultâneas entre duas maquinas(IPs) pois não há como fazer keep state, já que o cabeçalho não tem dst port e src port. A única solução é colocar dois IPs públicos no seu roteador, um para cada conexão. A outra solução é usar outro tipo de VPN, como o OpenVPN. 2011/2/24 Christiano Liberato christianoliber...@gmail.com Alessandro, obrigado pela resposta. Mas continua com o mesmo problema... Nas minhas regras fiz apenas: pass in on $INT_INTERNA inet proto tcp from $REDE_INTERNA to 200.200.200.1 port 1723 keep state pass in on $INT_INTERNA inet proto gre from $REDE_INTERNA to 200.200.200.1 keep state Como nao tinha surgido a necessidade de duas pessoas acessarem, nao tive problemas... E nao acredito que a regra esteja errada pois uma pessoa loga normalmente. Em 24 de fevereiro de 2011 15:06, Alessandro de Souza Rocha etherlin...@gmail.com escreveu: olha se funciona assim rdr on $ext_if proto tcp from any to any port 1723 - 200.0.0.51 port 1723 rdr on $ext_if proto gre from any to any - 200.0.0.51 Em 24 de fevereiro de 2011 14:36, Christiano Liberato christianoliber...@gmail.com escreveu: Boa tarde, preciso acessar a vpn de duas empresas da minha rede local. Quando tento acessar a mesma empresa simultaneamente, o segundo login nao conclui. Se as duas pessoas simultaneamente acessam empresas diferentes, vai numa boa. Tenho um outro link adsl para testes que funciona as duas opções. Liberei tcp para porta 1723 e protocolo GRE tambem. Alguem ja passou por essa? Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- /* * Klaus Schneider */ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- /* * Klaus Schneider */ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF vs VPN
Em 24/02/2011 17:30, Klaus Schneider escreveu: Se não pode colocar OpenVPN no servidor, tu vai precisar de 1 ip público para cada cliente vpn dentro da rede ou fechar a VPN no roteador ao invés de fazer isso em cada estação. 2011/2/24 Christiano Liberatochristianoliber...@gmail.com Saudações, apenas uma duvida, o projeto requer a utilização de IPSEC, vpn sobre SSL é muito mais versatil, ultrapassa nat ( fato atualmente em quase que todas as redes de empresas que conheço e muitos provedores de pequeno porte ). Ja quebrei muita cabeça com IPSec, depois que migrei as minhas VPN para OpenVPN, ganhei três coisas. - Interoperabilidade. - Escalabilidade. - Simplicidade. Melhor colocar o fator VPN em palta com a equipe do projeto para poder ser reavaliado. No meu caso é simples, sou funcionário de um departamento de um funcionário, tenho flexibilidade quanto a isso, agora no seu caso melhor colocar em palta, agora se o projeto requer fatores de baixo nivel com relação a VPN ou já ter consideravel trabalho desenvolvido para se ajustar, segue a dica do nosso companheiro de noites em claro... Abraços ... -- Paulo Henrique - BSD Brasil. Desenvolvedor de Software / Administrador de Sitemas. Genuine BSD/Unix User. Só se atinge objetivos com necessidade, contudo alguns objetivo não esperam a necessidade Preserva a Natureza é garantir o amanhã, mais esse amanhã acaba sempre sendo o hoje, por então preservar o que é realidade. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - iniciante com Openbsd
Pessoal, alguem pode dar uma força na minha pergunta abaixo que fiz pro Luiz?
From: debia...@hotmail.com
To: freebsd@fug.com.br
Date: Thu, 3 Jun 2010 23:42:55 +0300
Subject: Re: [FUG-BR] PF - iniciante com Openbsd
Luiz,
avançando então. Agora permitindo tambem que a rede interna navegue na
internet seria necessario somente um pass out como na regra abaixo?
int_interna = ste0
int_externa = ste1
rede_interna = 192.168.1.0/24
nat on $int_externa from $rede_interna to any - $int_externa
block all
pass in on $int_interna proto tcp from $rede_interna to any port 22
pass out on $int_externa proto tcp from $rede_interna to any port { 53 80 }
Date: Thu, 3 Jun 2010 20:17:24 +0100
From: luizgust...@luizgustavo.pro.br
To: freebsd@fug.com.br
Subject: Re: [FUG-BR] PF - iniciante com Openbsd
Isso mesmo.. por isso PF é bem fácil de interpretar...
é exatamente aquilo que você programa, claro, em inglês :p
só atente para os detalhes de in e out de cada interface, dependendo
de onde você esteje olhando (WAN ou LAN), o conceito muda
Em 3 de junho de 2010 20:00, christiano alves debia...@hotmail.com
escreveu:
Luiz,
obrigado pela força aí. Então interpretando:
pass in on $int_interna proto tcp from $rede_interna to any port 22
permite entrar na $int_interna proto tcp vindo da $rede_interna para
qualquer destino na porta 22
seria isso?
Date: Thu, 3 Jun 2010 02:02:37 +0100
From: luizgust...@luizgustavo.pro.br
To: freebsd@fug.com.br
Subject: Re: [FUG-BR] PF - iniciante com Openbsd
Vamos lá
pass in on $int_interna proto tcp from $rede_interna port 22 to
$int_interna port 22 keep state
Fazendo uma tradução literal da regra:
deixe passar o que estiver entrando na $int_interna com protocolo tcp
o que vier da $rede_interna para $int_interna na porta 22 mantendo
estado
Veja bem... você liberou sua rede vindo da porta 22 para a propria
interface interna na porta 22... tá bem louco isso hein...
Pelo o que eu entendi, você quer liberar que os usuarios da sua rede
interna possa usar ssh para fora ?, se for isso, seria algo assim:
pass in on $int_interna proto tcp from $rede_interna to any port 22
Keep state já é padrão no Freebsd, não é necessário especificar.
Pelo o que eu pude enxergar no seu email, talvez você tenha que pegar
melhor como funciona os direcionamentos com o pf (in e out).
é isso ai !
abraços
Em 3 de junho de 2010 01:52, christiano alves debia...@hotmail.com
escreveu:
Boa noite a todos,
sou novo com a utilização do pf. Ja estive lendo sobre ele
(http://www.openbsd.org/faq/pf/pt/index.html) mas ainda não consegui
criar uma regra.
Gostaria da ajuda de voces!
Vou começar do básico, gostaria apenas de liberar ssh para meu server.
Fiz assim:
int_interna = ste0
int_externa = ste1
rede_interna = 192.168.1.0/24
block all
pass in on $int_interna proto tcp from $rede_interna port 22 to
$int_interna port 22 keep state
Não deveria deixar eu acessar a int_interna via ssh?
_
NINGUÉM PRECISA SABER O QUE VOCÊ ESTÁ COMPRANDO. LEIA MAIS SOBRE ESSE
ASSUNTO AQUI.
http://www.microsoft.com/brasil/windows/internet-explorer/features/browse-privately.aspx?tabid=1catid=1WT.mc_id=1590
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: cont...@mundounix.com.br
Tel: 55 (21) 2642-3799 / 7582-0594
Blog: http://www.luizgustavo.pro.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
_
O INTERNET EXPLORER 8 TE AJUDA A FICAR PROTEGIDO DE FRAUDES NA WEB. LEIA
MAIS AQUI.
http://www.microsoft.com/brasil/windows/internet-explorer/features/dicas.aspx?tabid=1catid=1WT.mc_id=1589
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: cont...@mundounix.com.br
Tel: 55 (21) 2642-3799 / 7582-0594
Blog: http://www.luizgustavo.pro.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista
Re: [FUG-BR] PF - iniciante com Openbsd
Em 3 de junho de 2010 17:42, christiano alves debia...@hotmail.comescreveu:
Luiz,
avançando então. Agora permitindo tambem que a rede interna navegue na
internet seria necessario somente um pass out como na regra abaixo?
int_interna = ste0
int_externa = ste1
rede_interna = 192.168.1.0/24
nat on $int_externa from $rede_interna to any - $int_externa
block all
pass in on $int_interna proto tcp from $rede_interna to any port 22
pass out on $int_externa proto tcp from $rede_interna to any port { 53 80 }
Nesse caso vc deve estar atento por que liberou somente os pacotes com
protocolo TCP, seria interessante liberar os pacotes UDP para ter acesso aos
servidores DNS.
Não sei se de fato vc quer sua primeira regra sendo de política
restritiva, normalmente vc deve ter uma certa experiência para trabalhar com
esse tipo de política.
Nessas regras que vc citou acima tem algumas falhas. Vou tentar
corrigi-las tentando adivinhar sua necessidade não não está clara pra mim.
Segue:
int_interna = ste0
int_externa = ste1
rede_interna = 192.168.1.0/24
nat on $int_externa from $rede_interna to any - ($int_externa)
block all
pass in on $int_interna proto tcp from $rede_interna to any port { 53 22 80
}
pass in on $int_interna proto udp from $rede_interna to any port 53
pass out on $int_externa proto tcp from $rede_interna to any port { 53 80 }
pass out on $int_externa proto udp from $rede_interna to any port 53
Essas regras devem liberar o acesso a porta 22 oo firewall, tráfego
chegando na interface interna, e liberando as portas 80 (http) e 53 (dns)
para acesso à Internet. Lembre-se que você deve liberar o tráfego na entrada
da interface interna e na saída da interface externa para que a rede interna
acesse a Internet. Isso é facilitado com a utilização de tags, mas creio
que de início seja mais interessante vc não utiliza-las para ter uma melhor
compreensão das regras de filtragem.
Não esqueça dos parênteses no final da regra de NAT, nesse caso
($int_externa) é o IP da sua interface interna. Sem os parênteses esse macro
indicaria apenas a interface de rede.
Espero ter ajudado.
Gabriel Fonseca
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - iniciante com Openbsd
Ao meu ver, a melhor maneira de aprender a usar o PF é ler o FAQ (o que você já está fazendo) e usar e abusar dos logs nos seus testes. Como diria um amigo: seja um pacote e faça seu caminho pela rede. Em 2 de junho de 2010 21:52, christiano alves debia...@hotmail.comescreveu: Boa noite a todos, sou novo com a utilização do pf. Ja estive lendo sobre ele ( http://www.openbsd.org/faq/pf/pt/index.html) mas ainda não consegui criar uma regra. Gostaria da ajuda de voces! -- Mauricio Bonani mailto:mbon...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - iniciante com Openbsd
Luiz, obrigado pela força aí. Então interpretando: pass in on $int_interna proto tcp from $rede_interna to any port 22 permite entrar na $int_interna proto tcp vindo da $rede_interna para qualquer destino na porta 22 seria isso? Date: Thu, 3 Jun 2010 02:02:37 +0100 From: luizgust...@luizgustavo.pro.br To: freebsd@fug.com.br Subject: Re: [FUG-BR] PF - iniciante com Openbsd Vamos lá pass in on $int_interna proto tcp from $rede_interna port 22 to $int_interna port 22 keep state Fazendo uma tradução literal da regra: deixe passar o que estiver entrando na $int_interna com protocolo tcp o que vier da $rede_interna para $int_interna na porta 22 mantendo estado Veja bem... você liberou sua rede vindo da porta 22 para a propria interface interna na porta 22... tá bem louco isso hein... Pelo o que eu entendi, você quer liberar que os usuarios da sua rede interna possa usar ssh para fora ?, se for isso, seria algo assim: pass in on $int_interna proto tcp from $rede_interna to any port 22 Keep state já é padrão no Freebsd, não é necessário especificar. Pelo o que eu pude enxergar no seu email, talvez você tenha que pegar melhor como funciona os direcionamentos com o pf (in e out). é isso ai ! abraços Em 3 de junho de 2010 01:52, christiano alves debia...@hotmail.com escreveu: Boa noite a todos, sou novo com a utilização do pf. Ja estive lendo sobre ele (http://www.openbsd.org/faq/pf/pt/index.html) mas ainda não consegui criar uma regra. Gostaria da ajuda de voces! Vou começar do básico, gostaria apenas de liberar ssh para meu server. Fiz assim: int_interna = ste0 int_externa = ste1 rede_interna = 192.168.1.0/24 block all pass in on $int_interna proto tcp from $rede_interna port 22 to $int_interna port 22 keep state Não deveria deixar eu acessar a int_interna via ssh? _ NINGUÉM PRECISA SABER O QUE VOCÊ ESTÁ COMPRANDO. LEIA MAIS SOBRE ESSE ASSUNTO AQUI. http://www.microsoft.com/brasil/windows/internet-explorer/features/browse-privately.aspx?tabid=1catid=1WT.mc_id=1590 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 2642-3799 / 7582-0594 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd _ O INTERNET EXPLORER 8 TE AJUDA A FICAR PROTEGIDO DE FRAUDES NA WEB. LEIA MAIS AQUI. http://www.microsoft.com/brasil/windows/internet-explorer/features/dicas.aspx?tabid=1catid=1WT.mc_id=1589 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - iniciante com Openbsd
Isso mesmo.. por isso PF é bem fácil de interpretar... é exatamente aquilo que você programa, claro, em inglês :p só atente para os detalhes de in e out de cada interface, dependendo de onde você esteje olhando (WAN ou LAN), o conceito muda Em 3 de junho de 2010 20:00, christiano alves debia...@hotmail.com escreveu: Luiz, obrigado pela força aí. Então interpretando: pass in on $int_interna proto tcp from $rede_interna to any port 22 permite entrar na $int_interna proto tcp vindo da $rede_interna para qualquer destino na porta 22 seria isso? Date: Thu, 3 Jun 2010 02:02:37 +0100 From: luizgust...@luizgustavo.pro.br To: freebsd@fug.com.br Subject: Re: [FUG-BR] PF - iniciante com Openbsd Vamos lá pass in on $int_interna proto tcp from $rede_interna port 22 to $int_interna port 22 keep state Fazendo uma tradução literal da regra: deixe passar o que estiver entrando na $int_interna com protocolo tcp o que vier da $rede_interna para $int_interna na porta 22 mantendo estado Veja bem... você liberou sua rede vindo da porta 22 para a propria interface interna na porta 22... tá bem louco isso hein... Pelo o que eu entendi, você quer liberar que os usuarios da sua rede interna possa usar ssh para fora ?, se for isso, seria algo assim: pass in on $int_interna proto tcp from $rede_interna to any port 22 Keep state já é padrão no Freebsd, não é necessário especificar. Pelo o que eu pude enxergar no seu email, talvez você tenha que pegar melhor como funciona os direcionamentos com o pf (in e out). é isso ai ! abraços Em 3 de junho de 2010 01:52, christiano alves debia...@hotmail.com escreveu: Boa noite a todos, sou novo com a utilização do pf. Ja estive lendo sobre ele (http://www.openbsd.org/faq/pf/pt/index.html) mas ainda não consegui criar uma regra. Gostaria da ajuda de voces! Vou começar do básico, gostaria apenas de liberar ssh para meu server. Fiz assim: int_interna = ste0 int_externa = ste1 rede_interna = 192.168.1.0/24 block all pass in on $int_interna proto tcp from $rede_interna port 22 to $int_interna port 22 keep state Não deveria deixar eu acessar a int_interna via ssh? _ NINGUÉM PRECISA SABER O QUE VOCÊ ESTÁ COMPRANDO. LEIA MAIS SOBRE ESSE ASSUNTO AQUI. http://www.microsoft.com/brasil/windows/internet-explorer/features/browse-privately.aspx?tabid=1catid=1WT.mc_id=1590 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 2642-3799 / 7582-0594 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd _ O INTERNET EXPLORER 8 TE AJUDA A FICAR PROTEGIDO DE FRAUDES NA WEB. LEIA MAIS AQUI. http://www.microsoft.com/brasil/windows/internet-explorer/features/dicas.aspx?tabid=1catid=1WT.mc_id=1589 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 2642-3799 / 7582-0594 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - iniciante com Openbsd
Luiz,
avançando então. Agora permitindo tambem que a rede interna navegue na internet
seria necessario somente um pass out como na regra abaixo?
int_interna = ste0
int_externa = ste1
rede_interna = 192.168.1.0/24
nat on $int_externa from $rede_interna to any - $int_externa
block all
pass in on $int_interna proto tcp from $rede_interna to any port 22
pass out on $int_externa proto tcp from $rede_interna to any port { 53 80 }
Date: Thu, 3 Jun 2010 20:17:24 +0100
From: luizgust...@luizgustavo.pro.br
To: freebsd@fug.com.br
Subject: Re: [FUG-BR] PF - iniciante com Openbsd
Isso mesmo.. por isso PF é bem fácil de interpretar...
é exatamente aquilo que você programa, claro, em inglês :p
só atente para os detalhes de in e out de cada interface, dependendo
de onde você esteje olhando (WAN ou LAN), o conceito muda
Em 3 de junho de 2010 20:00, christiano alves debia...@hotmail.com escreveu:
Luiz,
obrigado pela força aí. Então interpretando:
pass in on $int_interna proto tcp from $rede_interna to any port 22
permite entrar na $int_interna proto tcp vindo da $rede_interna para
qualquer destino na porta 22
seria isso?
Date: Thu, 3 Jun 2010 02:02:37 +0100
From: luizgust...@luizgustavo.pro.br
To: freebsd@fug.com.br
Subject: Re: [FUG-BR] PF - iniciante com Openbsd
Vamos lá
pass in on $int_interna proto tcp from $rede_interna port 22 to
$int_interna port 22 keep state
Fazendo uma tradução literal da regra:
deixe passar o que estiver entrando na $int_interna com protocolo tcp
o que vier da $rede_interna para $int_interna na porta 22 mantendo
estado
Veja bem... você liberou sua rede vindo da porta 22 para a propria
interface interna na porta 22... tá bem louco isso hein...
Pelo o que eu entendi, você quer liberar que os usuarios da sua rede
interna possa usar ssh para fora ?, se for isso, seria algo assim:
pass in on $int_interna proto tcp from $rede_interna to any port 22
Keep state já é padrão no Freebsd, não é necessário especificar.
Pelo o que eu pude enxergar no seu email, talvez você tenha que pegar
melhor como funciona os direcionamentos com o pf (in e out).
é isso ai !
abraços
Em 3 de junho de 2010 01:52, christiano alves debia...@hotmail.com
escreveu:
Boa noite a todos,
sou novo com a utilização do pf. Ja estive lendo sobre ele
(http://www.openbsd.org/faq/pf/pt/index.html) mas ainda não consegui
criar uma regra.
Gostaria da ajuda de voces!
Vou começar do básico, gostaria apenas de liberar ssh para meu server.
Fiz assim:
int_interna = ste0
int_externa = ste1
rede_interna = 192.168.1.0/24
block all
pass in on $int_interna proto tcp from $rede_interna port 22 to
$int_interna port 22 keep state
Não deveria deixar eu acessar a int_interna via ssh?
_
NINGUÉM PRECISA SABER O QUE VOCÊ ESTÁ COMPRANDO. LEIA MAIS SOBRE ESSE
ASSUNTO AQUI.
http://www.microsoft.com/brasil/windows/internet-explorer/features/browse-privately.aspx?tabid=1catid=1WT.mc_id=1590
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: cont...@mundounix.com.br
Tel: 55 (21) 2642-3799 / 7582-0594
Blog: http://www.luizgustavo.pro.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
_
O INTERNET EXPLORER 8 TE AJUDA A FICAR PROTEGIDO DE FRAUDES NA WEB. LEIA
MAIS AQUI.
http://www.microsoft.com/brasil/windows/internet-explorer/features/dicas.aspx?tabid=1catid=1WT.mc_id=1589
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: cont...@mundounix.com.br
Tel: 55 (21) 2642-3799 / 7582-0594
Blog: http://www.luizgustavo.pro.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
_
ACESSE O MESSENGER DO SEU CELULAR AGORA MESMO. CLIQUE E VEJA AQUI UM PASSO A
PASSO.
http://celular.windowslive.com.br/messenger.asp?produto=Messengerutm_source=Live_Hotmailutm_medium=Taglineutm_content=ACESSEOMES83utm_campaign
[FUG-BR] PF - iniciante com Openbsd
Boa noite a todos, sou novo com a utilização do pf. Ja estive lendo sobre ele (http://www.openbsd.org/faq/pf/pt/index.html) mas ainda não consegui criar uma regra. Gostaria da ajuda de voces! Vou começar do básico, gostaria apenas de liberar ssh para meu server. Fiz assim: int_interna = ste0 int_externa = ste1 rede_interna = 192.168.1.0/24 block all pass in on $int_interna proto tcp from $rede_interna port 22 to $int_interna port 22 keep state Não deveria deixar eu acessar a int_interna via ssh? _ NINGUÉM PRECISA SABER O QUE VOCÊ ESTÁ COMPRANDO. LEIA MAIS SOBRE ESSE ASSUNTO AQUI. http://www.microsoft.com/brasil/windows/internet-explorer/features/browse-privately.aspx?tabid=1catid=1WT.mc_id=1590 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - iniciante com Openbsd
Vamos lá pass in on $int_interna proto tcp from $rede_interna port 22 to $int_interna port 22 keep state Fazendo uma tradução literal da regra: deixe passar o que estiver entrando na $int_interna com protocolo tcp o que vier da $rede_interna para $int_interna na porta 22 mantendo estado Veja bem... você liberou sua rede vindo da porta 22 para a propria interface interna na porta 22... tá bem louco isso hein... Pelo o que eu entendi, você quer liberar que os usuarios da sua rede interna possa usar ssh para fora ?, se for isso, seria algo assim: pass in on $int_interna proto tcp from $rede_interna to any port 22 Keep state já é padrão no Freebsd, não é necessário especificar. Pelo o que eu pude enxergar no seu email, talvez você tenha que pegar melhor como funciona os direcionamentos com o pf (in e out). é isso ai ! abraços Em 3 de junho de 2010 01:52, christiano alves debia...@hotmail.com escreveu: Boa noite a todos, sou novo com a utilização do pf. Ja estive lendo sobre ele (http://www.openbsd.org/faq/pf/pt/index.html) mas ainda não consegui criar uma regra. Gostaria da ajuda de voces! Vou começar do básico, gostaria apenas de liberar ssh para meu server. Fiz assim: int_interna = ste0 int_externa = ste1 rede_interna = 192.168.1.0/24 block all pass in on $int_interna proto tcp from $rede_interna port 22 to $int_interna port 22 keep state Não deveria deixar eu acessar a int_interna via ssh? _ NINGUÉM PRECISA SABER O QUE VOCÊ ESTÁ COMPRANDO. LEIA MAIS SOBRE ESSE ASSUNTO AQUI. http://www.microsoft.com/brasil/windows/internet-explorer/features/browse-privately.aspx?tabid=1catid=1WT.mc_id=1590 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 2642-3799 / 7582-0594 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
SERA QUE ALGUEM CONSEGUE ME INFORMAR SE ESSES COMANDOS ABAIXO SSERVEM PARA VERIFICAR AS REGRAS QUE EU TENHO EM UM FIREWALL FreeBsd 7. Att, Pedro de Almeida - Original Message - From: Welkson Renny de Medeiros welk...@focusautomacao.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Friday, May 14, 2010 10:11 AM Subject: Re: [FUG-BR] PF - Ajuda pedro escreveu: Segue Anexo arquivo firewall. Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, ela era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando das regras que essa maquina tinha no firewall e depois de alguma pesquisa consegui algo com: # pfctl -sn Mostra as regras atuais de NAT # pfctl -sr Mostra as regras atuais de filtragem Nao consegui localizar o script de firewall, acho que quem configurou mudou os padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que foi apresentado,alguma coisa intendi. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Pedro, Veja no /etc/rc.conf... o NORMAL é ser carregado por lá. Veja depois o /etc/rc.local E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d Tem que está em algum desses lugares... eu acredito que esteja no PRIMEIRO (rc.conf) Abraço, -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
Se for regras ipfw ipfw list Em 18 de maio de 2010 09:19, pedro almeida.l...@gmail.com escreveu: SERA QUE ALGUEM CONSEGUE ME INFORMAR SE ESSES COMANDOS ABAIXO SSERVEM PARA VERIFICAR AS REGRAS QUE EU TENHO EM UM FIREWALL FreeBsd 7. Att, Pedro de Almeida - Original Message - From: Welkson Renny de Medeiros welk...@focusautomacao.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Friday, May 14, 2010 10:11 AM Subject: Re: [FUG-BR] PF - Ajuda pedro escreveu: Segue Anexo arquivo firewall. Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, ela era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando das regras que essa maquina tinha no firewall e depois de alguma pesquisa consegui algo com: # pfctl -sn Mostra as regras atuais de NAT # pfctl -sr Mostra as regras atuais de filtragem Nao consegui localizar o script de firewall, acho que quem configurou mudou os padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que foi apresentado,alguma coisa intendi. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Pedro, Veja no /etc/rc.conf... o NORMAL é ser carregado por lá. Veja depois o /etc/rc.local E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d Tem que está em algum desses lugares... eu acredito que esteja no PRIMEIRO (rc.conf) Abraço, -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
