Re: [FUG-BR] PF e Redirecionamento de portas
Meu RDR com PASS funciona em partes, não preciso configurar o filtro de ENTRADA mas eu tenho que fazer a regra no filtro de Saída para tal conexão. Att, Rafael Simão - Original Message - From: "Lutieri G." <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, March 15, 2007 9:36 PM Subject: Re: [FUG-BR] PF e Redirecionamento de portas Boa Aristeu!! Pronto e simples!!! Era só isso que eu queria saber. Desde o começo eu perguntei o porque que eu tinha a palavra PASS na regra e parecia não ter efeito. E como o Aristeu fez: foi objetivo. Agradeço as sugestões que me foram dadas. Só queria ressaltar que no momento que a lista disse que deveriam ser criadas regras de filtragem para liberar o redirecionamento, não ficou claro, em momento algum, que essa feature não estava disponível nessa versão e que eu teria que contornar isso com as tais regras de filtragem. Desculpem não quero ser chato... só objetivo. ;-) espero que entendam Muito Obrigado a todos. Em 15/03/07, Aristeu Gil Alves Jr<[EMAIL PROTECTED]> escreveu: > Recentemente, este assunto foi conversado na lista pf do freebsd. Foi > lembrado que a versão do pf no freebsd é aparentemente a 3.7, enquanto > que as features "pass" e "log" para o "rdr" só estão disponíveis nas > versões posteriores. > > Usando o openbsd vc teria essa feature disponível. > > > -- > Aristeu Gil Alves Jr > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e Redirecionamento de portas
Boa Aristeu!! Pronto e simples!!! Era só isso que eu queria saber. Desde o começo eu perguntei o porque que eu tinha a palavra PASS na regra e parecia não ter efeito. E como o Aristeu fez: foi objetivo. Agradeço as sugestões que me foram dadas. Só queria ressaltar que no momento que a lista disse que deveriam ser criadas regras de filtragem para liberar o redirecionamento, não ficou claro, em momento algum, que essa feature não estava disponível nessa versão e que eu teria que contornar isso com as tais regras de filtragem. Desculpem não quero ser chato... só objetivo. ;-) espero que entendam Muito Obrigado a todos. Em 15/03/07, Aristeu Gil Alves Jr<[EMAIL PROTECTED]> escreveu: > Recentemente, este assunto foi conversado na lista pf do freebsd. Foi > lembrado que a versão do pf no freebsd é aparentemente a 3.7, enquanto > que as features "pass" e "log" para o "rdr" só estão disponíveis nas > versões posteriores. > > Usando o openbsd vc teria essa feature disponível. > > > -- > Aristeu Gil Alves Jr > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e Redirecionamento de portas
Recentemente, este assunto foi conversado na lista pf do freebsd. Foi lembrado que a versão do pf no freebsd é aparentemente a 3.7, enquanto que as features "pass" e "log" para o "rdr" só estão disponíveis nas versões posteriores. Usando o openbsd vc teria essa feature disponível. -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e Redirecionamento de portas
Em 15/03/07, Lutieri G.<[EMAIL PROTECTED]> escreveu: > Ok. Eu entendo. > > Mas a questão é que quando eu faço uma regra NAT eu coloco a palavra > chave PASS e mesmo com as regras bloqueando in e out na interface ele > não bloqueia. Do contrário ele cria uma excessão de filtragem. > > E outra coisa: as regras de NAT e RDR tem que estar antes das regras > de filtragem, portanto a ordem delas se torna óbvio. > > Eu não posso estar ficando louco... hehe por hora vejo que a palavra > PASS nas regras RDR não tem efeito nenhum sobre a mesma. ou tem?!? > > Em 15/03/07, Junior Rosante<[EMAIL PROTECTED]> escreveu: > > Lutieri G. escreveu: > > > Tenho isso no PF que eu estou testando. > > > * > > > if_net = "em0" > > > if_rede = "xl0" > > > > > > ip_local = "10.1.1.1" > > > ip_rede = "10.1.1.0/24" > > > > > > nat pass on $if_net from $ip_rede to any -> $if_net > > > > > > #Redireciona conexoes WTS para o servidor interno > > > rdr pass on $if_net proto tcp from any to any port 3389 -> 10.1.1.2 > > > > > > > > > #Políticas > > > block in all > > > block out all > > > * > > > O nat funciona legal. > > > O redirecionamento de porta não rola... > > > > > > Comentei as últimas duas linhas de bloqueio( block in all, block out > > > all) e funcionou. > > > > > > O que me deixa a pensar é que eu tenho a palavra pass na regra de rdr. > > > Porque mesmo assim ainda passa pela regras de filtragem?!?! > > > > > > > > > > > > vlw... > > > > > > > > > > > Lutieri, acho que o seu problema está em entender como o pf funiciona. É > > simples, ele vai lendo as regras de cima > > para baixo até o final, então toma a decisão. > > No seu caso, as regras de bloqueio no final estão sendo as assumidas. > > Para fazer com que ele pare de procurar por outra regra que case, vc > > deve colocar a diretiva "quick" na regra especifica. > > Experimente isso: > > > > rdr pass quick on $if_net proto tcp from any to any port 3389 -> 10.1.1.2 > > > > > > Abraço, > > :) > > > > -- > > Jr. > > > > > > Júnior César Rosante > > Analista de Informática > > Serviço Técnico de Informática - Fone: (14) 3103-6008 > > Faculdade de Ciências http://www.fc.unesp.br/ > > Universidade Estadual Paulista > > Av Luiz Edmundo C. Coube, S/N, Vargem Limpa, 17033-360, Bauru-SP > > > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > -- > Att. > Lutieri G. B. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Nao tem efeito nenhum seria melhor coloca ta forma certa rdr on $ext_if proto tcp from 200.187.6.69/24 to any port 80 -> 192.168.0.0/24 rdr on $int_if proto tcp from any to any port 80 -> 192.168.0.151 port 3128 rdr on $ext_if proto tcp from any to any port 5900 -> 192.168.0.250 rdr on $ext_if proto tcp from any to any port 3389 -> 192.168.0.250 -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e Redirecionamento de portas
Ok. Eu entendo. Mas a questão é que quando eu faço uma regra NAT eu coloco a palavra chave PASS e mesmo com as regras bloqueando in e out na interface ele não bloqueia. Do contrário ele cria uma excessão de filtragem. E outra coisa: as regras de NAT e RDR tem que estar antes das regras de filtragem, portanto a ordem delas se torna óbvio. Eu não posso estar ficando louco... hehe por hora vejo que a palavra PASS nas regras RDR não tem efeito nenhum sobre a mesma. ou tem?!? Em 15/03/07, Junior Rosante<[EMAIL PROTECTED]> escreveu: > Lutieri G. escreveu: > > Tenho isso no PF que eu estou testando. > > * > > if_net = "em0" > > if_rede = "xl0" > > > > ip_local = "10.1.1.1" > > ip_rede = "10.1.1.0/24" > > > > nat pass on $if_net from $ip_rede to any -> $if_net > > > > #Redireciona conexoes WTS para o servidor interno > > rdr pass on $if_net proto tcp from any to any port 3389 -> 10.1.1.2 > > > > > > #Políticas > > block in all > > block out all > > * > > O nat funciona legal. > > O redirecionamento de porta não rola... > > > > Comentei as últimas duas linhas de bloqueio( block in all, block out > > all) e funcionou. > > > > O que me deixa a pensar é que eu tenho a palavra pass na regra de rdr. > > Porque mesmo assim ainda passa pela regras de filtragem?!?! > > > > > > > > vlw... > > > > > > > Lutieri, acho que o seu problema está em entender como o pf funiciona. É > simples, ele vai lendo as regras de cima > para baixo até o final, então toma a decisão. > No seu caso, as regras de bloqueio no final estão sendo as assumidas. > Para fazer com que ele pare de procurar por outra regra que case, vc > deve colocar a diretiva "quick" na regra especifica. > Experimente isso: > > rdr pass quick on $if_net proto tcp from any to any port 3389 -> 10.1.1.2 > > > Abraço, > :) > > -- > Jr. > > > Júnior César Rosante > Analista de Informática > Serviço Técnico de Informática - Fone: (14) 3103-6008 > Faculdade de Ciências http://www.fc.unesp.br/ > Universidade Estadual Paulista > Av Luiz Edmundo C. Coube, S/N, Vargem Limpa, 17033-360, Bauru-SP > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e Redirecionamento de portas
Lutieri G. escreveu: > Tenho isso no PF que eu estou testando. > * > if_net = "em0" > if_rede = "xl0" > > ip_local = "10.1.1.1" > ip_rede = "10.1.1.0/24" > > nat pass on $if_net from $ip_rede to any -> $if_net > > #Redireciona conexoes WTS para o servidor interno > rdr pass on $if_net proto tcp from any to any port 3389 -> 10.1.1.2 > > > #Políticas > block in all > block out all > * > O nat funciona legal. > O redirecionamento de porta não rola... > > Comentei as últimas duas linhas de bloqueio( block in all, block out > all) e funcionou. > > O que me deixa a pensar é que eu tenho a palavra pass na regra de rdr. > Porque mesmo assim ainda passa pela regras de filtragem?!?! > > > > vlw... > > > Lutieri, acho que o seu problema está em entender como o pf funiciona. É simples, ele vai lendo as regras de cima para baixo até o final, então toma a decisão. No seu caso, as regras de bloqueio no final estão sendo as assumidas. Para fazer com que ele pare de procurar por outra regra que case, vc deve colocar a diretiva "quick" na regra especifica. Experimente isso: rdr pass quick on $if_net proto tcp from any to any port 3389 -> 10.1.1.2 Abraço, :) -- Jr. Júnior César Rosante Analista de Informática Serviço Técnico de Informática - Fone: (14) 3103-6008 Faculdade de Ciências http://www.fc.unesp.br/ Universidade Estadual Paulista Av Luiz Edmundo C. Coube, S/N, Vargem Limpa, 17033-360, Bauru-SP - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e Redirecionamento de portas
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Lutieri G. wrote: > Temos alguns problemas na documentação então. > > "A única exceção a regra é quando a palavra-chave pass é usada na > regra rdr. Neste caso, os pacotes redirecionados passarão direto > pelo sistema de filtragem: as regras de filtragem não serão > avalidas para estes pacotes." > > Texto retirado daqui: > http://www.openbsd.org/faq/pf/pt/rdr.html#filter > > O que o o PASS faz então?!?! ocupa espaço?! > Veja bem caro amigo, Se você faz um firewall do tipo closed, ele precisa sim nas devidas interfaces tem in e out na regras pass para dar continuidade a sua rede de direcionamento, senão nada feito, irá bloquear na interface devida tanto a saída quando a entrada e vice-versa. Do contrário não seria um bom sistema de firewall Abraço, - -- Márcio Luciano Donada Aurora Alimentos - Cooperativa Central Oeste Catarinense - Departamento de T.I. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.7 (FreeBSD) iD8DBQFF+a9lyJq2hZEymxcRAssXAJ4uCPLc1DSBr4XJHeHcNjLgypiMmQCfdpWH 5JU+nS9A8VzLwQKkWU7z5d4= =PP9V -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e Redirecionamento de portas
Temos alguns problemas na documentação então. "A única exceção a regra é quando a palavra-chave pass é usada na regra rdr. Neste caso, os pacotes redirecionados passarão direto pelo sistema de filtragem: as regras de filtragem não serão avalidas para estes pacotes." Texto retirado daqui: http://www.openbsd.org/faq/pf/pt/rdr.html#filter O que o o PASS faz então?!?! ocupa espaço?! -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e Redirecionamento de portas
