[FUG-BR] PF
Olá Galera, Desculpe insistir no assunto, mas ainda não consegui resolver meu problema com redirecionamento de portas no PF. Como havia dito antes, tudo está funcionando perfeito, execeto a lentidão no sistema. Existe alguma limitação de tráfego para o PF? Ví um comentário aqui na lista de que operações acima de 8mb não funcionaram bem no PF. Existe alguma forma de monitorar se está rolando algum problema na hora de jogar os pacotes para a rede interna? Lembrando que tenho uso de 40mb constante que vem da rede externa para o firewall. Agradeço muito a ajuda de vcs. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] pf
Então não sei praticamente nada sobre pf, olhei o doc no site do openbsd mais não entendi muita coisa, o que acham da idéia de criarmos um pf comunitário ? Abaixo iptables comunitário. http://forumgdh.net/viewtopic.php?t=97877&highlight=iptables+comunitario - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF
To tentando configurar o pf, mas me apresenta na tela a seguinte mensagem. pass: not found Alguem pode me ajudar? Att; EDUARDO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
ja tentou alguma coisa com o pftop? Em 30/10/07, Oliver Thies Paulini <[EMAIL PROTECTED]> escreveu: > > Olá Galera, > Desculpe insistir no assunto, mas ainda não consegui resolver meu > problema com redirecionamento de portas no PF. > Como havia dito antes, tudo está funcionando perfeito, execeto a > lentidão no sistema. > Existe alguma limitação de tráfego para o PF? > Ví um comentário aqui na lista de que operações acima de 8mb não > funcionaram bem no PF. > > Existe alguma forma de monitorar se está rolando algum problema na hora > de jogar os pacotes para a rede interna? > Lembrando que tenho uso de 40mb constante que vem da rede externa para o > firewall. > > Agradeço muito a ajuda de vcs. > > > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- att, Tiago Ribeiro OVERSEC - +55 32 3084 2930 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
Usei o PF por um bom tempo sem nenhum problema. Mas usei no OpenBSD. Vale lembrar que o pf do Free não é o mesmo do Open... De repente, se a sua situação está tão desesperadora, sugiro que instale o Open e tente fazer o pf funcionar 40 mb constante é um tráfego MUITO grande btw. Qual é o seu principal tipo de tráfego ? []'s -- http://www.webcrunchers.com/crunch/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
Legal este utilitário... Dá para monitorar tudo.. Vou tentando ver se acho algum pau.. Valeu!!! Em Ter, 2007-10-30 às 11:31 -0300, Tiago Ribeiro escreveu: > ja tentou alguma coisa com o pftop? > > Em 30/10/07, Oliver Thies Paulini <[EMAIL PROTECTED]> escreveu: > > > > Olá Galera, > > Desculpe insistir no assunto, mas ainda não consegui resolver meu > > problema com redirecionamento de portas no PF. > > Como havia dito antes, tudo está funcionando perfeito, execeto a > > lentidão no sistema. > > Existe alguma limitação de tráfego para o PF? > > Ví um comentário aqui na lista de que operações acima de 8mb não > > funcionaram bem no PF. > > > > Existe alguma forma de monitorar se está rolando algum problema na hora > > de jogar os pacotes para a rede interna? > > Lembrando que tenho uso de 40mb constante que vem da rede externa para o > > firewall. > > > > Agradeço muito a ajuda de vcs. > > > > > > > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
No kernel tem algum parametro que limita o uso de memoria pro PF? ou mesmo um valor default para maximo de conexoes, caso tivesse tentarei abrir até o talo pra ver o que rola... Em Ter, 2007-10-30 às 11:31 -0300, Tiago Ribeiro escreveu: > ja tentou alguma coisa com o pftop? > > Em 30/10/07, Oliver Thies Paulini <[EMAIL PROTECTED]> escreveu: > > > > Olá Galera, > > Desculpe insistir no assunto, mas ainda não consegui resolver meu > > problema com redirecionamento de portas no PF. > > Como havia dito antes, tudo está funcionando perfeito, execeto a > > lentidão no sistema. > > Existe alguma limitação de tráfego para o PF? > > Ví um comentário aqui na lista de que operações acima de 8mb não > > funcionaram bem no PF. > > > > Existe alguma forma de monitorar se está rolando algum problema na hora > > de jogar os pacotes para a rede interna? > > Lembrando que tenho uso de 40mb constante que vem da rede externa para o > > firewall. > > > > Agradeço muito a ajuda de vcs. > > > > > > > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
O tráfego é exclusivamente web porta 80, Tenho um sistema rodando em 3 maquinas atraz do firewall, e uso lighttpd, é um sistema de banners rotativos... Esses 40mb são distribuidos para estas 3 maquinas... Em Ter, 2007-10-30 às 12:37 -0200, c0re dumped escreveu: > Usei o PF por um bom tempo sem nenhum problema. > > Mas usei no OpenBSD. > > Vale lembrar que o pf do Free não é o mesmo do Open... > > De repente, se a sua situação está tão desesperadora, sugiro que > instale o Open e tente fazer o pf funcionar > > 40 mb constante é um tráfego MUITO grande btw. Qual é o seu principal > tipo de tráfego ? > > []'s > > > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
Em 30/10/07, Oliver Thies Paulini<[EMAIL PROTECTED]> escreveu: > O tráfego é exclusivamente web porta 80, > Tenho um sistema rodando em 3 maquinas atraz do firewall, e uso > lighttpd, é um sistema de banners rotativos... > Esses 40mb são distribuidos para estas 3 maquinas... Cara se voce tem 13 mb de tráfego ininterrupto pra cada server (supondo que eles tem a carga dividida igualmente) acho que o lighthttp não seria o melhor webserver pra vc não... acho que um apache sem muitos módulos resolveira seu problema... Quando vc desabilita o fw o tráfego fica normal ? Como está a conf do PF ? Qual a versão do FreeBSD ? -- http://www.webcrunchers.com/crunch/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
Olá, Obrigado novamente pela atenção. Colocando apenas 1 servidor lighttpd com ip valido sem firewall, tudo fica rápido como um tiro... Insisti no lighttpd pois notei uma melhora de performance, na hora de atender as requisições. O apache já tive algumas más impressões, ex: chegou um momento que nao adiantava aumentar os valores de configuração maxclientes etc que ele nao atendia... Só para ajudar na discução, eu processo diariamente mais de 50 milhoes de requisiçoes aos servidores web.. O lighttpd se mostrou mais robusto.. Posso estar enganado, pois nunca usei o php no modo php-cgi como uso no lighttpd... Em Ter, 2007-10-30 às 12:58 -0200, c0re dumped escreveu: > Em 30/10/07, Oliver Thies Paulini<[EMAIL PROTECTED]> escreveu: > > O tráfego é exclusivamente web porta 80, > > Tenho um sistema rodando em 3 maquinas atraz do firewall, e uso > > lighttpd, é um sistema de banners rotativos... > > Esses 40mb são distribuidos para estas 3 maquinas... > > Cara se voce tem 13 mb de tráfego ininterrupto pra cada server > (supondo que eles tem a carga dividida igualmente) acho que o > lighthttp não seria o melhor webserver pra vc não... acho que um > apache sem muitos módulos resolveira seu problema... > > Quando vc desabilita o fw o tráfego fica normal ? > > Como está a conf do PF ? Qual a versão do FreeBSD ? > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
A versão é 6.2... Valeu... Em Ter, 2007-10-30 às 12:58 -0200, c0re dumped escreveu: > Em 30/10/07, Oliver Thies Paulini<[EMAIL PROTECTED]> escreveu: > > O tráfego é exclusivamente web porta 80, > > Tenho um sistema rodando em 3 maquinas atraz do firewall, e uso > > lighttpd, é um sistema de banners rotativos... > > Esses 40mb são distribuidos para estas 3 maquinas... > > Cara se voce tem 13 mb de tráfego ininterrupto pra cada server > (supondo que eles tem a carga dividida igualmente) acho que o > lighthttp não seria o melhor webserver pra vc não... acho que um > apache sem muitos módulos resolveira seu problema... > > Quando vc desabilita o fw o tráfego fica normal ? > > Como está a conf do PF ? Qual a versão do FreeBSD ? > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
Vc pode enviar as confs do PF do jeito que roda quando os serviços ficam lentos ? []'s -- http://www.webcrunchers.com/crunch/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
Claro, Já havia enviado antes, mas segue abaixo... Está meio zoneado pois estou constantemente fazendo testes.. Em Ter, 2007-10-30 às ## # # PLACAS DE REDE ## # ext_if="bge0" int_if="bge1" ip_rede="10.10.1.0/24" table { 10.10.1.6,10.10.1.7 } PING = "echoreq" TCP_IN = "{ 53, 22, 80, ssh, ftp, 20, 21 ,3000}" UDP_IN = "{ 53, 67, 80, 20, 21,3000 }" TCP_OUT = "{ 53, 22, 80, 20, 21, ftp, http }" UDP_OUT = "{ 53, 80, 20, 21, domain }" ## # # NORMALIZANDO OS PACOTES ## # set timeout { tcp.first 60 tcp.opening 15 tcp.established 86400 \ tcp.closing 300 tcp.finwait 15 tcp.closed 15 } set timeout { udp.first 30 udp.single 15 udp.multiple 30 } set timeout { icmp.first 10 icmp.error 5 } set timeout { other.first 30 other.single 15 other.multiple 30 } set timeout { frag 30 interval 10 } set limit { states 5 frags 25000 } set optimization aggressive set loginterface $ext_if set loginterface $int_if set block-policy return set require-order yes scrub all fragment reassemble random-id no-df ## # # FAZENDO NAT ## # nat on $ext_if from $ip_rede to any -> ($ext_if) ## # # REDIRECIONAMENTO ## # #modulate state (src.track 10) rdr on $int_if proto tcp from $ip_rede to any port ftp -> 127.0.0.1 port 8021 #rdr on $ext_if proto tcp from any to 200.xx.xx.70 port www -> { } round-robin sticky-address #quando um dos servidores cair, habilitar essa regra e desabilitar a de cima rdr on $ext_if proto tcp from any to 200.xx.xx.70 port www -> 10.10.1.6 # rdr on $ext_if proto tcp from any to 200.xx.xx.70 port 2206 -> 10.10.1.6 port 22 rdr on $ext_if proto tcp from any to 200.xx.xx.70 port 2207 -> 10.10.1.7 port 22 rdr on $ext_if proto tcp from any to 200.xx.xx.70 port 2208 -> 10.10.1.5 port 2201 ### # blockeando tudo por default #block in log on $int_if all #block out log on $int_if all # bloqueando spoof antispoof for { $ext_if } inet # bloqueando scanners block drop in quick on { $ext_if } from any os { NMAP } # bloqueando trafego ipv6 block log quick inet6 #Liberando loopback pass quick on lo0 all # liberando ping/traceroute pass out log on $ext_if inet proto icmp all icmp-type 8 code 0 keep state pass in log on $ext_if inet proto icmp all icmp-type 8 code 0 keep state # Liberando portas #INCOMING #TCP pass in quick on $ext_if inet proto tcp from any to $ext_if port $TCP_IN \ flags S/SA keep state #UDP #pass in quick on $ext_if inet proto udp from any to $ext_if port $UDP_IN \ keep state #PING pass in quick on $ext_if inet proto icmp from any to $ext_if icmp-type $PING \ keep state pass in on $ext_if inet proto { tcp udp } from any to any port 22 pass in on $ext_if inet proto { tcp udp } from any to any port 21 pass in on $ext_if inet proto { tcp udp } from any to any port 20 pass in on $ext_if inet proto { tcp udp } from any to any port 25 pass in on $ext_if inet proto { tcp udp } from any to any port 53 pass in on $ext_if inet proto { tcp udp } from any to any port 80 pass in on $ext_if inet proto { tcp udp } from any to any port 443 pass in on $ext_if inet proto { tcp udp } from any to any port 110 pass in on $ext_if inet proto { tcp udp } from any to any port 8080 pass in on $ext_if inet proto { tcp udp } from any to any port 6667 pass in on $ext_if inet proto { tcp udp } from any to any port 6891 pass in on $ext_if inet proto { tcp udp } from any to any port 6893 pass in on $ext_if inet proto { tcp udp } from any to any port 6900 pass in on $ext_if inet proto { tcp udp } from any to any port 1213 pass in on $ext_if inet proto { tcp udp } from any to any port 1214 pass in on $ext_if inet proto { tcp udp } from any to any port 1832 pass in on $ext_if inet proto { tcp udp } from any to any port 3094 pass in on $ext_if inet proto { tcp udp } from any to any port 3622 pass in on $ext_if inet proto { tcp udp } from any to any port 2216 pass in on $ext_if inet proto tcp from port 20 to $ext_if \ user proxy flags S/SA keep state #OUTGOING #EXTERNAL INTERFACE #TCP pass out quick on $ext_if inet proto tcp from $ext_if to any port $TCP_OUT \ flags S/SA keep state #UDP pass out quick on $ext_if inet proto udp from $ext_if to any port $UDP_OUT \ keep state #ICMP pass out quick on $ext_if inet proto icmp from $ext_if to any icmp-type $PING \ keep state # Liberando acesso pass out log on $int_if from any to $ip_rede pass in log on $int_if from $ip_rede to any 13:34 -0200, c0re dumped escreveu: > Vc pode enviar as confs do PF do jeito que roda quando os serviços > ficam lentos ? > > []'s >
Re: [FUG-BR] PF
Só uma sugestao: Tenta colocar as regras de pass primeiro. O PF processa as regras na ordem em que elas aparecem no pf.conf. Além do mais como a ultima regra é deny all, vc não precisa especificar nenhuma regra de block, pois que tudo que não é explicitamente permitido será negado. []'s -- http://www.webcrunchers.com/crunch/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
Notei uma coisinha... Quando tiro os servidores do balanceamento, e deixo o PF redirecionando apenas para 1 maquina, a lentidao acaba Acho que o problema é esse!! Em Ter, 2007-10-30 às 16:38 -0200, c0re dumped escreveu: > Só uma sugestao: > > Tenta colocar as regras de pass primeiro. > > O PF processa as regras na ordem em que elas aparecem no pf.conf. > > Além do mais como a ultima regra é deny all, vc não precisa > especificar nenhuma regra de block, pois que tudo que não é > explicitamente permitido será negado. > > []'s > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
c0re dumped escreveu: > Só uma sugestao: > > Tenta colocar as regras de pass primeiro. > > O PF processa as regras na ordem em que elas aparecem no pf.conf. > > Além do mais como a ultima regra é deny all, vc não precisa > especificar nenhuma regra de block, pois que tudo que não é > explicitamente permitido será negado. > > []'s > s O PF lê *todas* e utiliza a última que "bateu" aí, ele cria um "state"... quando vem um "pacote" ele primeiro lê os "states" (já conheço esse pacote? ) e se tem ele só repete a ação anterior... já tentou aumentar o limites de states ? quem sabe... o PF é um firewall "statefull" por natureza; em casos de cargas grandes ele pode ficar lento por falta de espaço para alocar mais "states"... []s Antonio Torres - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
O que vc acha de usar um Pfsense para fazer os redirecionamentos?? Nunca fiz para tamanho trágefo mas para redirecionar para algumas máquinas como gateway de rede ficou muito bom, sem contar que fica mais facil de ver as conexões em tempo real. É só uma sugestão. _ Jorge Petry Neto Administrador de Redes e Servidores (48) 8401-4436 [EMAIL PROTECTED] www.jspnet.com.br - Original Message - From: Antonio Torres To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, October 30, 2007 6:42 PM Subject: Re: [FUG-BR] PF c0re dumped escreveu: > Só uma sugestao: > > Tenta colocar as regras de pass primeiro. > > O PF processa as regras na ordem em que elas aparecem no pf.conf. > > Além do mais como a ultima regra é deny all, vc não precisa > especificar nenhuma regra de block, pois que tudo que não é > explicitamente permitido será negado. > > []'s > s O PF lê *todas* e utiliza a última que "bateu" aí, ele cria um "state"... quando vem um "pacote" ele primeiro lê os "states" (já conheço esse pacote? ) e se tem ele só repete a ação anterior... já tentou aumentar o limites de states ? quem sabe... o PF é um firewall "statefull" por natureza; em casos de cargas grandes ele pode ficar lento por falta de espaço para alocar mais "states"... []s Antonio Torres - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
> > > O PF lê *todas* e utiliza a última que "bateu" > aí, ele cria um "state"... > > quando vem um "pacote" ele primeiro lê os "states" (já conheço esse > pacote? ) e se tem ele só repete a ação anterior... > > > já tentou aumentar o limites de states ? > > quem sabe... o PF é um firewall "statefull" por natureza; em casos de > cargas grandes ele pode ficar lento por falta de espaço para alocar mais > "states"... manda ai um pfctl -s memory e pfctl -s info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
Acabei de extrair aqui [EMAIL PROTECTED] >pfctl -s memory states hard limit 5 src-nodes hard limit 1 frags hard limit 25000 [EMAIL PROTECTED] >pfctl -s info Status: Enabled for 0 days 19:07:52 Debug: Urgent Hostid: 0x7842fabc Interface Stats for bge1 IPv4 IPv6 Bytes In 786454386390 Bytes Out291143849610 Packets In Passed 1436344900 Blocked 00 Packets Out Passed 1799831000 Blocked 00 State Table Total Rate current entries26908 searches 656412451 9530.9/s inserts 21445127 311.4/s removals21418219 311.0/s Counters match 354208599 5143.0/s bad-offset 00.0/s fragment 40.0/s short 80.0/s normalize 15070.0/s memory3241234.7/s bad-timestamp 00.0/s congestion 00.0/s ip-option 00.0/s proto-cksum00.0/s state-mismatch1371092.0/s state-insert 210080.3/s state-limit00.0/s src-limit7743512 112.4/s synproxy 00.0/s Em Ter, 2007-10-30 às 18:21 -0200, Alexandre Biancalana escreveu: > > > > > > O PF lê *todas* e utiliza a última que "bateu" > > aí, ele cria um "state"... > > > > quando vem um "pacote" ele primeiro lê os "states" (já conheço esse > > pacote? ) e se tem ele só repete a ação anterior... > > > > > > já tentou aumentar o limites de states ? > > > > quem sabe... o PF é um firewall "statefull" por natureza; em casos de > > cargas grandes ele pode ficar lento por falta de espaço para alocar mais > > "states"... > > manda ai um pfctl -s memory e pfctl -s info > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
> s > > > O PF lê *todas* e utiliza a última que "bateu" > aí, ele cria um "state"... ooops A menos que a regra contenha um quick. "Filter rules are evaluated in sequential order, first to last. Unless the packet matches a rule containing the quick keyword, the packet will be evaluated against all filter rules before the final action is taken" http://www.openbsd.org/faq/pf/filter.html -- http://www.webcrunchers.com/crunch/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
On 30/10/2007, Oliver Thies Paulini <[EMAIL PROTECTED]> wrote: > Olá Galera, > Desculpe insistir no assunto, mas ainda não consegui resolver meu > problema com redirecionamento de portas no PF. > Como havia dito antes, tudo está funcionando perfeito, execeto a > lentidão no sistema. > Existe alguma limitação de tráfego para o PF? > Ví um comentário aqui na lista de que operações acima de 8mb não > funcionaram bem no PF. > > Existe alguma forma de monitorar se está rolando algum problema na hora > de jogar os pacotes para a rede interna? > Lembrando que tenho uso de 40mb constante que vem da rede externa para o > firewall. > > Agradeço muito a ajuda de vcs. > > > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Eu tive esse problema de lentidão no meu PF e corrigi alterando as opções do PF. Meu tráfego é de mais ou menos un 10 megas em cada interface, e são 5 interfaces de rede. Abaixo vai o options do meu pf.conf : set timeout { interval 10, frag 30 ,src.track 0 } set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 } set timeout { tcp.closing 450, tcp.finwait 45, tcp.closed 45 } set timeout { udp.first 60, udp.single 30, udp.multiple 60 } set timeout { icmp.first 20, icmp.error 10 } set timeout { other.first 60, other.single 30, other.multiple 60 } set timeout { adaptive.start 0, adaptive.end 0 } set limit { states 10, src-nodes 10, frags 5000 } Abraços -- Gilberto Villani Brito System Administrator Londrina - PR Brazil gilbertovb(a)gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
