Re: [FUG-BR] Duvidas com PF
2012/1/31 Diogo Dalfovo b1n4r1w...@gmail.com Bom dia pessoal!!! A um bom tempo atras eu ja tinha recorrido lista por uma duvida parecida, mas gostaria de saber se é possivel eu fazer o filtro de uma regra binat? Ex: # Redireionamento bidirecional para email binat on $ext_if from 192.168.0.12/32 to any - x.x.x.244/32-- BRT binat on $ext_if2 from 192.168.0.12/32 to any - y.y.y.226/32 -- Embratel Bloqueia tudo por padrao block in log on $ext_if block in log on $ext_if2 pass in log quick on $ext_if2 proto tcp from any to y.y.y.226 port 22 keep state -- não libera conexão ssh do binat. O ssh esta sendo usado apenas como exemplo ... pass in log quick on $ext_if2 proto tcp to $ip_ext2_alias0 port 22 keep state \ (max-src-conn 3,max-src-conn-rate 5/3, overload bruteforce flush global) label Acesso SSH Embratel -- acessa normal FW $ip_ext2_alias0 = y.y.y.227 pass in log quick on $ext_if proto tcp to $ip_ext port 22 keep state \ (max-src-conn 3,max-src-conn-rate 5/3, overload bruteforce flush global) label Acesso SSH BRT -- acessa normal FW $ip_ext = x.x.x.242 Agora se eu alterar a regra do binat para: binat pass on $ext_if from 192.168.0.12/32 to any - x.x.x.244/32 binat pass on $ext_if2 from 192.168.0.12/32 to any - y.y.y.226/32 Funciona 100%, poderia deixar assim mas gostaria de deixar passar somente algumas portas é possivel sem ter que deixar passar tudo na regra do binat? Obs: Infelizmente não foi possivel ainda colocar o servidor de email em uma DMZ. E o contrario tb deixando o binat com pass e tentando bloquear o acesso tb não funcionou. Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd opa boa tarde Diogo, não sou entendido do PF não, mas por acaso você já tentou usar a opção tag e tagged para marcar os pacotes? da uma olhada: http://www.openbsd.org/faq/pf/tagging.html -- *ENIO RODRIGO MARCONCINI* @eniomarconcini http://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcini http://www.facebook.com/eniomarconcini *H**ave a trouble with windows: reboot!* *Have a trouble with unix: be root!* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas com PF
Buenas,
A primeira dúvida tá parecendo tabela de estado.
talvez se você tentar limpar a tabela com o comando:
pfctl -Fs
Em relação a segunda dúvida, para o uso de reply-to/route-to você não
precisa usar a tabela FIB, o próprio pf faz o roteamento.
no caso ai, eu não sei se já tem ou não nas suas regras, mas você
precisa especificar a saida dos links, tipo:
pass out quick on $if_link1 route-to ($if_link1 $gw_link1) from any to
$if_link2
pass out quick on $if_link2 route-to ($if_link2 $gw_link2) from any to
$if_link1
*** Eu fiz de cabeça, não sei se é exatamente assim, mas é mais para
entendimento (to sem tempo aqui pra pegar cola).
abços
Em Qua, 2011-12-07 às 15:31 -0200, Diogo Dalfovo escreveu:
Boa Tarde Pessoal!!
Estou refazendo o meu PF e surgiram algumas duvidas em relação ao bloqueio
e liberação, vamos la:
tenho como padrao bloquear tudo que entra:
#set block-policy drop
set block-policy return
#bloqueia tudo por padrao
block in log all
e depois eu libero o icmp por exemplo
#teste
pass in log quick on $int_if proto icmp from $lan_net to $ip_firewall
ele vai pingar sem problemas, agora quando eu comento essa regra do icmp ou
coloco block no lugar do pass e do um pfctl -f /etc/pf.conf no
monitoramento do pftop ele desaparece mas continua o ping
agora se eu depois de comentar a regra eu desabilitar e reabilitar o PF o
bloqueio funciona. Pergunta:
Existe alguma forma de fazer essa liberaçao e bloqueio sem que seja
necessario parar e iniciar o PF? apenas usando o pfctl?
Eu imagino o seguinte, estou recebendo um brute-force por exemplo se eu
bloquear esse IP que ja tem uma sessao aberta no meu firewall so vou ter
resultado se eu desabilitar e habilitar o PF?
Segunda duvida.
Estava lendo sobre o reply-to, configurei a tabela FIB para eu ter dois
gateways OI/BRT e Embratel preciso que tudo que venha por um link volte
pelo mesmo link ai que entra a duvida. Faço isso na regra de entrada da
interface com o reply-to ou existe outra forma?
#Link OI/BRT
pass in log on $ext_if1 reply-to ($ext_if1 ($ext_if1)) inet proto tcp \
from any to any port { ssh } \
(max-src-conn 10, max-src-conn-rate 5/3, \
overload bruteforce flush global)
#Link Embratel
pass in log on $ext_if2 reply-to ($ext_if2 ($ext_if2)) inet proto tcp \
from any to any port { ssh } \
(max-src-conn 10, max-src-conn-rate 5/3, \
overload bruteforce flush global)
Diogo Dalfovo
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: cont...@mundounix.com.br
Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
Blog: http://www.luizgustavo.pro.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas com PF
On Wed, 07 Dec 2011 15:47:26 -0200, Luiz Gustavo wrote:
Buenas,
A primeira dúvida tá parecendo tabela de estado.
talvez se você tentar limpar a tabela com o comando:
pfctl -Fs
Em relação a segunda dúvida, para o uso de reply-to/route-to você não
precisa usar a tabela FIB, o próprio pf faz o roteamento.
no caso ai, eu não sei se já tem ou não nas suas regras, mas você
precisa especificar a saida dos links, tipo:
pass out quick on $if_link1 route-to ($if_link1 $gw_link1) from any
to
$if_link2
pass out quick on $if_link2 route-to ($if_link2 $gw_link2) from any
to
$if_link1
*** Eu fiz de cabeça, não sei se é exatamente assim, mas é mais para
entendimento (to sem tempo aqui pra pegar cola).
abços
Em Qua, 2011-12-07 às 15:31 -0200, Diogo Dalfovo escreveu:
Boa Tarde Pessoal!!
Estou refazendo o meu PF e surgiram algumas duvidas em relação ao
bloqueio
e liberação, vamos la:
tenho como padrao bloquear tudo que entra:
#set block-policy drop
set block-policy return
#bloqueia tudo por padrao
block in log all
e depois eu libero o icmp por exemplo
#teste
pass in log quick on $int_if proto icmp from $lan_net to
$ip_firewall
ele vai pingar sem problemas, agora quando eu comento essa regra do
icmp ou
coloco block no lugar do pass e do um pfctl -f /etc/pf.conf no
monitoramento do pftop ele desaparece mas continua o ping
agora se eu depois de comentar a regra eu desabilitar e reabilitar o
PF o
bloqueio funciona. Pergunta:
Existe alguma forma de fazer essa liberaçao e bloqueio sem que seja
necessario parar e iniciar o PF? apenas usando o pfctl?
Eu imagino o seguinte, estou recebendo um brute-force por exemplo se
eu
bloquear esse IP que ja tem uma sessao aberta no meu firewall so vou
ter
resultado se eu desabilitar e habilitar o PF?
Segunda duvida.
Estava lendo sobre o reply-to, configurei a tabela FIB para eu ter
dois
gateways OI/BRT e Embratel preciso que tudo que venha por um link
volte
pelo mesmo link ai que entra a duvida. Faço isso na regra de entrada
da
interface com o reply-to ou existe outra forma?
#Link OI/BRT
pass in log on $ext_if1 reply-to ($ext_if1 ($ext_if1)) inet proto
tcp \
from any to any port { ssh } \
(max-src-conn 10, max-src-conn-rate 5/3, \
overload bruteforce flush global)
#Link Embratel
pass in log on $ext_if2 reply-to ($ext_if2 ($ext_if2)) inet proto
tcp \
from any to any port { ssh } \
(max-src-conn 10, max-src-conn-rate 5/3, \
overload bruteforce flush global)
Diogo Dalfovo
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Para bloquear sem precisar reinciar o pf, você pode usar table:
# touch /var/db/pf/icmp_liberados
pf.conf:
table icmp_liberados persist file /var/db/pf/icmp_liberados
pass in log quick on $int_if proto icmp from icmp_liberados to
$ip_firewall
Então você pode adicionar os endereços IP/faixas em
/var/db/pf/icmp_liberados (1 por linha) ou via pfctl -t icmp_liberados
-T add IP.
Veja mais em man pf.conf(5)
att.
--
vic
http://choppnerd.com
http://donttrack.us | http://dontbubble.us
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas com PF
Boa Tarde Luiz...
Muito obrigado pelas dicas... neste caso entao nao vou precisar da tabela
FIB pergunto isso pelo seguinte
atras do firewall vou ter um servidor de email oq eu fiz:
duas regras do binat para testar ver se vai funcionar uma para cada link se
nao funcionar iria usar o reply-to para tudo que entrar pelo link sair por
ele mesmo
o route-to eu ja tenho aqui para trafego de saida http,https e funciona
maravilhosamente bem... não sei se estou na caminho certo ou so estou
fazendo confusao hehehe...
E sobre a regra eu escrevi errado mesmo hehehe
Muito obrigado
Diogo
Em 7 de dezembro de 2011 15:47, Luiz Gustavo luizgust...@luizgustavo.pro.br
escreveu:
Buenas,
A primeira dúvida tá parecendo tabela de estado.
talvez se você tentar limpar a tabela com o comando:
pfctl -Fs
Em relação a segunda dúvida, para o uso de reply-to/route-to você não
precisa usar a tabela FIB, o próprio pf faz o roteamento.
no caso ai, eu não sei se já tem ou não nas suas regras, mas você
precisa especificar a saida dos links, tipo:
pass out quick on $if_link1 route-to ($if_link1 $gw_link1) from any to
$if_link2
pass out quick on $if_link2 route-to ($if_link2 $gw_link2) from any to
$if_link1
*** Eu fiz de cabeça, não sei se é exatamente assim, mas é mais para
entendimento (to sem tempo aqui pra pegar cola).
abços
Em Qua, 2011-12-07 às 15:31 -0200, Diogo Dalfovo escreveu:
Boa Tarde Pessoal!!
Estou refazendo o meu PF e surgiram algumas duvidas em relação ao
bloqueio
e liberação, vamos la:
tenho como padrao bloquear tudo que entra:
#set block-policy drop
set block-policy return
#bloqueia tudo por padrao
block in log all
e depois eu libero o icmp por exemplo
#teste
pass in log quick on $int_if proto icmp from $lan_net to $ip_firewall
ele vai pingar sem problemas, agora quando eu comento essa regra do icmp
ou
coloco block no lugar do pass e do um pfctl -f /etc/pf.conf no
monitoramento do pftop ele desaparece mas continua o ping
agora se eu depois de comentar a regra eu desabilitar e reabilitar o PF o
bloqueio funciona. Pergunta:
Existe alguma forma de fazer essa liberaçao e bloqueio sem que seja
necessario parar e iniciar o PF? apenas usando o pfctl?
Eu imagino o seguinte, estou recebendo um brute-force por exemplo se eu
bloquear esse IP que ja tem uma sessao aberta no meu firewall so vou ter
resultado se eu desabilitar e habilitar o PF?
Segunda duvida.
Estava lendo sobre o reply-to, configurei a tabela FIB para eu ter dois
gateways OI/BRT e Embratel preciso que tudo que venha por um link volte
pelo mesmo link ai que entra a duvida. Faço isso na regra de entrada da
interface com o reply-to ou existe outra forma?
#Link OI/BRT
pass in log on $ext_if1 reply-to ($ext_if1 ($ext_if1)) inet proto tcp \
from any to any port { ssh } \
(max-src-conn 10, max-src-conn-rate 5/3, \
overload bruteforce flush global)
#Link Embratel
pass in log on $ext_if2 reply-to ($ext_if2 ($ext_if2)) inet proto tcp \
from any to any port { ssh } \
(max-src-conn 10, max-src-conn-rate 5/3, \
overload bruteforce flush global)
Diogo Dalfovo
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: cont...@mundounix.com.br
Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
Blog: http://www.luizgustavo.pro.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas com PF
Boa tarde Vic Muito obrigado eu vo da uma olha nisso tambem... Diogo Para bloquear sem precisar reinciar o pf, você pode usar table: # touch /var/db/pf/icmp_liberados pf.conf: table icmp_liberados persist file /var/db/pf/icmp_liberados pass in log quick on $int_if proto icmp from icmp_liberados to $ip_firewall Então você pode adicionar os endereços IP/faixas em /var/db/pf/icmp_liberados (1 por linha) ou via pfctl -t icmp_liberados -T add IP. Veja mais em man pf.conf(5) att. -- vic http://choppnerd.com http://donttrack.us | http://dontbubble.us - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
