[FUG-BR] RES: Do Open para o FreeBSD
Att.
Márcio A. Sepp
ZYON TECNOLOGIA LTDA
(49) 3444-4591
(49) 8405-9215
> -Mensagem original-
> De: [EMAIL PROTECTED]
> [mailto:[EMAIL PROTECTED] Em nome de Danilo Lara
> Enviada em: terça-feira, 7 de agosto de 2007 16:07
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] Do Open para o FreeBSD
>
> On Tue, 2007-08-07 at 15:58 -0300, Marcio A. Sepp wrote:
> > Boa tarde,
> >
> >
> > A nossa empresa vem trabalhando a algum tempo com o OpenBSD e agora
> > estamos partindo para o FreeBSD.
> > Porém não estamos conseguindo fazer o firewall (pf)
> funcionar como era
> > no OpenBSD.
> >
> > A versão do FreeBSD é a 6.2. Segue abaixo o firewall para
> vossa análise.
> > Agradeço se alguém puder me dar uma luz.
> >
> > ext_if="xl0"# replace with actual external interface
> name i.e., dc0
> > int_if="xl1"# replace with actual internal interface
> name i.e., dc1
> > internal_net="192.168.100.0/24"
> >
> > scrub in all
> >
> > nat on $ext_if from $internal_net to any -> ($ext_if)
> >
> > rdr pass on $ext_if proto { tcp, udp } from any to $ext_if
> port www ->
> > 192.168.100.10 port 80
> >
> > block in log on $ext_if
> > pass in on $int_if
> > pass in on $ext_if proto tcp from any to $ext_if port 22
> keep state
> > pass out on $ext_if proto { tcp, udp } all keep state
> >
> > pass out on $int_if
> >
> >
> > Quando starto o firewall, e de fora da empresa, tento dar
> um telnet no
> > ip externo, na prota 80, o telnet demora e não conecta. Já
> quando eu
> > baixo o firewall ou quando comento a linha do
> redirecionamento, dá de
> > cara a
> > mensagem: "Connection refused".
> > No comando: tcpdump -n -e -ttt -i pflog0 não gera log nenhum.
> >
> > Sabem me indicar pq no FreeBSD o pf não funciona como no
> Open? Quais
> > as diferenças do pf - Open para o pf - FreeBSD?
> >
> >
> > Att.
> > Márcio A. Sepp
> Crie uma regra autorizando a passagem de pacotes na porta 80.
> ex.: pass in on $ext_if proto tcp from any to $ext_if port 80
> No histórico da lista tem uma discussão sobre isso,porque
> parece que no openbsd quando você criar a regra de rdr ele já
> autoriza por default,dá uma pesquisada que vai entender melhor.
> t+
Tentei tanto com o comando:
Rdr pass (para redirecionar e já dar passagem), quanto com o comando
Rdr on ... (para somente redirecionar e abaixo coloquei a regra de
passagem.
Em ambos os casos não está conectando... Apenas demora... Demora... Dá a
impressão de que a conexão é estabelecida, mas não tem um retorno.
Segue abaixo os testes que fiz:
Tentei com a regra padrão que usamos no OpenBSD:
rdr pass on $ext_if proto { tcp, udp } from any to $ext_if port www ->
192.168.100.10 port 80
Depois tentamos:
rdr on $ext_if proto { tcp, udp } from any to $ext_if port www ->
192.168.100.10 port 80
E a passagem...
pass in quick on $ext_if proto tcp from any to $ext_if port 80 flags S/SA
modulate state
pass in quick on $ext_if proto udp from any to $ext_if port 80 keep state
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: Do Open para o FreeBSD
Serei bem direto a respeito disso e certamente serei criticado, mas ouvirei
o que disserem.
Usamos desde o OpenBSD 3.3 até agora (4.1) e a poucos dias enfrentamos um
problema sério de disponibilidade em um cliente. Do nada o router caía em
momentos de pico. As vezes funcionava por algumas horas e até dias e as
vezes caía do nada.
Chegamos a reportar o problema, mas não conseguimos fazer mais testes, pois
o problema só ocorria no nosso cliente e em ambiente de produção. Por isso
não tinhamos condições de prosseguir os testes e a solução foi trocar o
sistema operacional (a propósito, este problema afeta as versões 3.9, 4.0 e
4.1 do Open).
Me coloco a inteira disposição para auxiliar na resolução disso, mas
infelizmente o cliente precisa de disponibilidade e a rede dele é
relativamente grande. Daih não poderei testar lá em produção.
Outra coisa que já vinhamos enfrentando no OpenBSD é um problema relacionado
ao locale e banco de dados. Temos um aplicativo que opera com um banco de
dados que, por sua vez, tem problemas de acentuação relacionado ao locale.
Daih o FreeBSD aparentou ser a melhor opção para isso e preferimos ele por
ser mais parecido com o OpenBSD, o qual já temos experiência.
> Chará.. sabe o motivo que vcs estão mudando para FreeBSD ?
>
> não gerando flames.. longe de mim pq sou adepto do FreeBSD,
> mas quem mexe com Open..dizem que não troca por
> nada..sinceramente eu não vejo nada de especial no Open. Ai
> fiquei curioso em sabe o motivo da empresa que vc trabalha.
>
>
>
> Em 07/08/07, Danilo Lara<[EMAIL PROTECTED]> escreveu:
> > On Tue, 2007-08-07 at 15:58 -0300, Marcio A. Sepp wrote:
> > > Boa tarde,
> > >
> > >
> > > A nossa empresa vem trabalhando a algum tempo com o
> OpenBSD e agora
> > > estamos partindo para o FreeBSD.
> > > Porém não estamos conseguindo fazer o firewall (pf)
> funcionar como
> > > era no OpenBSD.
> > >
> > > A versão do FreeBSD é a 6.2. Segue abaixo o firewall para
> vossa análise.
> > > Agradeço se alguém puder me dar uma luz.
> > >
> > > ext_if="xl0"# replace with actual external interface
> name i.e., dc0
> > > int_if="xl1"# replace with actual internal interface
> name i.e., dc1
> > > internal_net="192.168.100.0/24"
> > >
> > > scrub in all
> > >
> > > nat on $ext_if from $internal_net to any -> ($ext_if)
> > >
> > > rdr pass on $ext_if proto { tcp, udp } from any to
> $ext_if port www
> > > -> 192.168.100.10 port 80
> > >
> > > block in log on $ext_if
> > > pass in on $int_if
> > > pass in on $ext_if proto tcp from any to $ext_if port 22 keep
> > > state pass out on $ext_if proto { tcp, udp } all keep state
> > >
> > > pass out on $int_if
> > >
> > >
> > > Quando starto o firewall, e de fora da empresa, tento dar
> um telnet
> > > no ip externo, na prota 80, o telnet demora e não
> conecta. Já quando
> > > eu baixo o firewall ou quando comento a linha do
> redirecionamento,
> > > dá de cara a
> > > mensagem: "Connection refused".
> > > No comando: tcpdump -n -e -ttt -i pflog0 não gera log nenhum.
> > >
> > > Sabem me indicar pq no FreeBSD o pf não funciona como no
> Open? Quais
> > > as diferenças do pf - Open para o pf - FreeBSD?
> > >
> > >
> > > Att.
> > > Márcio A. Sepp
> > Crie uma regra autorizando a passagem de pacotes na porta 80.
> > ex.: pass in on $ext_if proto tcp from any to $ext_if port 80 No
> > histórico da lista tem uma discussão sobre isso,porque
> parece que no
> > openbsd quando você criar a regra de rdr ele já autoriza por
> > default,dá uma pesquisada que vai entender melhor.
> > t+
> >
> > --
> > Danilo Augusto Vicente Lara
> > [EMAIL PROTECTED]
> > Cel.: +55 61 8177-1361
> >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Do Open para o FreeBSD
Marcio pode reportar um pouco mais sobre seu problema??
Eu indicaria q vc entrasse nessa lista para discutirmos um pouco
http://listas.openbsd-br.org/mailman/listinfo/openbsd
Em relacao a migrar pro free acho que nao tera problemas, ja que mto
que vem do open eh portado pro free. Alem do que o free tem suporte a
muito mais aplicativos que o open.
Boa sorte
Em 07/08/07, Marcio A. Sepp<[EMAIL PROTECTED]> escreveu:
>
> Serei bem direto a respeito disso e certamente serei criticado, mas ouvirei
> o que disserem.
>
> Usamos desde o OpenBSD 3.3 até agora (4.1) e a poucos dias enfrentamos um
> problema sério de disponibilidade em um cliente. Do nada o router caía em
> momentos de pico. As vezes funcionava por algumas horas e até dias e as
> vezes caía do nada.
>
> Chegamos a reportar o problema, mas não conseguimos fazer mais testes, pois
> o problema só ocorria no nosso cliente e em ambiente de produção. Por isso
> não tinhamos condições de prosseguir os testes e a solução foi trocar o
> sistema operacional (a propósito, este problema afeta as versões 3.9, 4.0 e
> 4.1 do Open).
> Me coloco a inteira disposição para auxiliar na resolução disso, mas
> infelizmente o cliente precisa de disponibilidade e a rede dele é
> relativamente grande. Daih não poderei testar lá em produção.
>
> Outra coisa que já vinhamos enfrentando no OpenBSD é um problema relacionado
> ao locale e banco de dados. Temos um aplicativo que opera com um banco de
> dados que, por sua vez, tem problemas de acentuação relacionado ao locale.
> Daih o FreeBSD aparentou ser a melhor opção para isso e preferimos ele por
> ser mais parecido com o OpenBSD, o qual já temos experiência.
>
>
> > Chará.. sabe o motivo que vcs estão mudando para FreeBSD ?
> >
> > não gerando flames.. longe de mim pq sou adepto do FreeBSD,
> > mas quem mexe com Open..dizem que não troca por
> > nada..sinceramente eu não vejo nada de especial no Open. Ai
> > fiquei curioso em sabe o motivo da empresa que vc trabalha.
> >
> >
> >
> > Em 07/08/07, Danilo Lara<[EMAIL PROTECTED]> escreveu:
> > > On Tue, 2007-08-07 at 15:58 -0300, Marcio A. Sepp wrote:
> > > > Boa tarde,
> > > >
> > > >
> > > > A nossa empresa vem trabalhando a algum tempo com o
> > OpenBSD e agora
> > > > estamos partindo para o FreeBSD.
> > > > Porém não estamos conseguindo fazer o firewall (pf)
> > funcionar como
> > > > era no OpenBSD.
> > > >
> > > > A versão do FreeBSD é a 6.2. Segue abaixo o firewall para
> > vossa análise.
> > > > Agradeço se alguém puder me dar uma luz.
> > > >
> > > > ext_if="xl0"# replace with actual external interface
> > name i.e., dc0
> > > > int_if="xl1"# replace with actual internal interface
> > name i.e., dc1
> > > > internal_net="192.168.100.0/24"
> > > >
> > > > scrub in all
> > > >
> > > > nat on $ext_if from $internal_net to any -> ($ext_if)
> > > >
> > > > rdr pass on $ext_if proto { tcp, udp } from any to
> > $ext_if port www
> > > > -> 192.168.100.10 port 80
> > > >
> > > > block in log on $ext_if
> > > > pass in on $int_if
> > > > pass in on $ext_if proto tcp from any to $ext_if port 22 keep
> > > > state pass out on $ext_if proto { tcp, udp } all keep state
> > > >
> > > > pass out on $int_if
> > > >
> > > >
> > > > Quando starto o firewall, e de fora da empresa, tento dar
> > um telnet
> > > > no ip externo, na prota 80, o telnet demora e não
> > conecta. Já quando
> > > > eu baixo o firewall ou quando comento a linha do
> > redirecionamento,
> > > > dá de cara a
> > > > mensagem: "Connection refused".
> > > > No comando: tcpdump -n -e -ttt -i pflog0 não gera log nenhum.
> > > >
> > > > Sabem me indicar pq no FreeBSD o pf não funciona como no
> > Open? Quais
> > > > as diferenças do pf - Open para o pf - FreeBSD?
> > > >
> > > >
> > > > Att.
> > > > Márcio A. Sepp
> > > Crie uma regra autorizando a passagem de pacotes na porta 80.
> > > ex.: pass in on $ext_if proto tcp from any to $ext_if port 80 No
> > > histórico da lista tem uma discussão sobre isso,porque
> > parece que no
> > > openbsd quando você criar a regra de rdr ele já autoriza por
> > > default,dá uma pesquisada que vai entender melhor.
> > > t+
> > >
> > > --
> > > Danilo Augusto Vicente Lara
> > > [EMAIL PROTECTED]
> > > Cel.: +55 61 8177-1361
> > >
> > > -
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Giancarlo Rubio
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Do Open para o FreeBSD
Olá, tente...
pass in quick log on $ext_if proto tcp from any to 192.168.100.10 port 80 flags
S/SA keep state
pass in quick log on $ext_if proto udp from any to 192.168.100.10 port 80 keep
state
Sds,
Vagner Gonçalves (Slayer)
Marcio A. Sepp escreveu:
> Att.
> Márcio A. Sepp
> ZYON TECNOLOGIA LTDA
> (49) 3444-4591
> (49) 8405-9215
>
>
>
>> -Mensagem original-
>> De: [EMAIL PROTECTED]
>> [mailto:[EMAIL PROTECTED] Em nome de Danilo Lara
>> Enviada em: terça-feira, 7 de agosto de 2007 16:07
>> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>> Assunto: Re: [FUG-BR] Do Open para o FreeBSD
>>
>> On Tue, 2007-08-07 at 15:58 -0300, Marcio A. Sepp wrote:
>>
>>> Boa tarde,
>>>
>>>
>>> A nossa empresa vem trabalhando a algum tempo com o OpenBSD e agora
>>> estamos partindo para o FreeBSD.
>>> Porém não estamos conseguindo fazer o firewall (pf)
>>>
>> funcionar como era
>>
>>> no OpenBSD.
>>>
>>> A versão do FreeBSD é a 6.2. Segue abaixo o firewall para
>>>
>> vossa análise.
>>
>>> Agradeço se alguém puder me dar uma luz.
>>>
>>> ext_if="xl0"# replace with actual external interface
>>>
>> name i.e., dc0
>>
>>> int_if="xl1"# replace with actual internal interface
>>>
>> name i.e., dc1
>>
>>> internal_net="192.168.100.0/24"
>>>
>>> scrub in all
>>>
>>> nat on $ext_if from $internal_net to any -> ($ext_if)
>>>
>>> rdr pass on $ext_if proto { tcp, udp } from any to $ext_if
>>>
>> port www ->
>>
>>> 192.168.100.10 port 80
>>>
>>> block in log on $ext_if
>>> pass in on $int_if
>>> pass in on $ext_if proto tcp from any to $ext_if port 22
>>>
>> keep state
>>
>>> pass out on $ext_if proto { tcp, udp } all keep state
>>>
>>> pass out on $int_if
>>>
>>>
>>> Quando starto o firewall, e de fora da empresa, tento dar
>>>
>> um telnet no
>>
>>> ip externo, na prota 80, o telnet demora e não conecta. Já
>>>
>> quando eu
>>
>>> baixo o firewall ou quando comento a linha do
>>>
>> redirecionamento, dá de
>>
>>> cara a
>>> mensagem: "Connection refused".
>>> No comando: tcpdump -n -e -ttt -i pflog0 não gera log nenhum.
>>>
>>> Sabem me indicar pq no FreeBSD o pf não funciona como no
>>>
>> Open? Quais
>>
>>> as diferenças do pf - Open para o pf - FreeBSD?
>>>
>>>
>>> Att.
>>> Márcio A. Sepp
>>>
>> Crie uma regra autorizando a passagem de pacotes na porta 80.
>> ex.: pass in on $ext_if proto tcp from any to $ext_if port 80
>> No histórico da lista tem uma discussão sobre isso,porque
>> parece que no openbsd quando você criar a regra de rdr ele já
>> autoriza por default,dá uma pesquisada que vai entender melhor.
>> t+
>>
>
> Tentei tanto com o comando:
> Rdr pass (para redirecionar e já dar passagem), quanto com o comando
> Rdr on ... (para somente redirecionar e abaixo coloquei a regra de
> passagem.
>
> Em ambos os casos não está conectando... Apenas demora... Demora... Dá a
> impressão de que a conexão é estabelecida, mas não tem um retorno.
>
> Segue abaixo os testes que fiz:
> Tentei com a regra padrão que usamos no OpenBSD:
> rdr pass on $ext_if proto { tcp, udp } from any to $ext_if port www ->
> 192.168.100.10 port 80
>
> Depois tentamos:
> rdr on $ext_if proto { tcp, udp } from any to $ext_if port www ->
> 192.168.100.10 port 80
>
> E a passagem...
>
> pass in quick on $ext_if proto tcp from any to $ext_if port 80 flags S/SA
> modulate state
> pass in quick on $ext_if proto udp from any to $ext_if port 80 keep state
>
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
>
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Do Open para o FreeBSD
On 8/9/07, Vagner Gonçalves <[EMAIL PROTECTED]> wrote:
> Olá, tente...
>
> pass in quick log on $ext_if proto tcp from any to 192.168.100.10 port 80
> flags S/SA keep state
> pass in quick log on $ext_if proto udp from any to 192.168.100.10 port 80
> keep state
>
> Sds,
>
>
> Vagner Gonçalves (Slayer)
>
>
> Marcio A. Sepp escreveu:
> > Att.
> > Márcio A. Sepp
> > ZYON TECNOLOGIA LTDA
> > (49) 3444-4591
> > (49) 8405-9215
> >
> >
> >
> >> -Mensagem original-
> >> De: [EMAIL PROTECTED]
> >> [mailto:[EMAIL PROTECTED] Em nome de Danilo Lara
> >> Enviada em: terça-feira, 7 de agosto de 2007 16:07
> >> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> >> Assunto: Re: [FUG-BR] Do Open para o FreeBSD
> >>
> >> On Tue, 2007-08-07 at 15:58 -0300, Marcio A. Sepp wrote:
> >>
> >>> Boa tarde,
> >>>
> >>>
> >>> A nossa empresa vem trabalhando a algum tempo com o OpenBSD e agora
> >>> estamos partindo para o FreeBSD.
> >>> Porém não estamos conseguindo fazer o firewall (pf)
> >>>
> >> funcionar como era
> >>
> >>> no OpenBSD.
> >>>
> >>> A versão do FreeBSD é a 6.2. Segue abaixo o firewall para
> >>>
> >> vossa análise.
> >>
> >>> Agradeço se alguém puder me dar uma luz.
> >>>
> >>> ext_if="xl0"# replace with actual external interface
> >>>
> >> name i.e., dc0
> >>
> >>> int_if="xl1"# replace with actual internal interface
> >>>
> >> name i.e., dc1
> >>
> >>> internal_net="192.168.100.0/24"
> >>>
> >>> scrub in all
> >>>
> >>> nat on $ext_if from $internal_net to any -> ($ext_if)
> >>>
> >>> rdr pass on $ext_if proto { tcp, udp } from any to $ext_if
> >>>
> >> port www ->
> >>
> >>> 192.168.100.10 port 80
> >>>
> >>> block in log on $ext_if
> >>> pass in on $int_if
> >>> pass in on $ext_if proto tcp from any to $ext_if port 22
> >>>
> >> keep state
> >>
> >>> pass out on $ext_if proto { tcp, udp } all keep state
> >>>
> >>> pass out on $int_if
> >>>
> >>>
> >>> Quando starto o firewall, e de fora da empresa, tento dar
> >>>
> >> um telnet no
> >>
> >>> ip externo, na prota 80, o telnet demora e não conecta. Já
> >>>
> >> quando eu
> >>
> >>> baixo o firewall ou quando comento a linha do
> >>>
> >> redirecionamento, dá de
> >>
> >>> cara a
> >>> mensagem: "Connection refused".
> >>> No comando: tcpdump -n -e -ttt -i pflog0 não gera log nenhum.
> >>>
> >>> Sabem me indicar pq no FreeBSD o pf não funciona como no
> >>>
> >> Open? Quais
> >>
> >>> as diferenças do pf - Open para o pf - FreeBSD?
> >>>
> >>>
> >>> Att.
> >>> Márcio A. Sepp
> >>>
> >> Crie uma regra autorizando a passagem de pacotes na porta 80.
> >> ex.: pass in on $ext_if proto tcp from any to $ext_if port 80
> >> No histórico da lista tem uma discussão sobre isso,porque
> >> parece que no openbsd quando você criar a regra de rdr ele já
> >> autoriza por default,dá uma pesquisada que vai entender melhor.
> >> t+
> >>
> >
> > Tentei tanto com o comando:
> > Rdr pass (para redirecionar e já dar passagem), quanto com o comando
> > Rdr on ... (para somente redirecionar e abaixo coloquei a regra de
> > passagem.
> >
> > Em ambos os casos não está conectando... Apenas demora... Demora... Dá a
> > impressão de que a conexão é estabelecida, mas não tem um retorno.
> >
> > Segue abaixo os testes que fiz:
> > Tentei com a regra padrão que usamos no OpenBSD:
> > rdr pass on $ext_if proto { tcp, udp } from any to $ext_if port www ->
> > 192.168.100.10 port 80
> >
> > Depois tentamos:
> > rdr on $ext_if proto { tcp, udp } from any to $ext_if port www ->
> > 192.168.100.10 port 80
> >
> > E a passagem...
> >
> > pass in quick on $ext_if proto tcp from any to $ext_if port 80 flags S/SA
> > modulate state
> > pass in quick on $ext_if proto udp from any to $ext_if port 80 keep state
> >
> >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> >
> >
> >
>
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Nada feito
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Do Open para o FreeBSD
Gule # escreveu:
> Nada feito
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> !DSPAM:8,46bc72a26401354521195!
Cara, estou te passando meu script, pra ver se te ajuda:
É a seguinte arquitetura
|Internet|
||LAN|
|
|Proxy Loja X
Mail Server - Firewall (PF) ---|--- Roteador Nuvem FR--/---
Proxy Loja Y
\Proxy Loja Z
# $Id: pf.conf,v 1.57 2007/07/18 20:16:28 root Exp $
# /etc/pf.conf by RZ
if_ext = "rl0"
if_dmz = "xl0"
if_lan = "xl1"
if_vpn = "tun0"
ext_ip = "200.x.x.x"
icmp_types = "echoreq"
rfc1918 = "{ 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 }"
lan_net = "172.17.0.0/24"
dmz_net = "192.168.0.0/24"
ext_net = "200.x.x.x/29"
lojas_net = "172.16.0.0/16"
proxies_net = "192.168.255.0/24"
voip_net = "172.25.0.0/24"
vpn_net = "10.255.255.255/24"
lojas_vpn_net = "172.18.16.0/16"
nat_ip_lan = "200.x.x.x"
nat_ip_proxies = "200.x.x.x"
nat_ip_lojas = "200.x.x.x"
tcp_in_fw = "{ 3003 }"
udp_in_fw = "{ 1194 }"
tcp_fwd_lan = "{ 20 21 22 53 80 443 2004 2011 3003 8500 }"
udp_fwd_lan = "{ 53 123 }"
tcp_fwd_lojas = "{ 20 21 22 25 80 81:83 110 123 143 220 443 465 990:996
1025 1707 1863 2002 2004 2010 2011 2525 2631 3003 3004 3007 3310 3389
3456 4017 5017 5080 5169 5297 5999 6000 6891:6901 7791 8017 8080 8087
8088 8097 8180 8443 8500 9900 21234 31125 31651 41651 54731 }"
ips_liberados = "{ 172.16.5.163 172.16.5.158 172.16.13.180 }"
destinos_liberados = "{ 204.11.233.76 204.11.233.58 204.11.233.62
204.11.233.52 161.148.185.46 200.255.15.215 200.255.15.220
200.255.15.0/24 }"
ext_ip_naboo1 = "200.x.x.x"
dmz_ip_naboo1 = "192.168.0.11"
tcp_fwd_naboo1 = "{ 20 21 25 2525 110 143 993 995 80 443 }"
udp_fwd_naboo1 = "{ 53 }"
ext_ip_naboo2 = "200.x.x.x"
dmz_ip_naboo2 = "192.168.0.12"
udp_fwd_naboo2 = "{ 53 }"
tcp_fwd_naboo2 = "{ 25 }"
table { $lan_net $proxies_net $lojas_net }
set optimization normal
set block-policy return
set loginterface $if_ext
# libera lo0 #
set skip on lo0
# Normaliza os pacotes -#
scrub in all
scrub out all no-df max-mss 1492 random-id
#-- NAT para a Lan e para as Lojas --#
nat on $if_ext from $lan_net to any -> $nat_ip_lan
nat on $if_ext from $lojas_net to any -> $nat_ip_lojas
nat on $if_ext from $proxies_net to any -> $nat_ip_proxies
#-- NAT OpenVpn --#
nat on $if_lan from $vpn_net to any -> $if_lan
#--- NAT para mail server (ip1) #
nat on $if_ext from $dmz_ip_naboo1 to any -> $ext_ip_naboo1
rdr on $if_ext proto tcp from any to $ext_ip_naboo1 port $tcp_fwd_naboo1
-> $dmz_ip_naboo1
rdr on $if_ext proto udp from any to $ext_ip_naboo1 port $udp_fwd_naboo1
-> $dmz_ip_naboo1
rdr on $if_lan proto tcp from to $ext_ip_naboo1 port
$tcp_fwd_naboo1 -> $dmz_ip_naboo1
rdr on $if_lan proto udp from to $ext_ip_naboo1 port
$udp_fwd_naboo1 -> $dmz_ip_naboo1
#--- NAT para mail server (ip2) #
nat on $if_ext from $dmz_ip_naboo2 to any -> $ext_ip_naboo2
rdr on $if_ext proto tcp from any to $ext_ip_naboo2 port $tcp_fwd_naboo2
-> $dmz_ip_naboo2
rdr on $if_ext proto udp from any to $ext_ip_naboo2 port $udp_fwd_naboo2
-> $dmz_ip_naboo2
rdr on $if_lan proto tcp from to $ext_ip_naboo2 port
$tcp_fwd_naboo2 -> $dmz_ip_naboo2
rdr on $if_lan proto udp from to $ext_ip_naboo2 port
$udp_fwd_naboo2 -> $dmz_ip_naboo2
# RDR FTP Proxy #
rdr on $if_lan proto tcp from any to any port 21 -> 127.0.0.1 port 8021
rdr on $if_dmz proto tcp from any to any port 21 -> 127.0.0.1 port 8021
#- Bloqueia entrada por default -#
block in all
# Bloqueia identificação de SO pelo NMAP ---#
block in quick os NMAP
block in quick proto tcp flags FUP/FUP
block in quick proto tcp flags FUP/WEUAPRSF
block in quick proto tcp flags WEUAPRSF/WEUAPRSF
block in quick proto tcp flags SRAFU/WEUAPRSF
block in quick proto tcp flags /WEUAPRSF
block in quick proto tcp flags SR/SR
block in quick proto tcp flags SF/SF
block in quick proto tcp flags SF/SRFA
block in quick proto tcp flags /SRFA
#- Libera saida -#
pass out proto tcp all modulate state
pass out proto { udp, icmp } all keep state
#- Bloqueia redes reservadas vindas pela interface externa #
block drop in quick on $if_ext from $rfc1918 to any
block drop out quick on $if_ext from any to $rfc1918
# FTP Proxy #
pass in on $if_lan from { $lan_net $proxies_net $lojas_net } to lo0 keep
state
pass in on $if_dmz from $dmz_net to lo0 keep state
pass in on $if_ext inet proto tcp from any to $if_ext \
user proxy keep state
#- Permite conexoes no firewall pela internet --