Bom dia! Oliver eu tenho uma rede com + ou - 1200 usuários fazendo acesso externos e resolví o problema de lentidão fazendo poll de nat e para normalização de pacotes só utilizei "scrub in all", tente fazer o mesmo, pois meu tráfego diário chega a 10mbps e está tudo normal. Att, Luis Barcellos Analista de Segurança de Rede Ministério da Integração Nacional Em 07/11/07, Gilberto Villani Brito <[EMAIL PROTECTED]> escreveu: > > On 30/10/2007, Oliver Thies Paulini <[EMAIL PROTECTED]> wrote: > > Olá Galera, > > Desculpe insistir no assunto, mas ainda não consegui resolver meu > > problema com redirecionamento de portas no PF. > > Como havia dito antes, tudo está funcionando perfeito, execeto a > > lentidão no sistema. > > Existe alguma limitação de tráfego para o PF? > > Ví um comentário aqui na lista de que operações acima de 8mb não > > funcionaram bem no PF. > > > > Existe alguma forma de monitorar se está rolando algum problema na hora > > de jogar os pacotes para a rede interna? > > Lembrando que tenho uso de 40mb constante que vem da rede externa para o > > firewall. > > > > Agradeço muito a ajuda de vcs. > > > > > > > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > Eu tive esse problema de lentidão no meu PF e corrigi alterando as opções > do PF. > Meu tráfego é de mais ou menos un 10 megas em cada interface, e são 5 > interfaces de rede. > Abaixo vai o options do meu pf.conf : > > set timeout { interval 10, frag 30 ,src.track 0 } > set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 } > set timeout { tcp.closing 450, tcp.finwait 45, tcp.closed 45 } > set timeout { udp.first 60, udp.single 30, udp.multiple 60 } > set timeout { icmp.first 20, icmp.error 10 } > set timeout { other.first 60, other.single 30, other.multiple 60 } > set timeout { adaptive.start 0, adaptive.end 0 } > set limit { states 10, src-nodes 10, frags 5000 } > > > Abraços > -- > Gilberto Villani Brito > System Administrator > Londrina - PR > Brazil > gilbertovb(a)gmail.com > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
On Nov 8, 2007 9:56 AM, Luis Barcellos <[EMAIL PROTECTED]> wrote: > Bom dia! > > Oliver eu tenho uma rede com + ou - 1200 usuários fazendo acesso externos e > resolví o problema de lentidão fazendo poll de nat e para normalização de > pacotes só utilizei "scrub in all", tente fazer o mesmo, pois meu tráfego > diário chega a 10mbps e está tudo normal. Por curiosidade... vocês (Luis Barcellos e Gilberto Brito) poderiam dizer qual a capacidade da máquina de vocês que rodam o PF? (Memória, processador, etc) Obrigado! -- Marcelo Rossi "This e-mail is provided "AS IS" with no warranties, and confers no rights." - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
On 08/11/2007, Marcelo/Porks <[EMAIL PROTECTED]> wrote: > On Nov 8, 2007 9:56 AM, Luis Barcellos <[EMAIL PROTECTED]> wrote: > > Bom dia! > > > > Oliver eu tenho uma rede com + ou - 1200 usuários fazendo acesso externos e > > resolví o problema de lentidão fazendo poll de nat e para normalização de > > pacotes só utilizei "scrub in all", tente fazer o mesmo, pois meu tráfego > > diário chega a 10mbps e está tudo normal. > > Por curiosidade... vocês (Luis Barcellos e Gilberto Brito) poderiam > dizer qual a capacidade da máquina de vocês que rodam o PF? > > (Memória, processador, etc) > > Obrigado! > > -- > Marcelo Rossi > "This e-mail is provided "AS IS" with no warranties, and confers no rights." > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Copyright (c) 1992-2007 The FreeBSD Project. Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994 The Regents of the University of California. All rights reserved. FreeBSD is a registered trademark of The FreeBSD Foundation. FreeBSD 6.2-STABLE #2: Thu Jun 28 15:07:34 BRT 2007 [EMAIL PROTECTED]:/usr/obj/usr/src/sys/DELL-teste2 Timecounter "i8254" frequency 1193182 Hz quality 0 CPU: Intel(R) Xeon(TM) CPU 3.00GHz (2992.51-MHz 686-class CPU) Origin = "GenuineIntel" Id = 0xf43 Stepping = 3 Features=0xbfebfbff Features2=0x641d> AMD Features=0x2010 Logical CPUs per core: 2 real memory = 1073479680 (1023 MB) avail memory = 1045561344 (997 MB) ACPI APIC Table: FreeBSD/SMP: Multiprocessor System Detected: 2 CPUs cpu0 (BSP): APIC ID: 0 cpu1 (AP): APIC ID: 1 Abraços -- Gilberto Villani Brito System Administrator Londrina - PR Brazil gilbertovb(a)gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
Boa tarde a todos! Bom Oliver por enquanto eu sou estou utilizando uma máquina IBM Xseries 236, ela possui 2 processadores Xeon de 3.2 Ghz, 4Gb-ram, 5 discos de 147Gb em raid 5, posteriormente vou colocar outra máquina dessa com CARP e PFSYNC para alta disponibilidade. Mas nem sempre foi assim, esse firewall rodou durante muito tempo em um dual Pentium III 800Mhz com 2Gb de memória. só decidí troca-la pelo IBM por que surgiu a necessidade de guardar uma grande quantidade de logs gerados pelo squid que roda também nessa máquina. Att, Luis Barcellos Analista de Segurança de Rede Ministério da Integração Nacional Em 08/11/07, Marcelo/Porks <[EMAIL PROTECTED]> escreveu: > > On Nov 8, 2007 9:56 AM, Luis Barcellos <[EMAIL PROTECTED]> wrote: > > Bom dia! > > > > Oliver eu tenho uma rede com + ou - 1200 usuários fazendo acesso > externos e > > resolví o problema de lentidão fazendo poll de nat e para normalização > de > > pacotes só utilizei "scrub in all", tente fazer o mesmo, pois meu > tráfego > > diário chega a 10mbps e está tudo normal. > > Por curiosidade... vocês (Luis Barcellos e Gilberto Brito) poderiam > dizer qual a capacidade da máquina de vocês que rodam o PF? > > (Memória, processador, etc) > > Obrigado! > > -- > Marcelo Rossi > "This e-mail is provided "AS IS" with no warranties, and confers no > rights." > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
Olá a todos, consegui resolver oproblema com a dica do colega para normalizar os pacotes.Agradeço a atenção de todos..O serviço ficou estavel novamente...Valeu!> Date: Thu, 8 Nov 2007 14:37:20 -0200> From: [EMAIL PROTECTED]> To: freebsd@fug.com.br> Subject: Re: [FUG-BR] PF> > Boa tarde a todos!> > Bom Oliver por enquanto eu sou estou utilizando uma máquina IBM Xseries 236,> ela possui 2 processadores Xeon de 3.2 Ghz, 4Gb-ram, 5 discos de 147Gb em> raid 5, posteriormente vou colocar outra máquina dessa com CARP e PFSYNC> para alta disponibilidade.> > Mas nem sempre foi assim, esse firewall rodou durante muito tempo em um dual> Pentium III 800Mhz com 2Gb de memória. só decidí troca-la pelo IBM por que> surgiu a necessidade de guardar uma grande quantidade de logs gerados pelo> squid que roda também nessa máquina.> > > Att,> > Luis Barcellos> Analista de Segurança de Rede> Ministério da Integração Nacional> > Em 08/11/07, Marcelo/Porks <[EMAIL PROTECTED]> escreveu:> >> > On Nov 8, 2007 9:56 AM, Luis Barcellos <[EMAIL PROTECTED]> wrote:> > > Bom dia!> > >> > > Oliver eu tenho uma rede com + ou - 1200 usuários fazendo acesso> > externos e> > > resolví o problema de lentidão fazendo poll de nat e para normalização> > de> > > pacotes só utilizei "scrub in all", tente fazer o mesmo, pois meu> > tráfego> > > diário chega a 10mbps e está tudo normal.> >> > Por curiosidade... vocês (Luis Barcellos e Gilberto Brito) poderiam> > dizer qual a capacidade da máquina de vocês que rodam o PF?> >> > (Memória, processador, etc)> >> > Obrigado!> >> > --> > Marcelo Rossi> > "This e-mail is provided "AS IS" with no warranties, and confers no> > rights."> > -> > Histórico: http://www.fug.com.br/historico/html/freebsd/> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd> >> -> Histórico: http://www.fug.com.br/historico/html/freebsd/> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd _ Receba GRÁTIS as mensagens do Messenger no seu celular quando você estiver offline. Conheça o MSN Mobile! http://mobile.live.com/signup/signup2.aspx?lc=pt-br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF + IPSEC
Galera, Bom dia !!! Tenho uma dúvida, o PF faz automaticamente VPN Passthrough ??? A empresa aqui presta serviço para uma outra e foi feito uma VPN por eles, colocado em nossa rede um roteador (Fortigate 50B) ...Eles configuraram a VPN desse aparelho com a rede deles, assim ficando uma rede VPN com IPSEC atrás do meu Firewall . Eu uso PF e gostaria de saber se ele trata os problemas gerados pelo encapsulamento do IPSEC e alteração de cabeçalho do NAT Alguém saberia me informar ? Obrigado ! Fernando - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF - nat
Estou usando PF como nat na minha rede e notei que não passa de 10.000 conexões no nat. # pfctl -ss |grep -ic all 9614 Será que existe algum limite de conexão no nat ? É o segundo servidor que já noto isso. 8.2-STABLE - amd64 []´s Glauco - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF + Bittorrent
Opa Lista... Nao sei se ja foi discutido aqui na lista (dei uma procurada no historico mas nao encontrei nada) Fiz umas regras no PF para testes, limitando o IP pela uma queue (limitei todas as portas para efeitos de teste) e nesse IP coloquei o BitTorrent pra funcionar... percebi o seguinte, no comeco ele consegue manter o torrent na "linha", segurando a banda (fiz o teste pingando em um host, e ele se manteve um valor padrao, defini prioridade para o icmp) acontece q depois de algums minutos conectado o PF perde efeito...o ping vai pras alturas e o BitTorrent fica liberado... por acaso, experimentei um ping de dentro do gateway onde esta o PF e recebi varias mensagens: ping: sendto: No buffer space available Bom, pelo q entendi, acho que o Bittorrent estah criando tantas conexoes que o hardware da maquina nao ta aguentando gerenciar, ai o PF perde efeito... Minha pergunta, pode ser isso que estar acontecendo? Como posso entao limitar o numero de conexoes q cada host pode manter(ou seja, cada peer do torrent), e quais as portas que o Bittorrent usa para os downloads? sei que tem as portas 6881-6889, mas sao somente essas? Abracos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF + ALTQ
I had enough ;) Cansei de ter menos banda na minha maquina (gateway da rede wireless la' de casa, rodando freebsd e meu desktop tambem ;)) toda vez que algum familiar ou visita entra na internet para ver os seus powerpoints sobre viagens no mundo, ou curiosidades no email, por tanto resolvi usar o altq a meu favor e incluir um controle de banda na rede la' de casa. A regra e' simples, quando eu estiver usando a internet (segundo eu li no manual da pf existe essa possibilidade) eu quero ter 60% da bandwidth apenas para mim, e os outros 40%, e quando nao houver nenhum uso de internet no gateway (meu desktop), a banda pode ir 100% para quem tiver usando. Nota: Nao quero que conexoes vindo da internet caiam em nenhuma queue, ou seja, tenham processamento normal sem limitacao de banda para eles. (considerando logicamente o limite fisico da capacidade da banda, e o caso da duvida 2 abaixo ;)) Tendo essas premissas, existem a seguintes dúvidas: Como a minha rede e' disposta da seguinte forma: [ rede interna wireless de casa ] <---> [ath0] [fxp0] <---> INTERNET (^^ gateway) 1a. duvida: eu devo habilitar o altq na interface ath0 ou na fxp0? Meu entendimento e' que se habilitar para a ath0, faria mais sentido, pois apenas o trafico wireless seria afetado. Caso seja essa a solução, estou certo em achar que simplesmente habilitando o altq na interface ath0 e passando um valor de 1600kb (meu link e' de 4mb, 1600 seria algo em torno de 40%), eu ja' conseguiria o resultado esperado? Depois seria apenas uma questao de habilitar no pass in on ath0 queue minha_queue? 2a. duvida: como fica a questão de limitar o que entra na rede? Teria como eu jogar os pacotes de resposta (vindos da internet) que foram originados de conexoes vindo da ath0 (usuarios internos) para uma queue que tenha menos banda, e deixar os outros que usam o fxp0 sem limitações de entrada/saida?! Ai vai o meu pf.conf (muito simples, nao tem nada...): # # Macros: define common values, so they can be referenced and changed easily. ext_if="fxp0" # replace with actual external interface name i.e., dc0 int_if="ath0" # replace with actual internal interface name i.e., dc1 internal_net="192.168.0.0/24" external_addr="`ifconfig fxp0 | grep inet | cut -d ' ' -f2`" # Options: tune the behavior of pf, default values are given. set timeout { interval 10, frag 30 } set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 } set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 } set timeout { udp.first 60, udp.single 30, udp.multiple 60 } set timeout { icmp.first 20, icmp.error 10 } set timeout { other.first 60, other.single 30, other.multiple 60 } set timeout { adaptive.start 0, adaptive.end 0 } set limit { states 1, frags 5000 } set loginterface none set optimization normal set block-policy drop set require-order yes set fingerprints "/etc/pf.os" # Normalization: reassemble fragments and resolve or reduce traffic ambiguities. scrub in all nat on $ext_if from $internal_net to ! $internal_net -> ($ext_if) pass in log quick on $int_if keep state pass out log quick on $int_if keep state pass in log quick on $ext_if keep state pass out log quick on $ext_if keep state Abracos, Victor F. Loureiro Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF VPN
Ola pessoal! Tenho um fw com pf e preciso conectar a VPN de um cliente via winXP. Tenho 3 VPN's aqui dentro da empresa, mas o engracado eh que 2 funcionam e uma delas da o seguinte output: 17:01:26.304840 * 0800 70: IPEmpresa > IPCliente: icmp: IPEmpresa protocol 47 unreachable for gre IPCliente > IPEmpresa: [KS] call 256 seq 0 gre-ppp-payload (DF) (ttl 107, id 0, len 51) (ttl 255, id 13908, len 56) 17:01:28.645922 * 0800 71: gre IPInterno > IPCliene: [KS] call 5415 seq 8 gre-ppp-payload (ttl 127, id 48504, len 57) Ele fica dando esse output no meio de varios outros pacotes e fica verificando usuario e senha por um certo tempo. Depois ele diz que nao conseguiu conectar: Error 721: The remote Computer did not respond. Porem fora da rede a VPN eh acessivel. E o mais estranho eh que uma hora eu consegui conectar. Depois voltou a dar o problema. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF - Ajuda
Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, ela era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando das regras que essa maquina tinha no firewall e depois de alguma pesquisa consegui algo com: # pfctl -sn Mostra as regras atuais de NAT # pfctl -sr Mostra as regras atuais de filtragem Nao consegui localizar o script de firewall, acho que quem configurou mudou os padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que foi apresentado,alguma coisa intendi.Com os comandos acima obtive as seguintes respostas respectivamente:# pfctl -sn Mostra as regras atuais de NAT: nat-anchor "pftpx/*" allnat-anchor "natearly/*" allnat-anchor "natrules/*" allnat on xl0 inet from 10.0.0.0/24 port = isakmp to any port = isakmp -> (ng0) port 500 round-robinnat on ng0 inet from 10.0.0.0/24 port = isakmp to any port = isakmp -> (ng0) port 500 round-robinnat on xl0 inet from 10.0.0.0/24 port = 5060 to any port = 5060 -> (ng0) port 5060 round-robinnat on ng0 inet from 10.0.0.0/24 port = 5060 to any port = 5060 -> (ng0) port 5060 round-robinnat on xl0 inet from 10.0.0.0/24 to any -> (ng0) port 1024:65535 round-robinnat on ng0 inet from 10.0.0.0/24 to any -> (ng0) port 1024:65535 round-robinrdr-anchor "pftpx/*" allrdr-anchor "slb" allno rdr on xl1 proto tcp from any to port = ftprdr on xl1 inet proto tcp from any to any port = ftp -> 127.0.0.1 port 8021rdr on ng0 inet proto tcp from any to any port = 5901 -> 10.0.0.10rdr on ng0 inet proto tcp from any to any port = 8089 -> 10.0.0.10 port 8000rdr on ng0 inet proto tcp from any to any port = http -> 10.0.0.10 port 8080rdr on ng0 inet proto tcp from any to any port = -> 10.0.0.10 port 22rdr-anchor "imspector" allrdr-anchor "miniupnpd" all# pfctl -sr Mostra as regras atuais de filtragemscrub all random-id max-mss 1452 fragment reassembleanchor "ftpsesame/*" allanchor "firewallrules" allblock drop quick proto tcp from any port = 0 to anyblock drop quick proto tcp from any to any port = 0block drop quick proto udp from any port = 0 to anyblock drop quick proto udp from any to any port = 0block drop quick from to any label "Block snort2c hosts"block drop quick from any to label "Block snort2c hosts"block drop in quick inet6 allblock drop out quick inet6 allanchor "loopback" allpass in quick on lo0 all flags S/SA keep state label "pass loopback"pass out quick on lo0 all flags S/SA keep state label "pass loopback"anchor "packageearly" allanchor "carp" allanchor "dhcpserverlan" allpass in quick on xl1 inet proto udp from any port = bootpc to 255.255.255.255 port = bootps keep state label "allow access to DHCP server on LAN"pass in quick on xl1 inet proto udp from any port = bootpc to 10.0.0.1 port = bootps keep state label "allow access to DHCP server on LAN"pass out quick on xl1 inet proto udp from 10.0.0.1 port = bootps to any port = bootpc keep state label "allow access to DHCP server on LAN"block drop in log quick on xl0 inet proto udp from any port = bootps to 10.0.0.0/24 port = bootpc label "block dhcp client out wan"block drop in log quick on ng0 inet proto udp from any port = bootps to 10.0.0.0/24 port = bootpc label "block dhcp client out wan"block drop in on ! xl1 inet from 10.0.0.0/24 to anyblock drop in inet from 10.0.0.1 to anyblock drop in on xl1 inet6 from fe80::260:8cff:fef1:879e to anyanchor "spoofing" allanchor "spoofing" allblock drop in on xl0 inet6 from fe80::260:8cff:fef1:8800 to anyblock drop in log quick on xl0 inet from 10.0.0.0/8 to any label "block private networks from wan block 10/8"block drop in log quick on ng0 inet from 10.0.0.0/8 to any label "block private networks from wan block 10/8"block drop in log quick on xl0 inet from 127.0.0.0/8 to any label "block private networks from wan block 127/8"block drop in log quick on ng0 inet from 127.0.0.0/8 to any label "block private networks from wan block 127/8"block drop in log quick on xl0 inet from 172.16.0.0/12 to any label "block private networks from wan block 172.16/12"block drop in log quick on ng0 inet from 172.16.0.0/12 to any label "block private networks from wan block 172.16/12"block drop in log quick on xl0 inet from 192.168.0.0/16 to any label "block private networks from wan block 192.168/16"block drop in log quick on ng0 inet from 192.168.0.0/16 to any label "block private networks from wan block 192.168/16"anchor "limitingesr" allblock drop in quick from to any label "virusprot overload table"anchor "wanbogons" allblock drop in log quick on xl0 from to any label "block bogon networks from wan"block drop in log quick on ng0 from to any label "block bogon networks from wan"pass out quick on xl1 proto icmp all keep state label "let out anything from firewall host itself"pass out quick on xl0 proto icmp all keep state label "let out anything
[FUG-BR] PF - Ajuda
Segue Anexo arquivo firewall. Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, ela era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando das regras que essa maquina tinha no firewall e depois de alguma pesquisa consegui algo com: # pfctl -sn Mostra as regras atuais de NAT # pfctl -sr Mostra as regras atuais de filtragem Nao consegui localizar o script de firewall, acho que quem configurou mudou os padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que foi apresentado,alguma coisa intendi. pf.rtf Description: Binary data - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF PPTP
Boa tarde a todos... Tenho um server BSD 6.4 com serviço de pptp (poptop) instalado.. Antes utilizava o ipfw como firewall deste server agora passei a usar o pf (muito bom por sinal [?] ), mas como nem tudo é simples rsss está ocorrendo problemas com a vpn. Os clientes conectam na vpn, autentica, atribui ip só que não exergam a rede interna (ping por exemplo), se eu desabilito o pf volta ao normal. Alguém poderia me dar uma luz? Agradeço desde já. []s Nilton Pavan <<338.png>>- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF + Scrub .
Saudações a todos, já estou um pouco irritado com uma circustancia esquisita aqui. Estou tentando configurar scrub no meu router mais o infeliz diz que as regras com relação ao scrub estão erradas. posicionei elas antes das definições de filas de trafego, o mesmo acontece quanto se colocar apos a definição da fila de trafego. o interessante é que estou usando o exemplo disponbilizado no pf.faq e continua com o problema Segue abaixo minhas regras. scrub in on $INT_IF all fragment reassemble scrub in on $INT_IF all no-df scrub on $INT_IF all reassemble tcp saida pfctl -nf $arquivo # pfctl -nf /root/firewall/pf.conf /root/firewall/pf.conf:88: syntax error Linha 88 = scrub in on $INT_IF all fragment reassemble Quem puder me orientar onde está o problema pois no manual disponiblizado pelo OPenBSD a resposta não se encontra. -- :=)>Paulo Henrique (JSRD)<(=: Alone, locked, a survivor, unfortunately not know who I am - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] pf
Em Dom, 2006-08-13 as 17:06 -0300, k2flag escreveu: > Então não sei praticamente nada sobre pf, olhei o doc no site do > openbsd mais não entendi muita coisa, o que acham da idéia de criarmos > um pf comunitário ? Qual doc voce leu ? FAQ [1] ? O faq esta em bom portugues, pelo menos era pra ser... Se nao entendeu o faq, leia o manual [2][3][4]. [1] http://www.openbsd.org/faq/pf/pt/ [2] http://www.openbsd.org/cgi-bin/man.cgi?query=pf [3] http://www.openbsd.org/cgi-bin/man.cgi?query=pf.conf [4] http://www.openbsd.org/cgi-bin/man.cgi?query=pfctl - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] pf
On Sun, 13 Aug 2006 17:06:43 -0300 k2flag <[EMAIL PROTECTED]> escreveu assim: > Então não sei praticamente nada sobre pf, olhei o doc no site do > openbsd mais não entendi muita coisa, bem.. o PF EXIGE leitura muito atenta da documentação e, mais do que isso, a aplicação dos exercícios/exemplos. Pela minha própria experiencia: não funciona por osmose. >o que acham da idéia de criarmos > um pf comunitário ? estive lá no link que vc propôs.. IMHO, é dispensável, uma vez que o pf é mais fácil de entender do que o iptables e, francamente, a documentação disponível é bem clara. No mais, as dúvidas razoáveis podem ser pesquisadas pelo google e, quando mais "cabeludas", aqui na lista tem uma galera com EXCELENTE conhecimento desta (e outras) ferramentas. flames > /dev/null -- saudações, irado furioso com tudo Tudo o que Existe egressa do Ser e regressa ao Ser. O Ser é o Insondável Tao. Das profundezas do Ser nascem todos os seres que existem. O Ser, porém, é o abismo do Não-Existir. Linux User 179402/FreeBSD BSD50853 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
Mande mais informacoes sobre seu arquivo Eduardo! quando da o erro, o PF nao mostra em qual linha do arquivo esta errado? Cleyton. 2008/10/28 EDUARDO FIRST <[EMAIL PROTECTED]>: > To tentando configurar o pf, mas me apresenta na tela a seguinte mensagem. > > pass: not found > > Alguem pode me ajudar? > > Att; > > EDUARDO > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
parece que está executando o arquivo pf.conf como script. deve ser erro no rc.conf. tente fazer # pfctl -f /etc/pf.conf 2008/10/28 Cleyton Bertolim <[EMAIL PROTECTED]> > Mande mais informacoes sobre seu arquivo Eduardo! > quando da o erro, o PF nao mostra em qual linha do arquivo esta errado? > > Cleyton. > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
Tente algo como abaixo, para ver qual erro é mostrado pfctl -vnf /etc/pf.conf Check /etc/pf.conf for errors, but do not load ruleset - Original Message - From: "Aristeu Gil Alves Jr" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, October 28, 2008 4:25 PM Subject: Re: [FUG-BR] PF parece que está executando o arquivo pf.conf como script. deve ser erro no rc.conf. tente fazer # pfctl -f /etc/pf.conf 2008/10/28 Cleyton Bertolim <[EMAIL PROTECTED]> > Mande mais informacoes sobre seu arquivo Eduardo! > quando da o erro, o PF nao mostra em qual linha do arquivo esta errado? > > Cleyton. > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
Isso tá com cara de regra errada.. se puder posta seu pf.conf Welkson - Original Message - From: "EDUARDO FIRST" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, October 28, 2008 3:10 PM Subject: [FUG-BR] PF To tentando configurar o pf, mas me apresenta na tela a seguinte mensagem. pass: not found Alguem pode me ajudar? Att; EDUARDO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF
Estava executando o arquivo pf.conf como script Executei o comando pfctl -f /etc/pf.conf e deu certo. Muito obrigado pela ajuda. :) 2008/10/28 Wesley Miranda FreeBSD Consult <[EMAIL PROTECTED]> > Tente algo como abaixo, para ver qual erro é mostrado > > pfctl -vnf /etc/pf.conf > > Check /etc/pf.conf for errors, but do not load ruleset > > - Original Message - > From: "Aristeu Gil Alves Jr" <[EMAIL PROTECTED]> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Sent: Tuesday, October 28, 2008 4:25 PM > Subject: Re: [FUG-BR] PF > > > parece que está executando o arquivo pf.conf como script. deve ser erro no > rc.conf. > tente fazer # pfctl -f /etc/pf.conf > > 2008/10/28 Cleyton Bertolim <[EMAIL PROTECTED]> > > > Mande mais informacoes sobre seu arquivo Eduardo! > > quando da o erro, o PF nao mostra em qual linha do arquivo esta errado? > > > > Cleyton. > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF + Tarpitting
Olá amigos, Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam (httpd.pl). Estou no momento usando uma regra apresentada nos documentos oficiais do PF (http://www.openbsd.org/faq/pf/filter.html): table persist block in quick from pass in on $ext_if proto tcp to $web_server \ port www flags S/SA keep state \ (max-src-conn 100, max-src-conn-rate 15/5, overload flush) Porém vários usuários estão sendo taxados como spammers indevidamente. Vi no man page do PF que é possível fazer um tarpit para os overloads, o que seria mais interessante do que adcionar os IP's em uma black list definitiva. Não sei que software pode ser utilizado para fazer este tarpit ou mesmo como redirecionar a table para ele. Não consegui nada no Google, apenas tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para constar, quando eu usava Linux, utilizava a seguinte regra no iptables e funcionava perfeitamente: /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set --name ANTISPAM -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 5 --hitcount 15 --name ANTISPAM -j DROP Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF + Bridge
Boa tarde pessoal. Preciso fazer um firewall para dividir o link de internet para que as empresas tenham a mesma quantidade de link. ---xxx.xxx.xxx.160/26 empresa 1 Link 1 MB xxx.xxx.xxx.129/26 ---| ---xxx.xxx.xxx.131/26 empresa 2 Preciso fazer bridge nas 3 interfaces, pois não poderei alterar os endereços nas mesmas. O pessaol aí que é mais experientes em PF tem alguma dica para dar se é isso mesmo que tenho que fazer? Pretendo utilizar PF+ALTQ, isso é mesmo indicado ou será melhor outra ferramenta? Obrigado pela atenção. -- E-mail: jamaica...@gmail.com Aux Suporte de Sistemas (UNISUL) E-mail: joao.may...@unisul.br MSN: joaomayk...@hotmail.com Cel: (48) 9144 2326 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] pf + snmp
Pessoal, para o IPFW temos um patch para o snmp que permite obter estatísticas de um IP(através da regra do IPFW) remotas sobre tráfego, jogando isto num cacti temos um gráfico de banda. Para o PF tem algo semelhante? Na verdade preciso saber apenas, durante um intervalo de tempo, o tráfego que um cliente tem. Pensei em ferramenta scomo trafshow ou iftop, mas elas me mostram só o ‘tempo real’, e preciso da média(e Maximo) durante o período. Alguém tem alguma sugestão? Até um software em modo texto atende. Pensei em exportar para netflow através do pfflowd, mas talvez seja muito trabalho para nada. Obrigado ☺ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF + IPFW
Olá, Pessoal, tenho um servidor com duas saídas IP e faço o redirecionamento das classes que quero que saiam por um ou por outro IP usando o PF com NAT e o ROUTE-TO. O IPFW uso para controle de banda. O que tá acontecendo é o seguinte: quando ligo só o NAT usando o PF vai tudo beleza. Quando ligo as regras de route-to tb. vai tudo beleza por pouco tempo, o servidor trava em de 30minutos. To usando um PIII 750Mhz com 512Mb RAM e FreeBSD 5.3-RELEASE-p5. Alguém sabe alguma coisa sobre isto? Até mais, --- Vitor Renato Alves de Brito - System Manager Arte Final Provedor Internet - http://www.artefinal.com.br Alfenas - Sul de Minas Gerais --- Esta mensagem foi verificada pelo e-mail protegido Arte Final Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 5-Ago-2005 Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] PF + ALTQ
Olá Pessoal, Desisto de usar o ALTQ/CBQ com Packet Filter no FreeBSD 5.4. Já testei vários exemplos de páginas que encontrei durante mais ou menos uma semana de pesquisas. Já li e testei os exemplos em /usr/share/examples/pf e o negócio nao funciona. Uma simples priorizacao nao funciona: altq on $ext_if1 cbq bandwidth 100% queue { dflt_out email_out } queue dflt_out priority 1 cbq(default) queue email_out priority 2 pass out on $ext_if1 proto tcp from any to any port 25 queue email_out pass out on $ext_if1 proto tcp from any to any queue dflt_out Sempre os pacotes saem por apenas um queue. Se alguém que já teve alguma experiência com isto puder me ajudar eu agradeço. Até mais, --- Vitor Renato Alves de Brito - System Manager Arte Final Provedor Internet - http://www.artefinal.com.br Alfenas - Sul de Minas Gerais --- Esta mensagem foi verificada pelo e-mail protegido Arte Final Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 22-Ago-2005 Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] pf + dummynet
Olá pessoal. Pesquisei na net sobre o patch que o pfsense usa para habilitar o dummynet no pf e não ficou muito claro. Alguém usa ou sabe como isso funciona ? Estou precisando implementar. Obrigado. Jorge Petry. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] pf or ipfw?!
poxa existe a possibilidade de usar o PF no freebsd ?! ou qual o firewall padrao do free?! ipfw?! ipf?! qual?! abraços, ate. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF try learn...
ja deve ter dito alguns topicos de PF...e a ideia é compartilhar informacoes em torno desse firewall... em meu caso principalmente algumas duvidas. mas podemos fazer desse topico uma boa fonte de troca de ideias em torno dele. a quem tem ou deseja ter conhecimento no PF welcome tomara que os entendidos de plantao se manifestem. abraços,... e para começo uma pergunta boba. uma tabela parece que pode ser criada em arquivo?! ou toda tabela no final gera um arquivo fisicamente?! ou nao...é posta em memoria e por la fica?! como funciona essa situacao da tabela?! estou lendo a faq do pf em portugues, benditos os brasileiros e/ou tb talvez portugueses...que ajudaram a faze-la, traduzi-la.. Douglas Santos, parece que participou...grato, estou no capitulo da Nat...legal. Abraços, ate. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF muito lento.
Olá para todos da lista. Este é o meu primeiro post. Estou recorrendo a lista pois já lí varios artigos , uma parte do handbook, e um guia para Open bsd e nao achei respostas. Á alguns dias montei um firewall simplezinho com pf, apenas com intuito de fazer redirecionamento de trafego para servidores web com IP privado a fim de ganhar um pouco mais de segurança. O esquema da Minha rede é o seguinte Config de Hardware do firewall. DELL 1435 Processador AMD Opteon dual core 1.8ghz HD SATA 4GB Memoria 2 Placas de rede GIGA 1 Placa ligada no link da embratel(100mb full) 1 Placa ligada na rede interna LINK | | FIREWALL 200.xxx.xxx.87,200.xxx.xxx.73,200.xxx.xxx.70 if_ext |10.10.1.1 if_int | |---Balanceamento(Round Robin ->este serviço necessida de 2 servers) | | | |servidor web1(10.10.1.7) | |servidor web2(10.10.1.6) | |---servidor web3(sem balanceamento - apenas paginas php - 10.10.1.5) Levantei 3 ips na placa externa do firewall, cada ip responde para 1 serviço, que é encaminhado para a maquina de destino na rede interna. Tudo isso está funcionando. O grande problema é a demora que está ocorrendo para acessar os serviços, chega a dar timeout no browser. Nao aparece nada em dmesg e nem nos logs. Precisei desativar o firewall para voltar o serviço ao normal. O tráfego medido na interface externa do firewall chega a 70mb constante em horarios de pico, em horarios normais fica a 60mb. O load da maquina fica em 0.2 com 90% livre de processamento e 24MB de memoria ATIVA. Já recompilei kernel com alguns parametros trocados maxusers 4096 options PMAP_SHPGPERPROC=2048 options HZ=1000 Ja usei o sysctl kern.ipc.somaxconn=8192 net.inet.ip.portrange.first=1025 net.inet.tcp.recvspace=4096 E mesmo assim num rola... Vou continuar tentando por aqui. Mas se alguer poder dar uma forcinha eu agradeço.. Até + pessoal. _ Receba GRÁTIS as mensagens do Messenger no seu celular quando você estiver offline. Conheça o MSN Mobile! http://mobile.live.com/signup/signup2.aspx?lc=pt-br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF+ALTQ (Roteador)
Pessoal, sei q esse assunto já foi muito discutido... mas queria uma informações a mais!!! Seguinte, vou começar a instalar um Server novo q vai servir de Proxy (Squid + Sargs) e como roteador para fazer as rotas de uma Wan q possuímos. Gostaria de fazer um controle de banda nessa maquina, utilizando o PF+ALTQ , já fiz regras com o PF ma nunca instalei ou mexi no ALTQ... Bom a minha duvida inicial é se ele já vem instalado ou tenho q compilar ou habilitar alguma coisa na instalação... Tem como me passarem uns Link´s ou Informação sobre a criação das regras para o ALTQ, preciso só de 2 regras.. uma com Controle de Banda e a outra liberada... vi algumas msg mas não entendi muito bem a sintaxe. Obrigado, Rodrigo Roberto Barros - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF + Bridge + Snort
Bom dia FUGs! Tenho aqui rodando um FreeBSD 6.2 STABLE, com SNORT + OSSEC, com active response para o PF... a bronca é que tenho 2 links de internet (tun0 - velox, rl1 = jetcom)... só consigo filtrar pacotes com o snort da TUN0, pelo que li no faq do snort tenho que fazer uma bridge... já li alguma coisa na web (http://www.openbsd.org/faq/faq6.html#Bridge), e queria saber a experiência de vocês com bridge+pf, roda bem? como funciona, ele vai pegar as duas interfaces (tun0, rl1) juntar e criar uma nova? tipo.. br0 é mais ou menos isso? Abraço e desculpa pelo tópico NEWBIE... rsrs -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + IPSEC
Vou aproveitar o post O PF é mais novo que o IPFW ? O Meu freebsd não tem o arquivo /etc/natd.conf (obs: é o 6.3). Em 28/02/08, Fernando L. Silva <[EMAIL PROTECTED]> escreveu: > > Galera, > > Bom dia !!! > > Tenho uma dúvida, o PF faz automaticamente VPN Passthrough ??? > > A empresa aqui presta serviço para uma outra e foi feito uma VPN por eles, > colocado em nossa rede um roteador (Fortigate 50B) ...Eles configuraram a > VPN desse aparelho com a rede deles, assim ficando uma rede VPN com IPSEC > atrás do meu Firewall . > > Eu uso PF e gostaria de saber se ele trata os problemas gerados pelo > encapsulamento do IPSEC e alteração de cabeçalho do NAT > > Alguém saberia me informar ? > > Obrigado ! > Fernando > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Att ' Cesar - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + IPSEC
Se eu nao estiver enganada,,, precisa compilar o kernel com as opçoes: options IPFIREWALL options IPDIVERT Abraços!!! Em 28/02/08, Daemon BR<[EMAIL PROTECTED]> escreveu: > Vou aproveitar o post > > O PF é mais novo que o IPFW ? > O Meu freebsd não tem o arquivo /etc/natd.conf (obs: é o 6.3). > > > > Em 28/02/08, Fernando L. Silva <[EMAIL PROTECTED]> escreveu: > > > > Galera, > > > > Bom dia !!! > > > > Tenho uma dúvida, o PF faz automaticamente VPN Passthrough ??? > > > > A empresa aqui presta serviço para uma outra e foi feito uma VPN por eles, > > colocado em nossa rede um roteador (Fortigate 50B) ...Eles configuraram a > > VPN desse aparelho com a rede deles, assim ficando uma rede VPN com IPSEC > > atrás do meu Firewall . > > > > Eu uso PF e gostaria de saber se ele trata os problemas gerados pelo > > encapsulamento do IPSEC e alteração de cabeçalho do NAT > > > > Alguém saberia me informar ? > > > > Obrigado ! > > Fernando > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > -- > Att > ' > Cesar > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- ThOLOko ThOmaz BeLgine -FrEEBSD- UniX TeaM (LeT's MaKe InStaLL ClEan) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + IPSEC
Apenas completando, eu consigo estabelecer conexão e fechar o túnel, porém depois de um tempo operante a conexão cai, eu reinicio o aparelho que está fazendo a VPN atrás do meu Firewall e a conexão volta novamente. Alguém sabe o que poderia estar ocorrendo ? Obrigado !! - Original Message - From: "Fernando L. Silva" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, February 28, 2008 8:48 AM Subject: [FUG-BR] PF + IPSEC Galera, Bom dia !!! Tenho uma dúvida, o PF faz automaticamente VPN Passthrough ??? A empresa aqui presta serviço para uma outra e foi feito uma VPN por eles, colocado em nossa rede um roteador (Fortigate 50B) ...Eles configuraram a VPN desse aparelho com a rede deles, assim ficando uma rede VPN com IPSEC atrás do meu Firewall . Eu uso PF e gostaria de saber se ele trata os problemas gerados pelo encapsulamento do IPSEC e alteração de cabeçalho do NAT Alguém saberia me informar ? Obrigado ! Fernando - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF vx FTPS
Caros, permito no pf que alguns ips façam ftp e agora surgiu a necessidade de permitir que façam ftps para um determinado ip na porta 990. Criei uma regra que permite acessar esse ip com ftps mas apos conectar nao lista as pastas de jeito nenhum. Ja alterei as confs de nat-anchor e rdr-anchor e nada. Alguem ja fez isso funcionar? Parece que tem algo a ver com passive mode... Valeu!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - nat
Oi Glauco, Talvez o número máximo de conexões nat venha de um dos valores listados abaixo ... # pfctl -sm stateshard limit1 src-nodes hard limit1 frags hard limit 5000 tableshard limit 1000 table-entries hard limit 20 veja que o default é 1 para states e para src-nodes. Tenta aumentar um deles (ou os dois) que deve funcionar, coloca no pf.conf e faz um reload: set limit { states 15000, src-nodes 15000 } abraços. 2012/1/18 Glauco D. G. Sombrio : > Estou usando PF como nat na minha rede e notei que não passa de 10.000 > conexões no nat. > > # pfctl -ss |grep -ic all > 9614 > > Será que existe algum limite de conexão no nat ? > É o segundo servidor que já noto isso. > > 8.2-STABLE - amd64 > > []´s > > Glauco > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + Bittorrent
Em 25/04/07, Fabiano (BiGu)<[EMAIL PROTECTED]> escreveu: > Opa Lista... > > Nao sei se ja foi discutido aqui na lista (dei uma procurada no > historico mas nao encontrei nada) > > Fiz umas regras no PF para testes, limitando o IP pela uma queue > (limitei todas as portas para efeitos de teste) e nesse IP coloquei o > BitTorrent pra funcionar... > > percebi o seguinte, no comeco ele consegue manter o torrent na "linha", > segurando a banda (fiz o teste pingando em um host, e ele se manteve um > valor padrao, defini prioridade para o icmp) > acontece q depois de algums minutos conectado o PF perde efeito...o ping > vai pras alturas e o BitTorrent fica liberado... > > por acaso, experimentei um ping de dentro do gateway onde esta o PF e > recebi varias mensagens: > > ping: sendto: No buffer space available > > Bom, pelo q entendi, acho que o Bittorrent estah criando tantas conexoes > que o hardware da maquina nao ta aguentando gerenciar, ai o PF perde > efeito... > > Minha pergunta, pode ser isso que estar acontecendo? Como posso entao > limitar o numero de conexoes q cada host pode manter(ou seja, cada peer > do torrent), e quais as portas que o Bittorrent usa para os downloads? > sei que tem as portas 6881-6889, mas sao somente essas? > > Abracos > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > amigo eu tenho uma solucao melhor usando ipfw olha este exemplo ipfw add 5000 prob 0.6 drop tcp from not 192.168.0.250 to not 192.168.0.0/24,200.0.0.0/8,201.0.0.0/8 6881-6889 neste caso vc vai diminuir o trafego em 60% para as rede so o ip 192.168.0.250 vai ter o trafego todo para navegar no bittorrent mais vc pode limitar para a rede toda desta forma que eu uso e funciona. -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + Bittorrent
Alessandro de Souza Rocha escreveu: > Em 25/04/07, Fabiano (BiGu)<[EMAIL PROTECTED]> escreveu: > >> Opa Lista... >> >> Nao sei se ja foi discutido aqui na lista (dei uma procurada no >> historico mas nao encontrei nada) >> >> Fiz umas regras no PF para testes, limitando o IP pela uma queue >> (limitei todas as portas para efeitos de teste) e nesse IP coloquei o >> BitTorrent pra funcionar... >> >> percebi o seguinte, no comeco ele consegue manter o torrent na "linha", >> segurando a banda (fiz o teste pingando em um host, e ele se manteve um >> valor padrao, defini prioridade para o icmp) >> acontece q depois de algums minutos conectado o PF perde efeito...o ping >> vai pras alturas e o BitTorrent fica liberado... >> >> por acaso, experimentei um ping de dentro do gateway onde esta o PF e >> recebi varias mensagens: >> >> ping: sendto: No buffer space available >> >> Bom, pelo q entendi, acho que o Bittorrent estah criando tantas conexoes >> que o hardware da maquina nao ta aguentando gerenciar, ai o PF perde >> efeito... >> >> Minha pergunta, pode ser isso que estar acontecendo? Como posso entao >> limitar o numero de conexoes q cada host pode manter(ou seja, cada peer >> do torrent), e quais as portas que o Bittorrent usa para os downloads? >> sei que tem as portas 6881-6889, mas sao somente essas? >> >> Abracos >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >> > > amigo eu tenho uma solucao melhor usando ipfw olha este exemplo > > ipfw add 5000 prob 0.6 drop tcp from not 192.168.0.250 to not > 192.168.0.0/24,200.0.0.0/8,201.0.0.0/8 6881-6889 > > neste caso vc vai diminuir o trafego em 60% para as rede so o ip > 192.168.0.250 vai ter o trafego todo para navegar no bittorrent mais > vc pode limitar para a rede toda desta forma que eu uso e funciona. > Noss, nem sei pra onde vai ipfw...eu estou utilizando PF... mas vou dar uma olhada na documentacao ver o q posso encontrar... Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + Bittorrent
Fabiano (BiGu) wrote: > Opa Lista... > > Nao sei se ja foi discutido aqui na lista (dei uma procurada no > historico mas nao encontrei nada) > > Fiz umas regras no PF para testes, limitando o IP pela uma queue > (limitei todas as portas para efeitos de teste) e nesse IP coloquei o > BitTorrent pra funcionar... > > percebi o seguinte, no comeco ele consegue manter o torrent na "linha", > segurando a banda (fiz o teste pingando em um host, e ele se manteve um > valor padrao, defini prioridade para o icmp) > acontece q depois de algums minutos conectado o PF perde efeito...o ping > vai pras alturas e o BitTorrent fica liberado... > > por acaso, experimentei um ping de dentro do gateway onde esta o PF e > recebi varias mensagens: > > ping: sendto: No buffer space available > > Bom, pelo q entendi, acho que o Bittorrent estah criando tantas conexoes > que o hardware da maquina nao ta aguentando gerenciar, ai o PF perde > efeito... > > Minha pergunta, pode ser isso que estar acontecendo? Como posso entao > limitar o numero de conexoes q cada host pode manter(ou seja, cada peer > do torrent), e quais as portas que o Bittorrent usa para os downloads? > sei que tem as portas 6881-6889, mas sao somente essas? > > Abracos > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Não é porque o hardware não agüenta gerenciar. Pelo menos não necessariamente. A mensagem de erro é clara: a função sendto() chamada pelo ping não consegue alocar memória. Creio que se você aumentar o valor de kern.ipc.maxsockbuf o problema será resolvido. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + Bittorrent
On 26/04/07, Flavio <[EMAIL PROTECTED]> wrote: > Fabiano (BiGu) wrote: > > Opa Lista... > > > > Nao sei se ja foi discutido aqui na lista (dei uma procurada no > > historico mas nao encontrei nada) > > > > Fiz umas regras no PF para testes, limitando o IP pela uma queue > > (limitei todas as portas para efeitos de teste) e nesse IP coloquei o > > BitTorrent pra funcionar... > > > > percebi o seguinte, no comeco ele consegue manter o torrent na "linha", > > segurando a banda (fiz o teste pingando em um host, e ele se manteve um > > valor padrao, defini prioridade para o icmp) > > acontece q depois de algums minutos conectado o PF perde efeito...o ping > > vai pras alturas e o BitTorrent fica liberado... > > > > por acaso, experimentei um ping de dentro do gateway onde esta o PF e > > recebi varias mensagens: > > > > ping: sendto: No buffer space available > > > > Bom, pelo q entendi, acho que o Bittorrent estah criando tantas conexoes > > que o hardware da maquina nao ta aguentando gerenciar, ai o PF perde > > efeito... > > > > Minha pergunta, pode ser isso que estar acontecendo? Como posso entao > > limitar o numero de conexoes q cada host pode manter(ou seja, cada peer > > do torrent), e quais as portas que o Bittorrent usa para os downloads? > > sei que tem as portas 6881-6889, mas sao somente essas? > > > > Abracos > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > Não é porque o hardware não agüenta gerenciar. Pelo menos não > necessariamente. A mensagem de erro é clara: a função sendto() chamada > pelo ping não consegue alocar memória. Creio que se você aumentar o > valor de kern.ipc.maxsockbuf o problema será resolvido. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Eu já tive esse tipo de problema no meu firewall: ping: sendto: No buffer space available E descobri que era túnel ALTQ mal configurado ou engargalado, aumentei a banda e o problema acabou. Trabalhar com ALTQ no PF é muito complicado, as vezes selecionamos uma faixa de ip e esta não passa pelo túnel correto, somente pelo default ou os outros ips que deveriam passar pelo default, passam por outro túnel. Fazer queue dinâmico no PF realmente é algo novo para mim, se você descobrir, eu gostaria de saber. Abraços -- Gilberto Villani Brito System Administrator Londrina - PR Brazil gilbertovb(a)gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + Bittorrent
Em 26/04/07, Gilberto Villani Brito<[EMAIL PROTECTED]> escreveu: > On 26/04/07, Flavio <[EMAIL PROTECTED]> wrote: > > Fabiano (BiGu) wrote: > > > Opa Lista... > > > > > > Nao sei se ja foi discutido aqui na lista (dei uma procurada no > > > historico mas nao encontrei nada) > > > > > > Fiz umas regras no PF para testes, limitando o IP pela uma queue > > > (limitei todas as portas para efeitos de teste) e nesse IP coloquei o > > > BitTorrent pra funcionar... > > > > > > percebi o seguinte, no comeco ele consegue manter o torrent na "linha", > > > segurando a banda (fiz o teste pingando em um host, e ele se manteve um > > > valor padrao, defini prioridade para o icmp) > > > acontece q depois de algums minutos conectado o PF perde efeito...o ping > > > vai pras alturas e o BitTorrent fica liberado... > > > > > > por acaso, experimentei um ping de dentro do gateway onde esta o PF e > > > recebi varias mensagens: > > > > > > ping: sendto: No buffer space available > > > > > > Bom, pelo q entendi, acho que o Bittorrent estah criando tantas conexoes > > > que o hardware da maquina nao ta aguentando gerenciar, ai o PF perde > > > efeito... > > > > > > Minha pergunta, pode ser isso que estar acontecendo? Como posso entao > > > limitar o numero de conexoes q cada host pode manter(ou seja, cada peer > > > do torrent), e quais as portas que o Bittorrent usa para os downloads? > > > sei que tem as portas 6881-6889, mas sao somente essas? > > > > > > Abracos > > > > > > - > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > Não é porque o hardware não agüenta gerenciar. Pelo menos não > > necessariamente. A mensagem de erro é clara: a função sendto() chamada > > pelo ping não consegue alocar memória. Creio que se você aumentar o > > valor de kern.ipc.maxsockbuf o problema será resolvido. > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > Eu já tive esse tipo de problema no meu firewall: > ping: sendto: No buffer space available > > E descobri que era túnel ALTQ mal configurado ou engargalado, aumentei > a banda e o problema acabou. > Trabalhar com ALTQ no PF é muito complicado, as vezes selecionamos uma > faixa de ip e esta não passa pelo túnel correto, somente pelo default > ou os outros ips que deveriam passar pelo default, passam por outro > túnel. > Fazer queue dinâmico no PF realmente é algo novo para mim, se você > descobrir, eu gostaria de saber. > > Abraços > -- > Gilberto Villani Brito > System Administrator > Londrina - PR > Brazil > gilbertovb(a)gmail.com > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > as vezes vc pode demora com altq+pf no ipfw+dummynet e mais facil depende do casaoquestao de gosto ou necessidade mesmo. -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] pf e MAC (?)
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pessoal, Estive dando uma olhada no histórico e encontrei alguma coisa, [1] sobre o pf e MAC. Tem alguém que usa algo parecido? Funciona perfeitamente em sub-redes? Alguém pode dar algum tipo de comentário sobre o assunto? [1]. http://www.fug.com.br/historico/html/freebsd/2005-10/msg00010.html Obrigado, -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (MingW32) iD8DBQFGn3WebjyCr4Ixg0wRAgK7AJ9ig/E82nh7Ommgz4ydK8bvDszW8gCgqq9T Y5rz4vgavMD1CXq3mWB0XuA= =cZVH -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + ALTQ
Em 28/08/07, Gilberto Villani Brito<[EMAIL PROTECTED]> escreveu: > E-mail comentado: > > On 21/08/07, Victor Loureiro Lima <[EMAIL PROTECTED]> wrote: > > I had enough ;) > > > > Cansei de ter menos banda na minha maquina (gateway da rede wireless > > la' de casa, rodando freebsd e meu desktop tambem ;)) toda vez que > > algum familiar ou visita entra na internet para ver os seus > > powerpoints sobre viagens no mundo, ou curiosidades no email, por > > tanto resolvi usar o altq a meu favor e incluir um controle de banda > > na rede la' de casa. > > > > A regra e' simples, quando eu estiver usando a internet (segundo eu li > > no manual da pf existe essa possibilidade) eu quero ter 60% da > > bandwidth apenas para mim, e os outros 40%, e quando nao houver nenhum > > uso de internet no gateway (meu desktop), a banda pode ir 100% para > > quem tiver usando. Nota: Nao quero que conexoes vindo da internet > > caiam em nenhuma queue, ou seja, tenham processamento normal sem > > limitacao de banda para eles. (considerando logicamente o limite > > fisico da capacidade da banda, e o caso da duvida 2 abaixo ;)) > > > > Tendo essas premissas, existem a seguintes dúvidas: > > Como a minha rede e' disposta da seguinte forma: > > > > [ rede interna wireless de casa ] <---> [ath0] [fxp0] <---> INTERNET > >(^^ > > gateway) > > > > 1a. duvida: eu devo habilitar o altq na interface ath0 ou na fxp0? Meu > > entendimento e' que > > se habilitar para a ath0, faria mais sentido, pois apenas o trafico > > wireless seria afetado. > > Caso seja essa a solução, estou certo em achar que simplesmente habilitando > > o > > altq na interface ath0 e passando um valor de 1600kb (meu link e' de > > 4mb, 1600 seria algo em torno de 40%), eu ja' conseguiria o resultado > > esperado? Depois seria apenas uma questao de habilitar no pass in on > > ath0 queue minha_queue? > > Depende, se você for limitar SOMENTE o download usa a interface ath0, > mas se for limitar o upload também, terá que usar a fxp0. > > > > > 2a. duvida: como fica a questão de limitar o que entra na rede? Teria > > como eu jogar os pacotes de resposta (vindos da internet) que foram > > originados de conexoes vindo da ath0 (usuarios internos) para uma > > queue que tenha menos banda, e deixar os outros que usam o fxp0 sem > > limitações de entrada/saida?! > > Sim, tem como fazer isso. > > > > > > > Ai vai o meu pf.conf (muito simples, nao tem nada...): > > # > > # Macros: define common values, so they can be referenced and changed > > easily. > > ext_if="fxp0" # replace with actual external interface name i.e., dc0 > > int_if="ath0" # replace with actual internal interface name i.e., dc1 > > internal_net="192.168.0.0/24" > > external_addr="`ifconfig fxp0 | grep inet | cut -d ' ' -f2`" > > > > > > # Options: tune the behavior of pf, default values are given. > > set timeout { interval 10, frag 30 } > > set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 } > > set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 } > > set timeout { udp.first 60, udp.single 30, udp.multiple 60 } > > set timeout { icmp.first 20, icmp.error 10 } > > set timeout { other.first 60, other.single 30, other.multiple 60 } > > set timeout { adaptive.start 0, adaptive.end 0 } > > set limit { states 1, frags 5000 } > > set loginterface none > > set optimization normal > > set block-policy drop > > set require-order yes > > set fingerprints "/etc/pf.os" > > > > # Normalization: reassemble fragments and resolve or reduce traffic > > ambiguities. > > scrub in all > > > > nat on $ext_if from $internal_net to ! $internal_net -> ($ext_if) > > > > pass in log quick on $int_if keep state > > pass out log quick on $int_if keep state > > pass in log quick on $ext_if keep state > > pass out log quick on $ext_if keep state > > > > > > Abracos, > > Victor F. Loureiro Lima > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > Mais ajuda: http://www.fug.com.br/historico/html/freebsd/2007-03/msg00028.html > > Abraços > -- > Gilberto Villani Brito > System Administrator > Londrina - PR > Brazil > gilbertovb(a)gmail.com > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > da uma olhada ai. altq on vr0 hfsc bandwidth 128Kb queue { dflt_out1, local1 } queue dflt_out1 bandwidth 5% hfsc(default) queue local1 bandwidth 95% altq on tun0 hfsc bandwidth 128Kb queue { dflt_out2, local2 } queue dflt_out2 bandwidth 5% hfsc(default) queue local2 bandwidth 95% -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 - Histórico: http://www.fug.com.br/historico/html/
Re: [FUG-BR] PF + ALTQ
Em 28/08/07, Alessandro de Souza Rocha<[EMAIL PROTECTED]> escreveu: > Em 28/08/07, Gilberto Villani Brito<[EMAIL PROTECTED]> escreveu: > > E-mail comentado: > > > > On 21/08/07, Victor Loureiro Lima <[EMAIL PROTECTED]> wrote: > > > I had enough ;) > > > > > > Cansei de ter menos banda na minha maquina (gateway da rede wireless > > > la' de casa, rodando freebsd e meu desktop tambem ;)) toda vez que > > > algum familiar ou visita entra na internet para ver os seus > > > powerpoints sobre viagens no mundo, ou curiosidades no email, por > > > tanto resolvi usar o altq a meu favor e incluir um controle de banda > > > na rede la' de casa. > > > > > > A regra e' simples, quando eu estiver usando a internet (segundo eu li > > > no manual da pf existe essa possibilidade) eu quero ter 60% da > > > bandwidth apenas para mim, e os outros 40%, e quando nao houver nenhum > > > uso de internet no gateway (meu desktop), a banda pode ir 100% para > > > quem tiver usando. Nota: Nao quero que conexoes vindo da internet > > > caiam em nenhuma queue, ou seja, tenham processamento normal sem > > > limitacao de banda para eles. (considerando logicamente o limite > > > fisico da capacidade da banda, e o caso da duvida 2 abaixo ;)) > > > > > > Tendo essas premissas, existem a seguintes dúvidas: > > > Como a minha rede e' disposta da seguinte forma: > > > > > > [ rede interna wireless de casa ] <---> [ath0] [fxp0] <---> INTERNET > > >(^^ > > > gateway) > > > > > > 1a. duvida: eu devo habilitar o altq na interface ath0 ou na fxp0? Meu > > > entendimento e' que > > > se habilitar para a ath0, faria mais sentido, pois apenas o trafico > > > wireless seria afetado. > > > Caso seja essa a solução, estou certo em achar que simplesmente > > > habilitando o > > > altq na interface ath0 e passando um valor de 1600kb (meu link e' de > > > 4mb, 1600 seria algo em torno de 40%), eu ja' conseguiria o resultado > > > esperado? Depois seria apenas uma questao de habilitar no pass in on > > > ath0 queue minha_queue? > > > > Depende, se você for limitar SOMENTE o download usa a interface ath0, > > mas se for limitar o upload também, terá que usar a fxp0. > > > > > > > > 2a. duvida: como fica a questão de limitar o que entra na rede? Teria > > > como eu jogar os pacotes de resposta (vindos da internet) que foram > > > originados de conexoes vindo da ath0 (usuarios internos) para uma > > > queue que tenha menos banda, e deixar os outros que usam o fxp0 sem > > > limitações de entrada/saida?! > > > > Sim, tem como fazer isso. > > > > > > > > > > > Ai vai o meu pf.conf (muito simples, nao tem nada...): > > > # > > > # Macros: define common values, so they can be referenced and changed > > > easily. > > > ext_if="fxp0" # replace with actual external interface name i.e., dc0 > > > int_if="ath0" # replace with actual internal interface name i.e., dc1 > > > internal_net="192.168.0.0/24" > > > external_addr="`ifconfig fxp0 | grep inet | cut -d ' ' -f2`" > > > > > > > > > # Options: tune the behavior of pf, default values are given. > > > set timeout { interval 10, frag 30 } > > > set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 } > > > set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 } > > > set timeout { udp.first 60, udp.single 30, udp.multiple 60 } > > > set timeout { icmp.first 20, icmp.error 10 } > > > set timeout { other.first 60, other.single 30, other.multiple 60 } > > > set timeout { adaptive.start 0, adaptive.end 0 } > > > set limit { states 1, frags 5000 } > > > set loginterface none > > > set optimization normal > > > set block-policy drop > > > set require-order yes > > > set fingerprints "/etc/pf.os" > > > > > > # Normalization: reassemble fragments and resolve or reduce traffic > > > ambiguities. > > > scrub in all > > > > > > nat on $ext_if from $internal_net to ! $internal_net -> ($ext_if) > > > > > > pass in log quick on $int_if keep state > > > pass out log quick on $int_if keep state > > > pass in log quick on $ext_if keep state > > > pass out log quick on $ext_if keep state > > > > > > > > > Abracos, > > > Victor F. Loureiro Lima > > > - > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > Mais ajuda: > > http://www.fug.com.br/historico/html/freebsd/2007-03/msg00028.html > > > > Abraços > > -- > > Gilberto Villani Brito > > System Administrator > > Londrina - PR > > Brazil > > gilbertovb(a)gmail.com > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > da uma olhada ai. > altq on vr0 hfsc bandwidth 128Kb queue { dflt_out1, local1 } > queue dflt_out1 bandwidth 5% hfsc(default) > queue local1 bandwidt
Re: [FUG-BR] PF + ALTQ
E-mail comentado: On 21/08/07, Victor Loureiro Lima <[EMAIL PROTECTED]> wrote: > I had enough ;) > > Cansei de ter menos banda na minha maquina (gateway da rede wireless > la' de casa, rodando freebsd e meu desktop tambem ;)) toda vez que > algum familiar ou visita entra na internet para ver os seus > powerpoints sobre viagens no mundo, ou curiosidades no email, por > tanto resolvi usar o altq a meu favor e incluir um controle de banda > na rede la' de casa. > > A regra e' simples, quando eu estiver usando a internet (segundo eu li > no manual da pf existe essa possibilidade) eu quero ter 60% da > bandwidth apenas para mim, e os outros 40%, e quando nao houver nenhum > uso de internet no gateway (meu desktop), a banda pode ir 100% para > quem tiver usando. Nota: Nao quero que conexoes vindo da internet > caiam em nenhuma queue, ou seja, tenham processamento normal sem > limitacao de banda para eles. (considerando logicamente o limite > fisico da capacidade da banda, e o caso da duvida 2 abaixo ;)) > > Tendo essas premissas, existem a seguintes dúvidas: > Como a minha rede e' disposta da seguinte forma: > > [ rede interna wireless de casa ] <---> [ath0] [fxp0] <---> INTERNET >(^^ > gateway) > > 1a. duvida: eu devo habilitar o altq na interface ath0 ou na fxp0? Meu > entendimento e' que > se habilitar para a ath0, faria mais sentido, pois apenas o trafico > wireless seria afetado. > Caso seja essa a solução, estou certo em achar que simplesmente habilitando o > altq na interface ath0 e passando um valor de 1600kb (meu link e' de > 4mb, 1600 seria algo em torno de 40%), eu ja' conseguiria o resultado > esperado? Depois seria apenas uma questao de habilitar no pass in on > ath0 queue minha_queue? Depende, se você for limitar SOMENTE o download usa a interface ath0, mas se for limitar o upload também, terá que usar a fxp0. > > 2a. duvida: como fica a questão de limitar o que entra na rede? Teria > como eu jogar os pacotes de resposta (vindos da internet) que foram > originados de conexoes vindo da ath0 (usuarios internos) para uma > queue que tenha menos banda, e deixar os outros que usam o fxp0 sem > limitações de entrada/saida?! Sim, tem como fazer isso. > > > Ai vai o meu pf.conf (muito simples, nao tem nada...): > # > # Macros: define common values, so they can be referenced and changed easily. > ext_if="fxp0" # replace with actual external interface name i.e., dc0 > int_if="ath0" # replace with actual internal interface name i.e., dc1 > internal_net="192.168.0.0/24" > external_addr="`ifconfig fxp0 | grep inet | cut -d ' ' -f2`" > > > # Options: tune the behavior of pf, default values are given. > set timeout { interval 10, frag 30 } > set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 } > set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 } > set timeout { udp.first 60, udp.single 30, udp.multiple 60 } > set timeout { icmp.first 20, icmp.error 10 } > set timeout { other.first 60, other.single 30, other.multiple 60 } > set timeout { adaptive.start 0, adaptive.end 0 } > set limit { states 1, frags 5000 } > set loginterface none > set optimization normal > set block-policy drop > set require-order yes > set fingerprints "/etc/pf.os" > > # Normalization: reassemble fragments and resolve or reduce traffic > ambiguities. > scrub in all > > nat on $ext_if from $internal_net to ! $internal_net -> ($ext_if) > > pass in log quick on $int_if keep state > pass out log quick on $int_if keep state > pass in log quick on $ext_if keep state > pass out log quick on $ext_if keep state > > > Abracos, > Victor F. Loureiro Lima > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Mais ajuda: http://www.fug.com.br/historico/html/freebsd/2007-03/msg00028.html Abraços -- Gilberto Villani Brito System Administrator Londrina - PR Brazil gilbertovb(a)gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + ALTQ
On 28/08/07, Alessandro de Souza Rocha <[EMAIL PROTECTED]> wrote: > Em 28/08/07, Alessandro de Souza Rocha<[EMAIL PROTECTED]> escreveu: > > Em 28/08/07, Gilberto Villani Brito<[EMAIL PROTECTED]> escreveu: > > > E-mail comentado: > > > > > > On 21/08/07, Victor Loureiro Lima <[EMAIL PROTECTED]> wrote: > > > > I had enough ;) > > > > > > > > Cansei de ter menos banda na minha maquina (gateway da rede wireless > > > > la' de casa, rodando freebsd e meu desktop tambem ;)) toda vez que > > > > algum familiar ou visita entra na internet para ver os seus > > > > powerpoints sobre viagens no mundo, ou curiosidades no email, por > > > > tanto resolvi usar o altq a meu favor e incluir um controle de banda > > > > na rede la' de casa. > > > > > > > > A regra e' simples, quando eu estiver usando a internet (segundo eu li > > > > no manual da pf existe essa possibilidade) eu quero ter 60% da > > > > bandwidth apenas para mim, e os outros 40%, e quando nao houver nenhum > > > > uso de internet no gateway (meu desktop), a banda pode ir 100% para > > > > quem tiver usando. Nota: Nao quero que conexoes vindo da internet > > > > caiam em nenhuma queue, ou seja, tenham processamento normal sem > > > > limitacao de banda para eles. (considerando logicamente o limite > > > > fisico da capacidade da banda, e o caso da duvida 2 abaixo ;)) > > > > > > > > Tendo essas premissas, existem a seguintes dúvidas: > > > > Como a minha rede e' disposta da seguinte forma: > > > > > > > > [ rede interna wireless de casa ] <---> [ath0] [fxp0] <---> INTERNET > > > >(^^ > > > > gateway) > > > > > > > > 1a. duvida: eu devo habilitar o altq na interface ath0 ou na fxp0? Meu > > > > entendimento e' que > > > > se habilitar para a ath0, faria mais sentido, pois apenas o trafico > > > > wireless seria afetado. > > > > Caso seja essa a solução, estou certo em achar que simplesmente > > > > habilitando o > > > > altq na interface ath0 e passando um valor de 1600kb (meu link e' de > > > > 4mb, 1600 seria algo em torno de 40%), eu ja' conseguiria o resultado > > > > esperado? Depois seria apenas uma questao de habilitar no pass in on > > > > ath0 queue minha_queue? > > > > > > Depende, se você for limitar SOMENTE o download usa a interface ath0, > > > mas se for limitar o upload também, terá que usar a fxp0. > > > > > > > > > > > 2a. duvida: como fica a questão de limitar o que entra na rede? Teria > > > > como eu jogar os pacotes de resposta (vindos da internet) que foram > > > > originados de conexoes vindo da ath0 (usuarios internos) para uma > > > > queue que tenha menos banda, e deixar os outros que usam o fxp0 sem > > > > limitações de entrada/saida?! > > > > > > Sim, tem como fazer isso. > > > > > > > > > > > > > > > Ai vai o meu pf.conf (muito simples, nao tem nada...): > > > > # > > > > # Macros: define common values, so they can be referenced and changed > > > > easily. > > > > ext_if="fxp0" # replace with actual external interface name i.e., dc0 > > > > int_if="ath0" # replace with actual internal interface name i.e., dc1 > > > > internal_net="192.168.0.0/24" > > > > external_addr="`ifconfig fxp0 | grep inet | cut -d ' ' -f2`" > > > > > > > > > > > > # Options: tune the behavior of pf, default values are given. > > > > set timeout { interval 10, frag 30 } > > > > set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 } > > > > set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 } > > > > set timeout { udp.first 60, udp.single 30, udp.multiple 60 } > > > > set timeout { icmp.first 20, icmp.error 10 } > > > > set timeout { other.first 60, other.single 30, other.multiple 60 } > > > > set timeout { adaptive.start 0, adaptive.end 0 } > > > > set limit { states 1, frags 5000 } > > > > set loginterface none > > > > set optimization normal > > > > set block-policy drop > > > > set require-order yes > > > > set fingerprints "/etc/pf.os" > > > > > > > > # Normalization: reassemble fragments and resolve or reduce traffic > > > > ambiguities. > > > > scrub in all > > > > > > > > nat on $ext_if from $internal_net to ! $internal_net -> ($ext_if) > > > > > > > > pass in log quick on $int_if keep state > > > > pass out log quick on $int_if keep state > > > > pass in log quick on $ext_if keep state > > > > pass out log quick on $ext_if keep state > > > > > > > > > > > > Abracos, > > > > Victor F. Loureiro Lima > > > > - > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > > Mais ajuda: > > > http://www.fug.com.br/historico/html/freebsd/2007-03/msg00028.html > > > > > > Abraços > > > -- > > > Gilberto Villani Brito > > > System Administrator > > > Londrina - PR > > > Brazil > > > gilbertovb(a)gmail.com > > >
Re: [FUG-BR] PF + ALTQ
Em 28/08/07, Gilberto Villani Brito<[EMAIL PROTECTED]> escreveu: > On 28/08/07, Alessandro de Souza Rocha <[EMAIL PROTECTED]> wrote: > > Em 28/08/07, Alessandro de Souza Rocha<[EMAIL PROTECTED]> escreveu: > > > Em 28/08/07, Gilberto Villani Brito<[EMAIL PROTECTED]> escreveu: > > > > E-mail comentado: > > > > > > > > On 21/08/07, Victor Loureiro Lima <[EMAIL PROTECTED]> wrote: > > > > > I had enough ;) > > > > > > > > > > Cansei de ter menos banda na minha maquina (gateway da rede wireless > > > > > la' de casa, rodando freebsd e meu desktop tambem ;)) toda vez que > > > > > algum familiar ou visita entra na internet para ver os seus > > > > > powerpoints sobre viagens no mundo, ou curiosidades no email, por > > > > > tanto resolvi usar o altq a meu favor e incluir um controle de banda > > > > > na rede la' de casa. > > > > > > > > > > A regra e' simples, quando eu estiver usando a internet (segundo eu li > > > > > no manual da pf existe essa possibilidade) eu quero ter 60% da > > > > > bandwidth apenas para mim, e os outros 40%, e quando nao houver nenhum > > > > > uso de internet no gateway (meu desktop), a banda pode ir 100% para > > > > > quem tiver usando. Nota: Nao quero que conexoes vindo da internet > > > > > caiam em nenhuma queue, ou seja, tenham processamento normal sem > > > > > limitacao de banda para eles. (considerando logicamente o limite > > > > > fisico da capacidade da banda, e o caso da duvida 2 abaixo ;)) > > > > > > > > > > Tendo essas premissas, existem a seguintes dúvidas: > > > > > Como a minha rede e' disposta da seguinte forma: > > > > > > > > > > [ rede interna wireless de casa ] <---> [ath0] [fxp0] <---> INTERNET > > > > > > > > > > (^^ gateway) > > > > > > > > > > 1a. duvida: eu devo habilitar o altq na interface ath0 ou na fxp0? Meu > > > > > entendimento e' que > > > > > se habilitar para a ath0, faria mais sentido, pois apenas o trafico > > > > > wireless seria afetado. > > > > > Caso seja essa a solução, estou certo em achar que simplesmente > > > > > habilitando o > > > > > altq na interface ath0 e passando um valor de 1600kb (meu link e' de > > > > > 4mb, 1600 seria algo em torno de 40%), eu ja' conseguiria o resultado > > > > > esperado? Depois seria apenas uma questao de habilitar no pass in on > > > > > ath0 queue minha_queue? > > > > > > > > Depende, se você for limitar SOMENTE o download usa a interface ath0, > > > > mas se for limitar o upload também, terá que usar a fxp0. > > > > > > > > > > > > > > 2a. duvida: como fica a questão de limitar o que entra na rede? Teria > > > > > como eu jogar os pacotes de resposta (vindos da internet) que foram > > > > > originados de conexoes vindo da ath0 (usuarios internos) para uma > > > > > queue que tenha menos banda, e deixar os outros que usam o fxp0 sem > > > > > limitações de entrada/saida?! > > > > > > > > Sim, tem como fazer isso. > > > > > > > > > > > > > > > > > > > Ai vai o meu pf.conf (muito simples, nao tem nada...): > > > > > # > > > > > # Macros: define common values, so they can be referenced and changed > > > > > easily. > > > > > ext_if="fxp0" # replace with actual external interface name i.e., > > > > > dc0 > > > > > int_if="ath0" # replace with actual internal interface name i.e., > > > > > dc1 > > > > > internal_net="192.168.0.0/24" > > > > > external_addr="`ifconfig fxp0 | grep inet | cut -d ' ' -f2`" > > > > > > > > > > > > > > > # Options: tune the behavior of pf, default values are given. > > > > > set timeout { interval 10, frag 30 } > > > > > set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 } > > > > > set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 } > > > > > set timeout { udp.first 60, udp.single 30, udp.multiple 60 } > > > > > set timeout { icmp.first 20, icmp.error 10 } > > > > > set timeout { other.first 60, other.single 30, other.multiple 60 } > > > > > set timeout { adaptive.start 0, adaptive.end 0 } > > > > > set limit { states 1, frags 5000 } > > > > > set loginterface none > > > > > set optimization normal > > > > > set block-policy drop > > > > > set require-order yes > > > > > set fingerprints "/etc/pf.os" > > > > > > > > > > # Normalization: reassemble fragments and resolve or reduce traffic > > > > > ambiguities. > > > > > scrub in all > > > > > > > > > > nat on $ext_if from $internal_net to ! $internal_net -> ($ext_if) > > > > > > > > > > pass in log quick on $int_if keep state > > > > > pass out log quick on $int_if keep state > > > > > pass in log quick on $ext_if keep state > > > > > pass out log quick on $ext_if keep state > > > > > > > > > > > > > > > Abracos, > > > > > Victor F. Loureiro Lima > > > > > - > > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] pf e filas
hail, estou apanhando aqui do pf :( quero basicamente organizar as filas de subida e descida. aqui vai o arquivo: altq on $ext_if bandwidth 291Kb hfsc queue { ack_dns, ack_ssh, ack_msn, ack_http, ack_bolo, ack_jogos } # queue ackbandwidth 50% priority 7 qlimit 500 hfsc (realtime 35%) queue ack_dnsbandwidth 7% priority 7 qlimit 500 hfsc (realtime 5%) queue ack_sshbandwidth 10% priority 6 qlimit 500 hfsc (realtime 20%) {ssh_bulk, ssh_login} #queue ssh_login bandwidth 90% priority 5 qlimit 500 hfsc #queue ssh_bulk bandwidth 10% priority 4 qlimit 500 hfsc # Jogos ! queue ack_jogos bandwidth 20% priority 5 qlimit 500 hfsc (realtime 20%) queue ack_msnbandwidth 10% priority 4 qlimit 500 hfsc (realtime 5%) queue ack_http bandwidth 40% priority 3 qlimit 500 hfsc (realtime 20%) queue ack_bolo bandwidth 13% priority 2 qlimit 500 hfsc (upperlimit 50% default) altq on $int_if bandwidth 980Kb hfsc queue { http, ssh, dns, msn, bolo, jogos } # Filas: http, p2p, ssh, dns, msn, bolo queue dns bandwidth 7% priority 7 qlimit 500 hfsc (realtime 5%) queue ssh bandwidth 10% priority 6 qlimit 500 hfsc (realtime 10%) queue msn bandwidth 5% priority 5 qlimit 500 hfsc (realtime 5%) queue httpbandwidth 50% priority 4 qlimit 500 hfsc (realtime 35%) queue jogos bandwidth 10% priority 3 qlimit 500 hfsc (realtime 10%) queue bolobandwidth 18% priority 2 qlimit 500 hfsc (realtime 5% default) block log quick from antispoof log quick for ($ext_if) inet block in on $ext_if all pass in on $ext_if inet proto { tcp, udp } from any to any port $portas keep state pass in on $ext_if inet proto tcp from any to any port $portas_ssh keep state \ (max-src-conn-rate 4/60 overload flush global) #pass out on $ext_iffrom any to any keep state queue (ack_bolo, bolo) pass out on $ext_if proto { tcp, udp } from any to any port $portas_msn keep state queue (ack_msn, msn) pass out log on $ext_if proto { tcp, udp } from any to any port $portas_httpkeep state queue (ack_http, http) pass out on $ext_if proto { tcp, udp } from any to any port $portas_jogos keep state queue (ack_jogos, jogos) pass out on $ext_if proto { tcp, udp } from any to any port 53 keep state queue (ack_dns, dns) pass out on $ext_if proto tcp from any to any port 22 keep state queue (ack_ssh, ssh) pass in on $int_if all pass out on $int_if all coloquei isto tb para ver se resolvia, com ext_if e int_if.: pass out on $ext_if proto { tcp, udp } from any port $portas_msn to any keep state queue (msn, ack_msn) pass out log on $ext_if proto { tcp, udp } from any port $portas_http to any keep state queue (http, ack_http) pass out on $ext_if proto { tcp, udp } from any port $portas_jogos to any keep state queue (jogos, ack_jogos) pass out on $ext_if proto { tcp, udp } from any port 53 to any keep state queue (dns, ack_dns) pass out on $ext_if proto tcp from anyport 22 to any keep state queue (ssh, ack_ssh) se alguém puder ajudar :) usei logs para ver se estava mesmo passando pela regra, e está: 20:13:51.465162 IP 18971016029.user.veloxzone.com.br.63270 > pub2.kernel.org.http: S 2607697054:2607697054(0) win 5840 mas quando baixa o arquivo a fila em uso é a genérica :( agradeço antecipadamente :) sim, isso é um PII 333MHz com FreeBSD 6.3-p2, se ajuda :) matheus -- We will call you cygnus, The God of balance you shall be - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF matando conexoes
Ola pessoal! Estou com um problema serio! Implementamos aqui na empresa o PF com openBSD e estou enfrentando um problema serio de estabilidade. Ele mata conexoes de uma hora pra outra. Msn's caindo, skype, conexoes ssh enfim. Esta tudo muito estavel. Temos um link ADSL e um a cabo que se ligam ao firewall e sai para o switch onde ficam as demais maquinas. As conexoes passam de ESTABLISHED para FIN_WAIT do nada. Nao consegui identificar bem qual o problema. Estou mandando essa mensagem para ver se alguem ja passou por problema semelhante e pode dar uma luz. Qualquer ajuda eh bem vinda! Obrigado, Fabio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF + 3 Links
Olá pessoal, quero ver se alguem pode me ajudar referente a gerenciar 3 links de 3 operadoras diferentes numa mesma maquina com PF. Meu cenario é o seguinte, tenho 3 links e diversas subredes. Abaixo coloquei so tres como exemplo, mas hoje as subredes que redireciono para os outros dois links que não são as do gateway padrão da maquina, algumas paginas não abrem, principalmente as de banco, sistemas dos governos ou paginas que usam alguma outra porta. Sei que o certo seria fazer algum redirecionamento para sair por esse link que esta atribuido o gateway da maquina mas eu precisava achar uma solução mais concreta e definitiva. Precisava fazer eles sairem totalmente por onde eu definir, sem redirecionamentos. Abaixo tem um exemplo de como está meu firewall. nat on $WAN from to any -> WAN nat on $WAN2 from to any -> WAN2 nat on $WAN3 from to any -> WAN3 pass in quick on $LAN route-to ($WAN3 $GW3 ) round-robin inet proto tcp from 10.13.0.0/16 to any flags S/SA modulate pass in quick on $LAN route-to ($WAN3 $GW3 ) inet proto { udp, icmp } from 10.13.0.0/16 to any keep state pass out on $WAN3 route-to ($WAN3 $GW3 ) from $WAN3 to any pass in quick on $LAN route-to ($WAN2 $GW2) round-robin inet proto tcp from 10.12.0.0/16 to any flags S/SA modulate state pass in quick on $LAN route-to ($WAN2 $GW2) inet proto { udp, icmp } from 10.12.0.0/16 to any keep state pass out on $WAN2 route-to ($WAN2 $GW2) from $WAN2 to any Se alguem tem alguma dica, ficarei muito grato, estou a tempos tentando achar uma solução mas não consigo. Obrigado. -- Robson Peripolli Rodrigues [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF rejeitando conexões
Saudações a todos da lista, Estou com um problema muito estranho aqui e não estou conseguindo encontrar a solução. Tenho um servidor rodando FreeBSD-7.0 (AMD64) e nele tenho o PF fazendo NAT e mais algumas regras de filtragem. Tudo funcionava perfeitamente, entretanto, na última segunda-feira de forma misteriosa, o PF começou a rejeitar conexões por volta das 18hs. Para entender melhor o problema, vejam o exemplo abaixo: # ping freebsd.org PING freebsd.org (69.147.83.40): 56 data bytes 64 bytes from 69.147.83.40: icmp_seq=0 ttl=51 time=204.782 ms 64 bytes from 69.147.83.40: icmp_seq=1 ttl=51 time=220.119 ms CTRL+C # ping freebsd.org PING freebsd.org (69.147.83.40): 56 data bytes 64 bytes from 69.147.83.40: icmp_seq=0 ttl=51 time=201.732 ms 64 bytes from 69.147.83.40: icmp_seq=1 ttl=51 time=199.119 ms CTRL+C # ping freebsd.org PING freebsd.org (69.147.83.40): 56 data bytes ping: sendto: Operation not permitted ping: sendto: Operation not permitted 64 bytes from 69.147.83.40: icmp_seq=1 ttl=51 time=182.129 ms CTRL+C Ou seja, ocasiolnalmente o comando ping retorna "sendto: Operation not permitted" . Se eu desabilitar o PF o problema não mais acontece, habilitando novamente volta a acontecer. E detalhe muito importante, no dia que foi detectado o problema (por volta das 18hs) a rede evidentemente ficou lenta e a "solução" encontrada no momento foi o famoso reboot (o sistema estava com um uptime de 71 dias), e concluido o boot do sistema tudo voltou ao normal. Fiquei preocupado e passei a monitorar o tráfego de todas as interfaces presentes para ver se achava algo, mas nada, tudo normal. E ontem (terça-feira) por volta das 18hs novamente o mesmo problema volta a acontecer, só que dessa vez resolvi não usar o reboot como momentânea solução. Então pensei em recarregar o PF (/etc/rc.d/pf reload) e feito isso o sistema voltou a operar normalmente. Como já estou prevendo que o problema vai voltar de novo (e por incrível que pareça no mesmo horário, porque nesse momento as coisas continuam normais), me dirijo a vocês para tentar me dar uma ajuda. Observação talvez relativa: Um dia antes (no domingo) foi re-configurado um DNS em outro servidor (conectado a interface DMZ) com BIND-9.5.0-P1 e passei a utilizar VIEW para seperar as zonas. No meu /etc/pf.conf tenho a seguinte configuração relacionada a tempo de execução: set optimization normal set limit { states 4, frags 3 } set timeout { adaptive.start 24000, adaptive.end 48000 } A saída de "pfctl -s state | wc -l" sempre me mostra algo em torno de 3 linhas presentes na tabela de estado. Todos adaptadores de rede são PCI Gigabit Intel PRO 100/1000 (device "em"). Alguém tem alguma dica? Desde já obrigado pela atenção -- Samuel Peres - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] pf com ipfw
Olá lista, Presciso colocar o pf trabalhando com ipfw das seguintes forma: pf Fazendo filtro, nat, etc e o ipfw fazendo controle de banda. Também ipfw fazendo filtro, controle de banda e o pf fazendo nat. Andei lendo por ai e muitos dizem que as regras do ipfw deve ser lida antes, outros dizem ser do pf. Sei que muitos aqui usa uma maquina firewall com ipfw e pf. Então alguém pode posta um bloco de configuracao contendo pf e ipfw trabalhando juntos, me dizer qual deve ser carregado primeiro. dicas, configuracao, enfim, tudo será util. Não tenho menor ideia como deve ser. Boa noite pessoal. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] pf route-to
Pessoal , bom dia. Esta semana postei na lista uma duvida sobre "Rotear multiplos links adsl" que basicamente o conteudo era : "estou utilizando o "pf" como firewall. Consegui fazer o balanceamento da saída (conexoes iniciadas "from" lan "to" internet) utilizando o "route-to" , mas estou tendo enormes dificuldades em realizar o "balanceamento" de entrada (conexoes iniciadas "from" internet "to" dmz) ,que ja é feito via DNS, mas o kernel insiste em responder somente atraves do gateway default." Bom,de certa forma concordo com o kernel em responder pela rota default. Mas tenho esta necessidade de multiplos links, no mesmo roteador e que um pacote que entre por um link sai pelo mesmo. Pensei...pensei...pensei...pensei ... Teria que ter uma forma de identificar o pacote que entrou por um determinado link para que depois se consiga voltar a resposta do mesmo pelo link correspondente via route-to. E uma forma de fazer isso seria "natear" as conexoes entrantes. O que resultou nas seguintes regras de firewall : route0="(" $ext_if0 $router0 ")" route1="(" $ext_if1 $router1 ")" nat on $ext_if0 from {$dmz,$lan} to any -> $ext_ip0 nat on $ext_if1 from {$dmz,$lan} to any -> $ext_ip1 nat on $int_if from any to $dmz tagged ROUTE0 -> $virtual_ip0 nat on $int_if from any to $dmz tagged ROUTE1 -> $virtual_ip1 rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag ROUTE0 -> $web_server rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag ROUTE1 -> $web_server pass in on $int_if route-to $route0 from $dmz to $virtual_ip0 flags S/SA modulate state pass in on $int_if route-to $route1 from $dmz to $virtual_ip1 flags S/SA modulate state pass in on $int_if route-to {$route0,$route1} round-robin from $lan to any flags S/SA modulate state pass out on $ext_if0 route-to $route1 from $ext_if1 to any flags S/SA modulate state pass out on $ext_if1 route-to $route0 from $ext_if0 to any flags S/SA modulate state Analisando somente esta logica, desconsiderando quaisquer outras configuracoes, isto nao teria que funcionar ? Eu acho que sim, mas nao esta funcionando. O kernel continua a insistir em responder pela rota default. O que mais me intriga e que as conexoes originadas da lan to internet funcionam, sendo que a regra e a mesma. Alguem consegue me dar um help, ou me orientar se estou tendo uma interpretacao errada do fluxo correto dos pacotes nas interfaces e de roteamento ? Grato. -- Wildes Miranda - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF versus portsentry
Eu utilizava o portsentry para executar algum procedimento (bloquear atacante ou liberar algum porta) quando uma porta TCP eh acionada. NO PF tem como fazer isto sem utilizar terceiros como o portsentry? Eu acho que vi algo no PF que executa um script se uma regra pass ou block combinar com um pacote ou conexão. Mas não achei isto mais. alguém sabe se tem isto no PF? -- [], Anderson Alves de Albuquerque. --- E-mails: andersonalvesdealbuquerque#hotmail.com (replace # by @) andersonaa#gmail.com (replace # by @) ICQ: 73222660 --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
Amigo.. envie novamente.. sem formatação das suas regras .. assim ficou complicado ver.. -- Gustavo Freitas - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
pedro escreveu: > Segue Anexo arquivo firewall. > > Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, > ela era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando > das regras que essa maquina tinha no firewall e depois de alguma pesquisa > consegui algo com: > # pfctl -sn Mostra as regras atuais de NAT > # pfctl -sr Mostra as regras atuais de filtragem > Nao consegui localizar o script de firewall, acho que quem configurou mudou > os padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive > tudo que precisava? Alguem poderia me ajudar a traduzir o que foi > apresentado,alguma coisa intendi. > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Pedro, Veja no /etc/rc.conf... o NORMAL é ser carregado por lá. Veja depois o /etc/rc.local E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d Tem que está em algum desses lugares... eu acredito que esteja no PRIMEIRO (rc.conf) Abraço, -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
nslink# cat /etc/rc.conf | grep pf pf_enable="YES" pf_rules="/etc/pf.conf" Em 14 de maio de 2010 10:11, Welkson Renny de Medeiros escreveu: > pedro escreveu: >> Segue Anexo arquivo firewall. >> >> Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, >> ela era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando >> das regras que essa maquina tinha no firewall e depois de alguma pesquisa >> consegui algo com: >> # pfctl -sn Mostra as regras atuais de NAT >> # pfctl -sr Mostra as regras atuais de filtragem >> Nao consegui localizar o script de firewall, acho que quem configurou mudou >> os padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive >> tudo que precisava? Alguem poderia me ajudar a traduzir o que foi >> apresentado,alguma coisa intendi. >> >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > Pedro, > > Veja no /etc/rc.conf... o NORMAL é ser carregado por lá. > > Veja depois o /etc/rc.local > > E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d > > Tem que está em algum desses lugares... eu acredito que esteja no > PRIMEIRO (rc.conf) > > Abraço, > > -- > Welkson Renny de Medeiros > Desenvolvimento / Gerência de Redes > Focus Automação Comercial > FreeBSD Community Member > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
Segue saida do comando. o rc.conf do freebsd fica em /etc/defaults/rc.conf . Os arquivos presentes na saida, nao consegui encontrar. Como sera que foi implementado. Att, Pedro de Almeida # find / -name pf.conf # cat rc.conf | grep pf swapfile="NO" # Set to name of swapfile if aux swapfile desired. firewall_flags="" # Flags passed to ipfw when type is a file ipfilter_enable="NO"# Set to YES to enable ipfilter functionality ipfilter_program="/sbin/ipf"# where the ipfilter program lives ipfilter_rules="/etc/ipf.rules" # rules definition file for ipfilter, see # /usr/src/contrib/ipfilter/rules for examples ipfilter_flags="" # additional flags for ipfilter ipmon_enable="NO" # Set to YES for ipmon; needs ipfilter or ipnat ipmon_program="/sbin/ipmon" # where the ipfilter monitor program lives ipmon_flags="-Ds" # typically "-Ds" or "-D /var/log/ipflog" ipfs_enable="NO"# Set to YES to enable saving and restoring ipfs_program="/sbin/ipfs" # where the ipfs program lives ipfs_flags="" # additional flags for ipfs pf_enable="NO" # Set to YES to enable packet filter (pf) pf_rules="/etc/pf.conf" # rules definition file for pf pf_program="/sbin/pfctl"# where the pfctl program lives pf_flags="" # additional flags for pfctl pflog_enable="NO" # Set to YES to enable packet filter logging pflog_logfile="/var/log/pflog" # where pflogd should store the logfile pflog_program="/sbin/pflogd"# where the pflogd program lives pflog_flags="" # additional flags for pflogd ftpproxy_enable="NO"# Set to YES to enable ftp-proxy(8) for pf pfsync_enable="NO" # Expose pf state to other hosts for syncing pfsync_syncdev="" # Interface for pfsync to work through pfsync_syncpeer="" # IP address of pfsync peer host pfsync_ifconfig="" # Additional options to ifconfig(8) for pfsync ipv6_ipfilter_rules="/etc/ipf6.rules" # rules definition file for ipfilter, # see /usr/src/contrib/ipfilter/rules - Original Message - From: "Alessandro de Souza Rocha" To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Friday, May 14, 2010 11:11 AM Subject: Re: [FUG-BR] PF - Ajuda nslink# cat /etc/rc.conf | grep pf pf_enable="YES" pf_rules="/etc/pf.conf" Em 14 de maio de 2010 10:11, Welkson Renny de Medeiros escreveu: > pedro escreveu: >> Segue Anexo arquivo firewall. >> >> Estou com um problema aqui na empresa com uma maquina freebsd 7 que >> parou, ela era o firewall da empresa e dhcp, agora estamos sem, eu estou >> precisando das regras que essa maquina tinha no firewall e depois de >> alguma pesquisa consegui algo com: >> # pfctl -sn Mostra as regras atuais de NAT >> # pfctl -sr Mostra as regras atuais de filtragem >> Nao consegui localizar o script de firewall, acho que quem configurou >> mudou os padroes, como eu poderia localizar ?Sera que com esses comandos >> eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que >> foi apresentado,alguma coisa intendi. >> >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > Pedro, > > Veja no /etc/rc.conf... o NORMAL é ser carregado por lá. > > Veja depois o /etc/rc.local > > E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d > > Tem que está em algum desses lugares... eu acredito que esteja no > PRIMEIRO (rc.conf) > > Abraço, > > -- > Welkson Renny de Medeiros > Desenvolvimento / Gerência de Redes > Focus Automação Comercial > FreeBSD Community Member > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
Em Fri, 14 May 2010 11:41:56 -0300 "pedro" , conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: > Segue saida do comando. o rc.conf do freebsd fica > em /etc/defaults/rc.conf . engano.. o rc.conf do freebsd fica mesmo em /etc. O que vc referiu é o arquivo padrão, que NÃO deve sofrer alterações. revise: grep -i pf /etc/rc.conf e NÃO o outro. As regras PROVAVELMENTE encontram-se em pf.conf; se não estiverem, vai ter que revisar os vários arquivos que estão sob /etc/ pra facilitar sugiro procurar por palavras chave: grep -i scrub (ou "anchor" ou "drop" ou qualquer outra) /etc/* -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free A filosofia é composta de respostas incompreensíveis para questões insolúveis. Henry B. Adams, historiador americano - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
SERA QUE ALGUEM CONSEGUE ME INFORMAR SE ESSES COMANDOS ABAIXO SSERVEM PARA VERIFICAR AS REGRAS QUE EU TENHO EM UM FIREWALL FreeBsd 7. Att, Pedro de Almeida - Original Message - From: "Welkson Renny de Medeiros" To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" Sent: Friday, May 14, 2010 10:11 AM Subject: Re: [FUG-BR] PF - Ajuda pedro escreveu: > Segue Anexo arquivo firewall. > > Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, > ela era o firewall da empresa e dhcp, agora estamos sem, eu estou > precisando das regras que essa maquina tinha no firewall e depois de > alguma pesquisa consegui algo com: > # pfctl -sn Mostra as regras atuais de NAT > # pfctl -sr Mostra as regras atuais de filtragem > Nao consegui localizar o script de firewall, acho que quem configurou > mudou os padroes, como eu poderia localizar ?Sera que com esses comandos > eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que > foi apresentado,alguma coisa intendi. > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Pedro, Veja no /etc/rc.conf... o NORMAL é ser carregado por lá. Veja depois o /etc/rc.local E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d Tem que está em algum desses lugares... eu acredito que esteja no PRIMEIRO (rc.conf) Abraço, -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
Se for regras ipfw ipfw list Em 18 de maio de 2010 09:19, pedro escreveu: > SERA QUE ALGUEM CONSEGUE ME INFORMAR SE ESSES COMANDOS ABAIXO SSERVEM PARA > VERIFICAR AS REGRAS QUE EU TENHO EM UM FIREWALL FreeBsd 7. > > > Att, > Pedro de Almeida > > > - Original Message - > From: "Welkson Renny de Medeiros" > To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" > > Sent: Friday, May 14, 2010 10:11 AM > Subject: Re: [FUG-BR] PF - Ajuda > > > pedro escreveu: > > Segue Anexo arquivo firewall. > > > > Estou com um problema aqui na empresa com uma maquina freebsd 7 que > parou, > > ela era o firewall da empresa e dhcp, agora estamos sem, eu estou > > precisando das regras que essa maquina tinha no firewall e depois de > > alguma pesquisa consegui algo com: > > # pfctl -sn Mostra as regras atuais de NAT > > # pfctl -sr Mostra as regras atuais de filtragem > > Nao consegui localizar o script de firewall, acho que quem configurou > > mudou os padroes, como eu poderia localizar ?Sera que com esses comandos > > eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que > > foi apresentado,alguma coisa intendi. > > > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > Pedro, > > Veja no /etc/rc.conf... o NORMAL é ser carregado por lá. > > Veja depois o /etc/rc.local > > E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d > > Tem que está em algum desses lugares... eu acredito que esteja no > PRIMEIRO (rc.conf) > > Abraço, > > -- > Welkson Renny de Medeiros > Desenvolvimento / Gerência de Redes > Focus Automação Comercial > FreeBSD Community Member > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
nslink# ipfw list 00051 allow ip from any to any iptos mincost 00191 deny tcp from any to any dst-port 445 via vr0 01500 deny ip from 192.168.0.164 to any dst-port 25 via vr0 01501 deny ip from 192.168.0.154 to any dst-port 25 via rl0 01502 deny tcp from any to any dst-port 137 via vr0 01503 deny tcp from any to any dst-port 138 via vr0 01933 deny tcp from any to any dst-port 139 via vr0 01934 deny tcp from any to any dst-port 445 via rl1 01935 deny tcp from any to any dst-port 445 via vr0 05000 prob 0.60 deny tcp from not 192.168.0.200 to not 20.0.0.0/24,200.0.0.0 /8,201.0.0.0/8 dst-port 1863 15012 deny udp from any to any dst-port 137 via vr0 15013 deny udp from any to any dst-port 138 via vr0 19313 deny udp from any to any dst-port 139 via vr0 19315 deny udp from any to any dst-port 445 via vr0 64000 fwd 127.0.0.1,3128 tcp from any to any dst-port 80 via re0 setup keep-stat e 65535 allow ip from any to any nslink# pfctl -sr scrub in all fragment reassemble pass out on rl0 inet from any to 192.168.0.0/24 flags S/SA keep state pass in quick on rl0 inet from 192.168.0.0/24 to 192.168.0.2 flags S/SA keep state pass in quick on rl0 inet from 192.168.0.0/24 to 10.1.10.2 flags S/SA keep state pass in on vr0 proto tcp all flags S/SA modulate state pass in on vr0 proto udp all keep state pass in on vr0 proto icmp all keep state Em 18 de maio de 2010 09:31, Henrique Vinicius escreveu: > Se for regras ipfw ipfw list > > Em 18 de maio de 2010 09:19, pedro escreveu: > >> SERA QUE ALGUEM CONSEGUE ME INFORMAR SE ESSES COMANDOS ABAIXO SSERVEM PARA >> VERIFICAR AS REGRAS QUE EU TENHO EM UM FIREWALL FreeBsd 7. >> >> >> Att, >> Pedro de Almeida >> >> >> - Original Message - >> From: "Welkson Renny de Medeiros" >> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" >> >> Sent: Friday, May 14, 2010 10:11 AM >> Subject: Re: [FUG-BR] PF - Ajuda >> >> >> pedro escreveu: >> > Segue Anexo arquivo firewall. >> > >> > Estou com um problema aqui na empresa com uma maquina freebsd 7 que >> parou, >> > ela era o firewall da empresa e dhcp, agora estamos sem, eu estou >> > precisando das regras que essa maquina tinha no firewall e depois de >> > alguma pesquisa consegui algo com: >> > # pfctl -sn Mostra as regras atuais de NAT >> > # pfctl -sr Mostra as regras atuais de filtragem >> > Nao consegui localizar o script de firewall, acho que quem configurou >> > mudou os padroes, como eu poderia localizar ?Sera que com esses comandos >> > eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que >> > foi apresentado,alguma coisa intendi. >> > >> > >> > - >> > Histórico: http://www.fug.com.br/historico/html/freebsd/ >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > >> >> Pedro, >> >> Veja no /etc/rc.conf... o NORMAL é ser carregado por lá. >> >> Veja depois o /etc/rc.local >> >> E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d >> >> Tem que está em algum desses lugares... eu acredito que esteja no >> PRIMEIRO (rc.conf) >> >> Abraço, >> >> -- >> Welkson Renny de Medeiros >> Desenvolvimento / Gerência de Redes >> Focus Automação Comercial >> FreeBSD Community Member >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
Em Tue, 18 May 2010 09:19:19 -0300 "pedro" , conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: > SERA QUE ALGUEM CONSEGUE ME INFORMAR não precisa gritar :( tudo o que vc precisa está aqui: http://www.ataliba.eti.br/files/txts/freebsd-pf.pdf divirta-se. flames > /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free "Todo tecnocrata tem que saber fazer muito bem as quatro operações: ambição, puxação, toma e explicação."[Millôr Fernande] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
valew, raca. Att, Pedro de Almeida - Original Message - From: "irado furioso com tudo" To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, May 18, 2010 9:44 AM Subject: Re: [FUG-BR] PF - Ajuda Em Tue, 18 May 2010 09:19:19 -0300 "pedro" , conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: > SERA QUE ALGUEM CONSEGUE ME INFORMAR não precisa gritar :( tudo o que vc precisa está aqui: http://www.ataliba.eti.br/files/txts/freebsd-pf.pdf divirta-se. flames > /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free "Todo tecnocrata tem que saber fazer muito bem as quatro operações: ambição, puxação, toma e explicação."[Millôr Fernande] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF vs VPN
Boa tarde, preciso acessar a vpn de duas empresas da minha rede local. Quando tento acessar a mesma empresa simultaneamente, o segundo login nao conclui. Se as duas pessoas simultaneamente acessam empresas diferentes, vai numa boa. Tenho um outro link adsl para testes que funciona as duas opções. Liberei tcp para porta 1723 e protocolo GRE tambem. Alguem ja passou por essa? Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] pf e altq
Olá a todos, Tenho uma maquina configurada com com OpenBSD 4.5 já compilado para trabalhar com PF e ALTQ onde nas minhas configurações do PF inicio o seguinte: altq on { vr0 xl0 nfe0 } hfsc bandwidth 1024Kb queue quando vou checar no pftop vejo que apenas a primeira interface está configurada para 1024kb sendo: root_vr0 1024K hfsc000 000 0 0 mas que na verdade o correto seria estar: root_vr0 1024K hfsc000 000 0 0 root_xl0 1024K hfsc000 000 0 0 root_nfe0 1024K hfsc000 000 0 0 alguém poderia me ajudar? desde já agradeço. -- Thiago Melo. »(▒) OpenBSD free, functional & secure. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF PPTP
mande suas regras PF o erro deve esta nelas 2009/10/20 Nilton Carlos Pavan > > Boa tarde a todos... > Tenho um server BSD 6.4 com serviço de pptp (poptop) instalado.. > Antes utilizava o ipfw como firewall deste server agora passei a usar o pf > (muito bom por sinal [?] ), mas como nem tudo é simples rsss está ocorrendo > problemas com a vpn. > Os clientes conectam na vpn, autentica, atribui ip só que não exergam a rede > interna (ping por exemplo), se eu desabilito o pf volta ao normal. > > Alguém poderia me dar uma luz? > > Agradeço desde já. > > []s > > Nilton Pavan > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Thiago Gomes - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF PPTP
Segue #REDE ## ext_if="vr1" int_if="re0" int_addr="192.168.1.254" int_net="192.168.1.0/24" ext_addr="200.1x" tcp_in="{21,20,1723,5900}" tcp_in_int="{3128,21}" tcp_out_block="{8080,3128}" connect="{200.2}" #NORMALIZANDO TRAFEGO # set timeout { tcp.first 60 tcp.opening 15 tcp.established 86400 \ tcp.closing 300 tcp.finwait 15 tcp.closed 15 } set timeout { udp.first 30 udp.single 15 udp.multiple 30 } set timeout { icmp.first 10 icmp.error 5 } set timeout { other.first 30 other.single 15 other.multiple 30 } set timeout { frag 30 interval 10 } set limit { states 5 frags 25000 } set optimization aggressive set loginterface $ext_if set loginterface $int_if set block-policy return set require-order yes scrub all fragment reassemble random-id no-df #NAT # nat-anchor "ftp-proxy/*" nat on $ext_if from $int_net to any -> $ext_if rdr-anchor "ftp-proxy/*" rdr on $int_if inet proto tcp from any to any port ftp -> 127.0.0.1 port 8021 rdr on $int_if inet proto tcp from any to any port 80 -> 127.0.0.1 port 3128 #PADROES # block in log on $ext_if pass quick on lo0 all pass quick on $int_if all antispoof quick for {$int_if, $ext_if} inet pass out on $ext_if keep state anchor "ftp-proxy/*" pass quick proto tcp from $int_net to 127.0.0.1 port 8021 keep state #SERVICOS EXTERNOS # pass in quick on $ext_if proto gre from any to any keep state pass in quick on $ext_if proto tcp from any to any port $tcp_in keep state pass in quick on $ext_if proto tcp from any to any port 10050 >< 10080 keep state #BLOQUEIO DE REDE PARA EXTERNO ## pass in quick on $int_if proto tcp from $int_net to $int_addr port $tcp_in_int #block log quick on $int_if proto tcp from $int_net to any port $tcp_out_block Agradeço 2009/10/20 Thiago Gomes > mande suas regras PF o erro deve esta nelas > > 2009/10/20 Nilton Carlos Pavan > > > > Boa tarde a todos... > > Tenho um server BSD 6.4 com serviço de pptp (poptop) instalado.. > > Antes utilizava o ipfw como firewall deste server agora passei a usar o > pf > > (muito bom por sinal [?] ), mas como nem tudo é simples rsss está > ocorrendo > > problemas com a vpn. > > Os clientes conectam na vpn, autentica, atribui ip só que não exergam a > rede > > interna (ping por exemplo), se eu desabilito o pf volta ao normal. > > > > Alguém poderia me dar uma luz? > > > > Agradeço desde já. > > > > []s > > > > Nilton Pavan > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > -- > Thiago Gomes > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF Block P2P
Bom dia a Todos Gostaria de saber se alguém conseguir bloquear P2P (kazaa, emule, ares, etc... ) no PF? Agradeço desde já. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF - Sites https
Senhores, estou enfrentando problema com sites que não funciona passando pelo squid, por exemplo, conectividade social e outros. No Linux utilizava o prerouting, e quais as regras vocês utiliza no PF? Aguardo retorno. Obrigado. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + Scrub .
2010/1/29 Paulo Henrique : > Segue abaixo minhas regras. > > scrub in on $INT_IF all fragment reassemble > scrub in on $INT_IF all no-df > scrub on $INT_IF all reassemble tcp > > saida pfctl -nf $arquivo > > # pfctl -nf /root/firewall/pf.conf > /root/firewall/pf.conf:88: syntax error > > Linha 88 = scrub in on $INT_IF all fragment reassemble Diga o valor de $INT_IF Fiz aqui e funcionou: mt# grep scrub /etc/pf.conf scrub in on $IF_Int_Prisma all fragment reassemble scrub in on $All_IF_Int all fragment reassemble mt# grep "All_IF_Int =" /etc/pf.conf All_IF_Int = "{ " $IF_Int_Aplic $IF_Int_Prisma $IF_Int_ATAs $IF_Int_Servs " }" mt# grep "IF_Int_Prisma =" /etc/pf.conf IF_Int_Prisma = "vlan101" IP_IF_Int_Prisma = "( " $IF_Int_Prisma " )" mt# pfctl -nf /etc/pf.conf # -- Marcelo Rossi "This e-mail is provided "AS IS" with no warranties, and confers no rights." - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + Scrub .
EXT_IF = "re0" INI_IF = "xl0" DMZ_IF = "xl1" Em 1 de fevereiro de 2010 17:17, Marcelo/Porks escreveu: > 2010/1/29 Paulo Henrique : >> Segue abaixo minhas regras. >> >> scrub in on $INT_IF all fragment reassemble >> scrub in on $INT_IF all no-df >> scrub on $INT_IF all reassemble tcp >> >> saida pfctl -nf $arquivo >> >> # pfctl -nf /root/firewall/pf.conf >> /root/firewall/pf.conf:88: syntax error >> >> Linha 88 = scrub in on $INT_IF all fragment reassemble > > Diga o valor de $INT_IF > > Fiz aqui e funcionou: > > mt# grep scrub /etc/pf.conf > scrub in on $IF_Int_Prisma all fragment reassemble > scrub in on $All_IF_Int all fragment reassemble > > mt# grep "All_IF_Int =" /etc/pf.conf > All_IF_Int = "{ " $IF_Int_Aplic $IF_Int_Prisma $IF_Int_ATAs $IF_Int_Servs " }" > > mt# grep "IF_Int_Prisma =" /etc/pf.conf > IF_Int_Prisma = "vlan101" > IP_IF_Int_Prisma = "( " $IF_Int_Prisma " )" > > mt# pfctl -nf /etc/pf.conf > # > > -- > Marcelo Rossi > "This e-mail is provided "AS IS" with no warranties, and confers no rights." > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- :=)>Paulo Henrique (JSRD)<(=: Alone, locked, a survivor, unfortunately not know who I am - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF e ALTQ
Senhores, achei alguma coisa na internet sobre priorização de pacotes com ALTQ e PF, incluí no meu pf.conf e estou testando agora... gostaria de compartilhar as regras e saber a opinião de vocês, se dar pra melhorar alguma coisa. Estou analisando usando o seguinte comando: pfctl -vv -sq A idéia é dar prioridade a um determinado ip da rede (voip 192.168.0.252). # macros int_if = "rl0" ext_if = "sis0" voip_gw = "{ 192.168.0.252 }" # ip do voip linksys 2102 # this is a recommended setting for SIP set timeout { udp.first 300, udp.single 150, udp.multiple 900 } # priorização dos pacotes altq on $ext_if cbq bandwidth 1Mb queue { normal, voip } queue normal bandwidth 800Kb priority 1 cbq(borrow,default) queue voip bandwidth 200Kb priority 7 cbq(borrow) # nat nat on $ext_if from !($ext_if) -> ($ext_if:0) # Generic NAT rule for all internal network devices nat on $ext_if from $int_net to any -> ($ext_if) # proxy transparent (dansguardian-squid) rdr on $int_if inet proto tcp from $int_if:network \ to !$int_if:network port www -> 127.0.0.1 port 8080 # Allow external SIP control traffic pass in quick on $ext_if proto udp from any to any port 5060 keep state # Allow udp from VoIP provider pass out on $ext_if inet proto udp from $voip_gw to any queue voip pass in on $int_if inet proto udp from $voip_gw to any queue voip # outros pass out quick on $ext_if proto { tcp, udp, icmp, gre } all keep state pass in quick on $ext_if proto { tcp, udp, icmp, gre } all keep state pass out log quick proto gre all keep state Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + Tarpitting
Ja tentou usar o IPFW ?? 2008/11/15 Victor <[EMAIL PROTECTED]>: > Olá amigos, > > Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam > (httpd.pl). Estou no momento usando uma regra apresentada nos documentos > oficiais do PF (http://www.openbsd.org/faq/pf/filter.html): > > table persist > block in quick from > > pass in on $ext_if proto tcp to $web_server \ >port www flags S/SA keep state \ >(max-src-conn 100, max-src-conn-rate 15/5, overload > flush) > > Porém vários usuários estão sendo taxados como spammers indevidamente. Vi no > man page do PF que é possível fazer um tarpit para os overloads, o que seria > mais interessante do que adcionar os IP's em uma black list definitiva. Não > sei que software pode ser utilizado para fazer este tarpit ou mesmo como > redirecionar a table para ele. Não consegui nada no Google, apenas > tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para > constar, quando eu usava Linux, utilizava a seguinte regra no iptables e > funcionava perfeitamente: > > /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m > recent --set --name ANTISPAM -j ACCEPT > /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds > 5 --hitcount 15 --name ANTISPAM -j DROP > > Obrigado. > > -- > Atenciosamente, > Victor Gustavo Volpe > Diretor Executivo > Grupo Total Serviços de Internet LTDA - ME > CNPJ: 08.776.401/0001-40 > (17) 3227-0686 / 9105-5392 > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + Tarpitting
Olá Cristina, Agradeço sua resposta. Será que você teria tal regra para IPFW ? Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Original Message - From: "Cristina Fernandes Silva" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Saturday, November 15, 2008 11:14 PM Subject: Re: [FUG-BR] PF + Tarpitting Ja tentou usar o IPFW ?? 2008/11/15 Victor <[EMAIL PROTECTED]>: > Olá amigos, > > Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam > (httpd.pl). Estou no momento usando uma regra apresentada nos documentos > oficiais do PF (http://www.openbsd.org/faq/pf/filter.html): > > table persist > block in quick from > > pass in on $ext_if proto tcp to $web_server \ >port www flags S/SA keep state \ >(max-src-conn 100, max-src-conn-rate 15/5, overload > flush) > > Porém vários usuários estão sendo taxados como spammers indevidamente. Vi > no > man page do PF que é possível fazer um tarpit para os overloads, o que > seria > mais interessante do que adcionar os IP's em uma black list definitiva. > Não > sei que software pode ser utilizado para fazer este tarpit ou mesmo como > redirecionar a table para ele. Não consegui nada no Google, apenas > tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para > constar, quando eu usava Linux, utilizava a seguinte regra no iptables e > funcionava perfeitamente: > > /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m > recent --set --name ANTISPAM -j ACCEPT > /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds > 5 --hitcount 15 --name ANTISPAM -j DROP > > Obrigado. > > -- > Atenciosamente, > Victor Gustavo Volpe > Diretor Executivo > Grupo Total Serviços de Internet LTDA - ME > CNPJ: 08.776.401/0001-40 > (17) 3227-0686 / 9105-5392 > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ NOD32 3615 (20081115) Information __ This message was checked by NOD32 antivirus system. http://www.eset.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + Tarpitting
Você está usando pf para proteger seu apache de spam ? apache é seu servidor de sites no máximo spammers podem coletar emails de seu site para envia para eles spam mas desta forma seu usuário receberia um caminhào de spam e não seria taxados como spammers. Se seus usuários está sendo marcos como spammers provavelmente eles sejão, até involuntariamente pois suas máquinas podem estar contaminadas com vírus, warms e outros ou estão mandando email marketing mesmo. quanto á isso você não vai resolver com pf nem ipfw a menos que você descubra os usuarios que estào fazendo isso e feche eles no firewall para que não usem servidores smtp externos e em alguns casos como contaminados por virus feche eles até para o seu smtp, O esquema de tarpit tb é muito util nesses casos. oriente seus usuários nào clicarem links em emails desconhecidos ou duvidoso , recomende o uso de ant-virus e ant-spyware 2008/11/16 Victor <[EMAIL PROTECTED]> > Olá Cristina, > > Agradeço sua resposta. Será que você teria tal regra para IPFW ? > > Obrigado. > > > -- > Atenciosamente, > Victor Gustavo Volpe > Diretor Executivo > Grupo Total Serviços de Internet LTDA - ME > CNPJ: 08.776.401/0001-40 > (17) 3227-0686 / 9105-5392 > > - Original Message - > From: "Cristina Fernandes Silva" <[EMAIL PROTECTED]> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Sent: Saturday, November 15, 2008 11:14 PM > Subject: Re: [FUG-BR] PF + Tarpitting > > > Ja tentou usar o IPFW ?? > > 2008/11/15 Victor <[EMAIL PROTECTED]>: > > Olá amigos, > > > > Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam > > (httpd.pl). Estou no momento usando uma regra apresentada nos documentos > > oficiais do PF (http://www.openbsd.org/faq/pf/filter.html): > > > > table persist > > block in quick from > > > > pass in on $ext_if proto tcp to $web_server \ > >port www flags S/SA keep state \ > >(max-src-conn 100, max-src-conn-rate 15/5, overload > > flush) > > > > Porém vários usuários estão sendo taxados como spammers indevidamente. Vi > > no > > man page do PF que é possível fazer um tarpit para os overloads, o que > > seria > > mais interessante do que adcionar os IP's em uma black list definitiva. > > Não > > sei que software pode ser utilizado para fazer este tarpit ou mesmo como > > redirecionar a table para ele. Não consegui nada no Google, apenas > > tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para > > constar, quando eu usava Linux, utilizava a seguinte regra no iptables e > > funcionava perfeitamente: > > > > /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m > > recent --set --name ANTISPAM -j ACCEPT > > /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds > > 5 --hitcount 15 --name ANTISPAM -j DROP > > > > Obrigado. > > > > -- > > Atenciosamente, > > Victor Gustavo Volpe > > Diretor Executivo > > Grupo Total Serviços de Internet LTDA - ME > > CNPJ: 08.776.401/0001-40 > > (17) 3227-0686 / 9105-5392 > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > __ NOD32 3615 (20081115) Information __ > > This message was checked by NOD32 antivirus system. > http://www.eset.com > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + Tarpitting
Olá Renato, Desculpe mas acho que você não entendeu. O SPAM que eu me refiro é ao flood de conexões feito por um script em Perl que gera quantas conexões você quiser no alvo e consequentemente o apache para de responder, simplificando é um DDoS. Se quiser, pode mandar uma mensagem em particular que eu te explico melhor e se desejar efetuo o ataque em seu apache para você ver como funciona. Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Original Message - From: "renato martins" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Monday, November 17, 2008 10:35 AM Subject: Re: [FUG-BR] PF + Tarpitting Você está usando pf para proteger seu apache de spam ? apache é seu servidor de sites no máximo spammers podem coletar emails de seu site para envia para eles spam mas desta forma seu usuário receberia um caminhào de spam e não seria taxados como spammers. Se seus usuários está sendo marcos como spammers provavelmente eles sejão, até involuntariamente pois suas máquinas podem estar contaminadas com vírus, warms e outros ou estão mandando email marketing mesmo. quanto á isso você não vai resolver com pf nem ipfw a menos que você descubra os usuarios que estào fazendo isso e feche eles no firewall para que não usem servidores smtp externos e em alguns casos como contaminados por virus feche eles até para o seu smtp, O esquema de tarpit tb é muito util nesses casos. oriente seus usuários nào clicarem links em emails desconhecidos ou duvidoso , recomende o uso de ant-virus e ant-spyware 2008/11/16 Victor <[EMAIL PROTECTED]> > Olá Cristina, > > Agradeço sua resposta. Será que você teria tal regra para IPFW ? > > Obrigado. > > > -- > Atenciosamente, > Victor Gustavo Volpe > Diretor Executivo > Grupo Total Serviços de Internet LTDA - ME > CNPJ: 08.776.401/0001-40 > (17) 3227-0686 / 9105-5392 > > - Original Message - > From: "Cristina Fernandes Silva" <[EMAIL PROTECTED]> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Sent: Saturday, November 15, 2008 11:14 PM > Subject: Re: [FUG-BR] PF + Tarpitting > > > Ja tentou usar o IPFW ?? > > 2008/11/15 Victor <[EMAIL PROTECTED]>: > > Olá amigos, > > > > Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam > > (httpd.pl). Estou no momento usando uma regra apresentada nos documentos > > oficiais do PF (http://www.openbsd.org/faq/pf/filter.html): > > > > table persist > > block in quick from > > > > pass in on $ext_if proto tcp to $web_server \ > >port www flags S/SA keep state \ > >(max-src-conn 100, max-src-conn-rate 15/5, overload > > flush) > > > > Porém vários usuários estão sendo taxados como spammers indevidamente. > > Vi > > no > > man page do PF que é possível fazer um tarpit para os overloads, o que > > seria > > mais interessante do que adcionar os IP's em uma black list definitiva. > > Não > > sei que software pode ser utilizado para fazer este tarpit ou mesmo como > > redirecionar a table para ele. Não consegui nada no Google, apenas > > tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para > > constar, quando eu usava Linux, utilizava a seguinte regra no iptables e > > funcionava perfeitamente: > > > > /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m > > recent --set --name ANTISPAM -j ACCEPT > > /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds > > 5 --hitcount 15 --name ANTISPAM -j DROP > > > > Obrigado. > > > > -- > > Atenciosamente, > > Victor Gustavo Volpe > > Diretor Executivo > > Grupo Total Serviços de Internet LTDA - ME > > CNPJ: 08.776.401/0001-40 > > (17) 3227-0686 / 9105-5392 > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > __ NOD32 3615 (20081115) Information __ > > This message was checked by NOD32 antivirus system. > http://www.eset.com > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ NOD32 3618 (20081117) Information __ This message was checked by NOD32 antivirus system. http://www.eset.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + Tarpitting
Victor, Esse script *.pl tb funciona para IIS? Obrigado, Atenciosamente, Rodrigo Victor escreveu: > Olá Renato, > > Desculpe mas acho que você não entendeu. O SPAM que eu me refiro é ao flood > de conexões feito por um script em Perl que gera quantas conexões você > quiser no alvo e consequentemente o apache para de responder, simplificando > é um DDoS. Se quiser, pode mandar uma mensagem em particular que eu te > explico melhor e se desejar efetuo o ataque em seu apache para você ver como > funciona. > > Obrigado. > > > -- > Atenciosamente, > Victor Gustavo Volpe > Diretor Executivo > Grupo Total Serviços de Internet LTDA - ME > CNPJ: 08.776.401/0001-40 > (17) 3227-0686 / 9105-5392 > > - Original Message - > From: "renato martins" <[EMAIL PROTECTED]> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Sent: Monday, November 17, 2008 10:35 AM > Subject: Re: [FUG-BR] PF + Tarpitting > > > Você está usando pf para proteger seu apache de spam ? > apache é seu servidor de sites no máximo spammers podem coletar emails de > seu site para envia para eles spam mas desta forma seu usuário receberia um > caminhào de spam e não seria taxados como spammers. > > Se seus usuários está sendo marcos como spammers provavelmente eles sejão, > até involuntariamente pois suas máquinas podem estar contaminadas com vírus, > warms e outros ou estão mandando email marketing mesmo. > > quanto á isso você não vai resolver com pf nem ipfw a menos que você > descubra os usuarios que estào fazendo isso e feche eles no firewall para > que não usem servidores smtp externos e em alguns casos como contaminados > por virus feche eles até para o seu smtp, O esquema de tarpit tb é muito > util nesses casos. > > oriente seus usuários nào clicarem links em emails desconhecidos ou duvidoso > , recomende o uso de ant-virus e ant-spyware > > 2008/11/16 Victor <[EMAIL PROTECTED]> > > >> Olá Cristina, >> >> Agradeço sua resposta. Será que você teria tal regra para IPFW ? >> >> Obrigado. >> >> >> -- >> Atenciosamente, >> Victor Gustavo Volpe >> Diretor Executivo >> Grupo Total Serviços de Internet LTDA - ME >> CNPJ: 08.776.401/0001-40 >> (17) 3227-0686 / 9105-5392 >> >> - Original Message - >> From: "Cristina Fernandes Silva" <[EMAIL PROTECTED]> >> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" >> >> Sent: Saturday, November 15, 2008 11:14 PM >> Subject: Re: [FUG-BR] PF + Tarpitting >> >> >> Ja tentou usar o IPFW ?? >> >> 2008/11/15 Victor <[EMAIL PROTECTED]>: >> >>> Olá amigos, >>> >>> Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam >>> (httpd.pl). Estou no momento usando uma regra apresentada nos documentos >>> oficiais do PF (http://www.openbsd.org/faq/pf/filter.html): >>> >>> table persist >>> block in quick from >>> >>> pass in on $ext_if proto tcp to $web_server \ >>>port www flags S/SA keep state \ >>>(max-src-conn 100, max-src-conn-rate 15/5, overload >>> flush) >>> >>> Porém vários usuários estão sendo taxados como spammers indevidamente. >>> Vi >>> no >>> man page do PF que é possível fazer um tarpit para os overloads, o que >>> seria >>> mais interessante do que adcionar os IP's em uma black list definitiva. >>> Não >>> sei que software pode ser utilizado para fazer este tarpit ou mesmo como >>> redirecionar a table para ele. Não consegui nada no Google, apenas >>> tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para >>> constar, quando eu usava Linux, utilizava a seguinte regra no iptables e >>> funcionava perfeitamente: >>> >>> /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m >>> recent --set --name ANTISPAM -j ACCEPT >>> /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds >>> 5 --hitcount 15 --name ANTISPAM -j DROP >>> >>> Obrigado. >>> >>> -- >>> Atenciosamente, >>> Victor Gustavo Volpe >>> Diretor Executivo >>> Grupo Total Serviços de Internet LTDA - ME >>> CNPJ: 08.776.401/0001-40 >>> (17) 3227-0686 / 9105-5392 >>> >>> - >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >>> >>