Re: [FUG-BR] Duvidas com PF
2012/1/31 Diogo Dalfovo b1n4r1w...@gmail.com Bom dia pessoal!!! A um bom tempo atras eu ja tinha recorrido lista por uma duvida parecida, mas gostaria de saber se é possivel eu fazer o filtro de uma regra binat? Ex: # Redireionamento bidirecional para email binat on $ext_if from 192.168.0.12/32 to any - x.x.x.244/32-- BRT binat on $ext_if2 from 192.168.0.12/32 to any - y.y.y.226/32 -- Embratel Bloqueia tudo por padrao block in log on $ext_if block in log on $ext_if2 pass in log quick on $ext_if2 proto tcp from any to y.y.y.226 port 22 keep state -- não libera conexão ssh do binat. O ssh esta sendo usado apenas como exemplo ... pass in log quick on $ext_if2 proto tcp to $ip_ext2_alias0 port 22 keep state \ (max-src-conn 3,max-src-conn-rate 5/3, overload bruteforce flush global) label Acesso SSH Embratel -- acessa normal FW $ip_ext2_alias0 = y.y.y.227 pass in log quick on $ext_if proto tcp to $ip_ext port 22 keep state \ (max-src-conn 3,max-src-conn-rate 5/3, overload bruteforce flush global) label Acesso SSH BRT -- acessa normal FW $ip_ext = x.x.x.242 Agora se eu alterar a regra do binat para: binat pass on $ext_if from 192.168.0.12/32 to any - x.x.x.244/32 binat pass on $ext_if2 from 192.168.0.12/32 to any - y.y.y.226/32 Funciona 100%, poderia deixar assim mas gostaria de deixar passar somente algumas portas é possivel sem ter que deixar passar tudo na regra do binat? Obs: Infelizmente não foi possivel ainda colocar o servidor de email em uma DMZ. E o contrario tb deixando o binat com pass e tentando bloquear o acesso tb não funcionou. Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd opa boa tarde Diogo, não sou entendido do PF não, mas por acaso você já tentou usar a opção tag e tagged para marcar os pacotes? da uma olhada: http://www.openbsd.org/faq/pf/tagging.html -- *ENIO RODRIGO MARCONCINI* @eniomarconcini http://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcini http://www.facebook.com/eniomarconcini *H**ave a trouble with windows: reboot!* *Have a trouble with unix: be root!* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas com PF
Buenas, A primeira dúvida tá parecendo tabela de estado. talvez se você tentar limpar a tabela com o comando: pfctl -Fs Em relação a segunda dúvida, para o uso de reply-to/route-to você não precisa usar a tabela FIB, o próprio pf faz o roteamento. no caso ai, eu não sei se já tem ou não nas suas regras, mas você precisa especificar a saida dos links, tipo: pass out quick on $if_link1 route-to ($if_link1 $gw_link1) from any to $if_link2 pass out quick on $if_link2 route-to ($if_link2 $gw_link2) from any to $if_link1 *** Eu fiz de cabeça, não sei se é exatamente assim, mas é mais para entendimento (to sem tempo aqui pra pegar cola). abços Em Qua, 2011-12-07 às 15:31 -0200, Diogo Dalfovo escreveu: Boa Tarde Pessoal!! Estou refazendo o meu PF e surgiram algumas duvidas em relação ao bloqueio e liberação, vamos la: tenho como padrao bloquear tudo que entra: #set block-policy drop set block-policy return #bloqueia tudo por padrao block in log all e depois eu libero o icmp por exemplo #teste pass in log quick on $int_if proto icmp from $lan_net to $ip_firewall ele vai pingar sem problemas, agora quando eu comento essa regra do icmp ou coloco block no lugar do pass e do um pfctl -f /etc/pf.conf no monitoramento do pftop ele desaparece mas continua o ping agora se eu depois de comentar a regra eu desabilitar e reabilitar o PF o bloqueio funciona. Pergunta: Existe alguma forma de fazer essa liberaçao e bloqueio sem que seja necessario parar e iniciar o PF? apenas usando o pfctl? Eu imagino o seguinte, estou recebendo um brute-force por exemplo se eu bloquear esse IP que ja tem uma sessao aberta no meu firewall so vou ter resultado se eu desabilitar e habilitar o PF? Segunda duvida. Estava lendo sobre o reply-to, configurei a tabela FIB para eu ter dois gateways OI/BRT e Embratel preciso que tudo que venha por um link volte pelo mesmo link ai que entra a duvida. Faço isso na regra de entrada da interface com o reply-to ou existe outra forma? #Link OI/BRT pass in log on $ext_if1 reply-to ($ext_if1 ($ext_if1)) inet proto tcp \ from any to any port { ssh } \ (max-src-conn 10, max-src-conn-rate 5/3, \ overload bruteforce flush global) #Link Embratel pass in log on $ext_if2 reply-to ($ext_if2 ($ext_if2)) inet proto tcp \ from any to any port { ssh } \ (max-src-conn 10, max-src-conn-rate 5/3, \ overload bruteforce flush global) Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas com PF
On Wed, 07 Dec 2011 15:47:26 -0200, Luiz Gustavo wrote: Buenas, A primeira dúvida tá parecendo tabela de estado. talvez se você tentar limpar a tabela com o comando: pfctl -Fs Em relação a segunda dúvida, para o uso de reply-to/route-to você não precisa usar a tabela FIB, o próprio pf faz o roteamento. no caso ai, eu não sei se já tem ou não nas suas regras, mas você precisa especificar a saida dos links, tipo: pass out quick on $if_link1 route-to ($if_link1 $gw_link1) from any to $if_link2 pass out quick on $if_link2 route-to ($if_link2 $gw_link2) from any to $if_link1 *** Eu fiz de cabeça, não sei se é exatamente assim, mas é mais para entendimento (to sem tempo aqui pra pegar cola). abços Em Qua, 2011-12-07 às 15:31 -0200, Diogo Dalfovo escreveu: Boa Tarde Pessoal!! Estou refazendo o meu PF e surgiram algumas duvidas em relação ao bloqueio e liberação, vamos la: tenho como padrao bloquear tudo que entra: #set block-policy drop set block-policy return #bloqueia tudo por padrao block in log all e depois eu libero o icmp por exemplo #teste pass in log quick on $int_if proto icmp from $lan_net to $ip_firewall ele vai pingar sem problemas, agora quando eu comento essa regra do icmp ou coloco block no lugar do pass e do um pfctl -f /etc/pf.conf no monitoramento do pftop ele desaparece mas continua o ping agora se eu depois de comentar a regra eu desabilitar e reabilitar o PF o bloqueio funciona. Pergunta: Existe alguma forma de fazer essa liberaçao e bloqueio sem que seja necessario parar e iniciar o PF? apenas usando o pfctl? Eu imagino o seguinte, estou recebendo um brute-force por exemplo se eu bloquear esse IP que ja tem uma sessao aberta no meu firewall so vou ter resultado se eu desabilitar e habilitar o PF? Segunda duvida. Estava lendo sobre o reply-to, configurei a tabela FIB para eu ter dois gateways OI/BRT e Embratel preciso que tudo que venha por um link volte pelo mesmo link ai que entra a duvida. Faço isso na regra de entrada da interface com o reply-to ou existe outra forma? #Link OI/BRT pass in log on $ext_if1 reply-to ($ext_if1 ($ext_if1)) inet proto tcp \ from any to any port { ssh } \ (max-src-conn 10, max-src-conn-rate 5/3, \ overload bruteforce flush global) #Link Embratel pass in log on $ext_if2 reply-to ($ext_if2 ($ext_if2)) inet proto tcp \ from any to any port { ssh } \ (max-src-conn 10, max-src-conn-rate 5/3, \ overload bruteforce flush global) Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Para bloquear sem precisar reinciar o pf, você pode usar table: # touch /var/db/pf/icmp_liberados pf.conf: table icmp_liberados persist file /var/db/pf/icmp_liberados pass in log quick on $int_if proto icmp from icmp_liberados to $ip_firewall Então você pode adicionar os endereços IP/faixas em /var/db/pf/icmp_liberados (1 por linha) ou via pfctl -t icmp_liberados -T add IP. Veja mais em man pf.conf(5) att. -- vic http://choppnerd.com http://donttrack.us | http://dontbubble.us - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas com PF
Boa Tarde Luiz... Muito obrigado pelas dicas... neste caso entao nao vou precisar da tabela FIB pergunto isso pelo seguinte atras do firewall vou ter um servidor de email oq eu fiz: duas regras do binat para testar ver se vai funcionar uma para cada link se nao funcionar iria usar o reply-to para tudo que entrar pelo link sair por ele mesmo o route-to eu ja tenho aqui para trafego de saida http,https e funciona maravilhosamente bem... não sei se estou na caminho certo ou so estou fazendo confusao hehehe... E sobre a regra eu escrevi errado mesmo hehehe Muito obrigado Diogo Em 7 de dezembro de 2011 15:47, Luiz Gustavo luizgust...@luizgustavo.pro.br escreveu: Buenas, A primeira dúvida tá parecendo tabela de estado. talvez se você tentar limpar a tabela com o comando: pfctl -Fs Em relação a segunda dúvida, para o uso de reply-to/route-to você não precisa usar a tabela FIB, o próprio pf faz o roteamento. no caso ai, eu não sei se já tem ou não nas suas regras, mas você precisa especificar a saida dos links, tipo: pass out quick on $if_link1 route-to ($if_link1 $gw_link1) from any to $if_link2 pass out quick on $if_link2 route-to ($if_link2 $gw_link2) from any to $if_link1 *** Eu fiz de cabeça, não sei se é exatamente assim, mas é mais para entendimento (to sem tempo aqui pra pegar cola). abços Em Qua, 2011-12-07 às 15:31 -0200, Diogo Dalfovo escreveu: Boa Tarde Pessoal!! Estou refazendo o meu PF e surgiram algumas duvidas em relação ao bloqueio e liberação, vamos la: tenho como padrao bloquear tudo que entra: #set block-policy drop set block-policy return #bloqueia tudo por padrao block in log all e depois eu libero o icmp por exemplo #teste pass in log quick on $int_if proto icmp from $lan_net to $ip_firewall ele vai pingar sem problemas, agora quando eu comento essa regra do icmp ou coloco block no lugar do pass e do um pfctl -f /etc/pf.conf no monitoramento do pftop ele desaparece mas continua o ping agora se eu depois de comentar a regra eu desabilitar e reabilitar o PF o bloqueio funciona. Pergunta: Existe alguma forma de fazer essa liberaçao e bloqueio sem que seja necessario parar e iniciar o PF? apenas usando o pfctl? Eu imagino o seguinte, estou recebendo um brute-force por exemplo se eu bloquear esse IP que ja tem uma sessao aberta no meu firewall so vou ter resultado se eu desabilitar e habilitar o PF? Segunda duvida. Estava lendo sobre o reply-to, configurei a tabela FIB para eu ter dois gateways OI/BRT e Embratel preciso que tudo que venha por um link volte pelo mesmo link ai que entra a duvida. Faço isso na regra de entrada da interface com o reply-to ou existe outra forma? #Link OI/BRT pass in log on $ext_if1 reply-to ($ext_if1 ($ext_if1)) inet proto tcp \ from any to any port { ssh } \ (max-src-conn 10, max-src-conn-rate 5/3, \ overload bruteforce flush global) #Link Embratel pass in log on $ext_if2 reply-to ($ext_if2 ($ext_if2)) inet proto tcp \ from any to any port { ssh } \ (max-src-conn 10, max-src-conn-rate 5/3, \ overload bruteforce flush global) Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas com PF
Boa tarde Vic Muito obrigado eu vo da uma olha nisso tambem... Diogo Para bloquear sem precisar reinciar o pf, você pode usar table: # touch /var/db/pf/icmp_liberados pf.conf: table icmp_liberados persist file /var/db/pf/icmp_liberados pass in log quick on $int_if proto icmp from icmp_liberados to $ip_firewall Então você pode adicionar os endereços IP/faixas em /var/db/pf/icmp_liberados (1 por linha) ou via pfctl -t icmp_liberados -T add IP. Veja mais em man pf.conf(5) att. -- vic http://choppnerd.com http://donttrack.us | http://dontbubble.us - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd