[FUG-BR] RES: Do Open para o FreeBSD
Att. Márcio A. Sepp ZYON TECNOLOGIA LTDA (49) 3444-4591 (49) 8405-9215 > -Mensagem original- > De: [EMAIL PROTECTED] > [mailto:[EMAIL PROTECTED] Em nome de Danilo Lara > Enviada em: terça-feira, 7 de agosto de 2007 16:07 > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Assunto: Re: [FUG-BR] Do Open para o FreeBSD > > On Tue, 2007-08-07 at 15:58 -0300, Marcio A. Sepp wrote: > > Boa tarde, > > > > > > A nossa empresa vem trabalhando a algum tempo com o OpenBSD e agora > > estamos partindo para o FreeBSD. > > Porém não estamos conseguindo fazer o firewall (pf) > funcionar como era > > no OpenBSD. > > > > A versão do FreeBSD é a 6.2. Segue abaixo o firewall para > vossa análise. > > Agradeço se alguém puder me dar uma luz. > > > > ext_if="xl0"# replace with actual external interface > name i.e., dc0 > > int_if="xl1"# replace with actual internal interface > name i.e., dc1 > > internal_net="192.168.100.0/24" > > > > scrub in all > > > > nat on $ext_if from $internal_net to any -> ($ext_if) > > > > rdr pass on $ext_if proto { tcp, udp } from any to $ext_if > port www -> > > 192.168.100.10 port 80 > > > > block in log on $ext_if > > pass in on $int_if > > pass in on $ext_if proto tcp from any to $ext_if port 22 > keep state > > pass out on $ext_if proto { tcp, udp } all keep state > > > > pass out on $int_if > > > > > > Quando starto o firewall, e de fora da empresa, tento dar > um telnet no > > ip externo, na prota 80, o telnet demora e não conecta. Já > quando eu > > baixo o firewall ou quando comento a linha do > redirecionamento, dá de > > cara a > > mensagem: "Connection refused". > > No comando: tcpdump -n -e -ttt -i pflog0 não gera log nenhum. > > > > Sabem me indicar pq no FreeBSD o pf não funciona como no > Open? Quais > > as diferenças do pf - Open para o pf - FreeBSD? > > > > > > Att. > > Márcio A. Sepp > Crie uma regra autorizando a passagem de pacotes na porta 80. > ex.: pass in on $ext_if proto tcp from any to $ext_if port 80 > No histórico da lista tem uma discussão sobre isso,porque > parece que no openbsd quando você criar a regra de rdr ele já > autoriza por default,dá uma pesquisada que vai entender melhor. > t+ Tentei tanto com o comando: Rdr pass (para redirecionar e já dar passagem), quanto com o comando Rdr on ... (para somente redirecionar e abaixo coloquei a regra de passagem. Em ambos os casos não está conectando... Apenas demora... Demora... Dá a impressão de que a conexão é estabelecida, mas não tem um retorno. Segue abaixo os testes que fiz: Tentei com a regra padrão que usamos no OpenBSD: rdr pass on $ext_if proto { tcp, udp } from any to $ext_if port www -> 192.168.100.10 port 80 Depois tentamos: rdr on $ext_if proto { tcp, udp } from any to $ext_if port www -> 192.168.100.10 port 80 E a passagem... pass in quick on $ext_if proto tcp from any to $ext_if port 80 flags S/SA modulate state pass in quick on $ext_if proto udp from any to $ext_if port 80 keep state - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: Do Open para o FreeBSD
Serei bem direto a respeito disso e certamente serei criticado, mas ouvirei o que disserem. Usamos desde o OpenBSD 3.3 até agora (4.1) e a poucos dias enfrentamos um problema sério de disponibilidade em um cliente. Do nada o router caía em momentos de pico. As vezes funcionava por algumas horas e até dias e as vezes caía do nada. Chegamos a reportar o problema, mas não conseguimos fazer mais testes, pois o problema só ocorria no nosso cliente e em ambiente de produção. Por isso não tinhamos condições de prosseguir os testes e a solução foi trocar o sistema operacional (a propósito, este problema afeta as versões 3.9, 4.0 e 4.1 do Open). Me coloco a inteira disposição para auxiliar na resolução disso, mas infelizmente o cliente precisa de disponibilidade e a rede dele é relativamente grande. Daih não poderei testar lá em produção. Outra coisa que já vinhamos enfrentando no OpenBSD é um problema relacionado ao locale e banco de dados. Temos um aplicativo que opera com um banco de dados que, por sua vez, tem problemas de acentuação relacionado ao locale. Daih o FreeBSD aparentou ser a melhor opção para isso e preferimos ele por ser mais parecido com o OpenBSD, o qual já temos experiência. > Chará.. sabe o motivo que vcs estão mudando para FreeBSD ? > > não gerando flames.. longe de mim pq sou adepto do FreeBSD, > mas quem mexe com Open..dizem que não troca por > nada..sinceramente eu não vejo nada de especial no Open. Ai > fiquei curioso em sabe o motivo da empresa que vc trabalha. > > > > Em 07/08/07, Danilo Lara<[EMAIL PROTECTED]> escreveu: > > On Tue, 2007-08-07 at 15:58 -0300, Marcio A. Sepp wrote: > > > Boa tarde, > > > > > > > > > A nossa empresa vem trabalhando a algum tempo com o > OpenBSD e agora > > > estamos partindo para o FreeBSD. > > > Porém não estamos conseguindo fazer o firewall (pf) > funcionar como > > > era no OpenBSD. > > > > > > A versão do FreeBSD é a 6.2. Segue abaixo o firewall para > vossa análise. > > > Agradeço se alguém puder me dar uma luz. > > > > > > ext_if="xl0"# replace with actual external interface > name i.e., dc0 > > > int_if="xl1"# replace with actual internal interface > name i.e., dc1 > > > internal_net="192.168.100.0/24" > > > > > > scrub in all > > > > > > nat on $ext_if from $internal_net to any -> ($ext_if) > > > > > > rdr pass on $ext_if proto { tcp, udp } from any to > $ext_if port www > > > -> 192.168.100.10 port 80 > > > > > > block in log on $ext_if > > > pass in on $int_if > > > pass in on $ext_if proto tcp from any to $ext_if port 22 keep > > > state pass out on $ext_if proto { tcp, udp } all keep state > > > > > > pass out on $int_if > > > > > > > > > Quando starto o firewall, e de fora da empresa, tento dar > um telnet > > > no ip externo, na prota 80, o telnet demora e não > conecta. Já quando > > > eu baixo o firewall ou quando comento a linha do > redirecionamento, > > > dá de cara a > > > mensagem: "Connection refused". > > > No comando: tcpdump -n -e -ttt -i pflog0 não gera log nenhum. > > > > > > Sabem me indicar pq no FreeBSD o pf não funciona como no > Open? Quais > > > as diferenças do pf - Open para o pf - FreeBSD? > > > > > > > > > Att. > > > Márcio A. Sepp > > Crie uma regra autorizando a passagem de pacotes na porta 80. > > ex.: pass in on $ext_if proto tcp from any to $ext_if port 80 No > > histórico da lista tem uma discussão sobre isso,porque > parece que no > > openbsd quando você criar a regra de rdr ele já autoriza por > > default,dá uma pesquisada que vai entender melhor. > > t+ > > > > -- > > Danilo Augusto Vicente Lara > > [EMAIL PROTECTED] > > Cel.: +55 61 8177-1361 > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Do Open para o FreeBSD
