[FUG-BR] PF

[Oliver Thies Paulini]

Olá Galera,
Desculpe insistir no assunto, mas ainda não consegui resolver meu
problema com redirecionamento de portas no PF.
Como havia dito antes, tudo está funcionando perfeito, execeto a
lentidão no sistema.
Existe alguma limitação de tráfego para o PF?
Ví um comentário aqui na lista de que operações acima de 8mb não
funcionaram bem no PF.

Existe alguma forma de monitorar se está rolando algum problema na hora
de jogar os pacotes para a rede interna?
Lembrando que tenho uso de 40mb constante que vem da rede externa para o
firewall.

Agradeço muito a ajuda de vcs.




-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] pf

[k2flag]

Então não sei praticamente nada sobre pf, olhei o doc no site do
openbsd mais não entendi muita coisa, o que acham da idéia de criarmos
um pf comunitário ?

Abaixo iptables comunitário.

http://forumgdh.net/viewtopic.php?t=97877&highlight=iptables+comunitario
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF

[EDUARDO FIRST]

To tentando configurar o pf, mas me apresenta na tela a seguinte mensagem.

pass: not found

Alguem pode me ajudar?

Att;

EDUARDO
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Tiago Ribeiro]

ja tentou alguma coisa com o pftop?

Em 30/10/07, Oliver Thies Paulini <[EMAIL PROTECTED]> escreveu:
>
> Olá Galera,
> Desculpe insistir no assunto, mas ainda não consegui resolver meu
> problema com redirecionamento de portas no PF.
> Como havia dito antes, tudo está funcionando perfeito, execeto a
> lentidão no sistema.
> Existe alguma limitação de tráfego para o PF?
> Ví um comentário aqui na lista de que operações acima de 8mb não
> funcionaram bem no PF.
>
> Existe alguma forma de monitorar se está rolando algum problema na hora
> de jogar os pacotes para a rede interna?
> Lembrando que tenho uso de 40mb constante que vem da rede externa para o
> firewall.
>
> Agradeço muito a ajuda de vcs.
>
>
>
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
att,
Tiago Ribeiro
OVERSEC - +55 32 3084 2930
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[c0re dumped]

Usei o PF por um bom tempo sem nenhum problema.

Mas usei no OpenBSD.

Vale lembrar que o pf do Free não é o mesmo do Open...

De repente, se a sua situação está tão desesperadora, sugiro que
instale o Open e tente fazer o pf funcionar

40 mb constante é um tráfego MUITO grande btw. Qual é o seu principal
tipo de tráfego ?

[]'s



-- 

http://www.webcrunchers.com/crunch/
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Oliver Thies Paulini]

Legal este utilitário...
Dá para monitorar tudo..
Vou tentando ver se acho algum pau..
Valeu!!!



Em Ter, 2007-10-30 às 11:31 -0300, Tiago Ribeiro escreveu:

> ja tentou alguma coisa com o pftop?
> 
> Em 30/10/07, Oliver Thies Paulini <[EMAIL PROTECTED]> escreveu:
> >
> > Olá Galera,
> > Desculpe insistir no assunto, mas ainda não consegui resolver meu
> > problema com redirecionamento de portas no PF.
> > Como havia dito antes, tudo está funcionando perfeito, execeto a
> > lentidão no sistema.
> > Existe alguma limitação de tráfego para o PF?
> > Ví um comentário aqui na lista de que operações acima de 8mb não
> > funcionaram bem no PF.
> >
> > Existe alguma forma de monitorar se está rolando algum problema na hora
> > de jogar os pacotes para a rede interna?
> > Lembrando que tenho uso de 40mb constante que vem da rede externa para o
> > firewall.
> >
> > Agradeço muito a ajuda de vcs.
> >
> >
> >
> >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> 
> 
> 
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Oliver Thies Paulini]

No kernel tem algum parametro que limita o uso de memoria pro PF? ou
mesmo um valor default para maximo de conexoes, caso tivesse tentarei
abrir até o talo pra ver o que rola...


Em Ter, 2007-10-30 às 11:31 -0300, Tiago Ribeiro escreveu:

> ja tentou alguma coisa com o pftop?
> 
> Em 30/10/07, Oliver Thies Paulini <[EMAIL PROTECTED]> escreveu:
> >
> > Olá Galera,
> > Desculpe insistir no assunto, mas ainda não consegui resolver meu
> > problema com redirecionamento de portas no PF.
> > Como havia dito antes, tudo está funcionando perfeito, execeto a
> > lentidão no sistema.
> > Existe alguma limitação de tráfego para o PF?
> > Ví um comentário aqui na lista de que operações acima de 8mb não
> > funcionaram bem no PF.
> >
> > Existe alguma forma de monitorar se está rolando algum problema na hora
> > de jogar os pacotes para a rede interna?
> > Lembrando que tenho uso de 40mb constante que vem da rede externa para o
> > firewall.
> >
> > Agradeço muito a ajuda de vcs.
> >
> >
> >
> >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> 
> 
> 
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Oliver Thies Paulini]

O tráfego é exclusivamente web porta 80,
Tenho um sistema rodando em 3 maquinas atraz do firewall, e uso
lighttpd, é um sistema de banners rotativos...
Esses 40mb são distribuidos para estas 3 maquinas...


Em Ter, 2007-10-30 às 12:37 -0200, c0re dumped escreveu:

> Usei o PF por um bom tempo sem nenhum problema.
> 
> Mas usei no OpenBSD.
> 
> Vale lembrar que o pf do Free não é o mesmo do Open...
> 
> De repente, se a sua situação está tão desesperadora, sugiro que
> instale o Open e tente fazer o pf funcionar
> 
> 40 mb constante é um tráfego MUITO grande btw. Qual é o seu principal
> tipo de tráfego ?
> 
> []'s
> 
> 
> 
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[c0re dumped]

Em 30/10/07, Oliver Thies Paulini<[EMAIL PROTECTED]> escreveu:
> O tráfego é exclusivamente web porta 80,
> Tenho um sistema rodando em 3 maquinas atraz do firewall, e uso
> lighttpd, é um sistema de banners rotativos...
> Esses 40mb são distribuidos para estas 3 maquinas...

Cara se voce tem 13 mb de tráfego ininterrupto pra cada server
(supondo que eles tem a carga dividida igualmente) acho que o
lighthttp não seria o melhor webserver pra vc não... acho que um
apache sem muitos módulos resolveira seu problema...

Quando vc desabilita o fw o tráfego fica normal ?

Como está a conf do PF ? Qual a versão do FreeBSD ?

-- 

http://www.webcrunchers.com/crunch/
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Oliver Thies Paulini]

Olá,
Obrigado novamente pela atenção.
Colocando apenas 1 servidor lighttpd com ip valido sem firewall, tudo
fica rápido como um tiro...
Insisti no lighttpd pois notei uma melhora de performance, na hora de
atender as requisições.
O apache já tive algumas más impressões, ex: chegou um momento que nao
adiantava aumentar os valores de configuração maxclientes etc que ele
nao atendia...
Só para ajudar na discução, eu processo diariamente mais de 50 milhoes
de requisiçoes aos servidores web..
O lighttpd se mostrou mais robusto..
Posso estar enganado, pois nunca usei o php no modo php-cgi como uso no
lighttpd...


Em Ter, 2007-10-30 às 12:58 -0200, c0re dumped escreveu:

> Em 30/10/07, Oliver Thies Paulini<[EMAIL PROTECTED]> escreveu:
> > O tráfego é exclusivamente web porta 80,
> > Tenho um sistema rodando em 3 maquinas atraz do firewall, e uso
> > lighttpd, é um sistema de banners rotativos...
> > Esses 40mb são distribuidos para estas 3 maquinas...
> 
> Cara se voce tem 13 mb de tráfego ininterrupto pra cada server
> (supondo que eles tem a carga dividida igualmente) acho que o
> lighthttp não seria o melhor webserver pra vc não... acho que um
> apache sem muitos módulos resolveira seu problema...
> 
> Quando vc desabilita o fw o tráfego fica normal ?
> 
> Como está a conf do PF ? Qual a versão do FreeBSD ?
> 
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Oliver Thies Paulini]

A versão é 6.2...
Valeu...
Em Ter, 2007-10-30 às 12:58 -0200, c0re dumped escreveu:

> Em 30/10/07, Oliver Thies Paulini<[EMAIL PROTECTED]> escreveu:
> > O tráfego é exclusivamente web porta 80,
> > Tenho um sistema rodando em 3 maquinas atraz do firewall, e uso
> > lighttpd, é um sistema de banners rotativos...
> > Esses 40mb são distribuidos para estas 3 maquinas...
> 
> Cara se voce tem 13 mb de tráfego ininterrupto pra cada server
> (supondo que eles tem a carga dividida igualmente) acho que o
> lighthttp não seria o melhor webserver pra vc não... acho que um
> apache sem muitos módulos resolveira seu problema...
> 
> Quando vc desabilita o fw o tráfego fica normal ?
> 
> Como está a conf do PF ? Qual a versão do FreeBSD ?
> 
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[c0re dumped]

Vc pode enviar as confs do PF do jeito que roda quando os serviços
ficam lentos ?

[]'s

-- 

http://www.webcrunchers.com/crunch/
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Oliver Thies Paulini]

Claro,
Já havia enviado antes, mas segue abaixo...
Está meio zoneado pois estou constantemente fazendo testes..

Em Ter, 2007-10-30 às 

## #
# PLACAS DE REDE
## #
ext_if="bge0"
int_if="bge1"
ip_rede="10.10.1.0/24"
table   { 10.10.1.6,10.10.1.7 }
PING = "echoreq"
TCP_IN = "{ 53, 22, 80, ssh, ftp, 20, 21 ,3000}"
UDP_IN = "{ 53, 67, 80, 20, 21,3000 }"

TCP_OUT = "{ 53, 22, 80, 20, 21, ftp, http }"
UDP_OUT = "{ 53, 80, 20, 21, domain }"

## #
# NORMALIZANDO OS PACOTES
## #
set timeout { tcp.first 60 tcp.opening 15 tcp.established 86400 \
tcp.closing 300 tcp.finwait 15 tcp.closed 15 }
set timeout { udp.first 30 udp.single 15 udp.multiple 30 }
set timeout { icmp.first 10 icmp.error 5 }
set timeout { other.first 30 other.single 15 other.multiple 30 }
set timeout { frag 30 interval 10 }
set limit { states 5 frags 25000 }
set optimization aggressive
set loginterface $ext_if
set loginterface $int_if
set block-policy return
set require-order yes
scrub all fragment reassemble random-id no-df
## #
# FAZENDO NAT
## #
nat on $ext_if from $ip_rede to any -> ($ext_if)
## #
# REDIRECIONAMENTO
## #
#modulate state (src.track 10)
rdr on $int_if proto tcp from $ip_rede to any port ftp -> 127.0.0.1 port
8021
#rdr on $ext_if proto tcp from any to 200.xx.xx.70 port www ->
{  } round-robin sticky-address
#quando um dos servidores cair, habilitar essa regra e desabilitar a de
cima
rdr on $ext_if proto tcp from any to 200.xx.xx.70 port www -> 10.10.1.6
#
rdr on $ext_if proto tcp from any to 200.xx.xx.70 port 2206 -> 10.10.1.6
port 22
rdr on $ext_if proto tcp from any to 200.xx.xx.70 port 2207 -> 10.10.1.7
port 22
rdr on $ext_if proto tcp from any to 200.xx.xx.70 port 2208 -> 10.10.1.5
port 2201

###
# blockeando tudo por default
#block in log on $int_if all
#block out log on $int_if all

# bloqueando spoof
antispoof for { $ext_if } inet

# bloqueando scanners
block drop in quick on { $ext_if } from any os { NMAP }

# bloqueando trafego ipv6
block log quick inet6

#Liberando loopback
pass quick on lo0 all

# liberando ping/traceroute
pass out log on $ext_if inet proto icmp all icmp-type 8 code 0 keep
state
pass in log on $ext_if inet proto icmp all icmp-type 8 code 0 keep state

# Liberando portas
#INCOMING
#TCP
pass in quick on $ext_if inet proto tcp from any to $ext_if port $TCP_IN
\
flags S/SA keep state
#UDP
#pass in quick on $ext_if inet proto udp from any to $ext_if port
$UDP_IN \
keep state
#PING
pass in quick on $ext_if inet proto icmp from any to $ext_if icmp-type
$PING \
keep state

pass in on $ext_if inet proto { tcp udp } from any to any port 22
pass in on $ext_if inet proto { tcp udp } from any to any port 21
pass in on $ext_if inet proto { tcp udp } from any to any port 20
pass in on $ext_if inet proto { tcp udp } from any to any port 25
pass in on $ext_if inet proto { tcp udp } from any to any port 53
pass in on $ext_if inet proto { tcp udp } from any to any port 80
pass in on $ext_if inet proto { tcp udp } from any to any port 443
pass in on $ext_if inet proto { tcp udp } from any to any port 110
pass in on $ext_if inet proto { tcp udp } from any to any port 8080
pass in on $ext_if inet proto { tcp udp } from any to any port 6667
pass in on $ext_if inet proto { tcp udp } from any to any port 6891
pass in on $ext_if inet proto { tcp udp } from any to any port 6893
pass in on $ext_if inet proto { tcp udp } from any to any port 6900
pass in on $ext_if inet proto { tcp udp } from any to any port 1213
pass in on $ext_if inet proto { tcp udp } from any to any port 1214
pass in on $ext_if inet proto { tcp udp } from any to any port 1832
pass in on $ext_if inet proto { tcp udp } from any to any port 3094
pass in on $ext_if inet proto { tcp udp } from any to any port 3622
pass in on $ext_if inet proto { tcp udp } from any to any port 2216
pass in on $ext_if inet proto tcp from port 20 to $ext_if \
user proxy flags S/SA keep state
#OUTGOING
#EXTERNAL INTERFACE

#TCP
pass out quick on $ext_if inet proto tcp from $ext_if to any port
$TCP_OUT \
flags S/SA keep state

#UDP
pass out quick on $ext_if inet proto udp from $ext_if to any port
$UDP_OUT \
keep state

#ICMP
pass out quick on $ext_if inet proto icmp from $ext_if to any icmp-type
$PING \
keep state

# Liberando acesso
pass out log on $int_if from any to $ip_rede
pass in log on $int_if from $ip_rede to any


13:34 -0200, c0re dumped escreveu:

> Vc pode enviar as confs do PF do jeito que roda quando os serviços
> ficam lentos ?
> 
> []'s
> 

Re: [FUG-BR] PF

[c0re dumped]

Só uma sugestao:

Tenta colocar as regras de pass primeiro.

O PF processa as regras na ordem em que elas aparecem no pf.conf.

Além do mais como a ultima regra é deny all, vc não precisa
especificar nenhuma regra de block, pois que tudo que não é
explicitamente permitido será negado.

[]'s

-- 

http://www.webcrunchers.com/crunch/
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Oliver Thies Paulini]

Notei uma coisinha...
Quando tiro os servidores do balanceamento, e deixo o PF redirecionando
apenas para 1 maquina, a lentidao acaba
Acho que o problema é esse!!

Em Ter, 2007-10-30 às 16:38 -0200, c0re dumped escreveu:

> Só uma sugestao:
> 
> Tenta colocar as regras de pass primeiro.
> 
> O PF processa as regras na ordem em que elas aparecem no pf.conf.
> 
> Além do mais como a ultima regra é deny all, vc não precisa
> especificar nenhuma regra de block, pois que tudo que não é
> explicitamente permitido será negado.
> 
> []'s
> 
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Antonio Torres]

c0re dumped escreveu:
> Só uma sugestao:
> 
> Tenta colocar as regras de pass primeiro.
> 
> O PF processa as regras na ordem em que elas aparecem no pf.conf.
> 
> Além do mais como a ultima regra é deny all, vc não precisa
> especificar nenhuma regra de block, pois que tudo que não é
> explicitamente permitido será negado.
> 
> []'s
> 
s


O PF lê *todas* e utiliza a última que "bateu"
aí, ele cria um "state"...

quando vem um "pacote" ele primeiro lê os "states" (já conheço esse 
pacote? ) e se tem ele só repete a ação anterior...


já tentou aumentar o limites de states ?

quem sabe... o PF é um firewall "statefull" por natureza; em casos de 
cargas grandes ele pode ficar lento por falta de espaço para alocar mais 
"states"...





[]s

Antonio Torres
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Jorge Petry - Adm de Redes e Servidores]

O que vc acha de usar um Pfsense para fazer os redirecionamentos??
Nunca fiz para tamanho trágefo mas para redirecionar para algumas máquinas
como gateway de rede ficou muito bom, sem contar que fica mais facil de ver as
conexões em tempo real.

É só uma sugestão.


_
Jorge Petry Neto 
Administrador de Redes e Servidores 
(48) 8401-4436 
[EMAIL PROTECTED] 
www.jspnet.com.br 


  - Original Message - 
  From: Antonio Torres 
  To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
  Sent: Tuesday, October 30, 2007 6:42 PM
  Subject: Re: [FUG-BR] PF


  c0re dumped escreveu:
  > Só uma sugestao:
  > 
  > Tenta colocar as regras de pass primeiro.
  > 
  > O PF processa as regras na ordem em que elas aparecem no pf.conf.
  > 
  > Além do mais como a ultima regra é deny all, vc não precisa
  > especificar nenhuma regra de block, pois que tudo que não é
  > explicitamente permitido será negado.
  > 
  > []'s
  > 
  s


  O PF lê *todas* e utiliza a última que "bateu"
  aí, ele cria um "state"...

  quando vem um "pacote" ele primeiro lê os "states" (já conheço esse 
  pacote? ) e se tem ele só repete a ação anterior...


  já tentou aumentar o limites de states ?

  quem sabe... o PF é um firewall "statefull" por natureza; em casos de 
  cargas grandes ele pode ficar lento por falta de espaço para alocar mais 
  "states"...





  []s

  Antonio Torres
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Alexandre Biancalana]

>
>
> O PF lê *todas* e utiliza a última que "bateu"
> aí, ele cria um "state"...
>
> quando vem um "pacote" ele primeiro lê os "states" (já conheço esse
> pacote? ) e se tem ele só repete a ação anterior...
>
>
> já tentou aumentar o limites de states ?
>
> quem sabe... o PF é um firewall "statefull" por natureza; em casos de
> cargas grandes ele pode ficar lento por falta de espaço para alocar mais
> "states"...

manda ai um pfctl -s memory e pfctl -s info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Oliver Thies Paulini]

Acabei de extrair aqui 
[EMAIL PROTECTED] >pfctl -s memory
states hard limit  5
src-nodes  hard limit  1
frags  hard limit  25000


[EMAIL PROTECTED] >pfctl -s info
Status: Enabled for 0 days 19:07:52   Debug: Urgent

Hostid: 0x7842fabc

Interface Stats for bge1  IPv4 IPv6
  Bytes In 786454386390
  Bytes Out291143849610
  Packets In
Passed   1436344900
Blocked  00
  Packets Out
Passed   1799831000
Blocked  00

State Table  Total Rate
  current entries26908
  searches   656412451 9530.9/s
  inserts 21445127  311.4/s
  removals21418219  311.0/s
Counters
  match  354208599 5143.0/s
  bad-offset 00.0/s
  fragment   40.0/s
  short  80.0/s
  normalize   15070.0/s
  memory3241234.7/s
  bad-timestamp  00.0/s
  congestion 00.0/s
  ip-option  00.0/s
  proto-cksum00.0/s
  state-mismatch1371092.0/s
  state-insert   210080.3/s
  state-limit00.0/s
  src-limit7743512  112.4/s
  synproxy   00.0/s


Em Ter, 2007-10-30 às 18:21 -0200, Alexandre Biancalana escreveu:

> >
> >
> > O PF lê *todas* e utiliza a última que "bateu"
> > aí, ele cria um "state"...
> >
> > quando vem um "pacote" ele primeiro lê os "states" (já conheço esse
> > pacote? ) e se tem ele só repete a ação anterior...
> >
> >
> > já tentou aumentar o limites de states ?
> >
> > quem sabe... o PF é um firewall "statefull" por natureza; em casos de
> > cargas grandes ele pode ficar lento por falta de espaço para alocar mais
> > "states"...
> 
> manda ai um pfctl -s memory e pfctl -s info
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[c0re dumped]

> s
>
>
> O PF lê *todas* e utiliza a última que "bateu"
> aí, ele cria um "state"...

ooops

A menos que a regra contenha um quick.

"Filter rules are evaluated in sequential order, first to last. Unless
the packet matches a rule containing the quick keyword, the packet
will be evaluated against all filter rules before the final action is
taken"

http://www.openbsd.org/faq/pf/filter.html

-- 

http://www.webcrunchers.com/crunch/
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Gilberto Villani Brito]

On 30/10/2007, Oliver Thies Paulini <[EMAIL PROTECTED]> wrote:
> Olá Galera,
> Desculpe insistir no assunto, mas ainda não consegui resolver meu
> problema com redirecionamento de portas no PF.
> Como havia dito antes, tudo está funcionando perfeito, execeto a
> lentidão no sistema.
> Existe alguma limitação de tráfego para o PF?
> Ví um comentário aqui na lista de que operações acima de 8mb não
> funcionaram bem no PF.
>
> Existe alguma forma de monitorar se está rolando algum problema na hora
> de jogar os pacotes para a rede interna?
> Lembrando que tenho uso de 40mb constante que vem da rede externa para o
> firewall.
>
> Agradeço muito a ajuda de vcs.
>
>
>
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Eu tive esse problema de lentidão no meu PF e corrigi alterando as opções do PF.
Meu tráfego é de mais ou menos un 10 megas em cada interface, e são 5
interfaces de rede.
Abaixo vai o options do meu pf.conf :

set timeout { interval 10, frag 30 ,src.track 0 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 450, tcp.finwait 45, tcp.closed 45 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 10, src-nodes 10, frags 5000 }


Abraços
-- 
Gilberto Villani Brito
System Administrator
Londrina - PR
Brazil
gilbertovb(a)gmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Luis Barcellos]

Bom dia!

Oliver eu tenho uma rede com + ou - 1200 usuários fazendo acesso externos e
resolví o problema de lentidão fazendo poll de nat e para normalização de
pacotes só utilizei "scrub in all", tente fazer o mesmo, pois meu tráfego
diário chega a 10mbps e está tudo normal.

Att,

Luis Barcellos
Analista de Segurança de Rede
Ministério da Integração Nacional



Em 07/11/07, Gilberto Villani Brito <[EMAIL PROTECTED]> escreveu:
>
> On 30/10/2007, Oliver Thies Paulini <[EMAIL PROTECTED]> wrote:
> > Olá Galera,
> > Desculpe insistir no assunto, mas ainda não consegui resolver meu
> > problema com redirecionamento de portas no PF.
> > Como havia dito antes, tudo está funcionando perfeito, execeto a
> > lentidão no sistema.
> > Existe alguma limitação de tráfego para o PF?
> > Ví um comentário aqui na lista de que operações acima de 8mb não
> > funcionaram bem no PF.
> >
> > Existe alguma forma de monitorar se está rolando algum problema na hora
> > de jogar os pacotes para a rede interna?
> > Lembrando que tenho uso de 40mb constante que vem da rede externa para o
> > firewall.
> >
> > Agradeço muito a ajuda de vcs.
> >
> >
> >
> >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> Eu tive esse problema de lentidão no meu PF e corrigi alterando as opções
> do PF.
> Meu tráfego é de mais ou menos un 10 megas em cada interface, e são 5
> interfaces de rede.
> Abaixo vai o options do meu pf.conf :
>
> set timeout { interval 10, frag 30 ,src.track 0 }
> set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
> set timeout { tcp.closing 450, tcp.finwait 45, tcp.closed 45 }
> set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
> set timeout { icmp.first 20, icmp.error 10 }
> set timeout { other.first 60, other.single 30, other.multiple 60 }
> set timeout { adaptive.start 0, adaptive.end 0 }
> set limit { states 10, src-nodes 10, frags 5000 }
>
>
> Abraços
> --
> Gilberto Villani Brito
> System Administrator
> Londrina - PR
> Brazil
> gilbertovb(a)gmail.com
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Marcelo/Porks]

On Nov 8, 2007 9:56 AM, Luis Barcellos <[EMAIL PROTECTED]> wrote:
> Bom dia!
>
> Oliver eu tenho uma rede com + ou - 1200 usuários fazendo acesso externos e
> resolví o problema de lentidão fazendo poll de nat e para normalização de
> pacotes só utilizei "scrub in all", tente fazer o mesmo, pois meu tráfego
> diário chega a 10mbps e está tudo normal.

Por curiosidade... vocês (Luis Barcellos e Gilberto Brito) poderiam
dizer qual a capacidade da máquina de vocês que rodam o PF?

(Memória, processador, etc)

Obrigado!

-- 
Marcelo Rossi
"This e-mail is provided "AS IS" with no warranties, and confers no rights."
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Gilberto Villani Brito]

On 08/11/2007, Marcelo/Porks <[EMAIL PROTECTED]> wrote:
> On Nov 8, 2007 9:56 AM, Luis Barcellos <[EMAIL PROTECTED]> wrote:
> > Bom dia!
> >
> > Oliver eu tenho uma rede com + ou - 1200 usuários fazendo acesso externos e
> > resolví o problema de lentidão fazendo poll de nat e para normalização de
> > pacotes só utilizei "scrub in all", tente fazer o mesmo, pois meu tráfego
> > diário chega a 10mbps e está tudo normal.
>
> Por curiosidade... vocês (Luis Barcellos e Gilberto Brito) poderiam
> dizer qual a capacidade da máquina de vocês que rodam o PF?
>
> (Memória, processador, etc)
>
> Obrigado!
>
> --
> Marcelo Rossi
> "This e-mail is provided "AS IS" with no warranties, and confers no rights."
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Copyright (c) 1992-2007 The FreeBSD Project.
Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
The Regents of the University of California. All rights reserved.
FreeBSD is a registered trademark of The FreeBSD Foundation.
FreeBSD 6.2-STABLE #2: Thu Jun 28 15:07:34 BRT 2007
[EMAIL PROTECTED]:/usr/obj/usr/src/sys/DELL-teste2
Timecounter "i8254" frequency 1193182 Hz quality 0
CPU: Intel(R) Xeon(TM) CPU 3.00GHz (2992.51-MHz 686-class CPU)
  Origin = "GenuineIntel"  Id = 0xf43  Stepping = 3
  
Features=0xbfebfbff
  Features2=0x641d>
  AMD Features=0x2010
  Logical CPUs per core: 2
real memory  = 1073479680 (1023 MB)
avail memory = 1045561344 (997 MB)
ACPI APIC Table: 
FreeBSD/SMP: Multiprocessor System Detected: 2 CPUs
 cpu0 (BSP): APIC ID:  0
 cpu1 (AP): APIC ID:  1

Abraços
-- 
Gilberto Villani Brito
System Administrator
Londrina - PR
Brazil
gilbertovb(a)gmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Luis Barcellos]

 Boa tarde a todos!

Bom Oliver por enquanto eu sou estou utilizando uma máquina IBM Xseries 236,
ela possui 2 processadores Xeon de 3.2 Ghz, 4Gb-ram, 5 discos de 147Gb em
raid 5, posteriormente vou colocar outra máquina dessa com CARP e PFSYNC
para alta disponibilidade.

Mas nem sempre foi assim, esse firewall rodou durante muito tempo em um dual
Pentium III 800Mhz com 2Gb de memória. só decidí troca-la pelo IBM por que
surgiu a necessidade de guardar uma grande quantidade de logs gerados pelo
squid que roda também nessa máquina.


Att,

Luis Barcellos
Analista de Segurança de Rede
Ministério da Integração Nacional

Em 08/11/07, Marcelo/Porks <[EMAIL PROTECTED]> escreveu:
>
> On Nov 8, 2007 9:56 AM, Luis Barcellos <[EMAIL PROTECTED]> wrote:
> > Bom dia!
> >
> > Oliver eu tenho uma rede com + ou - 1200 usuários fazendo acesso
> externos e
> > resolví o problema de lentidão fazendo poll de nat e para normalização
> de
> > pacotes só utilizei "scrub in all", tente fazer o mesmo, pois meu
> tráfego
> > diário chega a 10mbps e está tudo normal.
>
> Por curiosidade... vocês (Luis Barcellos e Gilberto Brito) poderiam
> dizer qual a capacidade da máquina de vocês que rodam o PF?
>
> (Memória, processador, etc)
>
> Obrigado!
>
> --
> Marcelo Rossi
> "This e-mail is provided "AS IS" with no warranties, and confers no
> rights."
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Oliver Thies]

Olá a todos, consegui resolver oproblema com a dica do colega para normalizar 
os pacotes.Agradeço a atenção de todos..O serviço ficou estavel 
novamente...Valeu!> Date: Thu, 8 Nov 2007 14:37:20 -0200> From: [EMAIL 
PROTECTED]> To: freebsd@fug.com.br> Subject: Re: [FUG-BR] PF> > Boa tarde a 
todos!> > Bom Oliver por enquanto eu sou estou utilizando uma máquina IBM 
Xseries 236,> ela possui 2 processadores Xeon de 3.2 Ghz, 4Gb-ram, 5 discos de 
147Gb em> raid 5, posteriormente vou colocar outra máquina dessa com CARP e 
PFSYNC> para alta disponibilidade.> > Mas nem sempre foi assim, esse firewall 
rodou durante muito tempo em um dual> Pentium III 800Mhz com 2Gb de memória. só 
decidí troca-la pelo IBM por que> surgiu a necessidade de guardar uma grande 
quantidade de logs gerados pelo> squid que roda também nessa máquina.> > > 
Att,> > Luis Barcellos> Analista de Segurança de Rede> Ministério da Integração 
Nacional> > Em 08/11/07, Marcelo/Porks <[EMAIL PROTECTED]> escreveu:> >> > On 
Nov 8, 2007 9:56 AM, Luis Barcellos <[EMAIL PROTECTED]> wrote:> > > Bom dia!> > 
>> > > Oliver eu tenho uma rede com + ou - 1200 usuários fazendo acesso> > 
externos e> > > resolví o problema de lentidão fazendo poll de nat e para 
normalização> > de> > > pacotes só utilizei "scrub in all", tente fazer o 
mesmo, pois meu> > tráfego> > > diário chega a 10mbps e está tudo normal.> >> > 
Por curiosidade... vocês (Luis Barcellos e Gilberto Brito) poderiam> > dizer 
qual a capacidade da máquina de vocês que rodam o PF?> >> > (Memória, 
processador, etc)> >> > Obrigado!> >> > --> > Marcelo Rossi> > "This e-mail is 
provided "AS IS" with no warranties, and confers no> > rights."> > 
-> > Histórico: 
http://www.fug.com.br/historico/html/freebsd/> > Sair da lista: 
https://www.fug.com.br/mailman/listinfo/freebsd> >> -> 
Histórico: http://www.fug.com.br/historico/html/freebsd/> Sair da lista: 
https://www.fug.com.br/mailman/listinfo/freebsd
_
Receba GRÁTIS as mensagens do Messenger no seu celular quando você estiver 
offline. Conheça  o MSN Mobile!
http://mobile.live.com/signup/signup2.aspx?lc=pt-br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF + IPSEC

[Fernando L. Silva]

Galera,

Bom dia !!!

Tenho uma dúvida, o PF faz automaticamente VPN Passthrough ???

A empresa aqui presta serviço para uma outra e foi feito uma VPN por eles, 
colocado em nossa rede um roteador (Fortigate 50B) ...Eles configuraram a VPN 
desse aparelho com a rede deles, assim ficando uma rede VPN com IPSEC atrás do 
meu Firewall .

Eu uso PF e gostaria de saber se ele trata os problemas gerados pelo 
encapsulamento do IPSEC e alteração de cabeçalho do NAT

Alguém saberia me informar ?

Obrigado !
Fernando
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF - nat

[Glauco D. G. Sombrio]

Estou usando PF como nat na minha rede e notei que não passa de 10.000 conexões 
no nat.

# pfctl -ss |grep -ic all
9614

Será que existe algum limite de conexão no nat ?
É o segundo servidor que já noto isso.

8.2-STABLE - amd64

[]´s
 
Glauco
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF + Bittorrent

[Fabiano (BiGu)]

Opa Lista...

Nao sei se ja foi discutido aqui na lista (dei uma procurada no
historico mas nao encontrei nada)

Fiz umas regras no PF para testes, limitando o IP pela uma queue
(limitei todas as portas para efeitos de teste) e nesse IP coloquei o
BitTorrent pra funcionar...

percebi o seguinte, no comeco ele consegue manter o torrent na "linha",
segurando a banda (fiz o teste pingando em um host, e ele se manteve um
valor padrao, defini prioridade para o icmp)
acontece q depois de algums minutos conectado o PF perde efeito...o ping
vai pras alturas e o BitTorrent fica liberado...

por acaso, experimentei um ping de dentro do gateway onde esta o PF e
recebi varias mensagens:

ping: sendto: No buffer space available

Bom, pelo q entendi, acho que o Bittorrent estah criando tantas conexoes
que o hardware da maquina nao ta aguentando gerenciar, ai o PF perde
efeito...

Minha pergunta, pode ser isso que estar acontecendo? Como posso entao
limitar o numero de conexoes q cada host pode manter(ou seja, cada peer
do torrent), e quais as portas que o Bittorrent usa para os downloads?
sei que tem as portas 6881-6889, mas sao somente essas?

Abracos

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF + ALTQ

[Victor Loureiro Lima]

I had enough ;)

Cansei de ter menos banda na minha maquina (gateway da rede wireless
la' de casa, rodando freebsd e meu desktop tambem ;)) toda vez que
algum familiar ou visita entra na internet para ver os seus
powerpoints sobre viagens no mundo, ou curiosidades no email, por
tanto resolvi usar o altq a meu favor e incluir um controle de banda
na rede la' de casa.

A regra e' simples, quando eu estiver usando a internet (segundo eu li
no manual da pf existe essa possibilidade) eu quero ter 60% da
bandwidth apenas para mim, e os outros 40%, e quando nao houver nenhum
uso de internet no gateway (meu desktop), a banda pode ir 100% para
quem tiver usando. Nota: Nao quero que conexoes vindo da internet
caiam em nenhuma queue, ou seja, tenham processamento normal sem
limitacao de banda para eles. (considerando logicamente o limite
fisico da capacidade da banda, e o caso da duvida 2 abaixo ;))

Tendo essas premissas, existem a seguintes dúvidas:
Como a minha rede e' disposta da seguinte forma:

[ rede interna wireless de casa ] <---> [ath0]  [fxp0] <---> INTERNET
   (^^ gateway)

1a. duvida: eu devo habilitar o altq na interface ath0 ou na fxp0? Meu
entendimento e' que
se habilitar para a ath0, faria mais sentido, pois apenas o trafico
wireless seria afetado.
Caso seja essa a solução, estou certo em achar que simplesmente habilitando o
altq na interface ath0 e passando um valor de 1600kb (meu link e' de
4mb, 1600 seria algo em torno de 40%), eu ja' conseguiria o resultado
esperado? Depois seria apenas uma questao de habilitar no pass in on
ath0 queue minha_queue?

2a. duvida: como fica a questão de limitar o que entra na rede? Teria
como eu jogar os pacotes de resposta (vindos da internet) que foram
originados de conexoes vindo da ath0 (usuarios internos) para uma
queue que tenha menos banda, e deixar os outros que usam o fxp0 sem
limitações de entrada/saida?!


Ai vai o meu pf.conf (muito simples, nao tem nada...):
#
# Macros: define common values, so they can be referenced and changed easily.
ext_if="fxp0"   # replace with actual external interface name i.e., dc0
int_if="ath0"   # replace with actual internal interface name i.e., dc1
internal_net="192.168.0.0/24"
external_addr="`ifconfig fxp0 | grep inet | cut -d ' ' -f2`"


# Options: tune the behavior of pf, default values are given.
set timeout { interval 10, frag 30 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 1, frags 5000 }
set loginterface none
set optimization normal
set block-policy drop
set require-order yes
set fingerprints "/etc/pf.os"

# Normalization: reassemble fragments and resolve or reduce traffic ambiguities.
scrub in all

nat on $ext_if from $internal_net to ! $internal_net -> ($ext_if)

pass in log quick on $int_if keep state
pass out log quick on $int_if keep state
pass in log quick on $ext_if keep state
pass out log quick on $ext_if keep state


Abracos,
Victor F. Loureiro Lima
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF VPN

[Fábio Resner]

Ola pessoal!

Tenho um fw com pf e preciso conectar a VPN de um cliente via winXP.
Tenho 3 VPN's aqui dentro da empresa, mas o engracado eh que 2 funcionam e
uma delas da o seguinte output:

17:01:26.304840 * 0800 70: IPEmpresa > IPCliente: icmp: IPEmpresa
protocol 47 unreachable for gre IPCliente > IPEmpresa: [KS] call 256 seq 0
gre-ppp-payload (DF) (ttl 107, id 0, len 51) (ttl 255, id 13908, len 56)

17:01:28.645922 * 0800 71: gre IPInterno > IPCliene: [KS] call 5415
seq 8 gre-ppp-payload (ttl 127, id 48504, len 57)

Ele fica dando esse output no meio de varios outros pacotes e fica
verificando usuario e senha por um certo tempo.
Depois ele diz que nao conseguiu conectar:

Error 721: The remote Computer did not respond.


Porem fora da rede a VPN eh acessivel.
E o mais estranho eh que uma hora eu consegui conectar.
Depois voltou a dar o problema.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF - Ajuda

[pedro]

Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, ela 
era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando das 
regras que essa maquina tinha no firewall e depois de alguma pesquisa consegui 
algo com:
# pfctl -sn Mostra as regras atuais de NAT
# pfctl -sr Mostra as regras atuais de filtragem
Nao consegui localizar o script de firewall, acho que quem configurou mudou os 
padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive tudo 
que precisava? Alguem poderia me ajudar a traduzir o que foi apresentado,alguma 
coisa intendi.Com os comandos acima obtive as seguintes respostas 
respectivamente:# pfctl -sn Mostra as regras atuais de NAT:
nat-anchor "pftpx/*" allnat-anchor "natearly/*" allnat-anchor "natrules/*" 
allnat on xl0 inet from 10.0.0.0/24 port = isakmp to any port = isakmp -> (ng0) 
port 500 round-robinnat on ng0 inet from 10.0.0.0/24 port = isakmp to any port 
= isakmp -> (ng0) port 500 round-robinnat on xl0 inet from 10.0.0.0/24 port = 
5060 to any port = 5060 -> (ng0) port 5060 round-robinnat on ng0 inet from 
10.0.0.0/24 port = 5060 to any port = 5060 -> (ng0) port 5060 round-robinnat on 
xl0 inet from 10.0.0.0/24 to any -> (ng0) port 1024:65535 round-robinnat on ng0 
inet from 10.0.0.0/24 to any -> (ng0) port 1024:65535 round-robinrdr-anchor 
"pftpx/*" allrdr-anchor "slb" allno rdr on xl1 proto tcp from any to  
port = ftprdr on xl1 inet proto tcp from any to any port = ftp -> 127.0.0.1 
port 8021rdr on ng0 inet proto tcp from any to any port = 5901 -> 10.0.0.10rdr 
on ng0 inet proto tcp from any to any port = 8089 -> 10.0.0.10 port 8000rdr on 
ng0 inet proto tcp from any to any port = http -> 10.0.0.10 port 8080rdr on ng0 
inet proto tcp from any to any port =  -> 10.0.0.10 port 22rdr-anchor 
"imspector" allrdr-anchor "miniupnpd" all# pfctl -sr Mostra as 
regras atuais de filtragemscrub all random-id max-mss 1452 fragment 
reassembleanchor "ftpsesame/*" allanchor "firewallrules" allblock drop quick 
proto tcp from any port = 0 to anyblock drop quick proto tcp from any to any 
port = 0block drop quick proto udp from any port = 0 to anyblock drop quick 
proto udp from any to any port = 0block drop quick from  to any label 
"Block snort2c hosts"block drop quick from any to  label "Block 
snort2c hosts"block drop in quick inet6 allblock drop out quick inet6 allanchor 
"loopback" allpass in quick on lo0 all flags S/SA keep state label "pass 
loopback"pass out quick on lo0 all flags S/SA keep state label "pass 
loopback"anchor "packageearly" allanchor "carp" allanchor "dhcpserverlan" 
allpass in quick on xl1 inet proto udp from any port = bootpc to 
255.255.255.255 port = bootps keep state label "allow access to DHCP server on 
LAN"pass in quick on xl1 inet proto udp from any port = bootpc to 10.0.0.1 port 
= bootps keep state label "allow access to DHCP server on LAN"pass out quick on 
xl1 inet proto udp from 10.0.0.1 port = bootps to any port = bootpc keep state 
label "allow access to DHCP server on LAN"block drop in log quick on xl0 inet 
proto udp from any port = bootps to 10.0.0.0/24 port = bootpc label "block dhcp 
client out wan"block drop in log quick on ng0 inet proto udp from any port = 
bootps to 10.0.0.0/24 port = bootpc label "block dhcp client out wan"block drop 
in on ! xl1 inet from 10.0.0.0/24 to anyblock drop in inet from 10.0.0.1 to 
anyblock drop in on xl1 inet6 from fe80::260:8cff:fef1:879e to anyanchor 
"spoofing" allanchor "spoofing" allblock drop in on xl0 inet6 from 
fe80::260:8cff:fef1:8800 to anyblock drop in log quick on xl0 inet from 
10.0.0.0/8 to any label "block private networks from wan block 10/8"block drop 
in log quick on ng0 inet from 10.0.0.0/8 to any label "block private networks 
from wan block 10/8"block drop in log quick on xl0 inet from 127.0.0.0/8 to any 
label "block private networks from wan block 127/8"block drop in log quick on 
ng0 inet from 127.0.0.0/8 to any label "block private networks from wan block 
127/8"block drop in log quick on xl0 inet from 172.16.0.0/12 to any label 
"block private networks from wan block 172.16/12"block drop in log quick on ng0 
inet from 172.16.0.0/12 to any label "block private networks from wan block 
172.16/12"block drop in log quick on xl0 inet from 192.168.0.0/16 to any label 
"block private networks from wan block 192.168/16"block drop in log quick on 
ng0 inet from 192.168.0.0/16 to any label "block private networks from wan 
block 192.168/16"anchor "limitingesr" allblock drop in quick from  
to any label "virusprot overload table"anchor "wanbogons" allblock drop in log 
quick on xl0 from  to any label "block bogon networks from wan"block 
drop in log quick on ng0 from  to any label "block bogon networks from 
wan"pass out quick on xl1 proto icmp all keep state label "let out anything 
from firewall host itself"pass out quick on xl0 proto icmp all keep state label 
"let out anything 

[FUG-BR] PF - Ajuda

[pedro]

Segue Anexo arquivo firewall.

Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, ela 
era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando das 
regras que essa maquina tinha no firewall e depois de alguma pesquisa consegui 
algo com:
# pfctl -sn Mostra as regras atuais de NAT
# pfctl -sr Mostra as regras atuais de filtragem
Nao consegui localizar o script de firewall, acho que quem configurou mudou os 
padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive tudo 
que precisava? Alguem poderia me ajudar a traduzir o que foi apresentado,alguma 
coisa intendi.

pf.rtf
Description: Binary data
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF PPTP

[Nilton Carlos Pavan]

Boa tarde a todos...
Tenho um server BSD 6.4 com serviço de pptp (poptop) instalado..
Antes utilizava o ipfw como firewall deste server agora passei a usar o pf
(muito bom por sinal [?] ), mas como nem tudo é simples rsss está ocorrendo
problemas com a vpn.
Os clientes conectam na vpn, autentica, atribui ip só que não exergam a rede
interna (ping por exemplo), se eu desabilito o pf volta ao normal.

Alguém poderia me dar uma luz?

Agradeço desde já.

[]s

Nilton Pavan
<<338.png>>-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF + Scrub .

[Paulo Henrique]

Saudações a todos, já estou um pouco irritado com uma circustancia
esquisita aqui.

Estou tentando configurar scrub no meu router mais o infeliz diz que
as regras com relação ao scrub estão erradas.
posicionei elas antes das definições de filas de trafego, o mesmo
acontece quanto se colocar apos a definição da fila de trafego.
o interessante é que estou usando o exemplo disponbilizado no pf.faq e
continua com o problema
Segue abaixo minhas regras.

scrub in on $INT_IF all fragment reassemble
scrub in on $INT_IF all no-df
scrub on $INT_IF all reassemble tcp

saida pfctl -nf $arquivo

# pfctl  -nf /root/firewall/pf.conf
/root/firewall/pf.conf:88: syntax error

Linha 88 = scrub in on $INT_IF all fragment reassemble

Quem puder me orientar onde está o problema pois no manual
disponiblizado pelo OPenBSD a resposta não se encontra.


-- 
:=)>Paulo Henrique (JSRD)<(=:

Alone,  locked, a survivor, unfortunately not know who I am
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] pf

[Douglas Santos]

Em Dom, 2006-08-13 as 17:06 -0300, k2flag escreveu:
> Então não sei praticamente nada sobre pf, olhei o doc no site do
> openbsd mais não entendi muita coisa, o que acham da idéia de criarmos
> um pf comunitário ?

Qual doc voce leu ? FAQ [1] ?
O faq esta em bom portugues, pelo menos era pra ser...

Se nao entendeu o faq, leia o manual [2][3][4].

[1] http://www.openbsd.org/faq/pf/pt/
[2] http://www.openbsd.org/cgi-bin/man.cgi?query=pf
[3] http://www.openbsd.org/cgi-bin/man.cgi?query=pf.conf
[4] http://www.openbsd.org/cgi-bin/man.cgi?query=pfctl

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] pf

[irado furioso com tudo]

On Sun, 13 Aug 2006 17:06:43 -0300
k2flag <[EMAIL PROTECTED]> escreveu assim:

> Então não sei praticamente nada sobre pf, olhei o doc no site do
> openbsd mais não entendi muita coisa, 

bem.. o PF EXIGE leitura muito atenta da documentação e, mais do que
isso, a aplicação dos exercícios/exemplos. Pela minha própria
experiencia: não funciona por osmose.


>o que acham da idéia de criarmos
> um pf comunitário ?

estive lá no link que vc propôs.. IMHO, é dispensável, uma vez que o pf
é mais fácil de entender do que o iptables e, francamente, a
documentação disponível é bem clara.

No mais, as dúvidas razoáveis podem ser pesquisadas pelo google e,
quando mais "cabeludas", aqui na lista tem uma galera com EXCELENTE
conhecimento desta (e outras) ferramentas.

flames > /dev/null

-- 

saudações,
irado furioso com tudo
Tudo o que Existe egressa do Ser e regressa ao Ser. O Ser é o
Insondável Tao. Das profundezas do Ser nascem todos os seres que
existem. O Ser, porém, é o abismo do Não-Existir.
Linux User 179402/FreeBSD BSD50853
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Cleyton Bertolim]

Mande mais informacoes sobre seu arquivo Eduardo!
quando da o erro, o PF nao mostra em qual linha do arquivo esta errado?

Cleyton.

2008/10/28 EDUARDO FIRST <[EMAIL PROTECTED]>:
> To tentando configurar o pf, mas me apresenta na tela a seguinte mensagem.
>
> pass: not found
>
> Alguem pode me ajudar?
>
> Att;
>
> EDUARDO
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Aristeu Gil Alves Jr]

parece que está executando o arquivo pf.conf como script. deve ser erro no
rc.conf.
tente fazer # pfctl -f /etc/pf.conf

2008/10/28 Cleyton Bertolim <[EMAIL PROTECTED]>

> Mande mais informacoes sobre seu arquivo Eduardo!
> quando da o erro, o PF nao mostra em qual linha do arquivo esta errado?
>
> Cleyton.
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Wesley Miranda FreeBSD Consult]

Tente algo como abaixo, para ver qual erro é mostrado

pfctl -vnf /etc/pf.conf

Check /etc/pf.conf for errors, but do not load ruleset

- Original Message - 
From: "Aristeu Gil Alves Jr" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Tuesday, October 28, 2008 4:25 PM
Subject: Re: [FUG-BR] PF


parece que está executando o arquivo pf.conf como script. deve ser erro no
rc.conf.
tente fazer # pfctl -f /etc/pf.conf

2008/10/28 Cleyton Bertolim <[EMAIL PROTECTED]>

> Mande mais informacoes sobre seu arquivo Eduardo!
> quando da o erro, o PF nao mostra em qual linha do arquivo esta errado?
>
> Cleyton.
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[Welkson Renny de Medeiros]

Isso tá com cara de regra errada.. se puder posta seu pf.conf

Welkson


- Original Message - 
From: "EDUARDO FIRST" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Tuesday, October 28, 2008 3:10 PM
Subject: [FUG-BR] PF


To tentando configurar o pf, mas me apresenta na tela a seguinte mensagem.

pass: not found

Alguem pode me ajudar?

Att;

EDUARDO
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF

[EDUARDO FIRST]

Estava executando o arquivo pf.conf como script
Executei o comando pfctl -f /etc/pf.conf e deu certo.

Muito obrigado pela ajuda.

:)

2008/10/28 Wesley Miranda FreeBSD Consult <[EMAIL PROTECTED]>

> Tente algo como abaixo, para ver qual erro é mostrado
>
> pfctl -vnf /etc/pf.conf
>
> Check /etc/pf.conf for errors, but do not load ruleset
>
> - Original Message -
> From: "Aristeu Gil Alves Jr" <[EMAIL PROTECTED]>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> 
> Sent: Tuesday, October 28, 2008 4:25 PM
> Subject: Re: [FUG-BR] PF
>
>
> parece que está executando o arquivo pf.conf como script. deve ser erro no
> rc.conf.
> tente fazer # pfctl -f /etc/pf.conf
>
> 2008/10/28 Cleyton Bertolim <[EMAIL PROTECTED]>
>
> > Mande mais informacoes sobre seu arquivo Eduardo!
> > quando da o erro, o PF nao mostra em qual linha do arquivo esta errado?
> >
> > Cleyton.
> >
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF + Tarpitting

[Victor]

Olá amigos,

Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam 
(httpd.pl). Estou no momento usando uma regra apresentada nos documentos 
oficiais do PF (http://www.openbsd.org/faq/pf/filter.html):

table  persist
block in quick from 

pass in on $ext_if proto tcp to $web_server \
port www flags S/SA keep state \
(max-src-conn 100, max-src-conn-rate 15/5, overload  
flush)

Porém vários usuários estão sendo taxados como spammers indevidamente. Vi no 
man page do PF que é possível fazer um tarpit para os overloads, o que seria 
mais interessante do que adcionar os IP's em uma black list definitiva. Não 
sei que software pode ser utilizado para fazer este tarpit ou mesmo como 
redirecionar a table para ele. Não consegui nada no Google, apenas 
tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para 
constar, quando eu usava Linux, utilizava a seguinte regra no iptables e 
funcionava perfeitamente:

/sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m 
recent --set --name ANTISPAM -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 
5 --hitcount 15 --name ANTISPAM -j DROP

Obrigado.

--
Atenciosamente,
Victor Gustavo Volpe
Diretor Executivo
Grupo Total Serviços de Internet LTDA - ME
CNPJ: 08.776.401/0001-40
(17) 3227-0686 / 9105-5392

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF + Bridge

[joao jamaicabsd]

Boa tarde pessoal.
Preciso fazer um firewall para dividir o link de internet para que as
empresas tenham a mesma quantidade de link.


---xxx.xxx.xxx.160/26 empresa 1
Link 1 MB xxx.xxx.xxx.129/26 ---|

---xxx.xxx.xxx.131/26 empresa 2


Preciso fazer bridge nas 3 interfaces, pois não poderei alterar os endereços
nas mesmas.
O pessaol aí que é mais experientes em PF tem alguma dica para dar se é isso
mesmo que tenho que fazer?
Pretendo utilizar PF+ALTQ, isso é mesmo indicado ou será melhor outra
ferramenta?
Obrigado pela atenção.



-- 
E-mail: jamaica...@gmail.com
Aux Suporte de Sistemas (UNISUL)
E-mail: joao.may...@unisul.br
MSN: joaomayk...@hotmail.com
Cel: (48) 9144 2326
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] pf + snmp

[Renato Frederick]

Pessoal, para o IPFW temos um patch para o snmp que permite obter estatísticas 
de um IP(através da regra do IPFW) remotas sobre tráfego, jogando isto num 
cacti temos um gráfico de banda.

Para o PF tem algo semelhante?

Na verdade preciso saber apenas, durante um intervalo de tempo, o tráfego que 
um cliente tem. Pensei em ferramenta scomo trafshow ou iftop, mas elas me 
mostram só o ‘tempo real’, e preciso da média(e Maximo) durante o período.

Alguém tem alguma sugestão? Até um software em modo texto atende. Pensei em 
exportar para netflow através do pfflowd, mas talvez seja muito trabalho para 
nada.

Obrigado ☺

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF + IPFW

[Vitor Renato Alves de Brito]

Olá,

Pessoal, tenho um servidor com duas saídas IP e faço o redirecionamento
das classes que quero que saiam por um ou por outro IP usando o PF com NAT
e o ROUTE-TO. O IPFW uso para controle de banda.

O que tá acontecendo é o seguinte: quando ligo só o NAT usando o PF vai
tudo beleza. Quando ligo as regras de route-to tb. vai tudo beleza por
pouco tempo, o servidor trava em de 30minutos.

To usando um PIII 750Mhz com 512Mb RAM e FreeBSD 5.3-RELEASE-p5.

Alguém sabe alguma coisa sobre isto?

Até mais,

---
Vitor Renato Alves de Brito - System Manager
Arte Final Provedor Internet - http://www.artefinal.com.br
Alfenas - Sul de Minas Gerais





---
Esta mensagem foi verificada pelo e-mail protegido Arte Final
Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 5-Ago-2005
Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br


___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

[FUG-BR] PF + ALTQ

[Vitor Renato Alves de Brito]

Olá Pessoal,

Desisto de usar o ALTQ/CBQ com Packet Filter no FreeBSD 5.4.

Já testei vários exemplos de páginas que encontrei durante mais ou menos
uma semana de pesquisas. Já li e testei os exemplos em
/usr/share/examples/pf e o negócio nao funciona.

Uma simples priorizacao nao funciona:
altq on $ext_if1 cbq bandwidth 100% queue { dflt_out email_out }
queue dflt_out priority 1 cbq(default)
queue email_out priority 2
pass out on $ext_if1 proto tcp from any to any port 25 queue email_out
pass out on $ext_if1 proto tcp from any to any queue dflt_out

Sempre os pacotes saem por apenas um queue.

Se alguém que já teve alguma experiência com isto puder me ajudar eu
agradeço.

Até mais,

---
Vitor Renato Alves de Brito - System Manager
Arte Final Provedor Internet - http://www.artefinal.com.br
Alfenas - Sul de Minas Gerais




---
Esta mensagem foi verificada pelo e-mail protegido Arte Final
Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 22-Ago-2005
Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br


___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

[FUG-BR] pf + dummynet

[Jorge Petry Neto]

Olá pessoal.

Pesquisei na net sobre o patch que o pfsense usa para habilitar o 
dummynet no pf  e não ficou muito claro.

Alguém usa ou sabe como isso funciona ?
Estou precisando implementar.

Obrigado.

Jorge Petry.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] pf or ipfw?!

[Saulo Bozzi]

poxa existe a possibilidade de usar o PF no freebsd ?!
ou qual o firewall padrao do free?!
ipfw?!
ipf?!

qual?!

abraços, ate.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF try learn...

[Saulo Bozzi]

ja deve ter dito alguns topicos de PF...e a ideia é compartilhar informacoes
em torno desse firewall...
em meu caso principalmente algumas duvidas.
mas podemos fazer desse topico uma boa fonte de troca de ideias em torno
dele.
a quem tem ou deseja ter conhecimento no PF
welcome
tomara que os entendidos de plantao se manifestem.
abraços,...
e para começo uma pergunta boba.
uma tabela parece que pode ser criada em arquivo?!
ou toda tabela no final gera um arquivo fisicamente?!
ou nao...é posta em memoria e por la fica?!
como funciona essa situacao da tabela?!

estou lendo a faq do pf em portugues, benditos os brasileiros e/ou tb talvez
portugueses...que ajudaram a faze-la, traduzi-la..
Douglas Santos, parece que participou...grato, estou no capitulo da
Nat...legal.

Abraços, ate.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF muito lento.

[Oliver Thies]

Olá para todos da lista.
Este é o meu primeiro post.
Estou recorrendo a lista pois já lí varios artigos , uma parte do handbook, e 
um guia para Open bsd e nao achei respostas.

Á alguns dias montei um firewall simplezinho com pf, apenas com intuito de 
fazer redirecionamento de trafego para servidores web com IP privado a fim de 
ganhar um pouco mais de segurança.

O esquema da Minha rede é o seguinte
Config de Hardware do firewall.
DELL 1435
Processador AMD Opteon dual core 1.8ghz
HD SATA
4GB Memoria
2 Placas de rede GIGA
1 Placa ligada no link da embratel(100mb full)
1 Placa ligada na rede interna

LINK
  |
  |
FIREWALL 200.xxx.xxx.87,200.xxx.xxx.73,200.xxx.xxx.70 if_ext
  |10.10.1.1
if_int
  |
  |---Balanceamento(Round Robin ->este serviço necessida de 2 
servers)
  | |
  | |servidor web1(10.10.1.7)
  | |servidor web2(10.10.1.6)
  |
  |---servidor web3(sem balanceamento - apenas paginas php - 
10.10.1.5) 


Levantei 3 ips na placa externa do firewall, cada ip responde para 1 serviço, 
que é encaminhado para a maquina de destino na rede interna.
Tudo isso está funcionando.
O grande problema é a demora que está ocorrendo para acessar os serviços, chega 
a dar timeout no browser.
Nao aparece nada em dmesg e nem nos logs.
Precisei desativar o firewall para voltar o serviço ao normal.
O tráfego medido na interface externa do firewall chega a 70mb constante em 
horarios de pico, em horarios normais fica a 60mb.
O load da maquina fica em 0.2 com 90% livre de processamento e 24MB de memoria 
ATIVA.


Já recompilei kernel com alguns parametros trocados 
maxusers  4096
options PMAP_SHPGPERPROC=2048
options HZ=1000
Ja usei o sysctl 
kern.ipc.somaxconn=8192
net.inet.ip.portrange.first=1025
net.inet.tcp.recvspace=4096
E mesmo assim num rola...


Vou continuar tentando por aqui.
Mas se alguer poder dar uma forcinha eu agradeço..
Até + pessoal.







_
Receba GRÁTIS as mensagens do Messenger no seu celular quando você estiver 
offline. Conheça  o MSN Mobile!
http://mobile.live.com/signup/signup2.aspx?lc=pt-br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF+ALTQ (Roteador)

[Rodrigo Roberto Barros]

Pessoal, sei q esse assunto já foi muito discutido... mas queria uma 
informações a mais!!! 


Seguinte, vou começar a instalar um Server novo q vai servir de Proxy 
(Squid + Sargs) e como roteador para fazer as rotas de uma Wan q possuímos. 
Gostaria de fazer um controle de banda nessa maquina, utilizando o PF+ALTQ , já 
fiz regras com o PF ma nunca instalei ou mexi no ALTQ... 

Bom a minha duvida inicial é se ele já vem instalado ou tenho q 
compilar ou habilitar alguma coisa na instalação...

Tem como me passarem uns Link´s ou Informação sobre a criação das 
regras para o ALTQ, preciso só de 2 regras.. uma com Controle de Banda e a 
outra liberada... vi algumas msg mas não entendi muito bem a sintaxe.



Obrigado, 
Rodrigo Roberto Barros

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF + Bridge + Snort

[Welkson Renny de Medeiros]

Bom dia FUGs!


Tenho aqui rodando um FreeBSD 6.2 STABLE, com SNORT + OSSEC, com active 
response para o PF... a bronca é que tenho 2 links de internet (tun0 - 
velox, rl1 = jetcom)... só consigo filtrar pacotes com o snort da TUN0, pelo 
que li no faq do snort tenho que fazer uma bridge... já li alguma coisa na 
web (http://www.openbsd.org/faq/faq6.html#Bridge), e queria saber a 
experiência de vocês com bridge+pf, roda bem? como funciona, ele vai pegar 
as duas interfaces (tun0, rl1) juntar e criar uma nova? tipo.. br0 é 
mais ou menos isso?

Abraço e desculpa pelo tópico NEWBIE... rsrs

-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
[EMAIL PROTECTED]



  Powered by 

   (__)
\\\'',)
  \/  \ ^
  .\._/_)

  www.FreeBSD.org 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF + IPSEC

[Daemon BR]

Vou aproveitar o post

O PF é mais novo que o IPFW ?
O Meu freebsd não tem o arquivo /etc/natd.conf (obs: é o 6.3).



Em 28/02/08, Fernando L. Silva <[EMAIL PROTECTED]> escreveu:
>
> Galera,
>
> Bom dia !!!
>
> Tenho uma dúvida, o PF faz automaticamente VPN Passthrough ???
>
> A empresa aqui presta serviço para uma outra e foi feito uma VPN por eles,
> colocado em nossa rede um roteador (Fortigate 50B) ...Eles configuraram a
> VPN desse aparelho com a rede deles, assim ficando uma rede VPN com IPSEC
> atrás do meu Firewall .
>
> Eu uso PF e gostaria de saber se ele trata os problemas gerados pelo
> encapsulamento do IPSEC e alteração de cabeçalho do NAT
>
> Alguém saberia me informar ?
>
> Obrigado !
> Fernando
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Att
'
Cesar
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF + IPSEC

[ThOLOko]

Se eu nao estiver enganada,,, precisa compilar o kernel com as opçoes:

options IPFIREWALL
options IPDIVERT

Abraços!!!

Em 28/02/08, Daemon BR<[EMAIL PROTECTED]> escreveu:
> Vou aproveitar o post
>
>  O PF é mais novo que o IPFW ?
>  O Meu freebsd não tem o arquivo /etc/natd.conf (obs: é o 6.3).
>
>
>
>  Em 28/02/08, Fernando L. Silva <[EMAIL PROTECTED]> escreveu:
>  >
>  > Galera,
>  >
>  > Bom dia !!!
>  >
>  > Tenho uma dúvida, o PF faz automaticamente VPN Passthrough ???
>  >
>  > A empresa aqui presta serviço para uma outra e foi feito uma VPN por eles,
>  > colocado em nossa rede um roteador (Fortigate 50B) ...Eles configuraram a
>  > VPN desse aparelho com a rede deles, assim ficando uma rede VPN com IPSEC
>  > atrás do meu Firewall .
>  >
>  > Eu uso PF e gostaria de saber se ele trata os problemas gerados pelo
>  > encapsulamento do IPSEC e alteração de cabeçalho do NAT
>  >
>  > Alguém saberia me informar ?
>  >
>  > Obrigado !
>  > Fernando
>  > -
>  > Histórico: http://www.fug.com.br/historico/html/freebsd/
>  > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>  >
>
>
>
>
>  --
>  Att
>  '
>  Cesar
>  -
>  Histórico: http://www.fug.com.br/historico/html/freebsd/
>  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


-- 
ThOLOko
ThOmaz BeLgine
-FrEEBSD-
UniX TeaM
(LeT's MaKe InStaLL ClEan)
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF + IPSEC

[Fernando L. Silva]

Apenas completando, eu consigo estabelecer conexão e fechar o túnel, porém 
depois de um tempo operante a conexão cai, eu reinicio o aparelho que está 
fazendo a VPN atrás do meu Firewall e a conexão volta novamente.

Alguém sabe o que poderia estar ocorrendo ?

Obrigado !!

- Original Message - 
From: "Fernando L. Silva" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Thursday, February 28, 2008 8:48 AM
Subject: [FUG-BR] PF + IPSEC


Galera,

Bom dia !!!

Tenho uma dúvida, o PF faz automaticamente VPN Passthrough ???

A empresa aqui presta serviço para uma outra e foi feito uma VPN por eles, 
colocado em nossa rede um roteador (Fortigate 50B) ...Eles configuraram a 
VPN desse aparelho com a rede deles, assim ficando uma rede VPN com IPSEC 
atrás do meu Firewall .

Eu uso PF e gostaria de saber se ele trata os problemas gerados pelo 
encapsulamento do IPSEC e alteração de cabeçalho do NAT

Alguém saberia me informar ?

Obrigado !
Fernando
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF vx FTPS

[Christiano Liberato]

Caros,

permito no pf que alguns ips façam ftp e agora surgiu a necessidade de
permitir que façam ftps para um determinado ip na porta 990.
Criei uma regra que permite acessar esse ip com ftps mas apos conectar nao
lista as pastas de jeito nenhum.
Ja alterei as confs de nat-anchor e rdr-anchor e nada.
Alguem ja fez isso funcionar?
Parece que tem algo a ver com passive mode...

Valeu!!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF - nat

[Eduardo]

Oi Glauco,

Talvez o número máximo de conexões nat venha de um dos valores
listados abaixo ...

# pfctl -sm
stateshard limit1
src-nodes hard limit1
frags hard limit 5000
tableshard limit 1000
table-entries hard limit   20

veja que o default é 1 para states e para src-nodes. Tenta
aumentar um deles (ou os dois) que deve funcionar,

coloca no pf.conf e faz um reload:

set limit { states 15000, src-nodes 15000 }


abraços.



2012/1/18 Glauco D. G. Sombrio :
> Estou usando PF como nat na minha rede e notei que não passa de 10.000 
> conexões no nat.
>
> # pfctl -ss |grep -ic all
> 9614
>
> Será que existe algum limite de conexão no nat ?
> É o segundo servidor que já noto isso.
>
> 8.2-STABLE - amd64
>
> []´s
>
> Glauco
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF + Bittorrent

[Alessandro de Souza Rocha]

Em 25/04/07, Fabiano (BiGu)<[EMAIL PROTECTED]> escreveu:
> Opa Lista...
>
> Nao sei se ja foi discutido aqui na lista (dei uma procurada no
> historico mas nao encontrei nada)
>
> Fiz umas regras no PF para testes, limitando o IP pela uma queue
> (limitei todas as portas para efeitos de teste) e nesse IP coloquei o
> BitTorrent pra funcionar...
>
> percebi o seguinte, no comeco ele consegue manter o torrent na "linha",
> segurando a banda (fiz o teste pingando em um host, e ele se manteve um
> valor padrao, defini prioridade para o icmp)
> acontece q depois de algums minutos conectado o PF perde efeito...o ping
> vai pras alturas e o BitTorrent fica liberado...
>
> por acaso, experimentei um ping de dentro do gateway onde esta o PF e
> recebi varias mensagens:
>
> ping: sendto: No buffer space available
>
> Bom, pelo q entendi, acho que o Bittorrent estah criando tantas conexoes
> que o hardware da maquina nao ta aguentando gerenciar, ai o PF perde
> efeito...
>
> Minha pergunta, pode ser isso que estar acontecendo? Como posso entao
> limitar o numero de conexoes q cada host pode manter(ou seja, cada peer
> do torrent), e quais as portas que o Bittorrent usa para os downloads?
> sei que tem as portas 6881-6889, mas sao somente essas?
>
> Abracos
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

amigo eu tenho uma solucao melhor usando ipfw olha este exemplo

ipfw add 5000 prob 0.6 drop tcp from not 192.168.0.250  to not
192.168.0.0/24,200.0.0.0/8,201.0.0.0/8  6881-6889

neste caso vc vai diminuir o trafego em 60% para as rede so o ip
192.168.0.250 vai ter o trafego todo para navegar no bittorrent mais
vc pode limitar para a rede toda desta forma que eu uso e funciona.
-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF + Bittorrent

[Fabiano (BiGu)]

Alessandro de Souza Rocha escreveu:
> Em 25/04/07, Fabiano (BiGu)<[EMAIL PROTECTED]> escreveu:
>   
>> Opa Lista...
>>
>> Nao sei se ja foi discutido aqui na lista (dei uma procurada no
>> historico mas nao encontrei nada)
>>
>> Fiz umas regras no PF para testes, limitando o IP pela uma queue
>> (limitei todas as portas para efeitos de teste) e nesse IP coloquei o
>> BitTorrent pra funcionar...
>>
>> percebi o seguinte, no comeco ele consegue manter o torrent na "linha",
>> segurando a banda (fiz o teste pingando em um host, e ele se manteve um
>> valor padrao, defini prioridade para o icmp)
>> acontece q depois de algums minutos conectado o PF perde efeito...o ping
>> vai pras alturas e o BitTorrent fica liberado...
>>
>> por acaso, experimentei um ping de dentro do gateway onde esta o PF e
>> recebi varias mensagens:
>>
>> ping: sendto: No buffer space available
>>
>> Bom, pelo q entendi, acho que o Bittorrent estah criando tantas conexoes
>> que o hardware da maquina nao ta aguentando gerenciar, ai o PF perde
>> efeito...
>>
>> Minha pergunta, pode ser isso que estar acontecendo? Como posso entao
>> limitar o numero de conexoes q cada host pode manter(ou seja, cada peer
>> do torrent), e quais as portas que o Bittorrent usa para os downloads?
>> sei que tem as portas 6881-6889, mas sao somente essas?
>>
>> Abracos
>>
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> 
>
> amigo eu tenho uma solucao melhor usando ipfw olha este exemplo
>
> ipfw add 5000 prob 0.6 drop tcp from not 192.168.0.250  to not
> 192.168.0.0/24,200.0.0.0/8,201.0.0.0/8  6881-6889
>
> neste caso vc vai diminuir o trafego em 60% para as rede so o ip
> 192.168.0.250 vai ter o trafego todo para navegar no bittorrent mais
> vc pode limitar para a rede toda desta forma que eu uso e funciona.
>   
Noss, nem sei pra onde vai ipfw...eu estou utilizando PF...

mas vou dar uma olhada na documentacao ver o q posso encontrar...
Obrigado
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF + Bittorrent

[Flavio]

Fabiano (BiGu) wrote:
> Opa Lista...
> 
> Nao sei se ja foi discutido aqui na lista (dei uma procurada no
> historico mas nao encontrei nada)
> 
> Fiz umas regras no PF para testes, limitando o IP pela uma queue
> (limitei todas as portas para efeitos de teste) e nesse IP coloquei o
> BitTorrent pra funcionar...
> 
> percebi o seguinte, no comeco ele consegue manter o torrent na "linha",
> segurando a banda (fiz o teste pingando em um host, e ele se manteve um
> valor padrao, defini prioridade para o icmp)
> acontece q depois de algums minutos conectado o PF perde efeito...o ping
> vai pras alturas e o BitTorrent fica liberado...
> 
> por acaso, experimentei um ping de dentro do gateway onde esta o PF e
> recebi varias mensagens:
> 
> ping: sendto: No buffer space available
> 
> Bom, pelo q entendi, acho que o Bittorrent estah criando tantas conexoes
> que o hardware da maquina nao ta aguentando gerenciar, ai o PF perde
> efeito...
> 
> Minha pergunta, pode ser isso que estar acontecendo? Como posso entao
> limitar o numero de conexoes q cada host pode manter(ou seja, cada peer
> do torrent), e quais as portas que o Bittorrent usa para os downloads?
> sei que tem as portas 6881-6889, mas sao somente essas?
> 
> Abracos
> 
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
Não é porque o hardware não agüenta gerenciar. Pelo menos não 
necessariamente. A mensagem de erro é clara: a função sendto() chamada 
pelo ping não consegue alocar memória. Creio que se você aumentar o 
valor de kern.ipc.maxsockbuf o problema será resolvido.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF + Bittorrent

[Gilberto Villani Brito]

On 26/04/07, Flavio <[EMAIL PROTECTED]> wrote:
> Fabiano (BiGu) wrote:
> > Opa Lista...
> >
> > Nao sei se ja foi discutido aqui na lista (dei uma procurada no
> > historico mas nao encontrei nada)
> >
> > Fiz umas regras no PF para testes, limitando o IP pela uma queue
> > (limitei todas as portas para efeitos de teste) e nesse IP coloquei o
> > BitTorrent pra funcionar...
> >
> > percebi o seguinte, no comeco ele consegue manter o torrent na "linha",
> > segurando a banda (fiz o teste pingando em um host, e ele se manteve um
> > valor padrao, defini prioridade para o icmp)
> > acontece q depois de algums minutos conectado o PF perde efeito...o ping
> > vai pras alturas e o BitTorrent fica liberado...
> >
> > por acaso, experimentei um ping de dentro do gateway onde esta o PF e
> > recebi varias mensagens:
> >
> > ping: sendto: No buffer space available
> >
> > Bom, pelo q entendi, acho que o Bittorrent estah criando tantas conexoes
> > que o hardware da maquina nao ta aguentando gerenciar, ai o PF perde
> > efeito...
> >
> > Minha pergunta, pode ser isso que estar acontecendo? Como posso entao
> > limitar o numero de conexoes q cada host pode manter(ou seja, cada peer
> > do torrent), e quais as portas que o Bittorrent usa para os downloads?
> > sei que tem as portas 6881-6889, mas sao somente essas?
> >
> > Abracos
> >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> Não é porque o hardware não agüenta gerenciar. Pelo menos não
> necessariamente. A mensagem de erro é clara: a função sendto() chamada
> pelo ping não consegue alocar memória. Creio que se você aumentar o
> valor de kern.ipc.maxsockbuf o problema será resolvido.
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Eu já tive esse tipo de problema no meu firewall:
 ping: sendto: No buffer space available

E descobri que era túnel ALTQ mal configurado ou engargalado, aumentei
a banda e o problema acabou.
Trabalhar com ALTQ no PF é muito complicado, as vezes selecionamos uma
faixa de ip e esta não passa pelo túnel correto, somente pelo default
ou os outros ips que deveriam passar pelo default, passam por outro
túnel.
Fazer queue dinâmico no PF realmente é algo novo para mim, se você
descobrir, eu gostaria de saber.

Abraços
-- 
Gilberto Villani Brito
System Administrator
Londrina - PR
Brazil
gilbertovb(a)gmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF + Bittorrent

[Alessandro de Souza Rocha]

Em 26/04/07, Gilberto Villani Brito<[EMAIL PROTECTED]> escreveu:
> On 26/04/07, Flavio <[EMAIL PROTECTED]> wrote:
> > Fabiano (BiGu) wrote:
> > > Opa Lista...
> > >
> > > Nao sei se ja foi discutido aqui na lista (dei uma procurada no
> > > historico mas nao encontrei nada)
> > >
> > > Fiz umas regras no PF para testes, limitando o IP pela uma queue
> > > (limitei todas as portas para efeitos de teste) e nesse IP coloquei o
> > > BitTorrent pra funcionar...
> > >
> > > percebi o seguinte, no comeco ele consegue manter o torrent na "linha",
> > > segurando a banda (fiz o teste pingando em um host, e ele se manteve um
> > > valor padrao, defini prioridade para o icmp)
> > > acontece q depois de algums minutos conectado o PF perde efeito...o ping
> > > vai pras alturas e o BitTorrent fica liberado...
> > >
> > > por acaso, experimentei um ping de dentro do gateway onde esta o PF e
> > > recebi varias mensagens:
> > >
> > > ping: sendto: No buffer space available
> > >
> > > Bom, pelo q entendi, acho que o Bittorrent estah criando tantas conexoes
> > > que o hardware da maquina nao ta aguentando gerenciar, ai o PF perde
> > > efeito...
> > >
> > > Minha pergunta, pode ser isso que estar acontecendo? Como posso entao
> > > limitar o numero de conexoes q cada host pode manter(ou seja, cada peer
> > > do torrent), e quais as portas que o Bittorrent usa para os downloads?
> > > sei que tem as portas 6881-6889, mas sao somente essas?
> > >
> > > Abracos
> > >
> > > -
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > Não é porque o hardware não agüenta gerenciar. Pelo menos não
> > necessariamente. A mensagem de erro é clara: a função sendto() chamada
> > pelo ping não consegue alocar memória. Creio que se você aumentar o
> > valor de kern.ipc.maxsockbuf o problema será resolvido.
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> Eu já tive esse tipo de problema no meu firewall:
>  ping: sendto: No buffer space available
>
> E descobri que era túnel ALTQ mal configurado ou engargalado, aumentei
> a banda e o problema acabou.
> Trabalhar com ALTQ no PF é muito complicado, as vezes selecionamos uma
> faixa de ip e esta não passa pelo túnel correto, somente pelo default
> ou os outros ips que deveriam passar pelo default, passam por outro
> túnel.
> Fazer queue dinâmico no PF realmente é algo novo para mim, se você
> descobrir, eu gostaria de saber.
>
> Abraços
> --
> Gilberto Villani Brito
> System Administrator
> Londrina - PR
> Brazil
> gilbertovb(a)gmail.com
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

as vezes vc pode demora com altq+pf no ipfw+dummynet e mais facil
depende do casaoquestao de gosto ou necessidade mesmo.


-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] pf e MAC (?)

[Márcio Luciano Donada]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
 
Pessoal,
Estive dando uma olhada no histórico e encontrei alguma coisa, [1]
sobre o pf e MAC. Tem alguém que usa algo parecido? Funciona
perfeitamente em sub-redes? Alguém pode dar algum tipo de comentário
sobre o assunto?

[1]. http://www.fug.com.br/historico/html/freebsd/2005-10/msg00010.html

Obrigado,


-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.5 (MingW32)
 
iD8DBQFGn3WebjyCr4Ixg0wRAgK7AJ9ig/E82nh7Ommgz4ydK8bvDszW8gCgqq9T
Y5rz4vgavMD1CXq3mWB0XuA=
=cZVH
-END PGP SIGNATURE-

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF + ALTQ

[Alessandro de Souza Rocha]

Em 28/08/07, Gilberto Villani Brito<[EMAIL PROTECTED]> escreveu:
> E-mail comentado:
>
> On 21/08/07, Victor Loureiro Lima <[EMAIL PROTECTED]> wrote:
> > I had enough ;)
> >
> > Cansei de ter menos banda na minha maquina (gateway da rede wireless
> > la' de casa, rodando freebsd e meu desktop tambem ;)) toda vez que
> > algum familiar ou visita entra na internet para ver os seus
> > powerpoints sobre viagens no mundo, ou curiosidades no email, por
> > tanto resolvi usar o altq a meu favor e incluir um controle de banda
> > na rede la' de casa.
> >
> > A regra e' simples, quando eu estiver usando a internet (segundo eu li
> > no manual da pf existe essa possibilidade) eu quero ter 60% da
> > bandwidth apenas para mim, e os outros 40%, e quando nao houver nenhum
> > uso de internet no gateway (meu desktop), a banda pode ir 100% para
> > quem tiver usando. Nota: Nao quero que conexoes vindo da internet
> > caiam em nenhuma queue, ou seja, tenham processamento normal sem
> > limitacao de banda para eles. (considerando logicamente o limite
> > fisico da capacidade da banda, e o caso da duvida 2 abaixo ;))
> >
> > Tendo essas premissas, existem a seguintes dúvidas:
> > Como a minha rede e' disposta da seguinte forma:
> >
> > [ rede interna wireless de casa ] <---> [ath0]  [fxp0] <---> INTERNET
> >(^^ 
> > gateway)
> >
> > 1a. duvida: eu devo habilitar o altq na interface ath0 ou na fxp0? Meu
> > entendimento e' que
> > se habilitar para a ath0, faria mais sentido, pois apenas o trafico
> > wireless seria afetado.
> > Caso seja essa a solução, estou certo em achar que simplesmente habilitando 
> > o
> > altq na interface ath0 e passando um valor de 1600kb (meu link e' de
> > 4mb, 1600 seria algo em torno de 40%), eu ja' conseguiria o resultado
> > esperado? Depois seria apenas uma questao de habilitar no pass in on
> > ath0 queue minha_queue?
>
> Depende, se você for limitar SOMENTE o download usa a interface ath0,
> mas se for limitar o upload também, terá que usar a fxp0.
>
> >
> > 2a. duvida: como fica a questão de limitar o que entra na rede? Teria
> > como eu jogar os pacotes de resposta (vindos da internet) que foram
> > originados de conexoes vindo da ath0 (usuarios internos) para uma
> > queue que tenha menos banda, e deixar os outros que usam o fxp0 sem
> > limitações de entrada/saida?!
>
> Sim, tem como fazer isso.
>
> >
> >
> > Ai vai o meu pf.conf (muito simples, nao tem nada...):
> > #
> > # Macros: define common values, so they can be referenced and changed 
> > easily.
> > ext_if="fxp0"   # replace with actual external interface name i.e., dc0
> > int_if="ath0"   # replace with actual internal interface name i.e., dc1
> > internal_net="192.168.0.0/24"
> > external_addr="`ifconfig fxp0 | grep inet | cut -d ' ' -f2`"
> >
> >
> > # Options: tune the behavior of pf, default values are given.
> > set timeout { interval 10, frag 30 }
> > set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
> > set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
> > set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
> > set timeout { icmp.first 20, icmp.error 10 }
> > set timeout { other.first 60, other.single 30, other.multiple 60 }
> > set timeout { adaptive.start 0, adaptive.end 0 }
> > set limit { states 1, frags 5000 }
> > set loginterface none
> > set optimization normal
> > set block-policy drop
> > set require-order yes
> > set fingerprints "/etc/pf.os"
> >
> > # Normalization: reassemble fragments and resolve or reduce traffic 
> > ambiguities.
> > scrub in all
> >
> > nat on $ext_if from $internal_net to ! $internal_net -> ($ext_if)
> >
> > pass in log quick on $int_if keep state
> > pass out log quick on $int_if keep state
> > pass in log quick on $ext_if keep state
> > pass out log quick on $ext_if keep state
> > 
> >
> > Abracos,
> > Victor F. Loureiro Lima
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> Mais ajuda: http://www.fug.com.br/historico/html/freebsd/2007-03/msg00028.html
>
> Abraços
> --
> Gilberto Villani Brito
> System Administrator
> Londrina - PR
> Brazil
> gilbertovb(a)gmail.com
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
da uma olhada ai.
altq on vr0 hfsc bandwidth 128Kb queue  { dflt_out1, local1 }
queue dflt_out1 bandwidth 5% hfsc(default)
queue local1 bandwidth 95%

altq on tun0 hfsc bandwidth 128Kb queue  { dflt_out2, local2 }
queue dflt_out2 bandwidth 5% hfsc(default)
queue local2 bandwidth  95%



-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117
-
Histórico: http://www.fug.com.br/historico/html/

Re: [FUG-BR] PF + ALTQ

[Alessandro de Souza Rocha]

Em 28/08/07, Alessandro de Souza Rocha<[EMAIL PROTECTED]> escreveu:
> Em 28/08/07, Gilberto Villani Brito<[EMAIL PROTECTED]> escreveu:
> > E-mail comentado:
> >
> > On 21/08/07, Victor Loureiro Lima <[EMAIL PROTECTED]> wrote:
> > > I had enough ;)
> > >
> > > Cansei de ter menos banda na minha maquina (gateway da rede wireless
> > > la' de casa, rodando freebsd e meu desktop tambem ;)) toda vez que
> > > algum familiar ou visita entra na internet para ver os seus
> > > powerpoints sobre viagens no mundo, ou curiosidades no email, por
> > > tanto resolvi usar o altq a meu favor e incluir um controle de banda
> > > na rede la' de casa.
> > >
> > > A regra e' simples, quando eu estiver usando a internet (segundo eu li
> > > no manual da pf existe essa possibilidade) eu quero ter 60% da
> > > bandwidth apenas para mim, e os outros 40%, e quando nao houver nenhum
> > > uso de internet no gateway (meu desktop), a banda pode ir 100% para
> > > quem tiver usando. Nota: Nao quero que conexoes vindo da internet
> > > caiam em nenhuma queue, ou seja, tenham processamento normal sem
> > > limitacao de banda para eles. (considerando logicamente o limite
> > > fisico da capacidade da banda, e o caso da duvida 2 abaixo ;))
> > >
> > > Tendo essas premissas, existem a seguintes dúvidas:
> > > Como a minha rede e' disposta da seguinte forma:
> > >
> > > [ rede interna wireless de casa ] <---> [ath0]  [fxp0] <---> INTERNET
> > >(^^ 
> > > gateway)
> > >
> > > 1a. duvida: eu devo habilitar o altq na interface ath0 ou na fxp0? Meu
> > > entendimento e' que
> > > se habilitar para a ath0, faria mais sentido, pois apenas o trafico
> > > wireless seria afetado.
> > > Caso seja essa a solução, estou certo em achar que simplesmente 
> > > habilitando o
> > > altq na interface ath0 e passando um valor de 1600kb (meu link e' de
> > > 4mb, 1600 seria algo em torno de 40%), eu ja' conseguiria o resultado
> > > esperado? Depois seria apenas uma questao de habilitar no pass in on
> > > ath0 queue minha_queue?
> >
> > Depende, se você for limitar SOMENTE o download usa a interface ath0,
> > mas se for limitar o upload também, terá que usar a fxp0.
> >
> > >
> > > 2a. duvida: como fica a questão de limitar o que entra na rede? Teria
> > > como eu jogar os pacotes de resposta (vindos da internet) que foram
> > > originados de conexoes vindo da ath0 (usuarios internos) para uma
> > > queue que tenha menos banda, e deixar os outros que usam o fxp0 sem
> > > limitações de entrada/saida?!
> >
> > Sim, tem como fazer isso.
> >
> > >
> > >
> > > Ai vai o meu pf.conf (muito simples, nao tem nada...):
> > > #
> > > # Macros: define common values, so they can be referenced and changed 
> > > easily.
> > > ext_if="fxp0"   # replace with actual external interface name i.e., dc0
> > > int_if="ath0"   # replace with actual internal interface name i.e., dc1
> > > internal_net="192.168.0.0/24"
> > > external_addr="`ifconfig fxp0 | grep inet | cut -d ' ' -f2`"
> > >
> > >
> > > # Options: tune the behavior of pf, default values are given.
> > > set timeout { interval 10, frag 30 }
> > > set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
> > > set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
> > > set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
> > > set timeout { icmp.first 20, icmp.error 10 }
> > > set timeout { other.first 60, other.single 30, other.multiple 60 }
> > > set timeout { adaptive.start 0, adaptive.end 0 }
> > > set limit { states 1, frags 5000 }
> > > set loginterface none
> > > set optimization normal
> > > set block-policy drop
> > > set require-order yes
> > > set fingerprints "/etc/pf.os"
> > >
> > > # Normalization: reassemble fragments and resolve or reduce traffic 
> > > ambiguities.
> > > scrub in all
> > >
> > > nat on $ext_if from $internal_net to ! $internal_net -> ($ext_if)
> > >
> > > pass in log quick on $int_if keep state
> > > pass out log quick on $int_if keep state
> > > pass in log quick on $ext_if keep state
> > > pass out log quick on $ext_if keep state
> > > 
> > >
> > > Abracos,
> > > Victor F. Loureiro Lima
> > > -
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> > Mais ajuda: 
> > http://www.fug.com.br/historico/html/freebsd/2007-03/msg00028.html
> >
> > Abraços
> > --
> > Gilberto Villani Brito
> > System Administrator
> > Londrina - PR
> > Brazil
> > gilbertovb(a)gmail.com
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> da uma olhada ai.
> altq on vr0 hfsc bandwidth 128Kb queue  { dflt_out1, local1 }
> queue dflt_out1 bandwidth 5% hfsc(default)
> queue local1 bandwidt

Re: [FUG-BR] PF + ALTQ

[Gilberto Villani Brito]

E-mail comentado:

On 21/08/07, Victor Loureiro Lima <[EMAIL PROTECTED]> wrote:
> I had enough ;)
>
> Cansei de ter menos banda na minha maquina (gateway da rede wireless
> la' de casa, rodando freebsd e meu desktop tambem ;)) toda vez que
> algum familiar ou visita entra na internet para ver os seus
> powerpoints sobre viagens no mundo, ou curiosidades no email, por
> tanto resolvi usar o altq a meu favor e incluir um controle de banda
> na rede la' de casa.
>
> A regra e' simples, quando eu estiver usando a internet (segundo eu li
> no manual da pf existe essa possibilidade) eu quero ter 60% da
> bandwidth apenas para mim, e os outros 40%, e quando nao houver nenhum
> uso de internet no gateway (meu desktop), a banda pode ir 100% para
> quem tiver usando. Nota: Nao quero que conexoes vindo da internet
> caiam em nenhuma queue, ou seja, tenham processamento normal sem
> limitacao de banda para eles. (considerando logicamente o limite
> fisico da capacidade da banda, e o caso da duvida 2 abaixo ;))
>
> Tendo essas premissas, existem a seguintes dúvidas:
> Como a minha rede e' disposta da seguinte forma:
>
> [ rede interna wireless de casa ] <---> [ath0]  [fxp0] <---> INTERNET
>(^^ 
> gateway)
>
> 1a. duvida: eu devo habilitar o altq na interface ath0 ou na fxp0? Meu
> entendimento e' que
> se habilitar para a ath0, faria mais sentido, pois apenas o trafico
> wireless seria afetado.
> Caso seja essa a solução, estou certo em achar que simplesmente habilitando o
> altq na interface ath0 e passando um valor de 1600kb (meu link e' de
> 4mb, 1600 seria algo em torno de 40%), eu ja' conseguiria o resultado
> esperado? Depois seria apenas uma questao de habilitar no pass in on
> ath0 queue minha_queue?

Depende, se você for limitar SOMENTE o download usa a interface ath0,
mas se for limitar o upload também, terá que usar a fxp0.

>
> 2a. duvida: como fica a questão de limitar o que entra na rede? Teria
> como eu jogar os pacotes de resposta (vindos da internet) que foram
> originados de conexoes vindo da ath0 (usuarios internos) para uma
> queue que tenha menos banda, e deixar os outros que usam o fxp0 sem
> limitações de entrada/saida?!

Sim, tem como fazer isso.

>
>
> Ai vai o meu pf.conf (muito simples, nao tem nada...):
> #
> # Macros: define common values, so they can be referenced and changed easily.
> ext_if="fxp0"   # replace with actual external interface name i.e., dc0
> int_if="ath0"   # replace with actual internal interface name i.e., dc1
> internal_net="192.168.0.0/24"
> external_addr="`ifconfig fxp0 | grep inet | cut -d ' ' -f2`"
>
>
> # Options: tune the behavior of pf, default values are given.
> set timeout { interval 10, frag 30 }
> set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
> set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
> set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
> set timeout { icmp.first 20, icmp.error 10 }
> set timeout { other.first 60, other.single 30, other.multiple 60 }
> set timeout { adaptive.start 0, adaptive.end 0 }
> set limit { states 1, frags 5000 }
> set loginterface none
> set optimization normal
> set block-policy drop
> set require-order yes
> set fingerprints "/etc/pf.os"
>
> # Normalization: reassemble fragments and resolve or reduce traffic 
> ambiguities.
> scrub in all
>
> nat on $ext_if from $internal_net to ! $internal_net -> ($ext_if)
>
> pass in log quick on $int_if keep state
> pass out log quick on $int_if keep state
> pass in log quick on $ext_if keep state
> pass out log quick on $ext_if keep state
> 
>
> Abracos,
> Victor F. Loureiro Lima
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Mais ajuda: http://www.fug.com.br/historico/html/freebsd/2007-03/msg00028.html

Abraços
-- 
Gilberto Villani Brito
System Administrator
Londrina - PR
Brazil
gilbertovb(a)gmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF + ALTQ

[Gilberto Villani Brito]

On 28/08/07, Alessandro de Souza Rocha <[EMAIL PROTECTED]> wrote:
> Em 28/08/07, Alessandro de Souza Rocha<[EMAIL PROTECTED]> escreveu:
> > Em 28/08/07, Gilberto Villani Brito<[EMAIL PROTECTED]> escreveu:
> > > E-mail comentado:
> > >
> > > On 21/08/07, Victor Loureiro Lima <[EMAIL PROTECTED]> wrote:
> > > > I had enough ;)
> > > >
> > > > Cansei de ter menos banda na minha maquina (gateway da rede wireless
> > > > la' de casa, rodando freebsd e meu desktop tambem ;)) toda vez que
> > > > algum familiar ou visita entra na internet para ver os seus
> > > > powerpoints sobre viagens no mundo, ou curiosidades no email, por
> > > > tanto resolvi usar o altq a meu favor e incluir um controle de banda
> > > > na rede la' de casa.
> > > >
> > > > A regra e' simples, quando eu estiver usando a internet (segundo eu li
> > > > no manual da pf existe essa possibilidade) eu quero ter 60% da
> > > > bandwidth apenas para mim, e os outros 40%, e quando nao houver nenhum
> > > > uso de internet no gateway (meu desktop), a banda pode ir 100% para
> > > > quem tiver usando. Nota: Nao quero que conexoes vindo da internet
> > > > caiam em nenhuma queue, ou seja, tenham processamento normal sem
> > > > limitacao de banda para eles. (considerando logicamente o limite
> > > > fisico da capacidade da banda, e o caso da duvida 2 abaixo ;))
> > > >
> > > > Tendo essas premissas, existem a seguintes dúvidas:
> > > > Como a minha rede e' disposta da seguinte forma:
> > > >
> > > > [ rede interna wireless de casa ] <---> [ath0]  [fxp0] <---> INTERNET
> > > >(^^ 
> > > > gateway)
> > > >
> > > > 1a. duvida: eu devo habilitar o altq na interface ath0 ou na fxp0? Meu
> > > > entendimento e' que
> > > > se habilitar para a ath0, faria mais sentido, pois apenas o trafico
> > > > wireless seria afetado.
> > > > Caso seja essa a solução, estou certo em achar que simplesmente 
> > > > habilitando o
> > > > altq na interface ath0 e passando um valor de 1600kb (meu link e' de
> > > > 4mb, 1600 seria algo em torno de 40%), eu ja' conseguiria o resultado
> > > > esperado? Depois seria apenas uma questao de habilitar no pass in on
> > > > ath0 queue minha_queue?
> > >
> > > Depende, se você for limitar SOMENTE o download usa a interface ath0,
> > > mas se for limitar o upload também, terá que usar a fxp0.
> > >
> > > >
> > > > 2a. duvida: como fica a questão de limitar o que entra na rede? Teria
> > > > como eu jogar os pacotes de resposta (vindos da internet) que foram
> > > > originados de conexoes vindo da ath0 (usuarios internos) para uma
> > > > queue que tenha menos banda, e deixar os outros que usam o fxp0 sem
> > > > limitações de entrada/saida?!
> > >
> > > Sim, tem como fazer isso.
> > >
> > > >
> > > >
> > > > Ai vai o meu pf.conf (muito simples, nao tem nada...):
> > > > #
> > > > # Macros: define common values, so they can be referenced and changed 
> > > > easily.
> > > > ext_if="fxp0"   # replace with actual external interface name i.e., dc0
> > > > int_if="ath0"   # replace with actual internal interface name i.e., dc1
> > > > internal_net="192.168.0.0/24"
> > > > external_addr="`ifconfig fxp0 | grep inet | cut -d ' ' -f2`"
> > > >
> > > >
> > > > # Options: tune the behavior of pf, default values are given.
> > > > set timeout { interval 10, frag 30 }
> > > > set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
> > > > set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
> > > > set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
> > > > set timeout { icmp.first 20, icmp.error 10 }
> > > > set timeout { other.first 60, other.single 30, other.multiple 60 }
> > > > set timeout { adaptive.start 0, adaptive.end 0 }
> > > > set limit { states 1, frags 5000 }
> > > > set loginterface none
> > > > set optimization normal
> > > > set block-policy drop
> > > > set require-order yes
> > > > set fingerprints "/etc/pf.os"
> > > >
> > > > # Normalization: reassemble fragments and resolve or reduce traffic 
> > > > ambiguities.
> > > > scrub in all
> > > >
> > > > nat on $ext_if from $internal_net to ! $internal_net -> ($ext_if)
> > > >
> > > > pass in log quick on $int_if keep state
> > > > pass out log quick on $int_if keep state
> > > > pass in log quick on $ext_if keep state
> > > > pass out log quick on $ext_if keep state
> > > > 
> > > >
> > > > Abracos,
> > > > Victor F. Loureiro Lima
> > > > -
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > >
> > > Mais ajuda: 
> > > http://www.fug.com.br/historico/html/freebsd/2007-03/msg00028.html
> > >
> > > Abraços
> > > --
> > > Gilberto Villani Brito
> > > System Administrator
> > > Londrina - PR
> > > Brazil
> > > gilbertovb(a)gmail.com
> > > 

Re: [FUG-BR] PF + ALTQ

[Alessandro de Souza Rocha]

Em 28/08/07, Gilberto Villani Brito<[EMAIL PROTECTED]> escreveu:
> On 28/08/07, Alessandro de Souza Rocha <[EMAIL PROTECTED]> wrote:
> > Em 28/08/07, Alessandro de Souza Rocha<[EMAIL PROTECTED]> escreveu:
> > > Em 28/08/07, Gilberto Villani Brito<[EMAIL PROTECTED]> escreveu:
> > > > E-mail comentado:
> > > >
> > > > On 21/08/07, Victor Loureiro Lima <[EMAIL PROTECTED]> wrote:
> > > > > I had enough ;)
> > > > >
> > > > > Cansei de ter menos banda na minha maquina (gateway da rede wireless
> > > > > la' de casa, rodando freebsd e meu desktop tambem ;)) toda vez que
> > > > > algum familiar ou visita entra na internet para ver os seus
> > > > > powerpoints sobre viagens no mundo, ou curiosidades no email, por
> > > > > tanto resolvi usar o altq a meu favor e incluir um controle de banda
> > > > > na rede la' de casa.
> > > > >
> > > > > A regra e' simples, quando eu estiver usando a internet (segundo eu li
> > > > > no manual da pf existe essa possibilidade) eu quero ter 60% da
> > > > > bandwidth apenas para mim, e os outros 40%, e quando nao houver nenhum
> > > > > uso de internet no gateway (meu desktop), a banda pode ir 100% para
> > > > > quem tiver usando. Nota: Nao quero que conexoes vindo da internet
> > > > > caiam em nenhuma queue, ou seja, tenham processamento normal sem
> > > > > limitacao de banda para eles. (considerando logicamente o limite
> > > > > fisico da capacidade da banda, e o caso da duvida 2 abaixo ;))
> > > > >
> > > > > Tendo essas premissas, existem a seguintes dúvidas:
> > > > > Como a minha rede e' disposta da seguinte forma:
> > > > >
> > > > > [ rede interna wireless de casa ] <---> [ath0]  [fxp0] <---> INTERNET
> > > > >
> > > > > (^^ gateway)
> > > > >
> > > > > 1a. duvida: eu devo habilitar o altq na interface ath0 ou na fxp0? Meu
> > > > > entendimento e' que
> > > > > se habilitar para a ath0, faria mais sentido, pois apenas o trafico
> > > > > wireless seria afetado.
> > > > > Caso seja essa a solução, estou certo em achar que simplesmente 
> > > > > habilitando o
> > > > > altq na interface ath0 e passando um valor de 1600kb (meu link e' de
> > > > > 4mb, 1600 seria algo em torno de 40%), eu ja' conseguiria o resultado
> > > > > esperado? Depois seria apenas uma questao de habilitar no pass in on
> > > > > ath0 queue minha_queue?
> > > >
> > > > Depende, se você for limitar SOMENTE o download usa a interface ath0,
> > > > mas se for limitar o upload também, terá que usar a fxp0.
> > > >
> > > > >
> > > > > 2a. duvida: como fica a questão de limitar o que entra na rede? Teria
> > > > > como eu jogar os pacotes de resposta (vindos da internet) que foram
> > > > > originados de conexoes vindo da ath0 (usuarios internos) para uma
> > > > > queue que tenha menos banda, e deixar os outros que usam o fxp0 sem
> > > > > limitações de entrada/saida?!
> > > >
> > > > Sim, tem como fazer isso.
> > > >
> > > > >
> > > > >
> > > > > Ai vai o meu pf.conf (muito simples, nao tem nada...):
> > > > > #
> > > > > # Macros: define common values, so they can be referenced and changed 
> > > > > easily.
> > > > > ext_if="fxp0"   # replace with actual external interface name i.e., 
> > > > > dc0
> > > > > int_if="ath0"   # replace with actual internal interface name i.e., 
> > > > > dc1
> > > > > internal_net="192.168.0.0/24"
> > > > > external_addr="`ifconfig fxp0 | grep inet | cut -d ' ' -f2`"
> > > > >
> > > > >
> > > > > # Options: tune the behavior of pf, default values are given.
> > > > > set timeout { interval 10, frag 30 }
> > > > > set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
> > > > > set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
> > > > > set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
> > > > > set timeout { icmp.first 20, icmp.error 10 }
> > > > > set timeout { other.first 60, other.single 30, other.multiple 60 }
> > > > > set timeout { adaptive.start 0, adaptive.end 0 }
> > > > > set limit { states 1, frags 5000 }
> > > > > set loginterface none
> > > > > set optimization normal
> > > > > set block-policy drop
> > > > > set require-order yes
> > > > > set fingerprints "/etc/pf.os"
> > > > >
> > > > > # Normalization: reassemble fragments and resolve or reduce traffic 
> > > > > ambiguities.
> > > > > scrub in all
> > > > >
> > > > > nat on $ext_if from $internal_net to ! $internal_net -> ($ext_if)
> > > > >
> > > > > pass in log quick on $int_if keep state
> > > > > pass out log quick on $int_if keep state
> > > > > pass in log quick on $ext_if keep state
> > > > > pass out log quick on $ext_if keep state
> > > > > 
> > > > >
> > > > > Abracos,
> > > > > Victor F. Loureiro Lima
> > > > > -
> > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] pf e filas

[Nenhum_de_Nos]

hail,

estou apanhando aqui do pf :(

quero basicamente organizar as filas de subida e descida.

aqui vai o arquivo:

altq on $ext_if bandwidth 291Kb hfsc queue { ack_dns, ack_ssh,
ack_msn, ack_http, ack_bolo, ack_jogos }
#   queue ackbandwidth 50% priority 7 qlimit 500 hfsc (realtime 35%)
   queue ack_dnsbandwidth  7% priority 7 qlimit 500 hfsc (realtime  5%)
   queue ack_sshbandwidth 10% priority 6 qlimit 500 hfsc
(realtime 20%) {ssh_bulk, ssh_login}
#queue ssh_login bandwidth 90% priority 5 qlimit 500 hfsc
#queue ssh_bulk  bandwidth 10% priority 4 qlimit 500 hfsc
# Jogos !
   queue ack_jogos  bandwidth 20% priority 5 qlimit 500 hfsc (realtime 20%)
   queue ack_msnbandwidth 10% priority 4 qlimit 500 hfsc (realtime 5%)
   queue ack_http   bandwidth 40% priority 3 qlimit 500 hfsc (realtime 20%)
   queue ack_bolo   bandwidth 13% priority 2 qlimit 500 hfsc (upperlimit
50% default)

altq on $int_if bandwidth 980Kb hfsc queue { http, ssh, dns, msn, bolo, jogos }
# Filas: http, p2p, ssh, dns, msn, bolo
  queue dns bandwidth  7% priority 7 qlimit 500 hfsc (realtime 5%)
  queue ssh bandwidth 10% priority 6 qlimit 500 hfsc (realtime 10%)
  queue msn bandwidth  5% priority 5 qlimit 500 hfsc (realtime 5%)
  queue httpbandwidth 50% priority 4 qlimit 500 hfsc (realtime 35%)
  queue jogos   bandwidth 10% priority 3 qlimit 500 hfsc (realtime 10%)
  queue bolobandwidth 18% priority 2 qlimit 500 hfsc (realtime 5% default)

block log quick from 

antispoof log quick for ($ext_if) inet
block in on $ext_if all
pass in on $ext_if inet proto { tcp, udp } from any to any port
$portas keep state
pass in on $ext_if inet proto tcp from any to any port $portas_ssh keep state \
(max-src-conn-rate 4/60 overload  flush global)

#pass out on $ext_iffrom any to any 
keep state queue (ack_bolo, bolo)

pass out on $ext_if proto { tcp, udp }  from any to any port
$portas_msn keep state queue (ack_msn, msn)
pass out log on $ext_if proto { tcp, udp }  from any to any port
$portas_httpkeep state queue (ack_http, http)
pass out on $ext_if proto { tcp, udp }  from any to any port
$portas_jogos   keep state queue (ack_jogos, jogos)
pass out on $ext_if proto { tcp, udp }  from any to any port 53 
keep
state queue (ack_dns, dns)
pass out on $ext_if proto tcp   from any to any port 22 
keep state
queue (ack_ssh, ssh)

pass in on $int_if all
pass out on $int_if all

coloquei isto tb para ver se resolvia, com ext_if e int_if.:

pass out on $ext_if proto { tcp, udp }  from any port $portas_msn to
any keep state queue (msn, ack_msn)
pass out log on $ext_if proto { tcp, udp }  from any port $portas_http
to any  keep state queue (http, ack_http)
pass out on $ext_if proto { tcp, udp }  from any port $portas_jogos to
any keep state queue (jogos, ack_jogos)
pass out on $ext_if proto { tcp, udp }  from any port 53 to any 
keep
state queue (dns, ack_dns)
pass out on $ext_if proto tcp   from anyport 22 to any  
keep state
queue (ssh, ack_ssh)

se alguém puder ajudar :)

usei logs para ver se estava mesmo passando pela regra, e está:

20:13:51.465162 IP 18971016029.user.veloxzone.com.br.63270 >
pub2.kernel.org.http: S 2607697054:2607697054(0) win 5840 

mas quando baixa o arquivo a fila em uso é a genérica :(

agradeço antecipadamente :)

sim, isso é um PII 333MHz com FreeBSD 6.3-p2, se ajuda :)

matheus

-- 
We will call you cygnus,
The God of balance you shall be
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF matando conexoes

[Fábio Resner]

Ola pessoal!

Estou com um problema serio!
Implementamos aqui na empresa o PF com openBSD e estou enfrentando um
problema serio de estabilidade.
Ele mata conexoes de uma hora pra outra.

Msn's caindo, skype, conexoes ssh enfim.
Esta tudo muito estavel.

Temos um link ADSL e um a cabo que se ligam ao firewall e sai para o switch
onde ficam as demais maquinas.
As conexoes passam de ESTABLISHED para FIN_WAIT do nada.

Nao consegui identificar bem qual o problema.
Estou mandando essa mensagem para ver se alguem ja passou por problema
semelhante e pode dar uma luz.

Qualquer ajuda eh bem vinda!
Obrigado,

Fabio
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF + 3 Links

[Robson Peripolli Rodrigues]

Olá pessoal, quero ver se alguem pode me ajudar referente a gerenciar 3
links de 3 operadoras diferentes numa mesma maquina com PF. Meu cenario é o
seguinte, tenho 3 links e diversas subredes. Abaixo coloquei so tres como
exemplo, mas hoje as subredes que redireciono para os outros dois links que
não são as do gateway padrão da maquina, algumas paginas não abrem,
principalmente as de banco, sistemas dos governos ou paginas que usam alguma
outra porta. Sei que o certo seria fazer algum redirecionamento para sair
por esse link que esta atribuido o gateway da maquina mas eu precisava achar
uma solução mais concreta e definitiva. Precisava fazer eles sairem
totalmente por onde eu definir, sem redirecionamentos. Abaixo tem um exemplo
de como está meu firewall.

nat on $WAN  from  to any -> WAN
nat on $WAN2 from  to any -> WAN2
nat on $WAN3 from  to any -> WAN3

pass in quick on $LAN route-to ($WAN3 $GW3 ) round-robin inet proto tcp from
10.13.0.0/16 to any flags S/SA modulate
pass in quick on $LAN route-to ($WAN3 $GW3 ) inet proto { udp, icmp } from
10.13.0.0/16 to any keep state
pass out on $WAN3 route-to ($WAN3 $GW3 ) from $WAN3 to any
pass in quick on $LAN route-to ($WAN2 $GW2) round-robin inet proto tcp from
10.12.0.0/16 to any flags S/SA modulate state
pass in quick on $LAN route-to ($WAN2 $GW2) inet proto { udp, icmp } from
10.12.0.0/16 to any keep state
pass out on $WAN2 route-to ($WAN2 $GW2) from $WAN2 to any
Se alguem tem alguma dica, ficarei muito grato, estou a tempos tentando
achar uma solução mas não consigo.

Obrigado.

-- 

Robson Peripolli Rodrigues
[EMAIL PROTECTED]
[EMAIL PROTECTED]
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF rejeitando conexões

[samuel peres]

Saudações a todos da lista,

   Estou com um problema muito estranho aqui e não estou
conseguindo encontrar a solução. Tenho um servidor rodando FreeBSD-7.0
(AMD64) e nele tenho o PF fazendo NAT e mais algumas regras de filtragem.
Tudo funcionava perfeitamente, entretanto, na última segunda-feira de forma
misteriosa, o PF começou a rejeitar conexões por volta das 18hs. Para
entender melhor o problema, vejam o exemplo abaixo:

# ping freebsd.org
PING freebsd.org (69.147.83.40): 56 data bytes
64 bytes from 69.147.83.40: icmp_seq=0 ttl=51 time=204.782 ms
64 bytes from 69.147.83.40: icmp_seq=1 ttl=51 time=220.119 ms

CTRL+C

# ping freebsd.org
PING freebsd.org (69.147.83.40): 56 data bytes
64 bytes from 69.147.83.40: icmp_seq=0 ttl=51 time=201.732 ms
64 bytes from 69.147.83.40: icmp_seq=1 ttl=51 time=199.119 ms

CTRL+C

# ping freebsd.org
PING freebsd.org (69.147.83.40): 56 data bytes
ping: sendto: Operation not permitted
ping: sendto: Operation not permitted
64 bytes from 69.147.83.40: icmp_seq=1 ttl=51 time=182.129 ms

CTRL+C

Ou seja, ocasiolnalmente o comando ping retorna "sendto: Operation not
permitted" . Se eu desabilitar o PF o problema não mais acontece,
habilitando novamente volta a acontecer. E detalhe muito importante, no dia
que foi detectado o problema (por volta das 18hs) a rede evidentemente ficou
lenta e a "solução" encontrada no momento foi o famoso reboot (o sistema
estava com um uptime de 71 dias), e concluido o boot do sistema tudo voltou
ao normal. Fiquei preocupado e passei a monitorar o tráfego de todas as
interfaces presentes para ver se achava algo, mas nada, tudo normal. E ontem
(terça-feira) por volta das 18hs novamente o mesmo problema volta a
acontecer, só que dessa vez resolvi não usar o reboot como momentânea
solução. Então pensei em recarregar o PF (/etc/rc.d/pf reload) e feito isso
o sistema voltou a operar normalmente. Como já estou prevendo que o problema
vai voltar de novo (e por incrível que pareça no mesmo horário, porque nesse
momento as coisas continuam normais), me dirijo a vocês para tentar me dar
uma ajuda.

Observação talvez relativa: Um dia antes (no domingo) foi  re-configurado um
DNS em outro servidor (conectado a interface DMZ) com BIND-9.5.0-P1 e passei
a utilizar VIEW para seperar as zonas.

No meu /etc/pf.conf tenho a seguinte configuração relacionada a tempo de
execução:

set optimization normal
set limit { states 4, frags 3 }
set timeout { adaptive.start 24000, adaptive.end 48000 }

A saída de "pfctl -s state | wc -l" sempre me mostra algo em torno de 3
linhas presentes na tabela de estado.

Todos adaptadores de rede são PCI Gigabit Intel PRO 100/1000 (device "em").

Alguém tem alguma dica?

Desde já obrigado pela atenção

-- 
Samuel Peres
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] pf com ipfw

[Wanderson Tinti]

Olá lista,
Presciso colocar o pf trabalhando com ipfw das seguintes forma:
 pf  Fazendo filtro, nat, etc e o ipfw fazendo controle de banda.
Também ipfw fazendo filtro, controle de banda e o pf fazendo nat.

 Andei lendo por ai e muitos dizem que as regras do ipfw deve ser lida
antes, outros dizem ser do pf. Sei que muitos aqui usa uma maquina
firewall com ipfw e pf. Então alguém pode posta um bloco de
configuracao contendo pf e ipfw trabalhando juntos, me dizer qual deve
ser carregado primeiro. dicas, configuracao, enfim, tudo será util.
Não tenho menor ideia como deve ser.

Boa noite pessoal.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] pf route-to

[Wildes Miranda de Oliveira]

Pessoal , bom dia. 

Esta semana postei na lista uma duvida sobre "Rotear multiplos links adsl" que 
basicamente o conteudo era : 
"estou utilizando o "pf" como firewall. 
Consegui fazer o balanceamento da saída (conexoes iniciadas "from" lan "to" 
internet) utilizando o "route-to" , mas estou tendo enormes dificuldades em 
realizar o "balanceamento" de entrada (conexoes iniciadas "from" internet "to" 
dmz) ,que ja é feito via DNS, mas o kernel insiste em responder somente atraves 
do gateway default." 

Bom,de certa forma concordo com o kernel em responder pela rota default. Mas 
tenho esta necessidade de multiplos links, no mesmo roteador e que um pacote 
que entre por um link sai pelo mesmo. 

Pensei...pensei...pensei...pensei ... Teria que ter uma forma de identificar o 
pacote que entrou por um determinado link para que depois se consiga voltar a 
resposta do mesmo pelo link correspondente via route-to. E uma forma de fazer 
isso seria "natear" as conexoes entrantes. O que resultou nas seguintes regras 
de firewall : 

route0="(" $ext_if0 $router0 ")" 
route1="(" $ext_if1 $router1 ")" 

nat on $ext_if0 from {$dmz,$lan} to any -> $ext_ip0 
nat on $ext_if1 from {$dmz,$lan} to any -> $ext_ip1 

nat on $int_if from any to $dmz tagged ROUTE0 -> $virtual_ip0 
nat on $int_if from any to $dmz tagged ROUTE1 -> $virtual_ip1 

rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag ROUTE0 -> 
$web_server 
rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag ROUTE1 -> 
$web_server 

pass in on $int_if route-to $route0 from $dmz to $virtual_ip0 flags S/SA 
modulate state 
pass in on $int_if route-to $route1 from $dmz to $virtual_ip1 flags S/SA 
modulate state 

pass in on $int_if route-to {$route0,$route1} round-robin from $lan to any 
flags S/SA modulate state 

pass out on $ext_if0 route-to $route1 from $ext_if1 to any flags S/SA modulate 
state 
pass out on $ext_if1 route-to $route0 from $ext_if0 to any flags S/SA modulate 
state 


Analisando somente esta logica, desconsiderando quaisquer outras configuracoes, 
isto nao teria que funcionar ? Eu acho que sim, 
mas nao esta funcionando. O kernel continua a insistir em responder pela rota 
default. O que mais me intriga e que as conexoes originadas da lan to internet 
funcionam, sendo que a regra e a mesma. 

Alguem consegue me dar um help, ou me orientar se estou tendo uma interpretacao 
errada do fluxo correto dos pacotes nas interfaces e de roteamento ? 

Grato. 

-- 
Wildes Miranda 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF versus portsentry

[Anderson Alves de Albuquerque]

 Eu utilizava o portsentry para executar algum procedimento (bloquear
atacante ou liberar algum porta) quando uma porta TCP eh acionada.

 NO PF tem como fazer isto sem utilizar terceiros como o portsentry?

 Eu acho que vi algo no PF que executa um script se uma regra pass ou block
combinar com um pacote ou conexão. Mas não achei isto mais. alguém sabe se
tem isto no PF?

-- 
[], Anderson Alves de Albuquerque.
---
E-mails: andersonalvesdealbuquerque#hotmail.com (replace # by @)
andersonaa#gmail.com (replace # by @)
ICQ: 73222660
---
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF - Ajuda

[Gustavo Freitas]

Amigo..

envie novamente.. sem formatação das suas regras .. assim ficou complicado ver..

-- 
Gustavo Freitas
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF - Ajuda

[Welkson Renny de Medeiros]

pedro escreveu:
> Segue Anexo arquivo firewall.
>
> Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, 
> ela era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando 
> das regras que essa maquina tinha no firewall e depois de alguma pesquisa 
> consegui algo com:
> # pfctl -sn Mostra as regras atuais de NAT
> # pfctl -sr Mostra as regras atuais de filtragem
> Nao consegui localizar o script de firewall, acho que quem configurou mudou 
> os padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive 
> tudo que precisava? Alguem poderia me ajudar a traduzir o que foi 
> apresentado,alguma coisa intendi.
> 
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>   

Pedro,

Veja no /etc/rc.conf... o NORMAL é ser carregado por lá.

Veja depois o /etc/rc.local

E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d

Tem que está em algum desses lugares... eu acredito que esteja no 
PRIMEIRO (rc.conf)

Abraço,

-- 
Welkson Renny de Medeiros
Desenvolvimento / Gerência de Redes
Focus Automação Comercial
FreeBSD Community Member

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF - Ajuda

[Alessandro de Souza Rocha]

nslink# cat /etc/rc.conf | grep pf
pf_enable="YES"
pf_rules="/etc/pf.conf"


Em 14 de maio de 2010 10:11, Welkson Renny de Medeiros
 escreveu:
> pedro escreveu:
>> Segue Anexo arquivo firewall.
>>
>> Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, 
>> ela era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando 
>> das regras que essa maquina tinha no firewall e depois de alguma pesquisa 
>> consegui algo com:
>> # pfctl -sn                 Mostra as regras atuais de NAT
>> # pfctl -sr                 Mostra as regras atuais de filtragem
>> Nao consegui localizar o script de firewall, acho que quem configurou mudou 
>> os padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive 
>> tudo que precisava? Alguem poderia me ajudar a traduzir o que foi 
>> apresentado,alguma coisa intendi.
>> 
>>
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
> Pedro,
>
> Veja no /etc/rc.conf... o NORMAL é ser carregado por lá.
>
> Veja depois o /etc/rc.local
>
> E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d
>
> Tem que está em algum desses lugares... eu acredito que esteja no
> PRIMEIRO (rc.conf)
>
> Abraço,
>
> --
> Welkson Renny de Medeiros
> Desenvolvimento / Gerência de Redes
> Focus Automação Comercial
> FreeBSD Community Member
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
FreeBSD-BR User #117
 Long live FreeBSD

 Powered by 

  (__)
   \\\'',)
 \/  \ ^
 .\._/_)

 www.FreeBSD.org
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF - Ajuda

[pedro]

Segue saida do comando.  o rc.conf do freebsd fica em /etc/defaults/rc.conf 
.

Os arquivos presentes na saida, nao consegui encontrar. Como sera que foi 
implementado.

Att,
Pedro de Almeida

# find / -name pf.conf
# cat rc.conf | grep pf
swapfile="NO"   # Set to name of swapfile if aux swapfile desired.
firewall_flags=""   # Flags passed to ipfw when type is a file
ipfilter_enable="NO"# Set to YES to enable ipfilter 
functionality
ipfilter_program="/sbin/ipf"# where the ipfilter program lives
ipfilter_rules="/etc/ipf.rules" # rules definition file for ipfilter, see
# /usr/src/contrib/ipfilter/rules for 
examples
ipfilter_flags=""   # additional flags for ipfilter
ipmon_enable="NO"   # Set to YES for ipmon; needs ipfilter or 
ipnat
ipmon_program="/sbin/ipmon" # where the ipfilter monitor program lives
ipmon_flags="-Ds"   # typically "-Ds" or "-D /var/log/ipflog"
ipfs_enable="NO"# Set to YES to enable saving and restoring
ipfs_program="/sbin/ipfs"   # where the ipfs program lives
ipfs_flags=""   # additional flags for ipfs
pf_enable="NO"  # Set to YES to enable packet filter (pf)
pf_rules="/etc/pf.conf" # rules definition file for pf
pf_program="/sbin/pfctl"# where the pfctl program lives
pf_flags="" # additional flags for pfctl
pflog_enable="NO"   # Set to YES to enable packet filter logging
pflog_logfile="/var/log/pflog"  # where pflogd should store the logfile
pflog_program="/sbin/pflogd"# where the pflogd program lives
pflog_flags=""  # additional flags for pflogd
ftpproxy_enable="NO"# Set to YES to enable ftp-proxy(8) for pf
pfsync_enable="NO"  # Expose pf state to other hosts for syncing
pfsync_syncdev=""   # Interface for pfsync to work through
pfsync_syncpeer=""  # IP address of pfsync peer host
pfsync_ifconfig=""  # Additional options to ifconfig(8) for 
pfsync
ipv6_ipfilter_rules="/etc/ipf6.rules"   # rules definition file for 
ipfilter,
# see 
/usr/src/contrib/ipfilter/rules

- Original Message - 
From: "Alessandro de Souza Rocha" 
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Friday, May 14, 2010 11:11 AM
Subject: Re: [FUG-BR] PF - Ajuda


nslink# cat /etc/rc.conf | grep pf
pf_enable="YES"
pf_rules="/etc/pf.conf"


Em 14 de maio de 2010 10:11, Welkson Renny de Medeiros
 escreveu:
> pedro escreveu:
>> Segue Anexo arquivo firewall.
>>
>> Estou com um problema aqui na empresa com uma maquina freebsd 7 que 
>> parou, ela era o firewall da empresa e dhcp, agora estamos sem, eu estou 
>> precisando das regras que essa maquina tinha no firewall e depois de 
>> alguma pesquisa consegui algo com:
>> # pfctl -sn Mostra as regras atuais de NAT
>> # pfctl -sr Mostra as regras atuais de filtragem
>> Nao consegui localizar o script de firewall, acho que quem configurou 
>> mudou os padroes, como eu poderia localizar ?Sera que com esses comandos 
>> eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que 
>> foi apresentado,alguma coisa intendi.
>> 
>>
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
> Pedro,
>
> Veja no /etc/rc.conf... o NORMAL é ser carregado por lá.
>
> Veja depois o /etc/rc.local
>
> E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d
>
> Tem que está em algum desses lugares... eu acredito que esteja no
> PRIMEIRO (rc.conf)
>
> Abraço,
>
> --
> Welkson Renny de Medeiros
> Desenvolvimento / Gerência de Redes
> Focus Automação Comercial
> FreeBSD Community Member
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
FreeBSD-BR User #117
 Long live FreeBSD

 Powered by 

  (__)
   \\\'',)
 \/  \ ^
 .\._/_)

 www.FreeBSD.org
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF - Ajuda

[irado furioso com tudo]

Em Fri, 14 May 2010 11:41:56 -0300
"pedro" , conhecido consumidor/usuário de
drogas (Windows e BigMac com Coke) escreveu:

> Segue saida do comando.  o rc.conf do freebsd fica
> em /etc/defaults/rc.conf .

engano.. o rc.conf do freebsd fica mesmo em /etc. O que vc referiu é o
arquivo padrão, que NÃO deve sofrer alterações.

revise: grep -i pf /etc/rc.conf e NÃO o outro. As regras PROVAVELMENTE
encontram-se em pf.conf; se não estiverem, vai ter que revisar os
vários arquivos que estão sob /etc/

pra facilitar sugiro procurar por palavras chave:

grep -i scrub (ou "anchor" ou "drop" ou qualquer outra) /etc/*




-- 
 saudações,
 irado furioso com tudo
 Linux User 179402/FreeBSD BSD50853/FUG-BR 154
 Não uso drogas - 100% Miko$hit-free
A filosofia é composta de respostas incompreensíveis para questões
insolúveis. Henry B. Adams, historiador americano
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF - Ajuda

[pedro]

SERA QUE ALGUEM CONSEGUE ME INFORMAR SE ESSES COMANDOS ABAIXO SSERVEM PARA 
VERIFICAR AS REGRAS QUE EU TENHO EM UM FIREWALL FreeBsd 7.


Att,
Pedro de Almeida


- Original Message - 
From: "Welkson Renny de Medeiros" 
To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" 

Sent: Friday, May 14, 2010 10:11 AM
Subject: Re: [FUG-BR] PF - Ajuda


pedro escreveu:
> Segue Anexo arquivo firewall.
>
> Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, 
> ela era o firewall da empresa e dhcp, agora estamos sem, eu estou 
> precisando das regras que essa maquina tinha no firewall e depois de 
> alguma pesquisa consegui algo com:
> # pfctl -sn Mostra as regras atuais de NAT
> # pfctl -sr Mostra as regras atuais de filtragem
> Nao consegui localizar o script de firewall, acho que quem configurou 
> mudou os padroes, como eu poderia localizar ?Sera que com esses comandos 
> eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que 
> foi apresentado,alguma coisa intendi.
> 
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Pedro,

Veja no /etc/rc.conf... o NORMAL é ser carregado por lá.

Veja depois o /etc/rc.local

E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d

Tem que está em algum desses lugares... eu acredito que esteja no
PRIMEIRO (rc.conf)

Abraço,

-- 
Welkson Renny de Medeiros
Desenvolvimento / Gerência de Redes
Focus Automação Comercial
FreeBSD Community Member

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF - Ajuda

[Henrique Vinicius]

Se for regras ipfw ipfw list

Em 18 de maio de 2010 09:19, pedro  escreveu:

> SERA QUE ALGUEM CONSEGUE ME INFORMAR SE ESSES COMANDOS ABAIXO SSERVEM PARA
> VERIFICAR AS REGRAS QUE EU TENHO EM UM FIREWALL FreeBsd 7.
>
>
> Att,
> Pedro de Almeida
>
>
> - Original Message -
> From: "Welkson Renny de Medeiros" 
> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)""
> 
> Sent: Friday, May 14, 2010 10:11 AM
> Subject: Re: [FUG-BR] PF - Ajuda
>
>
> pedro escreveu:
> > Segue Anexo arquivo firewall.
> >
> > Estou com um problema aqui na empresa com uma maquina freebsd 7 que
> parou,
> > ela era o firewall da empresa e dhcp, agora estamos sem, eu estou
> > precisando das regras que essa maquina tinha no firewall e depois de
> > alguma pesquisa consegui algo com:
> > # pfctl -sn Mostra as regras atuais de NAT
> > # pfctl -sr Mostra as regras atuais de filtragem
> > Nao consegui localizar o script de firewall, acho que quem configurou
> > mudou os padroes, como eu poderia localizar ?Sera que com esses comandos
> > eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que
> > foi apresentado,alguma coisa intendi.
> > 
> >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> Pedro,
>
> Veja no /etc/rc.conf... o NORMAL é ser carregado por lá.
>
> Veja depois o /etc/rc.local
>
> E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d
>
> Tem que está em algum desses lugares... eu acredito que esteja no
> PRIMEIRO (rc.conf)
>
> Abraço,
>
> --
> Welkson Renny de Medeiros
> Desenvolvimento / Gerência de Redes
> Focus Automação Comercial
> FreeBSD Community Member
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF - Ajuda

[Alessandro de Souza Rocha]

nslink# ipfw list
00051 allow ip from any to any iptos mincost
00191 deny tcp from any to any dst-port 445 via vr0
01500 deny ip from 192.168.0.164 to any dst-port 25 via vr0
01501 deny ip from 192.168.0.154 to any dst-port 25 via rl0
01502 deny tcp from any to any dst-port 137 via vr0
01503 deny tcp from any to any dst-port 138 via vr0
01933 deny tcp from any to any dst-port 139 via vr0
01934 deny tcp from any to any dst-port 445 via rl1
01935 deny tcp from any to any dst-port 445 via vr0
05000 prob 0.60 deny tcp from not 192.168.0.200 to not
20.0.0.0/24,200.0.0.0
/8,201.0.0.0/8 dst-port 1863
15012 deny udp from any to any dst-port 137 via vr0
15013 deny udp from any to any dst-port 138 via vr0
19313 deny udp from any to any dst-port 139 via vr0
19315 deny udp from any to any dst-port 445 via vr0
64000 fwd 127.0.0.1,3128 tcp from any to any dst-port 80 via re0 setup
keep-stat e
65535 allow ip from any to any

nslink# pfctl -sr
scrub in all fragment reassemble
pass out on rl0 inet from any to 192.168.0.0/24 flags S/SA keep state
pass in quick on rl0 inet from 192.168.0.0/24 to 192.168.0.2 flags
S/SA keep state
pass in quick on rl0 inet from 192.168.0.0/24 to 10.1.10.2 flags S/SA keep state
pass in on vr0 proto tcp all flags S/SA modulate state
pass in on vr0 proto udp all keep state
pass in on vr0 proto icmp all keep state

Em 18 de maio de 2010 09:31, Henrique Vinicius
 escreveu:
> Se for regras ipfw ipfw list
>
> Em 18 de maio de 2010 09:19, pedro  escreveu:
>
>> SERA QUE ALGUEM CONSEGUE ME INFORMAR SE ESSES COMANDOS ABAIXO SSERVEM PARA
>> VERIFICAR AS REGRAS QUE EU TENHO EM UM FIREWALL FreeBsd 7.
>>
>>
>> Att,
>> Pedro de Almeida
>>
>>
>> - Original Message -
>> From: "Welkson Renny de Medeiros" 
>> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)""
>> 
>> Sent: Friday, May 14, 2010 10:11 AM
>> Subject: Re: [FUG-BR] PF - Ajuda
>>
>>
>> pedro escreveu:
>> > Segue Anexo arquivo firewall.
>> >
>> > Estou com um problema aqui na empresa com uma maquina freebsd 7 que
>> parou,
>> > ela era o firewall da empresa e dhcp, agora estamos sem, eu estou
>> > precisando das regras que essa maquina tinha no firewall e depois de
>> > alguma pesquisa consegui algo com:
>> > # pfctl -sn                 Mostra as regras atuais de NAT
>> > # pfctl -sr                 Mostra as regras atuais de filtragem
>> > Nao consegui localizar o script de firewall, acho que quem configurou
>> > mudou os padroes, como eu poderia localizar ?Sera que com esses comandos
>> > eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que
>> > foi apresentado,alguma coisa intendi.
>> > 
>> >
>> > -
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >
>>
>> Pedro,
>>
>> Veja no /etc/rc.conf... o NORMAL é ser carregado por lá.
>>
>> Veja depois o /etc/rc.local
>>
>> E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d
>>
>> Tem que está em algum desses lugares... eu acredito que esteja no
>> PRIMEIRO (rc.conf)
>>
>> Abraço,
>>
>> --
>> Welkson Renny de Medeiros
>> Desenvolvimento / Gerência de Redes
>> Focus Automação Comercial
>> FreeBSD Community Member
>>
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
FreeBSD-BR User #117
 Long live FreeBSD

 Powered by 

  (__)
   \\\'',)
 \/  \ ^
 .\._/_)

 www.FreeBSD.org
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF - Ajuda

[irado furioso com tudo]

Em Tue, 18 May 2010 09:19:19 -0300
"pedro" , conhecido consumidor/usuário de
drogas (Windows e BigMac com Coke) escreveu:

> SERA QUE ALGUEM CONSEGUE ME INFORMAR

não precisa gritar :(

tudo o que vc precisa está aqui:

http://www.ataliba.eti.br/files/txts/freebsd-pf.pdf

divirta-se. 

flames > /dev/null

-- 
 saudações,
 irado furioso com tudo
 Linux User 179402/FreeBSD BSD50853/FUG-BR 154
 Não uso drogas - 100% Miko$hit-free
"Todo tecnocrata tem que saber fazer muito bem as quatro operações:
ambição, puxação, toma e explicação."[Millôr Fernande]
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF - Ajuda

[pedro]

valew, raca.

Att,
Pedro de Almeida


- Original Message - 
From: "irado furioso com tudo" 
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Tuesday, May 18, 2010 9:44 AM
Subject: Re: [FUG-BR] PF - Ajuda


Em Tue, 18 May 2010 09:19:19 -0300
"pedro" , conhecido consumidor/usuário de
drogas (Windows e BigMac com Coke) escreveu:

> SERA QUE ALGUEM CONSEGUE ME INFORMAR

não precisa gritar :(

tudo o que vc precisa está aqui:

http://www.ataliba.eti.br/files/txts/freebsd-pf.pdf

divirta-se.

flames > /dev/null

-- 
 saudações,
 irado furioso com tudo
 Linux User 179402/FreeBSD BSD50853/FUG-BR 154
 Não uso drogas - 100% Miko$hit-free
"Todo tecnocrata tem que saber fazer muito bem as quatro operações:
ambição, puxação, toma e explicação."[Millôr Fernande]
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF vs VPN

[Christiano Liberato]

Boa tarde,

preciso acessar a vpn de duas empresas da minha rede local.
Quando tento acessar a mesma empresa simultaneamente, o segundo login nao
conclui.
Se as duas pessoas simultaneamente acessam empresas diferentes, vai numa
boa.

Tenho um outro link adsl para testes que funciona as duas opções.

Liberei tcp para porta 1723 e protocolo GRE tambem.

Alguem ja passou por essa?

Obrigado.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] pf e altq

[Thiago souza]

Olá a todos,

Tenho uma maquina configurada com com OpenBSD 4.5 já compilado para
trabalhar com PF e ALTQ onde nas minhas configurações do PF inicio o
seguinte:

altq on { vr0 xl0 nfe0 } hfsc bandwidth 1024Kb queue 

quando vou checar no pftop vejo que apenas a primeira interface está
configurada para 1024kb sendo:

root_vr0   1024K hfsc000
000 0   0


mas que na verdade o correto seria estar:

root_vr0 1024K hfsc000
000 0   0
root_xl0 1024K hfsc000
000 0   0
root_nfe0   1024K hfsc000
000 0   0


alguém poderia me ajudar?

desde já agradeço.



-- 
Thiago Melo.


»(▒) OpenBSD
free, functional & secure.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF PPTP

[Thiago Gomes]

mande suas regras PF o erro deve esta nelas

2009/10/20 Nilton Carlos Pavan 
>
> Boa tarde a todos...
> Tenho um server BSD 6.4 com serviço de pptp (poptop) instalado..
> Antes utilizava o ipfw como firewall deste server agora passei a usar o pf
> (muito bom por sinal [?] ), mas como nem tudo é simples rsss está ocorrendo
> problemas com a vpn.
> Os clientes conectam na vpn, autentica, atribui ip só que não exergam a rede
> interna (ping por exemplo), se eu desabilito o pf volta ao normal.
>
> Alguém poderia me dar uma luz?
>
> Agradeço desde já.
>
> []s
>
> Nilton Pavan
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



--
Thiago Gomes
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF PPTP

[Nilton Carlos Pavan]

Segue


#REDE  ##
ext_if="vr1"
int_if="re0"

int_addr="192.168.1.254"
int_net="192.168.1.0/24"
ext_addr="200.1x"
tcp_in="{21,20,1723,5900}"
tcp_in_int="{3128,21}"
tcp_out_block="{8080,3128}"
connect="{200.2}"


#NORMALIZANDO TRAFEGO #

set timeout { tcp.first 60 tcp.opening 15 tcp.established 86400 \
tcp.closing 300 tcp.finwait 15 tcp.closed 15 }
set timeout { udp.first 30 udp.single 15 udp.multiple 30 }
set timeout { icmp.first 10 icmp.error 5 }
set timeout { other.first 30 other.single 15 other.multiple 30 }
set timeout { frag 30 interval 10 }
set limit { states 5 frags 25000 }
set optimization aggressive
set loginterface $ext_if
set loginterface $int_if
set block-policy return
set require-order yes
scrub all fragment reassemble random-id no-df

#NAT #
nat-anchor "ftp-proxy/*"
nat on $ext_if from $int_net to any -> $ext_if


rdr-anchor "ftp-proxy/*"

rdr on $int_if inet proto tcp from any to any port ftp -> 127.0.0.1 port
8021
rdr on $int_if inet proto tcp from any to any port 80 -> 127.0.0.1 port 3128


#PADROES #
block in log on $ext_if
pass quick on lo0 all
pass quick on $int_if all
antispoof quick for {$int_if, $ext_if} inet
pass out on $ext_if keep state


anchor "ftp-proxy/*"
pass quick proto tcp from $int_net to 127.0.0.1 port 8021 keep state

#SERVICOS EXTERNOS #
pass in quick on $ext_if proto gre from any to any keep state
pass in quick on $ext_if proto tcp from any to any port $tcp_in keep state
pass in quick on $ext_if proto tcp from any to any port 10050 >< 10080 keep
state

#BLOQUEIO DE REDE PARA EXTERNO ##
pass in quick on $int_if proto tcp from $int_net to $int_addr port
$tcp_in_int
#block log quick on $int_if proto tcp from $int_net to any port
$tcp_out_block




Agradeço


2009/10/20 Thiago Gomes 

> mande suas regras PF o erro deve esta nelas
>
> 2009/10/20 Nilton Carlos Pavan 
> >
> > Boa tarde a todos...
> > Tenho um server BSD 6.4 com serviço de pptp (poptop) instalado..
> > Antes utilizava o ipfw como firewall deste server agora passei a usar o
> pf
> > (muito bom por sinal [?] ), mas como nem tudo é simples rsss está
> ocorrendo
> > problemas com a vpn.
> > Os clientes conectam na vpn, autentica, atribui ip só que não exergam a
> rede
> > interna (ping por exemplo), se eu desabilito o pf volta ao normal.
> >
> > Alguém poderia me dar uma luz?
> >
> > Agradeço desde já.
> >
> > []s
> >
> > Nilton Pavan
> >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
>
> --
> Thiago Gomes
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF Block P2P

[Nilton Carlos Pavan]

Bom dia a Todos

Gostaria de saber se alguém conseguir bloquear P2P (kazaa, emule, ares,
etc... ) no PF?

Agradeço desde já.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF - Sites https

[Paulo]

Senhores,

estou enfrentando problema com sites que não funciona passando pelo squid,
por exemplo, conectividade social e outros. No Linux utilizava o prerouting,
e quais as regras vocês utiliza no PF? Aguardo retorno.

Obrigado.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF + Scrub .

[Marcelo/Porks]

2010/1/29 Paulo Henrique :
> Segue abaixo minhas regras.
>
> scrub in on $INT_IF all fragment reassemble
> scrub in on $INT_IF all no-df
> scrub on $INT_IF all reassemble tcp
>
> saida pfctl -nf $arquivo
>
> # pfctl  -nf /root/firewall/pf.conf
> /root/firewall/pf.conf:88: syntax error
>
> Linha 88 = scrub in on $INT_IF all fragment reassemble

Diga o valor de $INT_IF

Fiz aqui e funcionou:

mt# grep scrub /etc/pf.conf
scrub in on $IF_Int_Prisma all fragment reassemble
scrub in on $All_IF_Int all fragment reassemble

mt# grep "All_IF_Int =" /etc/pf.conf
All_IF_Int = "{ " $IF_Int_Aplic $IF_Int_Prisma $IF_Int_ATAs $IF_Int_Servs " }"

mt# grep "IF_Int_Prisma =" /etc/pf.conf
IF_Int_Prisma = "vlan101"
IP_IF_Int_Prisma = "( " $IF_Int_Prisma " )"

mt# pfctl -nf /etc/pf.conf
#

-- 
Marcelo Rossi
"This e-mail is provided "AS IS" with no warranties, and confers no rights."
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF + Scrub .

[Paulo Henrique]

EXT_IF = "re0"
INI_IF = "xl0"
DMZ_IF = "xl1"

Em 1 de fevereiro de 2010 17:17, Marcelo/Porks
 escreveu:
> 2010/1/29 Paulo Henrique :
>> Segue abaixo minhas regras.
>>
>> scrub in on $INT_IF all fragment reassemble
>> scrub in on $INT_IF all no-df
>> scrub on $INT_IF all reassemble tcp
>>
>> saida pfctl -nf $arquivo
>>
>> # pfctl  -nf /root/firewall/pf.conf
>> /root/firewall/pf.conf:88: syntax error
>>
>> Linha 88 = scrub in on $INT_IF all fragment reassemble
>
> Diga o valor de $INT_IF
>
> Fiz aqui e funcionou:
>
> mt# grep scrub /etc/pf.conf
> scrub in on $IF_Int_Prisma all fragment reassemble
> scrub in on $All_IF_Int all fragment reassemble
>
> mt# grep "All_IF_Int =" /etc/pf.conf
> All_IF_Int = "{ " $IF_Int_Aplic $IF_Int_Prisma $IF_Int_ATAs $IF_Int_Servs " }"
>
> mt# grep "IF_Int_Prisma =" /etc/pf.conf
> IF_Int_Prisma = "vlan101"
> IP_IF_Int_Prisma = "( " $IF_Int_Prisma " )"
>
> mt# pfctl -nf /etc/pf.conf
> #
>
> --
> Marcelo Rossi
> "This e-mail is provided "AS IS" with no warranties, and confers no rights."
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
:=)>Paulo Henrique (JSRD)<(=:

Alone,  locked, a survivor, unfortunately not know who I am
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] PF e ALTQ

[Welkson Renny de Medeiros]

Senhores, achei alguma coisa na internet sobre priorização de pacotes com 
ALTQ e PF, incluí no meu pf.conf e estou testando agora... gostaria de 
compartilhar as regras e saber a opinião de vocês, se dar pra melhorar 
alguma coisa.

Estou analisando usando o seguinte comando:
pfctl -vv -sq

A idéia é dar prioridade a um determinado ip da rede (voip 192.168.0.252).

# macros
int_if = "rl0"
ext_if = "sis0"
voip_gw = "{ 192.168.0.252 }" # ip do voip linksys 2102

# this is a recommended setting for SIP
set timeout { udp.first 300, udp.single 150, udp.multiple 900 }

# priorização dos pacotes
altq on $ext_if cbq bandwidth 1Mb queue { normal, voip }
queue normal bandwidth 800Kb priority 1 cbq(borrow,default)
queue voip bandwidth 200Kb priority 7 cbq(borrow)

# nat
nat on $ext_if from !($ext_if) -> ($ext_if:0)

# Generic NAT rule for all internal network devices
nat on $ext_if from $int_net to any -> ($ext_if)

# proxy transparent (dansguardian-squid)
rdr on $int_if inet proto tcp from $int_if:network \
  to !$int_if:network port www -> 127.0.0.1 port 8080

# Allow external SIP control traffic
pass in  quick on $ext_if proto udp from any to any port 5060 keep state

# Allow udp from VoIP provider
pass out on $ext_if inet proto udp from $voip_gw to any queue voip
pass in on $int_if inet proto udp from $voip_gw to any queue voip

# outros
pass out quick on $ext_if proto { tcp, udp, icmp, gre } all keep state
pass in quick on $ext_if proto { tcp, udp, icmp, gre } all keep state
pass out log quick proto gre all keep state

Abraço,


-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
[EMAIL PROTECTED] 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF + Tarpitting

[Cristina Fernandes Silva]

Ja tentou usar o IPFW ??

2008/11/15 Victor <[EMAIL PROTECTED]>:
> Olá amigos,
>
> Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam
> (httpd.pl). Estou no momento usando uma regra apresentada nos documentos
> oficiais do PF (http://www.openbsd.org/faq/pf/filter.html):
>
> table  persist
> block in quick from 
>
> pass in on $ext_if proto tcp to $web_server \
>port www flags S/SA keep state \
>(max-src-conn 100, max-src-conn-rate 15/5, overload 
> flush)
>
> Porém vários usuários estão sendo taxados como spammers indevidamente. Vi no
> man page do PF que é possível fazer um tarpit para os overloads, o que seria
> mais interessante do que adcionar os IP's em uma black list definitiva. Não
> sei que software pode ser utilizado para fazer este tarpit ou mesmo como
> redirecionar a table para ele. Não consegui nada no Google, apenas
> tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para
> constar, quando eu usava Linux, utilizava a seguinte regra no iptables e
> funcionava perfeitamente:
>
> /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m
> recent --set --name ANTISPAM -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds
> 5 --hitcount 15 --name ANTISPAM -j DROP
>
> Obrigado.
>
> --
> Atenciosamente,
> Victor Gustavo Volpe
> Diretor Executivo
> Grupo Total Serviços de Internet LTDA - ME
> CNPJ: 08.776.401/0001-40
> (17) 3227-0686 / 9105-5392
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF + Tarpitting

[Victor]

Olá Cristina,

Agradeço sua resposta. Será que você teria tal regra para IPFW ?

Obrigado.


--
Atenciosamente,
Victor Gustavo Volpe
Diretor Executivo
Grupo Total Serviços de Internet LTDA - ME
CNPJ: 08.776.401/0001-40
(17) 3227-0686 / 9105-5392

- Original Message - 
From: "Cristina Fernandes Silva" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Saturday, November 15, 2008 11:14 PM
Subject: Re: [FUG-BR] PF + Tarpitting


Ja tentou usar o IPFW ??

2008/11/15 Victor <[EMAIL PROTECTED]>:
> Olá amigos,
>
> Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam
> (httpd.pl). Estou no momento usando uma regra apresentada nos documentos
> oficiais do PF (http://www.openbsd.org/faq/pf/filter.html):
>
> table  persist
> block in quick from 
>
> pass in on $ext_if proto tcp to $web_server \
>port www flags S/SA keep state \
>(max-src-conn 100, max-src-conn-rate 15/5, overload 
> flush)
>
> Porém vários usuários estão sendo taxados como spammers indevidamente. Vi 
> no
> man page do PF que é possível fazer um tarpit para os overloads, o que 
> seria
> mais interessante do que adcionar os IP's em uma black list definitiva. 
> Não
> sei que software pode ser utilizado para fazer este tarpit ou mesmo como
> redirecionar a table para ele. Não consegui nada no Google, apenas
> tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para
> constar, quando eu usava Linux, utilizava a seguinte regra no iptables e
> funcionava perfeitamente:
>
> /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m
> recent --set --name ANTISPAM -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds
> 5 --hitcount 15 --name ANTISPAM -j DROP
>
> Obrigado.
>
> --
> Atenciosamente,
> Victor Gustavo Volpe
> Diretor Executivo
> Grupo Total Serviços de Internet LTDA - ME
> CNPJ: 08.776.401/0001-40
> (17) 3227-0686 / 9105-5392
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

__ NOD32 3615 (20081115) Information __

This message was checked by NOD32 antivirus system.
http://www.eset.com


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF + Tarpitting

[renato martins]

Você está usando pf para proteger seu apache de spam ?
apache é seu servidor de sites no máximo spammers podem coletar emails de
seu site para envia para eles spam mas desta forma seu usuário receberia um
caminhào de spam e não seria taxados como spammers.

Se seus usuários está sendo marcos como spammers provavelmente eles sejão,
até involuntariamente pois suas máquinas podem estar contaminadas com vírus,
warms e outros ou estão mandando email marketing mesmo.

 quanto á isso você não vai resolver com pf nem ipfw a menos que você
descubra os usuarios que estào fazendo isso e feche eles no firewall para
que não usem servidores smtp externos e em alguns casos como contaminados
por virus feche eles até para o seu smtp, O esquema de tarpit tb é muito
util nesses casos.

oriente seus usuários nào clicarem links em emails desconhecidos ou duvidoso
, recomende o uso de ant-virus e ant-spyware

2008/11/16 Victor <[EMAIL PROTECTED]>

> Olá Cristina,
>
> Agradeço sua resposta. Será que você teria tal regra para IPFW ?
>
> Obrigado.
>
>
> --
> Atenciosamente,
> Victor Gustavo Volpe
> Diretor Executivo
> Grupo Total Serviços de Internet LTDA - ME
> CNPJ: 08.776.401/0001-40
> (17) 3227-0686 / 9105-5392
>
> - Original Message -
> From: "Cristina Fernandes Silva" <[EMAIL PROTECTED]>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> 
> Sent: Saturday, November 15, 2008 11:14 PM
> Subject: Re: [FUG-BR] PF + Tarpitting
>
>
> Ja tentou usar o IPFW ??
>
> 2008/11/15 Victor <[EMAIL PROTECTED]>:
> > Olá amigos,
> >
> > Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam
> > (httpd.pl). Estou no momento usando uma regra apresentada nos documentos
> > oficiais do PF (http://www.openbsd.org/faq/pf/filter.html):
> >
> > table  persist
> > block in quick from 
> >
> > pass in on $ext_if proto tcp to $web_server \
> >port www flags S/SA keep state \
> >(max-src-conn 100, max-src-conn-rate 15/5, overload 
> > flush)
> >
> > Porém vários usuários estão sendo taxados como spammers indevidamente. Vi
> > no
> > man page do PF que é possível fazer um tarpit para os overloads, o que
> > seria
> > mais interessante do que adcionar os IP's em uma black list definitiva.
> > Não
> > sei que software pode ser utilizado para fazer este tarpit ou mesmo como
> > redirecionar a table para ele. Não consegui nada no Google, apenas
> > tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para
> > constar, quando eu usava Linux, utilizava a seguinte regra no iptables e
> > funcionava perfeitamente:
> >
> > /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m
> > recent --set --name ANTISPAM -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds
> > 5 --hitcount 15 --name ANTISPAM -j DROP
> >
> > Obrigado.
> >
> > --
> > Atenciosamente,
> > Victor Gustavo Volpe
> > Diretor Executivo
> > Grupo Total Serviços de Internet LTDA - ME
> > CNPJ: 08.776.401/0001-40
> > (17) 3227-0686 / 9105-5392
> >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> __ NOD32 3615 (20081115) Information __
>
> This message was checked by NOD32 antivirus system.
> http://www.eset.com
>
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF + Tarpitting

[Victor]

Olá Renato,

Desculpe mas acho que você não entendeu. O SPAM que eu me refiro é ao flood 
de conexões feito por um script em Perl que gera quantas conexões você 
quiser no alvo e consequentemente o apache para de responder, simplificando 
é um DDoS. Se quiser, pode mandar uma mensagem em particular que eu te 
explico melhor e se desejar efetuo o ataque em seu apache para você ver como 
funciona.

Obrigado.


--
Atenciosamente,
Victor Gustavo Volpe
Diretor Executivo
Grupo Total Serviços de Internet LTDA - ME
CNPJ: 08.776.401/0001-40
(17) 3227-0686 / 9105-5392

- Original Message - 
From: "renato martins" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Monday, November 17, 2008 10:35 AM
Subject: Re: [FUG-BR] PF + Tarpitting


Você está usando pf para proteger seu apache de spam ?
apache é seu servidor de sites no máximo spammers podem coletar emails de
seu site para envia para eles spam mas desta forma seu usuário receberia um
caminhào de spam e não seria taxados como spammers.

Se seus usuários está sendo marcos como spammers provavelmente eles sejão,
até involuntariamente pois suas máquinas podem estar contaminadas com vírus,
warms e outros ou estão mandando email marketing mesmo.

 quanto á isso você não vai resolver com pf nem ipfw a menos que você
descubra os usuarios que estào fazendo isso e feche eles no firewall para
que não usem servidores smtp externos e em alguns casos como contaminados
por virus feche eles até para o seu smtp, O esquema de tarpit tb é muito
util nesses casos.

oriente seus usuários nào clicarem links em emails desconhecidos ou duvidoso
, recomende o uso de ant-virus e ant-spyware

2008/11/16 Victor <[EMAIL PROTECTED]>

> Olá Cristina,
>
> Agradeço sua resposta. Será que você teria tal regra para IPFW ?
>
> Obrigado.
>
>
> --
> Atenciosamente,
> Victor Gustavo Volpe
> Diretor Executivo
> Grupo Total Serviços de Internet LTDA - ME
> CNPJ: 08.776.401/0001-40
> (17) 3227-0686 / 9105-5392
>
> - Original Message -
> From: "Cristina Fernandes Silva" <[EMAIL PROTECTED]>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> 
> Sent: Saturday, November 15, 2008 11:14 PM
> Subject: Re: [FUG-BR] PF + Tarpitting
>
>
> Ja tentou usar o IPFW ??
>
> 2008/11/15 Victor <[EMAIL PROTECTED]>:
> > Olá amigos,
> >
> > Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam
> > (httpd.pl). Estou no momento usando uma regra apresentada nos documentos
> > oficiais do PF (http://www.openbsd.org/faq/pf/filter.html):
> >
> > table  persist
> > block in quick from 
> >
> > pass in on $ext_if proto tcp to $web_server \
> >port www flags S/SA keep state \
> >(max-src-conn 100, max-src-conn-rate 15/5, overload 
> > flush)
> >
> > Porém vários usuários estão sendo taxados como spammers indevidamente. 
> > Vi
> > no
> > man page do PF que é possível fazer um tarpit para os overloads, o que
> > seria
> > mais interessante do que adcionar os IP's em uma black list definitiva.
> > Não
> > sei que software pode ser utilizado para fazer este tarpit ou mesmo como
> > redirecionar a table para ele. Não consegui nada no Google, apenas
> > tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para
> > constar, quando eu usava Linux, utilizava a seguinte regra no iptables e
> > funcionava perfeitamente:
> >
> > /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m
> > recent --set --name ANTISPAM -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds
> > 5 --hitcount 15 --name ANTISPAM -j DROP
> >
> > Obrigado.
> >
> > --
> > Atenciosamente,
> > Victor Gustavo Volpe
> > Diretor Executivo
> > Grupo Total Serviços de Internet LTDA - ME
> > CNPJ: 08.776.401/0001-40
> > (17) 3227-0686 / 9105-5392
> >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> __ NOD32 3615 (20081115) Information __
>
> This message was checked by NOD32 antivirus system.
> http://www.eset.com
>
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

__ NOD32 3618 (20081117) Information __

This message was checked by NOD32 antivirus system.
http://www.eset.com


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF + Tarpitting

[Rodrigo de Oliveira Gomes]

Victor,

Esse script *.pl tb funciona para IIS?

Obrigado,

Atenciosamente,

Rodrigo

Victor escreveu:
> Olá Renato,
>
> Desculpe mas acho que você não entendeu. O SPAM que eu me refiro é ao flood 
> de conexões feito por um script em Perl que gera quantas conexões você 
> quiser no alvo e consequentemente o apache para de responder, simplificando 
> é um DDoS. Se quiser, pode mandar uma mensagem em particular que eu te 
> explico melhor e se desejar efetuo o ataque em seu apache para você ver como 
> funciona.
>
> Obrigado.
>
>
> --
> Atenciosamente,
> Victor Gustavo Volpe
> Diretor Executivo
> Grupo Total Serviços de Internet LTDA - ME
> CNPJ: 08.776.401/0001-40
> (17) 3227-0686 / 9105-5392
>
> - Original Message - 
> From: "renato martins" <[EMAIL PROTECTED]>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
> 
> Sent: Monday, November 17, 2008 10:35 AM
> Subject: Re: [FUG-BR] PF + Tarpitting
>
>
> Você está usando pf para proteger seu apache de spam ?
> apache é seu servidor de sites no máximo spammers podem coletar emails de
> seu site para envia para eles spam mas desta forma seu usuário receberia um
> caminhào de spam e não seria taxados como spammers.
>
> Se seus usuários está sendo marcos como spammers provavelmente eles sejão,
> até involuntariamente pois suas máquinas podem estar contaminadas com vírus,
> warms e outros ou estão mandando email marketing mesmo.
>
>  quanto á isso você não vai resolver com pf nem ipfw a menos que você
> descubra os usuarios que estào fazendo isso e feche eles no firewall para
> que não usem servidores smtp externos e em alguns casos como contaminados
> por virus feche eles até para o seu smtp, O esquema de tarpit tb é muito
> util nesses casos.
>
> oriente seus usuários nào clicarem links em emails desconhecidos ou duvidoso
> , recomende o uso de ant-virus e ant-spyware
>
> 2008/11/16 Victor <[EMAIL PROTECTED]>
>
>   
>> Olá Cristina,
>>
>> Agradeço sua resposta. Será que você teria tal regra para IPFW ?
>>
>> Obrigado.
>>
>>
>> --
>> Atenciosamente,
>> Victor Gustavo Volpe
>> Diretor Executivo
>> Grupo Total Serviços de Internet LTDA - ME
>> CNPJ: 08.776.401/0001-40
>> (17) 3227-0686 / 9105-5392
>>
>> - Original Message -
>> From: "Cristina Fernandes Silva" <[EMAIL PROTECTED]>
>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>> 
>> Sent: Saturday, November 15, 2008 11:14 PM
>> Subject: Re: [FUG-BR] PF + Tarpitting
>>
>>
>> Ja tentou usar o IPFW ??
>>
>> 2008/11/15 Victor <[EMAIL PROTECTED]>:
>> 
>>> Olá amigos,
>>>
>>> Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam
>>> (httpd.pl). Estou no momento usando uma regra apresentada nos documentos
>>> oficiais do PF (http://www.openbsd.org/faq/pf/filter.html):
>>>
>>> table  persist
>>> block in quick from 
>>>
>>> pass in on $ext_if proto tcp to $web_server \
>>>port www flags S/SA keep state \
>>>(max-src-conn 100, max-src-conn-rate 15/5, overload 
>>> flush)
>>>
>>> Porém vários usuários estão sendo taxados como spammers indevidamente. 
>>> Vi
>>> no
>>> man page do PF que é possível fazer um tarpit para os overloads, o que
>>> seria
>>> mais interessante do que adcionar os IP's em uma black list definitiva.
>>> Não
>>> sei que software pode ser utilizado para fazer este tarpit ou mesmo como
>>> redirecionar a table para ele. Não consegui nada no Google, apenas
>>> tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para
>>> constar, quando eu usava Linux, utilizava a seguinte regra no iptables e
>>> funcionava perfeitamente:
>>>
>>> /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m
>>> recent --set --name ANTISPAM -j ACCEPT
>>> /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds
>>> 5 --hitcount 15 --name ANTISPAM -j DROP
>>>
>>> Obrigado.
>>>
>>> --
>>> Atenciosamente,
>>> Victor Gustavo Volpe
>>> Diretor Executivo
>>> Grupo Total Serviços de Internet LTDA - ME
>>> CNPJ: 08.776.401/0001-40
>>> (17) 3227-0686 / 9105-5392
>>>
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>   
>>