nslink# ipfw list 00051 allow ip from any to any iptos mincost 00191 deny tcp from any to any dst-port 445 via vr0 01500 deny ip from 192.168.0.164 to any dst-port 25 via vr0 01501 deny ip from 192.168.0.154 to any dst-port 25 via rl0 01502 deny tcp from any to any dst-port 137 via vr0 01503 deny tcp from any to any dst-port 138 via vr0 01933 deny tcp from any to any dst-port 139 via vr0 01934 deny tcp from any to any dst-port 445 via rl1 01935 deny tcp from any to any dst-port 445 via vr0 05000 prob 0.60 deny tcp from not 192.168.0.200 to not 20.0.0.0/24,200.0.0.0 /8,201.0.0.0/8 dst-port 1863 15012 deny udp from any to any dst-port 137 via vr0 15013 deny udp from any to any dst-port 138 via vr0 19313 deny udp from any to any dst-port 139 via vr0 19315 deny udp from any to any dst-port 445 via vr0 64000 fwd 127.0.0.1,3128 tcp from any to any dst-port 80 via re0 setup keep-stat e 65535 allow ip from any to any nslink# pfctl -sr scrub in all fragment reassemble pass out on rl0 inet from any to 192.168.0.0/24 flags S/SA keep state pass in quick on rl0 inet from 192.168.0.0/24 to 192.168.0.2 flags S/SA keep state pass in quick on rl0 inet from 192.168.0.0/24 to 10.1.10.2 flags S/SA keep state pass in on vr0 proto tcp all flags S/SA modulate state pass in on vr0 proto udp all keep state pass in on vr0 proto icmp all keep state Em 18 de maio de 2010 09:31, Henrique Vinicius henriquevinic...@gmail.com escreveu: Se for regras ipfw ipfw list Em 18 de maio de 2010 09:19, pedro almeida.l...@gmail.com escreveu: SERA QUE ALGUEM CONSEGUE ME INFORMAR SE ESSES COMANDOS ABAIXO SSERVEM PARA VERIFICAR AS REGRAS QUE EU TENHO EM UM FIREWALL FreeBsd 7. Att, Pedro de Almeida - Original Message - From: Welkson Renny de Medeiros welk...@focusautomacao.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Friday, May 14, 2010 10:11 AM Subject: Re: [FUG-BR] PF - Ajuda pedro escreveu: Segue Anexo arquivo firewall. Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, ela era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando das regras que essa maquina tinha no firewall e depois de alguma pesquisa consegui algo com: # pfctl -sn Mostra as regras atuais de NAT # pfctl -sr Mostra as regras atuais de filtragem Nao consegui localizar o script de firewall, acho que quem configurou mudou os padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que foi apresentado,alguma coisa intendi. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Pedro, Veja no /etc/rc.conf... o NORMAL é ser carregado por lá. Veja depois o /etc/rc.local E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d Tem que está em algum desses lugares... eu acredito que esteja no PRIMEIRO (rc.conf) Abraço, -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
Em Tue, 18 May 2010 09:19:19 -0300 pedro almeida.l...@gmail.com, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: SERA QUE ALGUEM CONSEGUE ME INFORMAR não precisa gritar :( tudo o que vc precisa está aqui: http://www.ataliba.eti.br/files/txts/freebsd-pf.pdf divirta-se. flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Todo tecnocrata tem que saber fazer muito bem as quatro operações: ambição, puxação, toma e explicação.[Millôr Fernande] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
valew, raca. Att, Pedro de Almeida - Original Message - From: irado furioso com tudo ir...@bsd.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, May 18, 2010 9:44 AM Subject: Re: [FUG-BR] PF - Ajuda Em Tue, 18 May 2010 09:19:19 -0300 pedro almeida.l...@gmail.com, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: SERA QUE ALGUEM CONSEGUE ME INFORMAR não precisa gritar :( tudo o que vc precisa está aqui: http://www.ataliba.eti.br/files/txts/freebsd-pf.pdf divirta-se. flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Todo tecnocrata tem que saber fazer muito bem as quatro operações: ambição, puxação, toma e explicação.[Millôr Fernande] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF - Ajuda
Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, ela era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando das regras que essa maquina tinha no firewall e depois de alguma pesquisa consegui algo com: # pfctl -sn Mostra as regras atuais de NAT # pfctl -sr Mostra as regras atuais de filtragem Nao consegui localizar o script de firewall, acho que quem configurou mudou os padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que foi apresentado,alguma coisa intendi.Com os comandos acima obtive as seguintes respostas respectivamente:# pfctl -sn Mostra as regras atuais de NAT: nat-anchor pftpx/* allnat-anchor natearly/* allnat-anchor natrules/* allnat on xl0 inet from 10.0.0.0/24 port = isakmp to any port = isakmp - (ng0) port 500 round-robinnat on ng0 inet from 10.0.0.0/24 port = isakmp to any port = isakmp - (ng0) port 500 round-robinnat on xl0 inet from 10.0.0.0/24 port = 5060 to any port = 5060 - (ng0) port 5060 round-robinnat on ng0 inet from 10.0.0.0/24 port = 5060 to any port = 5060 - (ng0) port 5060 round-robinnat on xl0 inet from 10.0.0.0/24 to any - (ng0) port 1024:65535 round-robinnat on ng0 inet from 10.0.0.0/24 to any - (ng0) port 1024:65535 round-robinrdr-anchor pftpx/* allrdr-anchor slb allno rdr on xl1 proto tcp from any to vpns port = ftprdr on xl1 inet proto tcp from any to any port = ftp - 127.0.0.1 port 8021rdr on ng0 inet proto tcp from any to any port = 5901 - 10.0.0.10rdr on ng0 inet proto tcp from any to any port = 8089 - 10.0.0.10 port 8000rdr on ng0 inet proto tcp from any to any port = http - 10.0.0.10 port 8080rdr on ng0 inet proto tcp from any to any port = - 10.0.0.10 port 22rdr-anchor imspector allrdr-anchor miniupnpd all# pfctl -sr Mostra as regras atuais de filtragemscrub all random-id max-mss 1452 fragment reassembleanchor ftpsesame/* allanchor firewallrules allblock drop quick proto tcp from any port = 0 to anyblock drop quick proto tcp from any to any port = 0block drop quick proto udp from any port = 0 to anyblock drop quick proto udp from any to any port = 0block drop quick from snort2c to any label Block snort2c hostsblock drop quick from any to snort2c label Block snort2c hostsblock drop in quick inet6 allblock drop out quick inet6 allanchor loopback allpass in quick on lo0 all flags S/SA keep state label pass loopbackpass out quick on lo0 all flags S/SA keep state label pass loopbackanchor packageearly allanchor carp allanchor dhcpserverlan allpass in quick on xl1 inet proto udp from any port = bootpc to 255.255.255.255 port = bootps keep state label allow access to DHCP server on LANpass in quick on xl1 inet proto udp from any port = bootpc to 10.0.0.1 port = bootps keep state label allow access to DHCP server on LANpass out quick on xl1 inet proto udp from 10.0.0.1 port = bootps to any port = bootpc keep state label allow access to DHCP server on LANblock drop in log quick on xl0 inet proto udp from any port = bootps to 10.0.0.0/24 port = bootpc label block dhcp client out wanblock drop in log quick on ng0 inet proto udp from any port = bootps to 10.0.0.0/24 port = bootpc label block dhcp client out wanblock drop in on ! xl1 inet from 10.0.0.0/24 to anyblock drop in inet from 10.0.0.1 to anyblock drop in on xl1 inet6 from fe80::260:8cff:fef1:879e to anyanchor spoofing allanchor spoofing allblock drop in on xl0 inet6 from fe80::260:8cff:fef1:8800 to anyblock drop in log quick on xl0 inet from 10.0.0.0/8 to any label block private networks from wan block 10/8block drop in log quick on ng0 inet from 10.0.0.0/8 to any label block private networks from wan block 10/8block drop in log quick on xl0 inet from 127.0.0.0/8 to any label block private networks from wan block 127/8block drop in log quick on ng0 inet from 127.0.0.0/8 to any label block private networks from wan block 127/8block drop in log quick on xl0 inet from 172.16.0.0/12 to any label block private networks from wan block 172.16/12block drop in log quick on ng0 inet from 172.16.0.0/12 to any label block private networks from wan block 172.16/12block drop in log quick on xl0 inet from 192.168.0.0/16 to any label block private networks from wan block 192.168/16block drop in log quick on ng0 inet from 192.168.0.0/16 to any label block private networks from wan block 192.168/16anchor limitingesr allblock drop in quick from virusprot to any label virusprot overload tableanchor wanbogons allblock drop in log quick on xl0 from bogons to any label block bogon networks from wanblock drop in log quick on ng0 from bogons to any label block bogon networks from wanpass out quick on xl1 proto icmp all keep state label let out anything from firewall host itselfpass out quick on xl0 proto icmp all keep state label let out anything from firewall host itselfpass out quick on ng0
Re: [FUG-BR] PF - Ajuda
Amigo.. envie novamente.. sem formatação das suas regras .. assim ficou complicado ver.. -- Gustavo Freitas - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF - Ajuda
Segue Anexo arquivo firewall. Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, ela era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando das regras que essa maquina tinha no firewall e depois de alguma pesquisa consegui algo com: # pfctl -sn Mostra as regras atuais de NAT # pfctl -sr Mostra as regras atuais de filtragem Nao consegui localizar o script de firewall, acho que quem configurou mudou os padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que foi apresentado,alguma coisa intendi. pf.rtf Description: Binary data - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
pedro escreveu: Segue Anexo arquivo firewall. Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, ela era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando das regras que essa maquina tinha no firewall e depois de alguma pesquisa consegui algo com: # pfctl -sn Mostra as regras atuais de NAT # pfctl -sr Mostra as regras atuais de filtragem Nao consegui localizar o script de firewall, acho que quem configurou mudou os padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que foi apresentado,alguma coisa intendi. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Pedro, Veja no /etc/rc.conf... o NORMAL é ser carregado por lá. Veja depois o /etc/rc.local E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d Tem que está em algum desses lugares... eu acredito que esteja no PRIMEIRO (rc.conf) Abraço, -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
nslink# cat /etc/rc.conf | grep pf pf_enable=YES pf_rules=/etc/pf.conf Em 14 de maio de 2010 10:11, Welkson Renny de Medeiros welk...@focusautomacao.com.br escreveu: pedro escreveu: Segue Anexo arquivo firewall. Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, ela era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando das regras que essa maquina tinha no firewall e depois de alguma pesquisa consegui algo com: # pfctl -sn Mostra as regras atuais de NAT # pfctl -sr Mostra as regras atuais de filtragem Nao consegui localizar o script de firewall, acho que quem configurou mudou os padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que foi apresentado,alguma coisa intendi. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Pedro, Veja no /etc/rc.conf... o NORMAL é ser carregado por lá. Veja depois o /etc/rc.local E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d Tem que está em algum desses lugares... eu acredito que esteja no PRIMEIRO (rc.conf) Abraço, -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
Segue saida do comando. o rc.conf do freebsd fica em /etc/defaults/rc.conf . Os arquivos presentes na saida, nao consegui encontrar. Como sera que foi implementado. Att, Pedro de Almeida # find / -name pf.conf # cat rc.conf | grep pf swapfile=NO # Set to name of swapfile if aux swapfile desired. firewall_flags= # Flags passed to ipfw when type is a file ipfilter_enable=NO# Set to YES to enable ipfilter functionality ipfilter_program=/sbin/ipf# where the ipfilter program lives ipfilter_rules=/etc/ipf.rules # rules definition file for ipfilter, see # /usr/src/contrib/ipfilter/rules for examples ipfilter_flags= # additional flags for ipfilter ipmon_enable=NO # Set to YES for ipmon; needs ipfilter or ipnat ipmon_program=/sbin/ipmon # where the ipfilter monitor program lives ipmon_flags=-Ds # typically -Ds or -D /var/log/ipflog ipfs_enable=NO# Set to YES to enable saving and restoring ipfs_program=/sbin/ipfs # where the ipfs program lives ipfs_flags= # additional flags for ipfs pf_enable=NO # Set to YES to enable packet filter (pf) pf_rules=/etc/pf.conf # rules definition file for pf pf_program=/sbin/pfctl# where the pfctl program lives pf_flags= # additional flags for pfctl pflog_enable=NO # Set to YES to enable packet filter logging pflog_logfile=/var/log/pflog # where pflogd should store the logfile pflog_program=/sbin/pflogd# where the pflogd program lives pflog_flags= # additional flags for pflogd ftpproxy_enable=NO# Set to YES to enable ftp-proxy(8) for pf pfsync_enable=NO # Expose pf state to other hosts for syncing pfsync_syncdev= # Interface for pfsync to work through pfsync_syncpeer= # IP address of pfsync peer host pfsync_ifconfig= # Additional options to ifconfig(8) for pfsync ipv6_ipfilter_rules=/etc/ipf6.rules # rules definition file for ipfilter, # see /usr/src/contrib/ipfilter/rules - Original Message - From: Alessandro de Souza Rocha etherlin...@gmail.com To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Friday, May 14, 2010 11:11 AM Subject: Re: [FUG-BR] PF - Ajuda nslink# cat /etc/rc.conf | grep pf pf_enable=YES pf_rules=/etc/pf.conf Em 14 de maio de 2010 10:11, Welkson Renny de Medeiros welk...@focusautomacao.com.br escreveu: pedro escreveu: Segue Anexo arquivo firewall. Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, ela era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando das regras que essa maquina tinha no firewall e depois de alguma pesquisa consegui algo com: # pfctl -sn Mostra as regras atuais de NAT # pfctl -sr Mostra as regras atuais de filtragem Nao consegui localizar o script de firewall, acho que quem configurou mudou os padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que foi apresentado,alguma coisa intendi. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Pedro, Veja no /etc/rc.conf... o NORMAL é ser carregado por lá. Veja depois o /etc/rc.local E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d Tem que está em algum desses lugares... eu acredito que esteja no PRIMEIRO (rc.conf) Abraço, -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
Em Fri, 14 May 2010 11:41:56 -0300 pedro almeida.l...@gmail.com, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: Segue saida do comando. o rc.conf do freebsd fica em /etc/defaults/rc.conf . engano.. o rc.conf do freebsd fica mesmo em /etc. O que vc referiu é o arquivo padrão, que NÃO deve sofrer alterações. revise: grep -i pf /etc/rc.conf e NÃO o outro. As regras PROVAVELMENTE encontram-se em pf.conf; se não estiverem, vai ter que revisar os vários arquivos que estão sob /etc/ pra facilitar sugiro procurar por palavras chave: grep -i scrub (ou anchor ou drop ou qualquer outra) /etc/* -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free A filosofia é composta de respostas incompreensíveis para questões insolúveis. Henry B. Adams, historiador americano - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] pf + squid 2.7 transparent
Bruno,
Tente este meu tuto ae:
http://bi0os.blogspot.com/2010/04/openbsd-with-squidnamed.html
Fiz exatamente isto a uns dias atras e funcionou sem problemas.
./flw
--
[*] CCNA Certified
[*] LPIC-1 Certified
[*] Security Enthusiast
On 05/07/2010 10:45 AM, Bruno Torres Viana wrote:
Senhores,
Estou tomando uma surra aqui para configurar um proxy transparent com PF e
Squid 2.7, se eu colocar no browser o proxy manual funciona, funciona telnet
também na porta 3128 tanto da máquina quanto do servidor. Alguém pode dar
uma luz? Segue:
PF.CONF
# Placas de rede
ext_if=rl0 #External interface firewall
int_if=nfe0 #Internal interface firewall
web = { www, 8080, 8000 }
internal_net = 192.168.24.0/24
external_net = 192.168.1.0/24
caixa = { 200.201.173.68 200.201.166.240 }
set skip on lo
scrub in all
nat on $ext_if from $internal_net to any - ($ext_if)
no rdr on $int_if proto tcp from any to $caixa
rdr pass log on $int_if proto tcp from any to any port $web - 127.0.0.1
port 3128
pass in log on $int_if inet proto tcp from any to 127.0.0.1 port 3128 keep
state
block log all
block out quick log on $ext_if proto { tcp, udp } from any to any port 161
# Regra de antispoof para interface interna
antispoof log quick for { lo $int_if } inet
# Aceita saida da loopback
pass out on lo from lo0 to lo0 keep state
pass out from {lo0, $ext_if} to any keep state
# Aceita trafego na rede interna
pass log on $int_if from $internal_net to $internal_net
# Aceita trafego de saida na interface externa com regras statefull
pass log proto tcp from { $internal_net, $external_net } to any port 1024
modulate state flags S/SA
pass out log on $ext_if proto { udp, icmp } all keep state
pass in log on $int_if proto { udp, icmp } all keep state
SQUID.CONF
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl all src all
acl localnet src 192.168.24.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
icp_access allow localnet
icp_access deny all
http_port 3128 transparent *JÁ COLOQUEI http_port
127.0.0.1:3128transparent TAMBÉM
*
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320
icp_port 3130
coredump_dir /usr/local/squid/cache
Obrigado!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] pf + squid 2.7 transparent
Senhores,
Estou tomando uma surra aqui para configurar um proxy transparent com PF e
Squid 2.7, se eu colocar no browser o proxy manual funciona, funciona telnet
também na porta 3128 tanto da máquina quanto do servidor. Alguém pode dar
uma luz? Segue:
PF.CONF
# Placas de rede
ext_if=rl0 #External interface firewall
int_if=nfe0 #Internal interface firewall
web = { www, 8080, 8000 }
internal_net = 192.168.24.0/24
external_net = 192.168.1.0/24
caixa = { 200.201.173.68 200.201.166.240 }
set skip on lo
scrub in all
nat on $ext_if from $internal_net to any - ($ext_if)
no rdr on $int_if proto tcp from any to $caixa
rdr pass log on $int_if proto tcp from any to any port $web - 127.0.0.1
port 3128
pass in log on $int_if inet proto tcp from any to 127.0.0.1 port 3128 keep
state
block log all
block out quick log on $ext_if proto { tcp, udp } from any to any port 161
# Regra de antispoof para interface interna
antispoof log quick for { lo $int_if } inet
# Aceita saida da loopback
pass out on lo from lo0 to lo0 keep state
pass out from {lo0, $ext_if} to any keep state
# Aceita trafego na rede interna
pass log on $int_if from $internal_net to $internal_net
# Aceita trafego de saida na interface externa com regras statefull
pass log proto tcp from { $internal_net, $external_net } to any port 1024
modulate state flags S/SA
pass out log on $ext_if proto { udp, icmp } all keep state
pass in log on $int_if proto { udp, icmp } all keep state
SQUID.CONF
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl all src all
acl localnet src 192.168.24.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
icp_access allow localnet
icp_access deny all
http_port 3128 transparent *JÁ COLOQUEI http_port
127.0.0.1:3128transparent TAMBÉM
*
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320
icp_port 3130
coredump_dir /usr/local/squid/cache
Obrigado!
--
---
Bruno Torres Viana
Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante
por opção!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] pf + squid 2.7 transparent
Em 7 de maio de 2010 10:45, Bruno Torres Viana btvi...@gmail.com escreveu: Senhores, Estou tomando uma surra aqui para configurar um proxy transparent com PF e Squid 2.7, se eu colocar no browser o proxy manual funciona, funciona telnet também na porta 3128 tanto da máquina quanto do servidor. Alguém pode dar uma luz? Obrigado! Bruno, Verifique se o Squid foi compilado com a opção SQUID_PF setada. Depois é só configurar: rdr on $usr1_if proto tcp from 10.0.16.0/24 to any port 80 - 127.0.0.1 port 3122 http_port 127.0.0.1:3122 transparent - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] pf + squid 2.7 transparent
Então, isso tudo eu já fiz, estava escrito nas regras. Meui squid já está compilado para pf_transparente Squid Cache: Version 2.7.STABLE9 configure options: '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=SMB' '--with-pthreads' '--enable-storeio=ufs diskd null aufs' '--enable-delay-pools' '--disable-carp' '--enable-icmp' '--enable-referer-log' '--enable-useragent-log' '--enable-arp-acl' '* --enable-pf-transparent*' '--enable-err-languages=Armenian Azerbaijani Bulgarian Catalan Czech Danish Dutch English Estonian Finnish French German Greek Hebrew Hungarian Italian Japanese Korean Lithuanian Polish Portuguese Romanian Russian-1251 Russian-koi8-r Serbian Simplify_Chinese Slovak Spanish Swedish Traditional_Chinese Turkish Ukrainian-1251 Ukrainian-koi8-u Ukrainian-utf8' '--enable-default-err-language=English' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd7.3' 'build_alias=i386-portbld-freebsd7.3' 'CC=cc' 'CFLAGS=-O2 -fno-strict-aliasing -pipe ' 'LDFLAGS=' 'CPPFLAGS=' Obrigado! Em 7 de maio de 2010 13:14, Wanderson Tinti wander...@bsd.com.br escreveu: Em 7 de maio de 2010 10:45, Bruno Torres Viana btvi...@gmail.com escreveu: Senhores, Estou tomando uma surra aqui para configurar um proxy transparent com PF e Squid 2.7, se eu colocar no browser o proxy manual funciona, funciona telnet também na porta 3128 tanto da máquina quanto do servidor. Alguém pode dar uma luz? Obrigado! Bruno, Verifique se o Squid foi compilado com a opção SQUID_PF setada. Depois é só configurar: rdr on $usr1_if proto tcp from 10.0.16.0/24 to any port 80 - 127.0.0.1 port 3122 http_port 127.0.0.1:3122 transparent - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Bruno Torres Viana Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] pf + squid 2.7 transparent
Tenho uma duvida como seria as regras para squid localizado em outra maquina que não seja o firewall ?? Em 7 de maio de 2010 13:37, Bruno Torres Viana btvi...@gmail.com escreveu: Então, isso tudo eu já fiz, estava escrito nas regras. Meui squid já está compilado para pf_transparente Squid Cache: Version 2.7.STABLE9 configure options: '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=SMB' '--with-pthreads' '--enable-storeio=ufs diskd null aufs' '--enable-delay-pools' '--disable-carp' '--enable-icmp' '--enable-referer-log' '--enable-useragent-log' '--enable-arp-acl' '* --enable-pf-transparent*' '--enable-err-languages=Armenian Azerbaijani Bulgarian Catalan Czech Danish Dutch English Estonian Finnish French German Greek Hebrew Hungarian Italian Japanese Korean Lithuanian Polish Portuguese Romanian Russian-1251 Russian-koi8-r Serbian Simplify_Chinese Slovak Spanish Swedish Traditional_Chinese Turkish Ukrainian-1251 Ukrainian-koi8-u Ukrainian-utf8' '--enable-default-err-language=English' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd7.3' 'build_alias=i386-portbld-freebsd7.3' 'CC=cc' 'CFLAGS=-O2 -fno-strict-aliasing -pipe ' 'LDFLAGS=' 'CPPFLAGS=' Obrigado! Em 7 de maio de 2010 13:14, Wanderson Tinti wander...@bsd.com.br escreveu: Em 7 de maio de 2010 10:45, Bruno Torres Viana btvi...@gmail.com escreveu: Senhores, Estou tomando uma surra aqui para configurar um proxy transparent com PF e Squid 2.7, se eu colocar no browser o proxy manual funciona, funciona telnet também na porta 3128 tanto da máquina quanto do servidor. Alguém pode dar uma luz? Obrigado! Bruno, Verifique se o Squid foi compilado com a opção SQUID_PF setada. Depois é só configurar: rdr on $usr1_if proto tcp from 10.0.16.0/24 to any port 80 - 127.0.0.1 port 3122 http_port 127.0.0.1:3122 transparent - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Bruno Torres Viana Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Thiago Gomes - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] pf + squid 2.7 transparent
Teoricamente ao invés de utilizar rdr on $ext_if proto tcp from $internal_net to any port www - 127.0.0.1 port 3128 seria rdr on $ext_if proto tcp from $internal_net to any port www - IP_DO_SQUID port 3128 Em 7 de maio de 2010 13:40, Thiago Gomes thiagome...@gmail.com escreveu: Tenho uma duvida como seria as regras para squid localizado em outra maquina que não seja o firewall ?? Em 7 de maio de 2010 13:37, Bruno Torres Viana btvi...@gmail.com escreveu: Então, isso tudo eu já fiz, estava escrito nas regras. Meui squid já está compilado para pf_transparente Squid Cache: Version 2.7.STABLE9 configure options: '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=SMB' '--with-pthreads' '--enable-storeio=ufs diskd null aufs' '--enable-delay-pools' '--disable-carp' '--enable-icmp' '--enable-referer-log' '--enable-useragent-log' '--enable-arp-acl' '* --enable-pf-transparent*' '--enable-err-languages=Armenian Azerbaijani Bulgarian Catalan Czech Danish Dutch English Estonian Finnish French German Greek Hebrew Hungarian Italian Japanese Korean Lithuanian Polish Portuguese Romanian Russian-1251 Russian-koi8-r Serbian Simplify_Chinese Slovak Spanish Swedish Traditional_Chinese Turkish Ukrainian-1251 Ukrainian-koi8-u Ukrainian-utf8' '--enable-default-err-language=English' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd7.3' 'build_alias=i386-portbld-freebsd7.3' 'CC=cc' 'CFLAGS=-O2 -fno-strict-aliasing -pipe ' 'LDFLAGS=' 'CPPFLAGS=' Obrigado! Em 7 de maio de 2010 13:14, Wanderson Tinti wander...@bsd.com.br escreveu: Em 7 de maio de 2010 10:45, Bruno Torres Viana btvi...@gmail.com escreveu: Senhores, Estou tomando uma surra aqui para configurar um proxy transparent com PF e Squid 2.7, se eu colocar no browser o proxy manual funciona, funciona telnet também na porta 3128 tanto da máquina quanto do servidor. Alguém pode dar uma luz? Obrigado! Bruno, Verifique se o Squid foi compilado com a opção SQUID_PF setada. Depois é só configurar: rdr on $usr1_if proto tcp from 10.0.16.0/24 to any port 80 - 127.0.0.1 port 3122 http_port 127.0.0.1:3122 transparent - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Bruno Torres Viana Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Thiago Gomes - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Bruno Torres Viana Analista de Segurança da Informaçao Contato: (27) 8823-0751 Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e roteamendo VPN