On Thu, 2007-03-15 at 16:20 -0300, Lutieri G. wrote: > mas é isso que eu estou perguntando. O PASS da regra rdr não deveria > passar direto pelas regras de filtragem!?!?!?!?! > > > flww não. -- System/Network Administrator BSD User: BSD050973 Celular: 61 8177-1361 [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e Redirecionamento de portas
Tinha esquecido de falar da regra pass tb. Quando fiz testes como o que você está fazendo, apenas com o rdr pass, não funcionou. Tive que fazer uma regra para redirecionamento e outra para a passagem dos pacotes. Em 15/03/07, Lutieri G.<[EMAIL PROTECTED]> escreveu: > mas é isso que eu estou perguntando. O PASS da regra rdr não deveria > passar direto pelas regras de filtragem!?!?!?!?! > > > flww > > Em 15/03/07, Danilo Augusto<[EMAIL PROTECTED]> escreveu: > > On Thu, 2007-03-15 at 16:07 -0300, Lutieri G. wrote: > > > Tenho isso no PF que eu estou testando. > > > * > > > if_net = "em0" > > > if_rede = "xl0" > > > > > > ip_local = "10.1.1.1" > > > ip_rede = "10.1.1.0/24" > > > > > > nat pass on $if_net from $ip_rede to any -> $if_net > > > > > > #Redireciona conexoes WTS para o servidor interno > > > rdr pass on $if_net proto tcp from any to any port 3389 -> 10.1.1.2 > > > > > > > > > #Políticas > > > block in all > > > block out all > > > * > > > O nat funciona legal. > > > O redirecionamento de porta não rola... > > > > > > Comentei as últimas duas linhas de bloqueio( block in all, block out > > > all) e funcionou. > > > > > > O que me deixa a pensar é que eu tenho a palavra pass na regra de rdr. > > > Porque mesmo assim ainda passa pela regras de filtragem?!?! > > > > > > > > > > > > vlw... > > > > > > > > Você só fez o redirecionamento mas não autorizou a passagem de pacotes > > para aquela porta. > > pass in on $if_net proto tcp from any to any port 3389 > > > > t+ > > > > -- > > System/Network Administrator > > BSD User: BSD050973 > > Celular: 61 8177-1361 > > [EMAIL PROTECTED] > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > -- > Att. > Lutieri G. B. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Mauricio Bonani LPIC-1 mailto:[EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e Redirecionamento de portas
eu já tinha assim eu não funciona também. :-( vlww Em 15/03/07, Mauricio Bonani<[EMAIL PROTECTED]> escreveu: > Tente o seguinte: > > rdr pass on $if_net proto tcp from any to $ip_local port 3389 -> 10.1.1.2 > > Em 15/03/07, Lutieri G.<[EMAIL PROTECTED]> escreveu: > > Tenho isso no PF que eu estou testando. > > * > > if_net = "em0" > > if_rede = "xl0" > > > > ip_local = "10.1.1.1" > > ip_rede = "10.1.1.0/24" > > > > nat pass on $if_net from $ip_rede to any -> $if_net > > > > #Redireciona conexoes WTS para o servidor interno > > rdr pass on $if_net proto tcp from any to any port 3389 -> 10.1.1.2 > > > > > > #Políticas > > block in all > > block out all > > * > > O nat funciona legal. > > O redirecionamento de porta não rola... > > > > Comentei as últimas duas linhas de bloqueio( block in all, block out > > all) e funcionou. > > > > O que me deixa a pensar é que eu tenho a palavra pass na regra de rdr. > > Porque mesmo assim ainda passa pela regras de filtragem?!?! > > > > > > > > vlw... > > > > > > -- > > Att. > > Lutieri G. B. > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > -- > Mauricio Bonani > LPIC-1 > mailto:[EMAIL PROTECTED] > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e Redirecionamento de portas