Marcio pode reportar um pouco mais sobre seu problema?? Eu indicaria q vc entrasse nessa lista para discutirmos um pouco http://listas.openbsd-br.org/mailman/listinfo/openbsd Em relacao a migrar pro free acho que nao tera problemas, ja que mto que vem do open eh portado pro free. Alem do que o free tem suporte a muito mais aplicativos que o open. Boa sorte Em 07/08/07, Marcio A. Sepp<[EMAIL PROTECTED]> escreveu: > > Serei bem direto a respeito disso e certamente serei criticado, mas ouvirei > o que disserem. > > Usamos desde o OpenBSD 3.3 até agora (4.1) e a poucos dias enfrentamos um > problema sério de disponibilidade em um cliente. Do nada o router caía em > momentos de pico. As vezes funcionava por algumas horas e até dias e as > vezes caía do nada. > > Chegamos a reportar o problema, mas não conseguimos fazer mais testes, pois > o problema só ocorria no nosso cliente e em ambiente de produção. Por isso > não tinhamos condições de prosseguir os testes e a solução foi trocar o > sistema operacional (a propósito, este problema afeta as versões 3.9, 4.0 e > 4.1 do Open). > Me coloco a inteira disposição para auxiliar na resolução disso, mas > infelizmente o cliente precisa de disponibilidade e a rede dele é > relativamente grande. Daih não poderei testar lá em produção. > > Outra coisa que já vinhamos enfrentando no OpenBSD é um problema relacionado > ao locale e banco de dados. Temos um aplicativo que opera com um banco de > dados que, por sua vez, tem problemas de acentuação relacionado ao locale. > Daih o FreeBSD aparentou ser a melhor opção para isso e preferimos ele por > ser mais parecido com o OpenBSD, o qual já temos experiência. > > > > Chará.. sabe o motivo que vcs estão mudando para FreeBSD ? > > > > não gerando flames.. longe de mim pq sou adepto do FreeBSD, > > mas quem mexe com Open..dizem que não troca por > > nada..sinceramente eu não vejo nada de especial no Open. Ai > > fiquei curioso em sabe o motivo da empresa que vc trabalha. > > > > > > > > Em 07/08/07, Danilo Lara<[EMAIL PROTECTED]> escreveu: > > > On Tue, 2007-08-07 at 15:58 -0300, Marcio A. Sepp wrote: > > > > Boa tarde, > > > > > > > > > > > > A nossa empresa vem trabalhando a algum tempo com o > > OpenBSD e agora > > > > estamos partindo para o FreeBSD. > > > > Porém não estamos conseguindo fazer o firewall (pf) > > funcionar como > > > > era no OpenBSD. > > > > > > > > A versão do FreeBSD é a 6.2. Segue abaixo o firewall para > > vossa análise. > > > > Agradeço se alguém puder me dar uma luz. > > > > > > > > ext_if="xl0"# replace with actual external interface > > name i.e., dc0 > > > > int_if="xl1"# replace with actual internal interface > > name i.e., dc1 > > > > internal_net="192.168.100.0/24" > > > > > > > > scrub in all > > > > > > > > nat on $ext_if from $internal_net to any -> ($ext_if) > > > > > > > > rdr pass on $ext_if proto { tcp, udp } from any to > > $ext_if port www > > > > -> 192.168.100.10 port 80 > > > > > > > > block in log on $ext_if > > > > pass in on $int_if > > > > pass in on $ext_if proto tcp from any to $ext_if port 22 keep > > > > state pass out on $ext_if proto { tcp, udp } all keep state > > > > > > > > pass out on $int_if > > > > > > > > > > > > Quando starto o firewall, e de fora da empresa, tento dar > > um telnet > > > > no ip externo, na prota 80, o telnet demora e não > > conecta. Já quando > > > > eu baixo o firewall ou quando comento a linha do > > redirecionamento, > > > > dá de cara a > > > > mensagem: "Connection refused". > > > > No comando: tcpdump -n -e -ttt -i pflog0 não gera log nenhum. > > > > > > > > Sabem me indicar pq no FreeBSD o pf não funciona como no > > Open? Quais > > > > as diferenças do pf - Open para o pf - FreeBSD? > > > > > > > > > > > > Att. > > > > Márcio A. Sepp > > > Crie uma regra autorizando a passagem de pacotes na porta 80. > > > ex.: pass in on $ext_if proto tcp from any to $ext_if port 80 No > > > histórico da lista tem uma discussão sobre isso,porque > > parece que no > > > openbsd quando você criar a regra de rdr ele já autoriza por > > > default,dá uma pesquisada que vai entender melhor. > > > t+ > > > > > > -- > > > Danilo Augusto Vicente Lara > > > [EMAIL PROTECTED] > > > Cel.: +55 61 8177-1361 > > > > > > - > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Do Open para o FreeBSD
Olá, tente... pass in quick log on $ext_if proto tcp from any to 192.168.100.10 port 80 flags S/SA keep state pass in quick log on $ext_if proto udp from any to 192.168.100.10 port 80 keep state Sds, Vagner Gonçalves (Slayer) Marcio A. Sepp escreveu: > Att. > Márcio A. Sepp > ZYON TECNOLOGIA LTDA > (49) 3444-4591 > (49) 8405-9215 > > > >> -Mensagem original- >> De: [EMAIL PROTECTED] >> [mailto:[EMAIL PROTECTED] Em nome de Danilo Lara >> Enviada em: terça-feira, 7 de agosto de 2007 16:07 >> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) >> Assunto: Re: [FUG-BR] Do Open para o FreeBSD >> >> On Tue, 2007-08-07 at 15:58 -0300, Marcio A. Sepp wrote: >> >>> Boa tarde, >>> >>> >>> A nossa empresa vem trabalhando a algum tempo com o OpenBSD e agora >>> estamos partindo para o FreeBSD. >>> Porém não estamos conseguindo fazer o firewall (pf) >>> >> funcionar como era >> >>> no OpenBSD. >>> >>> A versão do FreeBSD é a 6.2. Segue abaixo o firewall para >>> >> vossa análise. >> >>> Agradeço se alguém puder me dar uma luz. >>> >>> ext_if="xl0"# replace with actual external interface >>> >> name i.e., dc0 >> >>> int_if="xl1"# replace with actual internal interface >>> >> name i.e., dc1 >> >>> internal_net="192.168.100.0/24" >>> >>> scrub in all >>> >>> nat on $ext_if from $internal_net to any -> ($ext_if) >>> >>> rdr pass on $ext_if proto { tcp, udp } from any to $ext_if >>> >> port www -> >> >>> 192.168.100.10 port 80 >>> >>> block in log on $ext_if >>> pass in on $int_if >>> pass in on $ext_if proto tcp from any to $ext_if port 22 >>> >> keep state >> >>> pass out on $ext_if proto { tcp, udp } all keep state >>> >>> pass out on $int_if >>> >>> >>> Quando starto o firewall, e de fora da empresa, tento dar >>> >> um telnet no >> >>> ip externo, na prota 80, o telnet demora e não conecta. Já >>> >> quando eu >> >>> baixo o firewall ou quando comento a linha do >>> >> redirecionamento, dá de >> >>> cara a >>> mensagem: "Connection refused". >>> No comando: tcpdump -n -e -ttt -i pflog0 não gera log nenhum. >>> >>> Sabem me indicar pq no FreeBSD o pf não funciona como no >>> >> Open? Quais >> >>> as diferenças do pf - Open para o pf - FreeBSD? >>> >>> >>> Att. >>> Márcio A. Sepp >>> >> Crie uma regra autorizando a passagem de pacotes na porta 80. >> ex.: pass in on $ext_if proto tcp from any to $ext_if port 80 >> No histórico da lista tem uma discussão sobre isso,porque >> parece que no openbsd quando você criar a regra de rdr ele já >> autoriza por default,dá uma pesquisada que vai entender melhor. >> t+ >> > > Tentei tanto com o comando: > Rdr pass (para redirecionar e já dar passagem), quanto com o comando > Rdr on ... (para somente redirecionar e abaixo coloquei a regra de > passagem. > > Em ambos os casos não está conectando... Apenas demora... Demora... Dá a > impressão de que a conexão é estabelecida, mas não tem um retorno. > > Segue abaixo os testes que fiz: > Tentei com a regra padrão que usamos no OpenBSD: > rdr pass on $ext_if proto { tcp, udp } from any to $ext_if port www -> > 192.168.100.10 port 80 > > Depois tentamos: > rdr on $ext_if proto { tcp, udp } from any to $ext_if port www -> > 192.168.100.10 port 80 > > E a passagem... > > pass in quick on $ext_if proto tcp from any to $ext_if port 80 flags S/SA > modulate state > pass in quick on $ext_if proto udp from any to $ext_if port 80 keep state > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Do Open para o FreeBSD
On 8/9/07, Vagner Gonçalves <[EMAIL PROTECTED]> wrote: > Olá, tente... > > pass in quick log on $ext_if proto tcp from any to 192.168.100.10 port 80 > flags S/SA keep state > pass in quick log on $ext_if proto udp from any to 192.168.100.10 port 80 > keep state > > Sds, > > > Vagner Gonçalves (Slayer) > > > Marcio A. Sepp escreveu: > > Att. > > Márcio A. Sepp > > ZYON TECNOLOGIA LTDA > > (49) 3444-4591 > > (49) 8405-9215 > > > > > > > >> -Mensagem original- > >> De: [EMAIL PROTECTED] > >> [mailto:[EMAIL PROTECTED] Em nome de Danilo Lara > >> Enviada em: terça-feira, 7 de agosto de 2007 16:07 > >> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > >> Assunto: Re: [FUG-BR] Do Open para o FreeBSD > >> > >> On Tue, 2007-08-07 at 15:58 -0300, Marcio A. Sepp wrote: > >> > >>> Boa tarde, > >>> > >>> > >>> A nossa empresa vem trabalhando a algum tempo com o OpenBSD e agora > >>> estamos partindo para o FreeBSD. > >>> Porém não estamos conseguindo fazer o firewall (pf) > >>> > >> funcionar como era > >> > >>> no OpenBSD. > >>> > >>> A versão do FreeBSD é a 6.2. Segue abaixo o firewall para > >>> > >> vossa análise. > >> > >>> Agradeço se alguém puder me dar uma luz. > >>> > >>> ext_if="xl0"# replace with actual external interface > >>> > >> name i.e., dc0 > >> > >>> int_if="xl1"# replace with actual internal interface > >>> > >> name i.e., dc1 > >> > >>> internal_net="192.168.100.0/24" > >>> > >>> scrub in all > >>> > >>> nat on $ext_if from $internal_net to any -> ($ext_if) > >>> > >>> rdr pass on $ext_if proto { tcp, udp } from any to $ext_if > >>> > >> port www -> > >> > >>> 192.168.100.10 port 80 > >>> > >>> block in log on $ext_if > >>> pass in on $int_if > >>> pass in on $ext_if proto tcp from any to $ext_if port 22 > >>> > >> keep state > >> > >>> pass out on $ext_if proto { tcp, udp } all keep state > >>> > >>> pass out on $int_if > >>> > >>> > >>> Quando starto o firewall, e de fora da empresa, tento dar > >>> > >> um telnet no > >> > >>> ip externo, na prota 80, o telnet demora e não conecta. Já > >>> > >> quando eu > >> > >>> baixo o firewall ou quando comento a linha do > >>> > >> redirecionamento, dá de > >> > >>> cara a > >>> mensagem: "Connection refused". > >>> No comando: tcpdump -n -e -ttt -i pflog0 não gera log nenhum. > >>> > >>> Sabem me indicar pq no FreeBSD o pf não funciona como no > >>> > >> Open? Quais > >> > >>> as diferenças do pf - Open para o pf - FreeBSD? > >>> > >>> > >>> Att. > >>> Márcio A. Sepp > >>> > >> Crie uma regra autorizando a passagem de pacotes na porta 80. > >> ex.: pass in on $ext_if proto tcp from any to $ext_if port 80 > >> No histórico da lista tem uma discussão sobre isso,porque > >> parece que no openbsd quando você criar a regra de rdr ele já > >> autoriza por default,dá uma pesquisada que vai entender melhor. > >> t+ > >> > > > > Tentei tanto com o comando: > > Rdr pass (para redirecionar e já dar passagem), quanto com o comando > > Rdr on ... (para somente redirecionar e abaixo coloquei a regra de > > passagem. > > > > Em ambos os casos não está conectando... Apenas demora... Demora... Dá a > > impressão de que a conexão é estabelecida, mas não tem um retorno. > > > > Segue abaixo os testes que fiz: > > Tentei com a regra padrão que usamos no OpenBSD: > > rdr pass on $ext_if proto { tcp, udp } from any to $ext_if port www -> > > 192.168.100.10 port 80 > > > > Depois tentamos: > > rdr on $ext_if proto { tcp, udp } from any to $ext_if port www -> > > 192.168.100.10 port 80 > > > > E a passagem... > > > > pass in quick on $ext_if proto tcp from any to $ext_if port 80 flags S/SA > > modulate state > > pass in quick on $ext_if proto udp from any to $ext_if port 80 keep state > > > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Nada feito - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Do Open para o FreeBSD
Gule # escreveu: > Nada feito > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > !DSPAM:8,46bc72a26401354521195! Cara, estou te passando meu script, pra ver se te ajuda: É a seguinte arquitetura |Internet| ||LAN| | |Proxy Loja X Mail Server - Firewall (PF) ---|--- Roteador Nuvem FR--/--- Proxy Loja Y \Proxy Loja Z # $Id: pf.conf,v 1.57 2007/07/18 20:16:28 root Exp $ # /etc/pf.conf by RZ if_ext = "rl0" if_dmz = "xl0" if_lan = "xl1" if_vpn = "tun0" ext_ip = "200.x.x.x" icmp_types = "echoreq" rfc1918 = "{ 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 }" lan_net = "172.17.0.0/24" dmz_net = "192.168.0.0/24" ext_net = "200.x.x.x/29" lojas_net = "172.16.0.0/16" proxies_net = "192.168.255.0/24" voip_net = "172.25.0.0/24" vpn_net = "10.255.255.255/24" lojas_vpn_net = "172.18.16.0/16" nat_ip_lan = "200.x.x.x" nat_ip_proxies = "200.x.x.x" nat_ip_lojas = "200.x.x.x" tcp_in_fw = "{ 3003 }" udp_in_fw = "{ 1194 }" tcp_fwd_lan = "{ 20 21 22 53 80 443 2004 2011 3003 8500 }" udp_fwd_lan = "{ 53 123 }" tcp_fwd_lojas = "{ 20 21 22 25 80 81:83 110 123 143 220 443 465 990:996 1025 1707 1863 2002 2004 2010 2011 2525 2631 3003 3004 3007 3310 3389 3456 4017 5017 5080 5169 5297 5999 6000 6891:6901 7791 8017 8080 8087 8088 8097 8180 8443 8500 9900 21234 31125 31651 41651 54731 }" ips_liberados = "{ 172.16.5.163 172.16.5.158 172.16.13.180 }" destinos_liberados = "{ 204.11.233.76 204.11.233.58 204.11.233.62 204.11.233.52 161.148.185.46 200.255.15.215 200.255.15.220 200.255.15.0/24 }" ext_ip_naboo1 = "200.x.x.x" dmz_ip_naboo1 = "192.168.0.11" tcp_fwd_naboo1 = "{ 20 21 25 2525 110 143 993 995 80 443 }" udp_fwd_naboo1 = "{ 53 }" ext_ip_naboo2 = "200.x.x.x" dmz_ip_naboo2 = "192.168.0.12" udp_fwd_naboo2 = "{ 53 }" tcp_fwd_naboo2 = "{ 25 }" table { $lan_net $proxies_net $lojas_net } set optimization normal set block-policy return set loginterface $if_ext # libera lo0 # set skip on lo0 # Normaliza os pacotes -# scrub in all scrub out all no-df max-mss 1492 random-id #-- NAT para a Lan e para as Lojas --# nat on $if_ext from $lan_net to any -> $nat_ip_lan nat on $if_ext from $lojas_net to any -> $nat_ip_lojas nat on $if_ext from $proxies_net to any -> $nat_ip_proxies #-- NAT OpenVpn --# nat on $if_lan from $vpn_net to any -> $if_lan #--- NAT para mail server (ip1) # nat on $if_ext from $dmz_ip_naboo1 to any -> $ext_ip_naboo1 rdr on $if_ext proto tcp from any to $ext_ip_naboo1 port $tcp_fwd_naboo1 -> $dmz_ip_naboo1 rdr on $if_ext proto udp from any to $ext_ip_naboo1 port $udp_fwd_naboo1 -> $dmz_ip_naboo1 rdr on $if_lan proto tcp from to $ext_ip_naboo1 port $tcp_fwd_naboo1 -> $dmz_ip_naboo1 rdr on $if_lan proto udp from to $ext_ip_naboo1 port $udp_fwd_naboo1 -> $dmz_ip_naboo1 #--- NAT para mail server (ip2) # nat on $if_ext from $dmz_ip_naboo2 to any -> $ext_ip_naboo2 rdr on $if_ext proto tcp from any to $ext_ip_naboo2 port $tcp_fwd_naboo2 -> $dmz_ip_naboo2 rdr on $if_ext proto udp from any to $ext_ip_naboo2 port $udp_fwd_naboo2 -> $dmz_ip_naboo2 rdr on $if_lan proto tcp from to $ext_ip_naboo2 port $tcp_fwd_naboo2 -> $dmz_ip_naboo2 rdr on $if_lan proto udp from to $ext_ip_naboo2 port $udp_fwd_naboo2 -> $dmz_ip_naboo2 # RDR FTP Proxy # rdr on $if_lan proto tcp from any to any port 21 -> 127.0.0.1 port 8021 rdr on $if_dmz proto tcp from any to any port 21 -> 127.0.0.1 port 8021 #- Bloqueia entrada por default -# block in all # Bloqueia identificação de SO pelo NMAP ---# block in quick os NMAP block in quick proto tcp flags FUP/FUP block in quick proto tcp flags FUP/WEUAPRSF block in quick proto tcp flags WEUAPRSF/WEUAPRSF block in quick proto tcp flags SRAFU/WEUAPRSF block in quick proto tcp flags /WEUAPRSF block in quick proto tcp flags SR/SR block in quick proto tcp flags SF/SF block in quick proto tcp flags SF/SRFA block in quick proto tcp flags /SRFA #- Libera saida -# pass out proto tcp all modulate state pass out proto { udp, icmp } all keep state #- Bloqueia redes reservadas vindas pela interface externa # block drop in quick on $if_ext from $rfc1918 to any block drop out quick on $if_ext from any to $rfc1918 # FTP Proxy # pass in on $if_lan from { $lan_net $proxies_net $lojas_net } to lo0 keep state pass in on $if_dmz from $dmz_net to lo0 keep state pass in on $if_ext inet proto tcp from any to $if_ext \ user proxy keep state #- Permite conexoes no firewall pela internet --