Em Thu, 8 Apr 2010 02:52:52 -0300 Nilson nil...@forge.com.br, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: Ficam aqui meus R$10 reaus da madrugada. hahahah LOL - valeu bem mais do que isso (rs), tudo convertido em cervejinha com provolone banhado no azeite e orégano :) -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Nunca se ache demais, pois tudo o que é demais sobra, tudo o que sobra é resto e tudo o que é resto vai para o lixo (Anonimo) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e roteamendo VPN
Po, foi de grande ajuda mesmo meu caro, e vi que a solução mais viável seria a LAN2 estar em outra LAN, tipo 192.168.100.x, visto que não da pra segmentar essa 192.168.0.x que tenho hoje. Porem surge algumas dúvidas, posso colocar outra interface2 neste SERVER 2 e subir a nova range nela ? Com isso bastaria adicionar as rotas entre as LANs ? Agradeço desde já a atenção Att Leandro Keffer Em 8 de abril de 2010 07:19, irado furioso com tudo ir...@bsd.com.brescreveu: Em Thu, 8 Apr 2010 02:52:52 -0300 Nilson nil...@forge.com.br, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: Ficam aqui meus R$10 reaus da madrugada. hahahah LOL - valeu bem mais do que isso (rs), tudo convertido em cervejinha com provolone banhado no azeite e orégano :) -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Nunca se ache demais, pois tudo o que é demais sobra, tudo o que sobra é resto e tudo o que é resto vai para o lixo (Anonimo) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e roteamendo VPN
Segui o conselho e fiz uma segunda LAN para o servidor 2 (192.168.100.x) Porem quando vou adicionar a rota no SERVER 1 com o gw da VPN ele da erro route add -net 192.168.100.0/24 192.168.15.1 route: writing to routing socket: Network is unreachable add net 192.168.100.0: gateway 192.168.15.1: Network is unreachable Lembrando que o 192.168.15.1 é o GW da VPN do SERVER 2. Posso estar marcando bobera nesta parte Atenciosamente Leandro Keffer Em 8 de abril de 2010 09:20, Leandro Keffer keffer...@gmail.com escreveu: Po, foi de grande ajuda mesmo meu caro, e vi que a solução mais viável seria a LAN2 estar em outra LAN, tipo 192.168.100.x, visto que não da pra segmentar essa 192.168.0.x que tenho hoje. Porem surge algumas dúvidas, posso colocar outra interface2 neste SERVER 2 e subir a nova range nela ? Com isso bastaria adicionar as rotas entre as LANs ? Agradeço desde já a atenção Att Leandro Keffer Em 8 de abril de 2010 07:19, irado furioso com tudo ir...@bsd.com.brescreveu: Em Thu, 8 Apr 2010 02:52:52 -0300 Nilson nil...@forge.com.br, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: Ficam aqui meus R$10 reaus da madrugada. hahahah LOL - valeu bem mais do que isso (rs), tudo convertido em cervejinha com provolone banhado no azeite e orégano :) -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Nunca se ache demais, pois tudo o que é demais sobra, tudo o que sobra é resto e tudo o que é resto vai para o lixo (Anonimo) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF com falha ICMP
Em 6 de abril de 2010 21:31, Giancarlo Rubio gianru...@gmail.com escreveu: Perdão envie do celular sem editar. Renata, de uma olhada no symon[1], ele faz esse tipo de grafico que voce quer. [1] www.xs4all.nl/~wpd/*symon*/ Em 6 de abril de 2010 21:19, Giancarlo Rubio gianru...@gmail.com escreveu: remara, Dmse uma olhada no symon. Ele faz esses grafixos o q vc quer. Em 4 6, 2010 9:09 PM, Renata Dias renatchi...@gmail.comescreveu: Em 6 de abril de 2010 17:46, Vinicius Abrahao vinnix@gmail.com escreveu: 2010/4/3 Renata Dias renatchi...@gmail.com: Pessoal, Consegui resolver essa falha... Oi Vinicius, Eu configurei o bsnmp habiliando o PF nele e no net-snmp eu adicionei a seguinte linha: exec -v2c -c secret localhost:3408 .1.3.6.1.4.1.12325 Ai quando eu rodo o snmpwalk ele me da toda a saída do PF: # snmpwalk -v2c -c secret localhost .1.3.6.1.4.1.12325 | more Porém a MIB do PF só informa a contagem de bytes para as regras de pass e drop, ele até mostra as filas configuradas no ALTQ, mas não achei nada em relação a contagem de bytes de cada uma das filas pra poder gerar graficos de acordo com o uso de cada fila. No site do cacti tem template pra PF, mas apenas para as regras de pass e drop, afinal ele pega esses dados via SNMP. O que estou fazendo é criando um script que pegue os dados (bytes) de cada fila via o comando pfctl e envie para este mesmo template do cacti, como se fosse o trafego que ele pega via SNMP. Entendeu? Se alguém de lista ja tiver isso desenvolvido poderia dar umas dicas.. indicar o caminho das pedras.. rsrs Até ! -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: ht... -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Giancarlo, Ja haviam me indicado o Symon em um outro tópico relacionado a isso que eu tbm mandei na lista. Estou instalando e vou testar, mas é que seria intreressante unificar os graficos em um só sistema. De qualquer forma, muito obrigada. -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e roteamendo VPN
Opa meu caro, claro que nao ofenede, mas nao é isso que quero nao Tipo, tenho uma lan (192.168.0.0/24) e dois servidores com um link cada Cada servidor desse tem uma VPN independente Porem dentro da LAN se uso o GW do server1 por exemplo, acesso a VPN que esta nele normalmente Agora preciso acessar as maquinas que estao na VPN do server2, utilizando o GW do server1 Utilizo FreeBSD e PF em ambos servidores, qual seria o caminho das pedras ? Agradeço desde ja e qualquer coisa tento exemplicar melhor Att Leandro Keffer Em 6 de abril de 2010 17:02, irado furioso com tudo ir...@bsd.com.brescreveu: Em Tue, 6 Apr 2010 11:06:09 -0300 Leandro Keffer keffer...@gmail.com, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: Agora tive a necessidade de subir uma VPN no outro link (Gw .252) e gostaria de disponibilizar acesso a LAN para as maquinas que utilizam o Gw .254 acho que ninguém conseguiu entender a pergunta, então não custa (perguntar não ofende): vc quer que as máquinas que estão na outra ponta de um vpn acessem a internet através dessa outra aqui? err.. por favor, reformule. Ou redefina. flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Rico em um prostíbulo: Buscando uma aventura Pobre em um prostíbulo: Buscando a esposa... - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e roteamendo VPN
Em 7 de abril de 2010 14:28, Leandro Keffer keffer...@gmail.com escreveu: Opa meu caro, claro que nao ofenede, mas nao é isso que quero nao Entao Leando, tens algumas formas de fazer isso, vou dar minha ideia do que acredito ser o mais correto. Tipo, tenho uma lan (192.168.0.0/24) e dois servidores com um link cada Cada servidor desse tem uma VPN independente Porem dentro da LAN se uso o GW do server1 por exemplo, acesso a VPN que esta nele normalmente Vamos botar nomes, LAN1=192.168.0.0/24, GW1=192.168.0.254/24 (outro ip?), SERVER1=192.168.0.254/24 (outro ip?), e temos que criar uma nova rede para a VPN, digamos VPN1=10.250.250.1/24 Agora preciso acessar as maquinas que estao na VPN do server2, utilizando o GW do server1 Voce quis dizer acessar as maquinas que estao na LAN do server 2, a LAN2=192.168.0.0/24 ? Na minha opniao aqui esta o erro todo da ideia, por ser a mesma rede logica LAN1 - GW2=192.168.0.252/24 e SERVER2=GW2 Utilizo FreeBSD e PF em ambos servidores, qual seria o caminho das pedras ? Firewall nao vem muito ao caso nesse momento que eh de fazer funcionar, depois vc aplica o firewall pra bloquear o tipo de comunicacao que quiseres entre LAN1 e LAN2. Agradeço desde ja e qualquer coisa tento exemplicar melhor Vamos la, a grande dificuldade esta sendo causada pelo fato de voce ter duas LANs fisicamente distintas usando a mesma classe de enderecos, e por isso nao tem como ser criada uma simples rota de IPs (o que trabalharia apenas com o trafego da camada 3) pois quando uma maquina qualquer M1=192.168.0.35/24 da LAN1 quer se comunicar com uma da LAN2 como por ex. M2=192.168.0.176/24, o sub-systema de tcp/ip do proprio sistema operacional vai dizer pro kernel usar uma camada abaixo: a rede logica eh a mesma que a nossa, manda o sub-systema ethernet descobrir quem eh M2 e mandar esse trafego pra la, e esse sub-sys ether como ainda nao sabe quem eh M2 (nao possui uma entrada ARP na tabela de MAC addresses), vai mandar um broadcast ether pra ff:ff:ff:ff:ff:ff perguntando WHO HAS 192.168.0.176, e todas as maquinas do mesmo segmento fisico na LAN1 vao receber esse pacotinho inclusive o GW1 que teria que repassar (proxy arp) esse broadc arp pro outro lado do tunnel, atuando como se fosse uma BRIDGE e gerando esse trafego extra. (Isso foi um exemplo de pacote, mas nao eh o unico tipo de pacotinho que vai passar, existe muito lixao camada2 dos ARPs e NetBIOSes da vida que vai tentar ir pro outro lado). Voce pode resolver isso numa boa usando uma bridge, porem acho uma ma solucao devido a esse trafego l2 que voce tera que arcar em cima do link, ainda mais se for algo limitado e de baixa garantia como uma ADSL residencial. Pra resolver a treta toda bastaria que LAN2 fosse uma rede logicamente diferente, como LAN2=192.168.100.0/24 ou talvez dividir a atual 192.168.0.0/24 em duas /25 = LAN1=192.168.0.0/25 (enderecos ate 127) e LAN2=192.168.0.128/25 (com o resto ate 255) e voce precisaria mudar o GW1 pra um IP da rede LAN1 tal como 192.168.0.126. Ai seria a ideia da simples rota: no BSD GW1=192.168.0.126/25 com a VPN1=10.250.250.1 (route add $LAN2 $VPN2): # route add 192.168.0.128/25 10.250.250.2 e no GW2=192.168.0.252/25 com a VPN2=10.250.250.2 (route add $LAN1 $VPN1): # route add 192.168.0.0/25 10.250.250.1 Agora quando M1 (.35/25) quer se comunicar com M2 (176/25) o sys tcp/ip vendo que eh outra rede resolve que esse pacote deve ser mandado pra frente, ou seja pro seu default gateway GW1, que conhecendo a rota pra LAN2 manda aquele mesmo pacotinho provindo da M1 para o seu tunnel VPN seja la qual for, bastando existir o tunnel e gateway_enable. Entendeu o conceito todo? Atende as necessidades? Ficam aqui meus R$10 reaus da madrugada. hahahah -- Nilson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF e roteamendo VPN
Bom dia pessoal, estou com uma pequena duvida sobre roteamento de uma VPN para dentro de uma LAN Seguinte, tenho dois servidores em dois links, GWs distintos (.252 e .254) dentro da msm range (192.168.0.x) Tenho uma vpn no .254 e o nat para dentro da LAN funciona normal Agora tive a necessidade de subir uma VPN no outro link (Gw .252) e gostaria de disponibilizar acesso a LAN para as maquinas que utilizam o Gw .254 Lembrando que utilizo PF como Fw Desde já agradeço a todos Att Leandro Keffer - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF e roteamendo VPN
Bom dia pessoal, estou com uma pequena duvida sobre roteamento de uma VPN para dentro de uma LAN Seguinte, tenho dois servidores em dois links, GWs distintos (.252 e .254) dentro da msm range (192.168.0.x) Tenho uma vpn no .254 e o nat para dentro da LAN funciona normal Agora tive a necessidade de subir uma VPN no outro link (Gw .252) e gostaria de disponibilizar acesso a LAN para as maquinas que utilizam o Gw .254 Lembrando que utilizo PF como Fw Desde já agradeço a todos Att Leandro Keffer - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e roteamendo VPN
Em Tue, 6 Apr 2010 11:06:09 -0300 Leandro Keffer keffer...@gmail.com, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: Agora tive a necessidade de subir uma VPN no outro link (Gw .252) e gostaria de disponibilizar acesso a LAN para as maquinas que utilizam o Gw .254 acho que ninguém conseguiu entender a pergunta, então não custa (perguntar não ofende): vc quer que as máquinas que estão na outra ponta de um vpn acessem a internet através dessa outra aqui? err.. por favor, reformule. Ou redefina. flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Rico em um prostíbulo: Buscando uma aventura Pobre em um prostíbulo: Buscando a esposa... - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF com falha ICMP
2010/4/3 Renata Dias renatchi...@gmail.com: Pessoal, Consegui resolver essa falha aumentando a banda na minha fila pai total e total_out, pois ambas estavam definidas em 34Mb que e o trafego estava no limite... por isso a mensagem de no buffer space. Aumentei pra 80Mb (embora eu não tenha todo esse link de saída pra internet) e alterei algumas sysctl tbm. # PF + ALTQ net.inet.ip.intr_queue_maxlen=200 kern.ipc.somaxconn=512 kern.ipc.maxsockbuf=1048576 Sistema está agora 100% funcional!! Estou editando um template de PF para Cati pra medir o trafego de cada uma das filas porque não achei pronto nenhum :( Valew !! Oi Renata, vc está usando um script pra coletar os dados para o Cacti? Ou usando algo como bsnmpd? Ainda não montei uma solução com ALTQ mas já quero deixar as coisas meio que definidas por aqui... alguma recomendação? Abs, Vinícius - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF com falha ICMP
Em 6 de abril de 2010 17:46, Vinicius Abrahao vinnix@gmail.comescreveu: 2010/4/3 Renata Dias renatchi...@gmail.com: Pessoal, Consegui resolver essa falha aumentando a banda na minha fila pai total e total_out, pois ambas estavam definidas em 34Mb que e o trafego estava no limite... por isso a mensagem de no buffer space. Aumentei pra 80Mb (embora eu não tenha todo esse link de saída pra internet) e alterei algumas sysctl tbm. # PF + ALTQ net.inet.ip.intr_queue_maxlen=200 kern.ipc.somaxconn=512 kern.ipc.maxsockbuf=1048576 Sistema está agora 100% funcional!! Estou editando um template de PF para Cati pra medir o trafego de cada uma das filas porque não achei pronto nenhum :( Valew !! Oi Renata, vc está usando um script pra coletar os dados para o Cacti? Ou usando algo como bsnmpd? Ainda não montei uma solução com ALTQ mas já quero deixar as coisas meio que definidas por aqui... alguma recomendação? Abs, Vinícius - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Oi Vinicius, Eu configurei o bsnmp habiliando o PF nele e no net-snmp eu adicionei a seguinte linha: exec -v2c -c secret localhost:3408 .1.3.6.1.4.1.12325 Ai quando eu rodo o snmpwalk ele me da toda a saída do PF: # snmpwalk -v2c -c secret localhost .1.3.6.1.4.1.12325 | more Porém a MIB do PF só informa a contagem de bytes para as regras de pass e drop, ele até mostra as filas configuradas no ALTQ, mas não achei nada em relação a contagem de bytes de cada uma das filas pra poder gerar graficos de acordo com o uso de cada fila. No site do cacti tem template pra PF, mas apenas para as regras de pass e drop, afinal ele pega esses dados via SNMP. O que estou fazendo é criando um script que pegue os dados (bytes) de cada fila via o comando pfctl e envie para este mesmo template do cacti, como se fosse o trafego que ele pega via SNMP. Entendeu? Se alguém de lista ja tiver isso desenvolvido poderia dar umas dicas.. indicar o caminho das pedras.. rsrs Até ! -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF com falha ICMP
remara, Dmse uma olhada no symon. Ele faz esses grafixos o q vc quer. Em 4 6, 2010 9:09 PM, Renata Dias renatchi...@gmail.comescreveu: Em 6 de abril de 2010 17:46, Vinicius Abrahao vinnix@gmail.com escreveu: 2010/4/3 Renata Dias renatchi...@gmail.com: Pessoal, Consegui resolver essa falha... Oi Vinicius, Eu configurei o bsnmp habiliando o PF nele e no net-snmp eu adicionei a seguinte linha: exec -v2c -c secret localhost:3408 .1.3.6.1.4.1.12325 Ai quando eu rodo o snmpwalk ele me da toda a saída do PF: # snmpwalk -v2c -c secret localhost .1.3.6.1.4.1.12325 | more Porém a MIB do PF só informa a contagem de bytes para as regras de pass e drop, ele até mostra as filas configuradas no ALTQ, mas não achei nada em relação a contagem de bytes de cada uma das filas pra poder gerar graficos de acordo com o uso de cada fila. No site do cacti tem template pra PF, mas apenas para as regras de pass e drop, afinal ele pega esses dados via SNMP. O que estou fazendo é criando um script que pegue os dados (bytes) de cada fila via o comando pfctl e envie para este mesmo template do cacti, como se fosse o trafego que ele pega via SNMP. Entendeu? Se alguém de lista ja tiver isso desenvolvido poderia dar umas dicas.. indicar o caminho das pedras.. rsrs Até ! -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: ht... - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF com falha ICMP
Perdão envie do celular sem editar. Renata, de uma olhada no symon[1], ele faz esse tipo de grafico que voce quer. [1] www.xs4all.nl/~wpd/*symon*/ Em 6 de abril de 2010 21:19, Giancarlo Rubio gianru...@gmail.com escreveu: remara, Dmse uma olhada no symon. Ele faz esses grafixos o q vc quer. Em 4 6, 2010 9:09 PM, Renata Dias renatchi...@gmail.comescreveu: Em 6 de abril de 2010 17:46, Vinicius Abrahao vinnix@gmail.com escreveu: 2010/4/3 Renata Dias renatchi...@gmail.com: Pessoal, Consegui resolver essa falha... Oi Vinicius, Eu configurei o bsnmp habiliando o PF nele e no net-snmp eu adicionei a seguinte linha: exec -v2c -c secret localhost:3408 .1.3.6.1.4.1.12325 Ai quando eu rodo o snmpwalk ele me da toda a saída do PF: # snmpwalk -v2c -c secret localhost .1.3.6.1.4.1.12325 | more Porém a MIB do PF só informa a contagem de bytes para as regras de pass e drop, ele até mostra as filas configuradas no ALTQ, mas não achei nada em relação a contagem de bytes de cada uma das filas pra poder gerar graficos de acordo com o uso de cada fila. No site do cacti tem template pra PF, mas apenas para as regras de pass e drop, afinal ele pega esses dados via SNMP. O que estou fazendo é criando um script que pegue os dados (bytes) de cada fila via o comando pfctl e envie para este mesmo template do cacti, como se fosse o trafego que ele pega via SNMP. Entendeu? Se alguém de lista ja tiver isso desenvolvido poderia dar umas dicas.. indicar o caminho das pedras.. rsrs Até ! -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: ht... -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF com falha ICMP
Pessoal,
Consegui resolver essa falha aumentando a banda na minha fila pai total
e total_out, pois ambas estavam definidas em 34Mb que e o trafego estava no
limite... por isso a mensagem de no buffer space. Aumentei pra 80Mb
(embora eu não tenha todo esse link de saída pra internet) e alterei algumas
sysctl tbm.
# PF + ALTQ
net.inet.ip.intr_queue_maxlen=200
kern.ipc.somaxconn=512
kern.ipc.maxsockbuf=1048576
Sistema está agora 100% funcional!! Estou editando um template de PF para
Cati pra medir o trafego de cada uma das filas porque não achei pronto
nenhum :(
Valew !!
Em 23 de março de 2010 12:22, Renata Dias renatchi...@gmail.com escreveu:
Em 19 de março de 2010 16:34, Aline Freitas al...@bsd.com.br escreveu:
Renata,
Eu já fiquei com minha rede assim devido a otimizações mal feitas no
sysctl.conf. O que você tem nele?
[]'s
Aline
On Mar 19, 2010, at 10:37 AM, Renata Dias wrote:
Caros,
Encontrei varias discussões a respeito da minha dúvida, porém
nenhuma
com solução!
Eu ativo o pf e a rede passa a responder com No buffer space
available.
Testei algumas opções que encontrei na internet, como: set limit
{ states
10, src-nodes 10, frags 5000 } , porém sem
sucesso.
Segue meu pf.conf
if_wan_upload=em0
if_lan_download=em1
table rede_interna { 192.168.0.0/24, 10.0.10.0/24 }
altq on $if_wan_upload hfsc bandwidth 100% queue total_out
queue total_out bandwidth 34Mb hfsc(upperlimit 34Mb) { ping_out
voip_out
dns_out http-https_out pop_out smtp_out ssh_out outros_out p2p_out }
queue ping_out bandwidth 6% priority 9 hfsc(upperlimit 100%
realtime 6%
ecn red)
queue voip_out bandwidth 5% priority 8 hfsc(upperlimit 100%
realtime 5%
ecn red)
queue dns_out bandwidth 2% priority 7 hfsc(upperlimit 100% realtime
2% ecn
red)
queue http-https_out bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime 60% ecn red)
queue ssh_out bandwidth 2% priority 5 hfsc(upperlimit 100% realtime
2% ecn
red)
queue smtp_out bandwidth 5% priority 4 hfsc(upperlimit 100%
realtime 5%
ecn red)
queue pop_out bandwidth 5% priority 3 hfsc(upperlimit 100% realtime
5% ecn
red)
queue outros_out bandwidth 10% priority 2 hfsc(upperlimit 95%
realtime 10%
ecn red default)
queue p2p_out bandwidth 5% priority 1 hfsc(upperlimit 80% realtime
5% ecn
red)
altq on $if_lan_download hfsc bandwidth 100Mb queue total
queue total bandwidth 34Mb hfsc(upperlimit 34Mb) { ping voip dns
http-https
ssh smtp pop outros p2p }
queue ping bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6%
ecn
red)
queue voip bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue dns bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue http-https bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime
60% ecn red)
queue ssh bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue smtp bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue pop bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue outros bandwidth 10% priority 2 hfsc(upperlimit 95% realtime
10% ecn
red default)
queue p2p bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5%
ecn red)
pass in quick on $if_wan_upload proto icmp from rede_interna to
any keep
state queue ping_out
pass in quick on $if_lan_download proto icmp from rede_interna to
any keep
state queue ping
pass in quick on $if_wan_upload proto { tcp, udp } from
rede_interna to
any port 53 keep state queue dns_out
pass in quick on $if_lan_download proto { tcp, udp } from
rede_interna to
any port 53 keep state queue dns
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port {
80, 443 } keep state queue http-https_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
{ 80, 443 } keep state queue http-https
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port
110 keep state queue pop_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
110 keep state queue pop
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port 25
keep state queue smtp_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
25 keep state queue smtp
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port 22
keep state queue ssh_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
22 keep state queue ssh
--
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Oi Aline,
# MAC
Re: [FUG-BR] PF com falha ICMP
Em 19 de março de 2010 16:34, Aline Freitas al...@bsd.com.br escreveu:
Renata,
Eu já fiquei com minha rede assim devido a otimizações mal feitas no
sysctl.conf. O que você tem nele?
[]'s
Aline
On Mar 19, 2010, at 10:37 AM, Renata Dias wrote:
Caros,
Encontrei varias discussões a respeito da minha dúvida, porém
nenhuma
com solução!
Eu ativo o pf e a rede passa a responder com No buffer space
available.
Testei algumas opções que encontrei na internet, como: set limit
{ states
10, src-nodes 10, frags 5000 } , porém sem
sucesso.
Segue meu pf.conf
if_wan_upload=em0
if_lan_download=em1
table rede_interna { 192.168.0.0/24, 10.0.10.0/24 }
altq on $if_wan_upload hfsc bandwidth 100% queue total_out
queue total_out bandwidth 34Mb hfsc(upperlimit 34Mb) { ping_out
voip_out
dns_out http-https_out pop_out smtp_out ssh_out outros_out p2p_out }
queue ping_out bandwidth 6% priority 9 hfsc(upperlimit 100%
realtime 6%
ecn red)
queue voip_out bandwidth 5% priority 8 hfsc(upperlimit 100%
realtime 5%
ecn red)
queue dns_out bandwidth 2% priority 7 hfsc(upperlimit 100% realtime
2% ecn
red)
queue http-https_out bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime 60% ecn red)
queue ssh_out bandwidth 2% priority 5 hfsc(upperlimit 100% realtime
2% ecn
red)
queue smtp_out bandwidth 5% priority 4 hfsc(upperlimit 100%
realtime 5%
ecn red)
queue pop_out bandwidth 5% priority 3 hfsc(upperlimit 100% realtime
5% ecn
red)
queue outros_out bandwidth 10% priority 2 hfsc(upperlimit 95%
realtime 10%
ecn red default)
queue p2p_out bandwidth 5% priority 1 hfsc(upperlimit 80% realtime
5% ecn
red)
altq on $if_lan_download hfsc bandwidth 100Mb queue total
queue total bandwidth 34Mb hfsc(upperlimit 34Mb) { ping voip dns
http-https
ssh smtp pop outros p2p }
queue ping bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6%
ecn
red)
queue voip bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue dns bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue http-https bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime
60% ecn red)
queue ssh bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue smtp bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue pop bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue outros bandwidth 10% priority 2 hfsc(upperlimit 95% realtime
10% ecn
red default)
queue p2p bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5%
ecn red)
pass in quick on $if_wan_upload proto icmp from rede_interna to
any keep
state queue ping_out
pass in quick on $if_lan_download proto icmp from rede_interna to
any keep
state queue ping
pass in quick on $if_wan_upload proto { tcp, udp } from
rede_interna to
any port 53 keep state queue dns_out
pass in quick on $if_lan_download proto { tcp, udp } from
rede_interna to
any port 53 keep state queue dns
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port {
80, 443 } keep state queue http-https_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
{ 80, 443 } keep state queue http-https
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port
110 keep state queue pop_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
110 keep state queue pop
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port 25
keep state queue smtp_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
25 keep state queue smtp
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port 22
keep state queue ssh_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
22 keep state queue ssh
--
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Oi Aline,
# MAC - Layer 2
net.link.ether.ipfw=1
Apenas habilito a camada 2 para as regras de MAC do IPFW. Porém, para
testes, eu desabilitei essa sysctl e ativei o PF... o resultado foi o mesmo
(no buffer space) no meio das respostas de ping.
Obrigada.
--
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF com falha ICMP
Caros,
Encontrei varias discussões a respeito da minha dúvida, porém nenhuma
com solução!
Eu ativo o pf e a rede passa a responder com No buffer space available.
Testei algumas opções que encontrei na internet, como: set limit { states
10, src-nodes 10, frags 5000 } , porém sem sucesso.
Segue meu pf.conf
if_wan_upload=em0
if_lan_download=em1
table rede_interna { 192.168.0.0/24, 10.0.10.0/24 }
altq on $if_wan_upload hfsc bandwidth 100% queue total_out
queue total_out bandwidth 34Mb hfsc(upperlimit 34Mb) { ping_out voip_out
dns_out http-https_out pop_out smtp_out ssh_out outros_out p2p_out }
queue ping_out bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6%
ecn red)
queue voip_out bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5%
ecn red)
queue dns_out bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2% ecn
red)
queue http-https_out bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime 60% ecn red)
queue ssh_out bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2% ecn
red)
queue smtp_out bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5%
ecn red)
queue pop_out bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5% ecn
red)
queue outros_out bandwidth 10% priority 2 hfsc(upperlimit 95% realtime 10%
ecn red default)
queue p2p_out bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5% ecn
red)
altq on $if_lan_download hfsc bandwidth 100Mb queue total
queue total bandwidth 34Mb hfsc(upperlimit 34Mb) { ping voip dns http-https
ssh smtp pop outros p2p }
queue ping bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6% ecn
red)
queue voip bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5% ecn
red)
queue dns bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2% ecn
red)
queue http-https bandwidth 60% priority 6 hfsc(upperlimit 100% realtime
60% ecn red)
queue ssh bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2% ecn
red)
queue smtp bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5% ecn
red)
queue pop bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5% ecn
red)
queue outros bandwidth 10% priority 2 hfsc(upperlimit 95% realtime 10% ecn
red default)
queue p2p bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5% ecn red)
pass in quick on $if_wan_upload proto icmp from rede_interna to any keep
state queue ping_out
pass in quick on $if_lan_download proto icmp from rede_interna to any keep
state queue ping
pass in quick on $if_wan_upload proto { tcp, udp } from rede_interna to
any port 53 keep state queue dns_out
pass in quick on $if_lan_download proto { tcp, udp } from rede_interna to
any port 53 keep state queue dns
pass in quick on $if_wan_upload proto tcp from rede_interna to any port {
80, 443 } keep state queue http-https_out
pass in quick on $if_lan_download proto tcp from rede_interna to any port
{ 80, 443 } keep state queue http-https
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
110 keep state queue pop_out
pass in quick on $if_lan_download proto tcp from rede_interna to any port
110 keep state queue pop
pass in quick on $if_wan_upload proto tcp from rede_interna to any port 25
keep state queue smtp_out
pass in quick on $if_lan_download proto tcp from rede_interna to any port
25 keep state queue smtp
pass in quick on $if_wan_upload proto tcp from rede_interna to any port 22
keep state queue ssh_out
pass in quick on $if_lan_download proto tcp from rede_interna to any port
22 keep state queue ssh
--
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF com falha ICMP
Este limite está muito alto.
Já usei pf em redes com 400 maquinas, usando politica de bloquear tudo
e meu limite de estados era o default.
Não será algum vírus na sua rede?
Quantas maquinas passam por esse firewall?
Poste a quantidade de estados atuais usando
# pfctl -ss |wc -l
265
Em 19 de março de 2010 10:37, Renata Dias renatchi...@gmail.com escreveu:
Caros,
Encontrei varias discussões a respeito da minha dúvida, porém nenhuma
com solução!
Eu ativo o pf e a rede passa a responder com No buffer space available.
Testei algumas opções que encontrei na internet, como: set limit { states
10, src-nodes 10, frags 5000 } , porém sem sucesso.
Segue meu pf.conf
if_wan_upload=em0
if_lan_download=em1
table rede_interna { 192.168.0.0/24, 10.0.10.0/24 }
altq on $if_wan_upload hfsc bandwidth 100% queue total_out
queue total_out bandwidth 34Mb hfsc(upperlimit 34Mb) { ping_out voip_out
dns_out http-https_out pop_out smtp_out ssh_out outros_out p2p_out }
queue ping_out bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6%
ecn red)
queue voip_out bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5%
ecn red)
queue dns_out bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2% ecn
red)
queue http-https_out bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime 60% ecn red)
queue ssh_out bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2% ecn
red)
queue smtp_out bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5%
ecn red)
queue pop_out bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5% ecn
red)
queue outros_out bandwidth 10% priority 2 hfsc(upperlimit 95% realtime 10%
ecn red default)
queue p2p_out bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5% ecn
red)
altq on $if_lan_download hfsc bandwidth 100Mb queue total
queue total bandwidth 34Mb hfsc(upperlimit 34Mb) { ping voip dns http-https
ssh smtp pop outros p2p }
queue ping bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6% ecn
red)
queue voip bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5% ecn
red)
queue dns bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2% ecn
red)
queue http-https bandwidth 60% priority 6 hfsc(upperlimit 100% realtime
60% ecn red)
queue ssh bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2% ecn
red)
queue smtp bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5% ecn
red)
queue pop bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5% ecn
red)
queue outros bandwidth 10% priority 2 hfsc(upperlimit 95% realtime 10% ecn
red default)
queue p2p bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5% ecn red)
pass in quick on $if_wan_upload proto icmp from rede_interna to any keep
state queue ping_out
pass in quick on $if_lan_download proto icmp from rede_interna to any keep
state queue ping
pass in quick on $if_wan_upload proto { tcp, udp } from rede_interna to
any port 53 keep state queue dns_out
pass in quick on $if_lan_download proto { tcp, udp } from rede_interna to
any port 53 keep state queue dns
pass in quick on $if_wan_upload proto tcp from rede_interna to any port {
80, 443 } keep state queue http-https_out
pass in quick on $if_lan_download proto tcp from rede_interna to any port
{ 80, 443 } keep state queue http-https
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
110 keep state queue pop_out
pass in quick on $if_lan_download proto tcp from rede_interna to any port
110 keep state queue pop
pass in quick on $if_wan_upload proto tcp from rede_interna to any port 25
keep state queue smtp_out
pass in quick on $if_lan_download proto tcp from rede_interna to any port
25 keep state queue smtp
pass in quick on $if_wan_upload proto tcp from rede_interna to any port 22
keep state queue ssh_out
pass in quick on $if_lan_download proto tcp from rede_interna to any port
22 keep state queue ssh
--
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Giancarlo Rubio
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF com falha ICMP
Este valor eu peguei em um forum e adicionei para testes, mas não adiantou
em nada. o Default do state é 1, mas tentei com 5 e 10 e não
tive sucesso também.
Ao ativar o PF a quantidade de estados só faz aumentar. Deixei rodando por
1min:
# pfctl -ss | wc -l
18989
Sou provedor de acesso e por isso são N hosts que passam por este
servidor.
Meu firewall está em IPFW, mas estou usando o PF somente para a priorização
do trafego com o ALTQ, porém é só ativar o PF para o ping responder com
perdas e No buffer space available entre as respostas de ping.
Obrigada.
--
Renata Dias
Em 19 de março de 2010 10:44, Giancarlo Rubio gianru...@gmail.comescreveu:
Este limite está muito alto.
Já usei pf em redes com 400 maquinas, usando politica de bloquear tudo
e meu limite de estados era o default.
Não será algum vírus na sua rede?
Quantas maquinas passam por esse firewall?
Poste a quantidade de estados atuais usando
# pfctl -ss |wc -l
265
Em 19 de março de 2010 10:37, Renata Dias renatchi...@gmail.com
escreveu:
Caros,
Encontrei varias discussões a respeito da minha dúvida, porém nenhuma
com solução!
Eu ativo o pf e a rede passa a responder com No buffer space available.
Testei algumas opções que encontrei na internet, como: set limit { states
10, src-nodes 10, frags 5000 } , porém sem sucesso.
Segue meu pf.conf
if_wan_upload=em0
if_lan_download=em1
table rede_interna { 192.168.0.0/24, 10.0.10.0/24 }
altq on $if_wan_upload hfsc bandwidth 100% queue total_out
queue total_out bandwidth 34Mb hfsc(upperlimit 34Mb) { ping_out voip_out
dns_out http-https_out pop_out smtp_out ssh_out outros_out p2p_out }
queue ping_out bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6%
ecn red)
queue voip_out bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5%
ecn red)
queue dns_out bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue http-https_out bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime 60% ecn red)
queue ssh_out bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue smtp_out bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5%
ecn red)
queue pop_out bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue outros_out bandwidth 10% priority 2 hfsc(upperlimit 95% realtime
10%
ecn red default)
queue p2p_out bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5%
ecn
red)
altq on $if_lan_download hfsc bandwidth 100Mb queue total
queue total bandwidth 34Mb hfsc(upperlimit 34Mb) { ping voip dns
http-https
ssh smtp pop outros p2p }
queue ping bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6% ecn
red)
queue voip bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5% ecn
red)
queue dns bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2% ecn
red)
queue http-https bandwidth 60% priority 6 hfsc(upperlimit 100% realtime
60% ecn red)
queue ssh bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2% ecn
red)
queue smtp bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5% ecn
red)
queue pop bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5% ecn
red)
queue outros bandwidth 10% priority 2 hfsc(upperlimit 95% realtime 10%
ecn
red default)
queue p2p bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5% ecn
red)
pass in quick on $if_wan_upload proto icmp from rede_interna to any
keep
state queue ping_out
pass in quick on $if_lan_download proto icmp from rede_interna to any
keep
state queue ping
pass in quick on $if_wan_upload proto { tcp, udp } from rede_interna to
any port 53 keep state queue dns_out
pass in quick on $if_lan_download proto { tcp, udp } from rede_interna
to
any port 53 keep state queue dns
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
{
80, 443 } keep state queue http-https_out
pass in quick on $if_lan_download proto tcp from rede_interna to any
port
{ 80, 443 } keep state queue http-https
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
110 keep state queue pop_out
pass in quick on $if_lan_download proto tcp from rede_interna to any
port
110 keep state queue pop
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
25
keep state queue smtp_out
pass in quick on $if_lan_download proto tcp from rede_interna to any
port
25 keep state queue smtp
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
22
keep state queue ssh_out
pass in quick on $if_lan_download proto tcp from rede_interna to any
port
22 keep state queue ssh
--
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Giancarlo Rubio
-
Histórico:
Re: [FUG-BR] PF com falha ICMP
Hum...
Tente monitorar o que suas regras de fila estão fazendo no momento que
há perda de pacotes.
Provavelmente alguma regra esteja matando seu tráfego..
Aqui eu monitoro com
# while true ;do clear ; pfctl -sq -v ; sleep 1 ; done
Em 19 de março de 2010 11:26, Renata Dias renatchi...@gmail.com escreveu:
Este valor eu peguei em um forum e adicionei para testes, mas não adiantou
em nada. o Default do state é 1, mas tentei com 5 e 10 e não
tive sucesso também.
Ao ativar o PF a quantidade de estados só faz aumentar. Deixei rodando por
1min:
# pfctl -ss | wc -l
18989
Sou provedor de acesso e por isso são N hosts que passam por este
servidor.
Meu firewall está em IPFW, mas estou usando o PF somente para a priorização
do trafego com o ALTQ, porém é só ativar o PF para o ping responder com
perdas e No buffer space available entre as respostas de ping.
Obrigada.
--
Renata Dias
Em 19 de março de 2010 10:44, Giancarlo Rubio gianru...@gmail.comescreveu:
Este limite está muito alto.
Já usei pf em redes com 400 maquinas, usando politica de bloquear tudo
e meu limite de estados era o default.
Não será algum vírus na sua rede?
Quantas maquinas passam por esse firewall?
Poste a quantidade de estados atuais usando
# pfctl -ss |wc -l
265
Em 19 de março de 2010 10:37, Renata Dias renatchi...@gmail.com
escreveu:
Caros,
Encontrei varias discussões a respeito da minha dúvida, porém nenhuma
com solução!
Eu ativo o pf e a rede passa a responder com No buffer space available.
Testei algumas opções que encontrei na internet, como: set limit { states
10, src-nodes 10, frags 5000 } , porém sem sucesso.
Segue meu pf.conf
if_wan_upload=em0
if_lan_download=em1
table rede_interna { 192.168.0.0/24, 10.0.10.0/24 }
altq on $if_wan_upload hfsc bandwidth 100% queue total_out
queue total_out bandwidth 34Mb hfsc(upperlimit 34Mb) { ping_out voip_out
dns_out http-https_out pop_out smtp_out ssh_out outros_out p2p_out }
queue ping_out bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6%
ecn red)
queue voip_out bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5%
ecn red)
queue dns_out bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue http-https_out bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime 60% ecn red)
queue ssh_out bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue smtp_out bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5%
ecn red)
queue pop_out bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue outros_out bandwidth 10% priority 2 hfsc(upperlimit 95% realtime
10%
ecn red default)
queue p2p_out bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5%
ecn
red)
altq on $if_lan_download hfsc bandwidth 100Mb queue total
queue total bandwidth 34Mb hfsc(upperlimit 34Mb) { ping voip dns
http-https
ssh smtp pop outros p2p }
queue ping bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6% ecn
red)
queue voip bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5% ecn
red)
queue dns bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2% ecn
red)
queue http-https bandwidth 60% priority 6 hfsc(upperlimit 100% realtime
60% ecn red)
queue ssh bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2% ecn
red)
queue smtp bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5% ecn
red)
queue pop bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5% ecn
red)
queue outros bandwidth 10% priority 2 hfsc(upperlimit 95% realtime 10%
ecn
red default)
queue p2p bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5% ecn
red)
pass in quick on $if_wan_upload proto icmp from rede_interna to any
keep
state queue ping_out
pass in quick on $if_lan_download proto icmp from rede_interna to any
keep
state queue ping
pass in quick on $if_wan_upload proto { tcp, udp } from rede_interna to
any port 53 keep state queue dns_out
pass in quick on $if_lan_download proto { tcp, udp } from rede_interna
to
any port 53 keep state queue dns
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
{
80, 443 } keep state queue http-https_out
pass in quick on $if_lan_download proto tcp from rede_interna to any
port
{ 80, 443 } keep state queue http-https
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
110 keep state queue pop_out
pass in quick on $if_lan_download proto tcp from rede_interna to any
port
110 keep state queue pop
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
25
keep state queue smtp_out
pass in quick on $if_lan_download proto tcp from rede_interna to any
port
25 keep state queue smtp
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
22
keep state queue ssh_out
pass in quick on $if_lan_download proto tcp
Re: [FUG-BR] PF com falha ICMP
Renata,
Eu já fiquei com minha rede assim devido a otimizações mal feitas no
sysctl.conf. O que você tem nele?
[]'s
Aline
On Mar 19, 2010, at 10:37 AM, Renata Dias wrote:
Caros,
Encontrei varias discussões a respeito da minha dúvida, porém
nenhuma
com solução!
Eu ativo o pf e a rede passa a responder com No buffer space
available.
Testei algumas opções que encontrei na internet, como: set limit
{ states
10, src-nodes 10, frags 5000 } , porém sem
sucesso.
Segue meu pf.conf
if_wan_upload=em0
if_lan_download=em1
table rede_interna { 192.168.0.0/24, 10.0.10.0/24 }
altq on $if_wan_upload hfsc bandwidth 100% queue total_out
queue total_out bandwidth 34Mb hfsc(upperlimit 34Mb) { ping_out
voip_out
dns_out http-https_out pop_out smtp_out ssh_out outros_out p2p_out }
queue ping_out bandwidth 6% priority 9 hfsc(upperlimit 100%
realtime 6%
ecn red)
queue voip_out bandwidth 5% priority 8 hfsc(upperlimit 100%
realtime 5%
ecn red)
queue dns_out bandwidth 2% priority 7 hfsc(upperlimit 100% realtime
2% ecn
red)
queue http-https_out bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime 60% ecn red)
queue ssh_out bandwidth 2% priority 5 hfsc(upperlimit 100% realtime
2% ecn
red)
queue smtp_out bandwidth 5% priority 4 hfsc(upperlimit 100%
realtime 5%
ecn red)
queue pop_out bandwidth 5% priority 3 hfsc(upperlimit 100% realtime
5% ecn
red)
queue outros_out bandwidth 10% priority 2 hfsc(upperlimit 95%
realtime 10%
ecn red default)
queue p2p_out bandwidth 5% priority 1 hfsc(upperlimit 80% realtime
5% ecn
red)
altq on $if_lan_download hfsc bandwidth 100Mb queue total
queue total bandwidth 34Mb hfsc(upperlimit 34Mb) { ping voip dns
http-https
ssh smtp pop outros p2p }
queue ping bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6%
ecn
red)
queue voip bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue dns bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue http-https bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime
60% ecn red)
queue ssh bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue smtp bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue pop bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue outros bandwidth 10% priority 2 hfsc(upperlimit 95% realtime
10% ecn
red default)
queue p2p bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5%
ecn red)
pass in quick on $if_wan_upload proto icmp from rede_interna to
any keep
state queue ping_out
pass in quick on $if_lan_download proto icmp from rede_interna to
any keep
state queue ping
pass in quick on $if_wan_upload proto { tcp, udp } from
rede_interna to
any port 53 keep state queue dns_out
pass in quick on $if_lan_download proto { tcp, udp } from
rede_interna to
any port 53 keep state queue dns
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port {
80, 443 } keep state queue http-https_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
{ 80, 443 } keep state queue http-https
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port
110 keep state queue pop_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
110 keep state queue pop
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port 25
keep state queue smtp_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
25 keep state queue smtp
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port 22
keep state queue ssh_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
22 keep state queue ssh
--
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e core dos processadores
2010/3/8 Davi Vercillo C. Garcia davivcgar...@bsd.com.br: Pra mandar um processo ser executado numa CPU/core específica, pesquisem sobre CPU affinity... mas sem fazer benchmarks pra ter embasamento, é bem possível que piorem as coisas, fazendo manualmente... Manter o processo do PF vinculado à um dos cores pode melhorar um pouco sua performance já que ele se usufruiria sempre da mesma hierarquia de caches, sem se preocupar com as inconsistências do mundo Se a máquina é dedicada para isso, sim, mas se houverem outros processos significativamente disputando a CPU, forçar um processo a rodar numa CPU específica pode fazer com que ele acabe brigando mais, dependendo de como o scheduler distribua os processos nos cores/CPUs, etc.. multi-core. Mas fazer isso envolveria alguns testes práticos para verificar se é válido o uso de CPU affinity. Isso. Abraços, -- Davi Vercillo C. Garcia http://www.google.com/profiles/davivcgarcia Waste time in learning things that do not interest us, deprives us of discovering interesting things. - Carlos Drummond de Andrade - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- (nil) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e core dos processadores
Em 7 de março de 2010 13:04, Anderson Alves de Albuquerque anderso...@gmail.com escreveu: EU li que o PF utiliza apenas um core de um dos processadores. Isto eh 100% verdade? tem como obrigar ele utilizar todos os cores? Caso não tenha como ele utilizar mais de um core ou mais de um processador, eu estava pensando em uma otimização para ter um melhor desempenho. É o seguinte: Eu tenho o PF + NAT + SQUID+antivirus no squid. Teria como dizer para o squid utilizar o core 1 e o PF o core 2? Acho que tem como fazer o contrário, que pode servir para você: o sistema operacional confina certos processos a determinadas CPUs. Veja cpuset(1). Um pequeno extrato da man page: The cpuset command can be used to assign processor sets to processes, run commands constrained to a given set or list of processors, and query information about processor binding, sets, and available processors in the system. cpuset requires a target to modify or query. The target may be specified as a command, process id, thread id, a cpuset id, an irq or a jail id. ... Acredito que funcione pro que você quer. Agora nunca usei, com certeza alguém da lista já fez isso e pode dar mais detalhes. -- [], Anderson Alves de Albuquerque. --- E-mails: andersonalvesdealbuquerque#hotmail.com (replace # by @) andersonaa#gmail.com (replace # by @) ICQ: 73222660 --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Atenciosamente, Francisco Ricardo -- FreeBSD - The Power to Serve www.freebsd.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