mas é isso que eu estou perguntando. O PASS da regra rdr não deveria passar direto pelas regras de filtragem!?!?!?!?! flww Em 15/03/07, Danilo Augusto<[EMAIL PROTECTED]> escreveu: > On Thu, 2007-03-15 at 16:07 -0300, Lutieri G. wrote: > > Tenho isso no PF que eu estou testando. > > * > > if_net = "em0" > > if_rede = "xl0" > > > > ip_local = "10.1.1.1" > > ip_rede = "10.1.1.0/24" > > > > nat pass on $if_net from $ip_rede to any -> $if_net > > > > #Redireciona conexoes WTS para o servidor interno > > rdr pass on $if_net proto tcp from any to any port 3389 -> 10.1.1.2 > > > > > > #Políticas > > block in all > > block out all > > * > > O nat funciona legal. > > O redirecionamento de porta não rola... > > > > Comentei as últimas duas linhas de bloqueio( block in all, block out > > all) e funcionou. > > > > O que me deixa a pensar é que eu tenho a palavra pass na regra de rdr. > > Porque mesmo assim ainda passa pela regras de filtragem?!?! > > > > > > > > vlw... > > > > > Você só fez o redirecionamento mas não autorizou a passagem de pacotes > para aquela porta. > pass in on $if_net proto tcp from any to any port 3389 > > t+ > > -- > System/Network Administrator > BSD User: BSD050973 > Celular: 61 8177-1361 > [EMAIL PROTECTED] > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e Redirecionamento de portas
On Thu, 2007-03-15 at 16:07 -0300, Lutieri G. wrote: > Tenho isso no PF que eu estou testando. > * > if_net = "em0" > if_rede = "xl0" > > ip_local = "10.1.1.1" > ip_rede = "10.1.1.0/24" > > nat pass on $if_net from $ip_rede to any -> $if_net > > #Redireciona conexoes WTS para o servidor interno > rdr pass on $if_net proto tcp from any to any port 3389 -> 10.1.1.2 > > > #Políticas > block in all > block out all > * > O nat funciona legal. > O redirecionamento de porta não rola... > > Comentei as últimas duas linhas de bloqueio( block in all, block out > all) e funcionou. > > O que me deixa a pensar é que eu tenho a palavra pass na regra de rdr. > Porque mesmo assim ainda passa pela regras de filtragem?!?! > > > > vlw... > > Você só fez o redirecionamento mas não autorizou a passagem de pacotes para aquela porta. pass in on $if_net proto tcp from any to any port 3389 t+ -- System/Network Administrator BSD User: BSD050973 Celular: 61 8177-1361 [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e Redirecionamento de portas
Tente o seguinte: rdr pass on $if_net proto tcp from any to $ip_local port 3389 -> 10.1.1.2 Em 15/03/07, Lutieri G.<[EMAIL PROTECTED]> escreveu: > Tenho isso no PF que eu estou testando. > * > if_net = "em0" > if_rede = "xl0" > > ip_local = "10.1.1.1" > ip_rede = "10.1.1.0/24" > > nat pass on $if_net from $ip_rede to any -> $if_net > > #Redireciona conexoes WTS para o servidor interno > rdr pass on $if_net proto tcp from any to any port 3389 -> 10.1.1.2 > > > #Políticas > block in all > block out all > * > O nat funciona legal. > O redirecionamento de porta não rola... > > Comentei as últimas duas linhas de bloqueio( block in all, block out > all) e funcionou. > > O que me deixa a pensar é que eu tenho a palavra pass na regra de rdr. > Porque mesmo assim ainda passa pela regras de filtragem?!?! > > > > vlw... > > > -- > Att. > Lutieri G. B. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Mauricio Bonani LPIC-1 mailto:[EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF e Redirecionamento de portas
Tenho isso no PF que eu estou testando. * if_net = "em0" if_rede = "xl0" ip_local = "10.1.1.1" ip_rede = "10.1.1.0/24" nat pass on $if_net from $ip_rede to any -> $if_net #Redireciona conexoes WTS para o servidor interno rdr pass on $if_net proto tcp from any to any port 3389 -> 10.1.1.2 #Políticas block in all block out all * O nat funciona legal. O redirecionamento de porta não rola... Comentei as últimas duas linhas de bloqueio( block in all, block out all) e funcionou. O que me deixa a pensar é que eu tenho a palavra pass na regra de rdr. Porque mesmo assim ainda passa pela regras de filtragem?!?! vlw... -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd