Re: [FUG-BR] Help com IPFW
Em 23/02/2012 01:25, Márcio Elias escreveu: Dessa forma já funciona, porem utilizando o mac junto com o IP pra liberar o acesso nao funciona, alguem sabe qual o problema? Se eu não me engano você precisa habilitar isso aqui: net.link.ether.ipfw=1 Pra fazer as regras com o mac. ;) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Help com IPFW
Essa config eu já havia feito, mais de qualquer forma consegui resolver, o problema é que nas regras usando MAC, devido ao fato do MAC Address estar vinculado a segunda camada do protocolo, outros pacotes que não era possível pegar pela segunda camada (layer2) passavam batido pela regra, o que eu fiz foi criar mais 2 regras somente pelo ip pegando todos os pacotes que não forem pegos pela segunda camada (se me lembro da arquitetura do TCP e entendi direito o funcionamento do IPFW eh isso, se falei besteira por favor me corrijam... de qualquer forma, seguem abaixo as regras milagrosas a quem interessar... ipfw disable one_pass sysctl net.link.ether.ipfw=1 #regras por IP e MAC ${fwcmd} add ${skip_allow} ip from any to ${ip_address} MAC any ${mac_address} in via ${wif} layer2 ${fwcmd} add ${skip_allow} ip from ${ip_address} to any MAC ${mac_address} any out via ${wif} layer2 ${fwcmd} add ${skip_allow} ip from any to ${ip_address} not layer2 ${fwcmd} add ${skip_allow} ip from ${ip_address} to any not layer2 ip_address=IP_LIBERADO mac_address=MAC_LIBERADO wif=WiFi_Interface skip_allow=skipto nnn (nnn = numero da regra) -- Att. __ Márcio Elias Hahn do Nascimento Araranguá - SC Fone: (55) 48-35245373 (Residencial) Cel: (55) 48-84171033 msn: marcioeliash...@hotmail.com 2012/2/23 Marcelo Gondim gon...@bsdinfo.com.br Em 23/02/2012 01:25, Márcio Elias escreveu: Dessa forma já funciona, porem utilizando o mac junto com o IP pra liberar o acesso nao funciona, alguem sabe qual o problema? Se eu não me engano você precisa habilitar isso aqui: net.link.ether.ipfw=1 Pra fazer as regras com o mac. ;) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Help com IPFW
Em 22/02/2012 23:01, Márcio Elias escreveu: Buenas colegas da lista, estava muito distante do mundo do FreeBSD ultimamente, e agora me deparei com um trabalho no qual preciso implementar uma espécie de Captive Portal (customizado) usando FreeBSD, de ante mão informo que não tenho interesse em PF, pois nao conheco nada, e tempo eh complicado, IPFW que estou enferrujado já eh problema... O que preciso eh o seguinte, tenho uma regra no meu firewall que direciona todas as conexoes com a internet para o servidor web local, onde uma página para login do usuario eh apresentada, ateh ai blz, uma fez efetuado o login com sucesso, preciso inserir uma regra antes dessa regra de redirecionamento que pule para uma regra de redirecionamento que aparece depois dela, usado o skipto, funciona, porem somente usando somente o IP, se colocar o MAC na regra tambem, apesar de as regras terem seus contadores incrementados, alguns pacotes passam direto e caem na regra de redirecionamento, o que faz com que a página de login seja novamente exibida para o usuário. Segue abaixo as regras que estou usando: regras usando MAC nao estao 100% ${fwcmd} add skipto 2 log logamount 100 ip from any to ${myself} MAC 00:25:56:94:62:5F any ${fwcmd} add skipto 2 log logamount 100 ip from ${myself} to any MAC any 00:25:56:94:62:5F *obs: neste caso myself representa o meu IP, estou testando o servidor na minha rede domestica... a mesma sintaxe de regras sem o MAC (essa funciona 100%) ${fwcmd} add skipto 2 log logamount 100 ip from any to ${myself} ${fwcmd} add skipto 2 log logamount 100 ip from ${myself} to any Alguem sabe me dizer a diferenca entre essas regras com e sem MAC, e como fazer para contornar esse problema...? Um jeito simples seria o seguinte: 1) Defina uma table onde vão ter os IPs liberados 2) Cria uma regra que vai liberar os IPs que tiverem nessa table. 3) Cria a regra de redirecionamento para a web depois da regra acima. 4) Quem se logar na web adiciona o IP naquela table. Assim quem não tiver na table vai cair na página Web. Esse exemplo acima seria sem usar o mac address. Coisas mais completas podem ser feitas usando inclusive php + mysql. :) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Help com IPFW
Dessa forma já funciona, porem utilizando o mac junto com o IP pra liberar o acesso nao funciona, alguem sabe qual o problema? -- Att. __ Márcio Elias Hahn do Nascimento Araranguá - SC Fone: (55) 48-35245373 (Residencial) Cel: (55) 48-84171033 msn: marcioeliash...@hotmail.com 2012/2/22 Marcelo Gondim gon...@bsdinfo.com.br Em 22/02/2012 23:01, Márcio Elias escreveu: Buenas colegas da lista, estava muito distante do mundo do FreeBSD ultimamente, e agora me deparei com um trabalho no qual preciso implementar uma espécie de Captive Portal (customizado) usando FreeBSD, de ante mão informo que não tenho interesse em PF, pois nao conheco nada, e tempo eh complicado, IPFW que estou enferrujado já eh problema... O que preciso eh o seguinte, tenho uma regra no meu firewall que direciona todas as conexoes com a internet para o servidor web local, onde uma página para login do usuario eh apresentada, ateh ai blz, uma fez efetuado o login com sucesso, preciso inserir uma regra antes dessa regra de redirecionamento que pule para uma regra de redirecionamento que aparece depois dela, usado o skipto, funciona, porem somente usando somente o IP, se colocar o MAC na regra tambem, apesar de as regras terem seus contadores incrementados, alguns pacotes passam direto e caem na regra de redirecionamento, o que faz com que a página de login seja novamente exibida para o usuário. Segue abaixo as regras que estou usando: regras usando MAC nao estao 100% ${fwcmd} add skipto 2 log logamount 100 ip from any to ${myself} MAC 00:25:56:94:62:5F any ${fwcmd} add skipto 2 log logamount 100 ip from ${myself} to any MAC any 00:25:56:94:62:5F *obs: neste caso myself representa o meu IP, estou testando o servidor na minha rede domestica... a mesma sintaxe de regras sem o MAC (essa funciona 100%) ${fwcmd} add skipto 2 log logamount 100 ip from any to ${myself} ${fwcmd} add skipto 2 log logamount 100 ip from ${myself} to any Alguem sabe me dizer a diferenca entre essas regras com e sem MAC, e como fazer para contornar esse problema...? Um jeito simples seria o seguinte: 1) Defina uma table onde vão ter os IPs liberados 2) Cria uma regra que vai liberar os IPs que tiverem nessa table. 3) Cria a regra de redirecionamento para a web depois da regra acima. 4) Quem se logar na web adiciona o IP naquela table. Assim quem não tiver na table vai cair na página Web. Esse exemplo acima seria sem usar o mac address. Coisas mais completas podem ser feitas usando inclusive php + mysql. :) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd