Re: [FUG-BR] IPFW e traceroute

[Guilherme Ferreira Rosário]

Porque não migra para PF?



Em 30 de setembro de 2015 09:53, Lucas Dias  escreveu:

> Em 30 de setembro de 2015 09:37, Thiago Andrighetti <
> thiagoapa...@yahoo.com.br> escreveu:
>
> > Olá pessoal,Eu estou tendo alguns problemas com ipfw no gateway aqui do
> > escritorio.Um deles (outros posto em outra ocasião) é que de dentro da
> > minha rede, eu não consigo executar traceroute.Já tentei liberar todo
> UDP e
> > ICMP, mas não deu certo.Se puderem, poderiam dar uma ajuda com o
> firewall,
> > ainda estou em processo de aprendizado do ipfw.Se quiserem dar uma
> opinião
> > de como está configurado o mesmo, agradeço tambem rsrrs.
> > Muito obrigado.
> > Segue abaixo o link do script
> > http://pastebin.com/zQQe5Lmp
> >
> >
> >
> >
> >  -- Thiago Andrighetti de Pádua
> > -
> >
>
>
> Thiago, bom dia.
>
>
> Cara, incialmente não erro de sintaxe.
> Acredito que seja ordem de regra.
>
> Você tem algumas regras, negando algumas coisas tendo como fluxo, any to
> any.
>
> Realize alguns testes, colocando a permissão do icmp antes das regras de
> deny.
>
> Acho que isso poderá te ajudar.
>
> Segue alguns links de apoio.
>
> http://www.macenterprise.org/articles/advancedipfwfirewallconfiguration
> https://www.freebsd.org/doc/handbook/firewalls-ipfw.html
>
> A lista e o Handbook sempre serão seus amigos =)
>
> Abraços,
>
>
> --
> .:: Lucas Dias
> .:: (82) 9 8813-1494 / 9 8111-2288
> .:: Antes de imprimir, veja se realmente é necessário!!!
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW e traceroute

[Lucas Dias]

Em 30 de setembro de 2015 09:37, Thiago Andrighetti <
thiagoapa...@yahoo.com.br> escreveu:

> Olá pessoal,Eu estou tendo alguns problemas com ipfw no gateway aqui do
> escritorio.Um deles (outros posto em outra ocasião) é que de dentro da
> minha rede, eu não consigo executar traceroute.Já tentei liberar todo UDP e
> ICMP, mas não deu certo.Se puderem, poderiam dar uma ajuda com o firewall,
> ainda estou em processo de aprendizado do ipfw.Se quiserem dar uma opinião
> de como está configurado o mesmo, agradeço tambem rsrrs.
> Muito obrigado.
> Segue abaixo o link do script
> http://pastebin.com/zQQe5Lmp
>
>
>
>
>  -- Thiago Andrighetti de Pádua
> -
>


Thiago, bom dia.


Cara, incialmente não erro de sintaxe.
Acredito que seja ordem de regra.

Você tem algumas regras, negando algumas coisas tendo como fluxo, any to
any.

Realize alguns testes, colocando a permissão do icmp antes das regras de
deny.

Acho que isso poderá te ajudar.

Segue alguns links de apoio.

http://www.macenterprise.org/articles/advancedipfwfirewallconfiguration
https://www.freebsd.org/doc/handbook/firewalls-ipfw.html

A lista e o Handbook sempre serão seus amigos =)

Abraços,


-- 
.:: Lucas Dias
.:: (82) 9 8813-1494 / 9 8111-2288
.:: Antes de imprimir, veja se realmente é necessário!!!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW e traceroute

[Thiago Andrighetti]

Muito obrigado Lucas, vou seguir dando uma lida e mudando as regras pra ver se 
da certo.
 -- Thiago Andrighetti de Pádua 


 Em Quarta-feira, 30 de Setembro de 2015 9:54, Lucas Dias 
 escreveu:
   
 

 Em 30 de setembro de 2015 09:37, Thiago Andrighetti <
thiagoapa...@yahoo.com.br> escreveu:

> Olá pessoal,Eu estou tendo alguns problemas com ipfw no gateway aqui do
> escritorio.Um deles (outros posto em outra ocasião) é que de dentro da
> minha rede, eu não consigo executar traceroute.Já tentei liberar todo UDP e
> ICMP, mas não deu certo.Se puderem, poderiam dar uma ajuda com o firewall,
> ainda estou em processo de aprendizado do ipfw.Se quiserem dar uma opinião
> de como está configurado o mesmo, agradeço tambem rsrrs.
> Muito obrigado.
> Segue abaixo o link do script
> http://pastebin.com/zQQe5Lmp
>
>
>
>
>  -- Thiago Andrighetti de Pádua
> -
>


Thiago, bom dia.


Cara, incialmente não erro de sintaxe.
Acredito que seja ordem de regra.

Você tem algumas regras, negando algumas coisas tendo como fluxo, any to
any.

Realize alguns testes, colocando a permissão do icmp antes das regras de
deny.

Acho que isso poderá te ajudar.

Segue alguns links de apoio.

http://www.macenterprise.org/articles/advancedipfwfirewallconfiguration
https://www.freebsd.org/doc/handbook/firewalls-ipfw.html

A lista e o Handbook sempre serão seus amigos =)

Abraços,


-- 
.:: Lucas Dias
.:: (82) 9 8813-1494 / 9 8111-2288
.:: Antes de imprimir, veja se realmente é necessário!!!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 
  
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW e traceroute

[Thiago Andrighetti]

Olá Guilherme,Eu já pensei nisso.Mas pretendo estudar a fundo o IPFW 
primeiramente, pois em comparativo de performance e é muito bom eeu uso ele 
tambem em meu servidor de Borda com BGP, já o PF não ficaria legal ao meu ver 
pelo fator performance eintegração com o sistema.Eu até entendo que pro meu 
gateway do escritório o PF ficaria muito bom, mas estou usando esse firewall 
como meu laboratóriopra um estudo mais aprofundado.
 -- Thiago Andrighetti de Pádua 


 Em Quarta-feira, 30 de Setembro de 2015 10:00, Guilherme Ferreira Rosário 
 escreveu:
   
 

 Porque não migra para PF?



Em 30 de setembro de 2015 09:53, Lucas Dias  escreveu:

> Em 30 de setembro de 2015 09:37, Thiago Andrighetti <
> thiagoapa...@yahoo.com.br> escreveu:
>
> > Olá pessoal,Eu estou tendo alguns problemas com ipfw no gateway aqui do
> > escritorio.Um deles (outros posto em outra ocasião) é que de dentro da
> > minha rede, eu não consigo executar traceroute.Já tentei liberar todo
> UDP e
> > ICMP, mas não deu certo.Se puderem, poderiam dar uma ajuda com o
> firewall,
> > ainda estou em processo de aprendizado do ipfw.Se quiserem dar uma
> opinião
> > de como está configurado o mesmo, agradeço tambem rsrrs.
> > Muito obrigado.
> > Segue abaixo o link do script
> > http://pastebin.com/zQQe5Lmp
> >
> >
> >
> >
> >  -- Thiago Andrighetti de Pádua
> > -
> >
>
>
> Thiago, bom dia.
>
>
> Cara, incialmente não erro de sintaxe.
> Acredito que seja ordem de regra.
>
> Você tem algumas regras, negando algumas coisas tendo como fluxo, any to
> any.
>
> Realize alguns testes, colocando a permissão do icmp antes das regras de
> deny.
>
> Acho que isso poderá te ajudar.
>
> Segue alguns links de apoio.
>
> http://www.macenterprise.org/articles/advancedipfwfirewallconfiguration
> https://www.freebsd.org/doc/handbook/firewalls-ipfw.html
>
> A lista e o Handbook sempre serão seus amigos =)
>
> Abraços,
>
>
> --
> .:: Lucas Dias
> .:: (82) 9 8813-1494 / 9 8111-2288
> .:: Antes de imprimir, veja se realmente é necessário!!!
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 
  
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw table list reportando endereçamento errado. // era "Problema sério com link aggregation LACP no FreeBSD 10.2-RELEASE"

[Marcelo Gondim]

On 21-09-2015 15:28, Vinícius Zavam wrote:

novidades?
seria interessante reportar o status do ipfw(8) atual na 10.2-STABLE.
chegou a atualizar a máquina do blog (bsdinfo) , como vc falou?



Egypcio,,

Ontem saiu essa correção [1]. Será que pode ter à ver? O problema é que 
saíram outras juntas e o source não está mais compilando. Vou aguardar 
corrigirem:


[1] https://svnweb.freebsd.org/base?view=revision=288072

cc  -c -O2 -pipe -fno-strict-aliasing  -std=c99  -Wall -Wredundant-decls 
-Wnested-externs -Wstrict-prototypes -Wmissing-prototypes 
-Wpointer-arith -Winline -Wcast-qual  -Wundef -Wno-pointer-sign 
-fformat-extensions  -Wmissing-include-dirs -fdiagnostics-show-option  
-Wno-error-tautological-compare -Wno-error-empty-body  
-Wno-error-parentheses-equality -Wno-error-unused-function   -nostdinc  
-I. -I/usr/src/sys -I/usr/src/sys/contrib/altq 
-I/usr/src/sys/contrib/libfdt -D_KERNEL -DHAVE_KERNEL_OPTION_HEADERS 
-include opt_global.h -fno-omit-frame-pointer 
-mno-omit-leaf-frame-pointer -mno-aes -mno-avx -mcmodel=kernel 
-mno-red-zone -mno-mmx -mno-sse -msoft-float  
-fno-asynchronous-unwind-tables -ffreestanding -fstack-protector 
-Werror  /usr/src/sys/kern/vfs_init.c

--- vfs_hash.o ---
/usr/src/sys/kern/vfs_hash.c:184:2: error: implicit declaration of 
function 'rw_wlock' is invalid in C99 
[-Werror,-Wimplicit-function-declaration]

rw_wlock(_hash_lock);
^
/usr/src/sys/kern/vfs_hash.c:184:12: error: use of undeclared identifier 
'vfs_hash_lock'; did you mean 'vfs_hash_mask'?

rw_wlock(_hash_lock);
  ^
  vfs_hash_mask
/usr/src/sys/kern/vfs_hash.c:42:18: note: 'vfs_hash_mask' declared here
static u_long   vfs_hash_mask;
^
/usr/src/sys/kern/vfs_hash.c:197:2: error: implicit declaration of 
function 'rw_wunlock' is invalid in C99 
[-Werror,-Wimplicit-function-declaration]

rw_wunlock(_hash_lock);
^
/usr/src/sys/kern/vfs_hash.c:197:2: note: did you mean 'rw_wlock'?
/usr/src/sys/kern/vfs_hash.c:184:2: note: 'rw_wlock' declared here
rw_wlock(_hash_lock);
^
/usr/src/sys/kern/vfs_hash.c:197:14: error: use of undeclared identifier 
'vfs_hash_lock'; did you mean 'vfs_hash_mask'?

rw_wunlock(_hash_lock);
^
vfs_hash_mask
/usr/src/sys/kern/vfs_hash.c:42:18: note: 'vfs_hash_mask' declared here
static u_long   vfs_hash_mask;
^
4 errors generated.
*** [vfs_hash.o] Error code 1

bmake[2]: stopped in /usr/obj/usr/src/sys/INTNET10
--- modules-all ---
A failure has been detected in another branch of the parallel make

bmake[4]: stopped in /usr/src/sys/modules/ath
*** [all_subdir_ath] Error code 2

bmake[3]: stopped in /usr/src/sys/modules
--- all_subdir_bwi ---
A failure has been detected in another branch of the parallel make

bmake[4]: stopped in /usr/src/sys/modules/bwi
*** [all_subdir_bwi] Error code 2

bmake[3]: stopped in /usr/src/sys/modules
2 errors

bmake[3]: stopped in /usr/src/sys/modules
*** [modules-all] Error code 2

bmake[2]: stopped in /usr/obj/usr/src/sys/INTNET10
2 errors

bmake[2]: stopped in /usr/obj/usr/src/sys/INTNET10
*** [buildkernel] Error code 2

bmake[1]: stopped in /usr/src
1 error

bmake[1]: stopped in /usr/src
*** [buildkernel] Error code 2

make: stopped in /usr/src
1 error

make: stopped in /usr/src

[]'s
Gondim
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw table list reportando endereçamento errado. // era "Problema sério com link aggregation LACP no FreeBSD 10.2-RELEASE"

[Vinícius Zavam]

novidades?
seria interessante reportar o status do ipfw(8) atual na 10.2-STABLE.
chegou a atualizar a máquina do blog (bsdinfo) , como vc falou?


-- 
Vinícius Zavam
keybase.io/egypcio/key.asc
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw table list reportando endereçamento errado. // era "Problema sério com link aggregation LACP no FreeBSD 10.2-RELEASE"

[Marcelo Gondim]

On 21-09-2015 15:28, Vinícius Zavam wrote:

novidades?
seria interessante reportar o status do ipfw(8) atual na 10.2-STABLE.
chegou a atualizar a máquina do blog (bsdinfo) , como vc falou?


Sim e reportei no PR no mesmo dia que testei. Inclusive nos 2 PR sobre o 
mesmo assunto do ipfw. Mas estranhamente meus comentários sumiram dos 2 
reports. Aff.

Ficou 100% o ipfw.  :)

Vou lá novamente comentar [1] e [2].

[1] https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=200169
[2] https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=189471


Quanto ao problema do lagg continuo na mesma. O lado do Juniper fez uma 
nova configuração de periodic slow e deu uma melhorada nas mensagens do 
lacp. Agora eu vejo os transmit e receive dos laggs de 30 em 30 segundos 
normalmente.
Mas quarta ou quinta vou migrar os 2 laggs que tenho para uma Intel 
X520-SR2 que tem 2 portas de 10GbE e aí não vou mais usar o lagg. Uma 
pena porque não vou conseguir mais fazer os testes. É torcer para que 
outra pessoa com um tráfego como o meu de 4.5Gbps, usando lagg e tenha o 
mesmo problema pra poder dar continuidade.



-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw table list reportando endereçamento errado. // era "Problema sério com link aggregation LACP no FreeBSD 10.2-RELEASE"

[Vinícius Zavam]

2015-09-18 15:03 GMT-03:00 Marcelo Gondim :

> On 18-09-2015 14:41, Vinícius Zavam wrote:
>
>> 2015-09-18 12:00 GMT-03:00 Marcelo Gondim :
>>
>> On 18-09-2015 11:49, Vinícius Zavam wrote:
>>>
>>> 2015-09-18 11:06 GMT-03:00 Vinícius Zavam :


 2015-09-17 19:20 GMT-03:00 Marcelo Gondim :
>
> On 17-09-2015 16:54, Marcelo Gondim wrote:
>
>> On 17-09-2015 16:44, Vinícius Zavam wrote:
>>
>>> 2015-09-17 15:22 GMT-03:00 Marcelo Gondim :
>>>
 On 17-09-2015 11:51, Luiz Otavio O Souza wrote:

 2015-09-15 11:59 GMT-03:00 Marcelo Gondim:
>
> Opa Danilo,
>>
>> Pois é e a única coisa que tenho é a revisão que funciona perfeito
>>> no
>>> 10.1-stable. Não sei se é simples achar a mudança entre as
>>> versões
>>> que
>>> saíram mas algo mudou nesse meio do caminho destruiu meu cenário.
>>>
>>> Outra recente também que descobri e que sofri por muito mas muito
>>> tempo.
>>> Não
>>> sei se lembram dessa thread [1] que abri em abril do ano passado.
>>> Sabe qual era a solução desse problema?
>>>
>>> Colocar um simples: gateway_enable="YES" no /etc/rc.conf
>>>
>>> Ou seja, mesmo colocando o net.inet.ip.forwarding=1 se você não
>>> colocar
>>> essa
>>> instrução no rc.conf e mandar criar uma vlan, simplesmente seu
>>> roteamento
>>> para completamente. Só reiniciando a máquina. Agora me diga
>>> porque
>>> o
>>> roteamento para de funcionar quando faço um ifconfig vlanX create
>>> se
>>> eu
>>> não
>>> tiver o gateway_enable no rc.conf? Onde que isso está escrito?
>>> Fiquei
>>> meses
>>> com esse problema e agora não tenho mais.
>>>
>>> Pior é que os caras que me responderam isso na lista acham que
>>> isso
>>> não
>>> é um
>>> bug. Só teve 1 que achou que era um bug. Não faz sentido algum
>>> isso.
>>> Podem fazer esse teste. Peguem um FreeBSD 10.x coloquem 2
>>> interfaces
>>> de
>>> rede
>>> pra fazer o roteamento de um lado pra outro e setem umas vlans.
>>> Sem o
>>> parâmetro acima experimentem fazer um simples:
>>>
>>> # ifconfig vlan200 create
>>>
>>> Depois tentem pingar de uma rede pra outra. Não vai nem à pau.
>>> Agora
>>> se
>>> colocarem o parâmetro acima no rc.conf vocês podem criar vlans
>>> sem
>>> problemas.
>>>
>>> São essas coisas que matam a gente.
>>>
>>> [1]
>>>
>>> http://www.fug.com.br/historico/html/freebsd/2014-04/msg00154.html
>>>
>>> Opa Gondim,
>>>
>>> Nós entendemos e sabemos o quanto é frustante aguardar (sem um
>> ETA
>> definido) uma resposta ou uma correção nesses casos (eu também já
>> estive nessa posição).
>>
>> É sempre importante lembrar que o projeto trabalha com
>> voluntários,
>> há
>> muita pouca gente lá que é paga pra fazer algum serviço ou para
>> ser
>> responsável por determinada area, então mesmo com toda frustração
>> é
>> importante manter uma atitude positiva.
>>
>> Pessoas com a atitude positiva se relacionam melhor com a
>> comunidade e
>> se relacionando bem as pessoas vão se lembrar de você. Lembre-se,
>> é
>> tudo uma questão de como você interage com o projeto. O projeto
>> esta
>> sempre acompanhando as pessoas, todo contribuidor eventual é um
>> possível desenvolvedor.
>>
>> Mesmo com todos esses problemas, eu aposto que você ainda tem
>> muito
>> mais chances de ter o seu problema resolvido no FreeBSD do que no
>> mikrotik ou no Windows (mesmo os últimos dois sendo pagos),
>> reporte
>> um
>> problema lá e depois me diga quando foram resolvidos ;-)
>>
>> Bom, quanto a esse problema do gateway_enable, esta correto,
>> apenas
>> adicionando o net.inet.ip.forwarding=1 não é o bastante para que o
>> sistema funcione, existem casos onde os scripts rc vão reescrever
>> essa
>> sysctl e a única forma de você instruir os scripts para fazer a
>> coisa
>> certa é através da variável gateway_enable.
>>
>> O roteamento para de funcionar porque quando você cria a vlan ele
>> seta
>> a sysctl de volta pra 0, pode fazer o teste. Basta setar a sysctl
>> novamente para tudo voltar a funcionar, não precisa reiniciar.
>>
>> 

Re: [FUG-BR] ipfw table list reportando endereçamento errado. // era "Problema sério com link aggregation LACP no FreeBSD 10.2-RELEASE"

[Marcelo Gondim]

On 18-09-2015 14:41, Vinícius Zavam wrote:

2015-09-18 12:00 GMT-03:00 Marcelo Gondim :


On 18-09-2015 11:49, Vinícius Zavam wrote:


2015-09-18 11:06 GMT-03:00 Vinícius Zavam :



2015-09-17 19:20 GMT-03:00 Marcelo Gondim :

On 17-09-2015 16:54, Marcelo Gondim wrote:

On 17-09-2015 16:44, Vinícius Zavam wrote:

2015-09-17 15:22 GMT-03:00 Marcelo Gondim :

On 17-09-2015 11:51, Luiz Otavio O Souza wrote:


2015-09-15 11:59 GMT-03:00 Marcelo Gondim:


Opa Danilo,


Pois é e a única coisa que tenho é a revisão que funciona perfeito
no
10.1-stable. Não sei se é simples achar a mudança entre as versões
que
saíram mas algo mudou nesse meio do caminho destruiu meu cenário.

Outra recente também que descobri e que sofri por muito mas muito
tempo.
Não
sei se lembram dessa thread [1] que abri em abril do ano passado.
Sabe qual era a solução desse problema?

Colocar um simples: gateway_enable="YES" no /etc/rc.conf

Ou seja, mesmo colocando o net.inet.ip.forwarding=1 se você não
colocar
essa
instrução no rc.conf e mandar criar uma vlan, simplesmente seu
roteamento
para completamente. Só reiniciando a máquina. Agora me diga porque
o
roteamento para de funcionar quando faço um ifconfig vlanX create
se
eu
não
tiver o gateway_enable no rc.conf? Onde que isso está escrito?
Fiquei
meses
com esse problema e agora não tenho mais.

Pior é que os caras que me responderam isso na lista acham que isso
não
é um
bug. Só teve 1 que achou que era um bug. Não faz sentido algum
isso.
Podem fazer esse teste. Peguem um FreeBSD 10.x coloquem 2
interfaces
de
rede
pra fazer o roteamento de um lado pra outro e setem umas vlans.
Sem o
parâmetro acima experimentem fazer um simples:

# ifconfig vlan200 create

Depois tentem pingar de uma rede pra outra. Não vai nem à pau.
Agora
se
colocarem o parâmetro acima no rc.conf vocês podem criar vlans sem
problemas.

São essas coisas que matam a gente.

[1]
http://www.fug.com.br/historico/html/freebsd/2014-04/msg00154.html

Opa Gondim,


Nós entendemos e sabemos o quanto é frustante aguardar (sem um ETA
definido) uma resposta ou uma correção nesses casos (eu também já
estive nessa posição).

É sempre importante lembrar que o projeto trabalha com voluntários,
há
muita pouca gente lá que é paga pra fazer algum serviço ou para ser
responsável por determinada area, então mesmo com toda frustração é
importante manter uma atitude positiva.

Pessoas com a atitude positiva se relacionam melhor com a
comunidade e
se relacionando bem as pessoas vão se lembrar de você. Lembre-se, é
tudo uma questão de como você interage com o projeto. O projeto esta
sempre acompanhando as pessoas, todo contribuidor eventual é um
possível desenvolvedor.

Mesmo com todos esses problemas, eu aposto que você ainda tem muito
mais chances de ter o seu problema resolvido no FreeBSD do que no
mikrotik ou no Windows (mesmo os últimos dois sendo pagos), reporte
um
problema lá e depois me diga quando foram resolvidos ;-)

Bom, quanto a esse problema do gateway_enable, esta correto, apenas
adicionando o net.inet.ip.forwarding=1 não é o bastante para que o
sistema funcione, existem casos onde os scripts rc vão reescrever
essa
sysctl e a única forma de você instruir os scripts para fazer a
coisa
certa é através da variável gateway_enable.

O roteamento para de funcionar porque quando você cria a vlan ele
seta
a sysctl de volta pra 0, pode fazer o teste. Basta setar a sysctl
novamente para tudo voltar a funcionar, não precisa reiniciar.

Contribua com a documentação do projeto, deixe isso escrito e claro
para que outras pessoas não tenham a mesma dificuldade.

Grande LooS  :)

Só desanima mas continuo na guerra rsrsrsrs

Então pois é. Eu vi que a sysctl voltava pra 0 mas mesmo setando pra
1
não
voltava à funcionar. Uma doideira mesmo. Só voltava o sistema quando
reiniciado e como estava em produção não deu pra fazer mais testes,
infelizmente. Só achei estranho isso acontecer.
Não sei se ele altera alguma outra sysctl que seria o motivo de
parar.

Abrs,

gondim,

certamente tu já deves ter visto algum desses conteúdos, mas ...

+

https://lists.freebsd.org/pipermail/freebsd-net/2014-February/037738.html
+ https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=185967

chegou a aplicar algumas das alterações sugeridas na thread da
freebsd-net@,
ou na página do bugzilla pelos próprios desenvolvedores? // aqui,
algumas
palavras do scottl@ na thread da lista freebsd-net:

" The difference between FreeBSD 9.x and 10 is that in 9.x, it ran in
“optimistic” mode, meaning that it didn’t rely on getting receive
messages
from the switch, and only took a channel down if the link state went
down. "

" The ‘flapping’ message is intentional, it points out that something
is
wrong with heartbeat exchange with the switch. "
(sys/net/ieee8023ad_lacp.c)

[ ] ' s


Opa Egypcio tranquilo?


Então tava olhando o log das modificações do ieee8023ad_lacp.c e acho
que essa revisão [1] 

Re: [FUG-BR] ipfw table list reportando endereçamento errado. // era "Problema sério com link aggregation LACP no FreeBSD 10.2-RELEASE"

[Marcelo Gondim]

On 18-09-2015 15:34, Vinícius Zavam wrote:

2015-09-18 15:03 GMT-03:00 Marcelo Gondim :


On 18-09-2015 14:41, Vinícius Zavam wrote:


2015-09-18 12:00 GMT-03:00 Marcelo Gondim :

On 18-09-2015 11:49, Vinícius Zavam wrote:

2015-09-18 11:06 GMT-03:00 Vinícius Zavam :


2015-09-17 19:20 GMT-03:00 Marcelo Gondim :

On 17-09-2015 16:54, Marcelo Gondim wrote:


On 17-09-2015 16:44, Vinícius Zavam wrote:


2015-09-17 15:22 GMT-03:00 Marcelo Gondim :


On 17-09-2015 11:51, Luiz Otavio O Souza wrote:

2015-09-15 11:59 GMT-03:00 Marcelo Gondim:

Opa Danilo,

Pois é e a única coisa que tenho é a revisão que funciona perfeito

no
10.1-stable. Não sei se é simples achar a mudança entre as
versões
que
saíram mas algo mudou nesse meio do caminho destruiu meu cenário.

Outra recente também que descobri e que sofri por muito mas muito
tempo.
Não
sei se lembram dessa thread [1] que abri em abril do ano passado.
Sabe qual era a solução desse problema?

Colocar um simples: gateway_enable="YES" no /etc/rc.conf

Ou seja, mesmo colocando o net.inet.ip.forwarding=1 se você não
colocar
essa
instrução no rc.conf e mandar criar uma vlan, simplesmente seu
roteamento
para completamente. Só reiniciando a máquina. Agora me diga
porque
o
roteamento para de funcionar quando faço um ifconfig vlanX create
se
eu
não
tiver o gateway_enable no rc.conf? Onde que isso está escrito?
Fiquei
meses
com esse problema e agora não tenho mais.

Pior é que os caras que me responderam isso na lista acham que
isso
não
é um
bug. Só teve 1 que achou que era um bug. Não faz sentido algum
isso.
Podem fazer esse teste. Peguem um FreeBSD 10.x coloquem 2
interfaces
de
rede
pra fazer o roteamento de um lado pra outro e setem umas vlans.
Sem o
parâmetro acima experimentem fazer um simples:

# ifconfig vlan200 create

Depois tentem pingar de uma rede pra outra. Não vai nem à pau.
Agora
se
colocarem o parâmetro acima no rc.conf vocês podem criar vlans
sem
problemas.

São essas coisas que matam a gente.

[1]

http://www.fug.com.br/historico/html/freebsd/2014-04/msg00154.html

Opa Gondim,

Nós entendemos e sabemos o quanto é frustante aguardar (sem um

ETA
definido) uma resposta ou uma correção nesses casos (eu também já
estive nessa posição).

É sempre importante lembrar que o projeto trabalha com
voluntários,
há
muita pouca gente lá que é paga pra fazer algum serviço ou para
ser
responsável por determinada area, então mesmo com toda frustração
é
importante manter uma atitude positiva.

Pessoas com a atitude positiva se relacionam melhor com a
comunidade e
se relacionando bem as pessoas vão se lembrar de você. Lembre-se,
é
tudo uma questão de como você interage com o projeto. O projeto
esta
sempre acompanhando as pessoas, todo contribuidor eventual é um
possível desenvolvedor.

Mesmo com todos esses problemas, eu aposto que você ainda tem
muito
mais chances de ter o seu problema resolvido no FreeBSD do que no
mikrotik ou no Windows (mesmo os últimos dois sendo pagos),
reporte
um
problema lá e depois me diga quando foram resolvidos ;-)

Bom, quanto a esse problema do gateway_enable, esta correto,
apenas
adicionando o net.inet.ip.forwarding=1 não é o bastante para que o
sistema funcione, existem casos onde os scripts rc vão reescrever
essa
sysctl e a única forma de você instruir os scripts para fazer a
coisa
certa é através da variável gateway_enable.

O roteamento para de funcionar porque quando você cria a vlan ele
seta
a sysctl de volta pra 0, pode fazer o teste. Basta setar a sysctl
novamente para tudo voltar a funcionar, não precisa reiniciar.

Contribua com a documentação do projeto, deixe isso escrito e
claro
para que outras pessoas não tenham a mesma dificuldade.

Grande LooS  :)

Só desanima mas continuo na guerra rsrsrsrs


Então pois é. Eu vi que a sysctl voltava pra 0 mas mesmo setando
pra
1
não
voltava à funcionar. Uma doideira mesmo. Só voltava o sistema
quando
reiniciado e como estava em produção não deu pra fazer mais testes,
infelizmente. Só achei estranho isso acontecer.
Não sei se ele altera alguma outra sysctl que seria o motivo de
parar.

Abrs,

gondim,


certamente tu já deves ter visto algum desses conteúdos, mas ...

+


https://lists.freebsd.org/pipermail/freebsd-net/2014-February/037738.html
+ https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=185967

chegou a aplicar algumas das alterações sugeridas na thread da
freebsd-net@,
ou na página do bugzilla pelos próprios desenvolvedores? // aqui,
algumas
palavras do scottl@ na thread da lista freebsd-net:

" The difference between FreeBSD 9.x and 10 is that in 9.x, it ran
in
“optimistic” mode, meaning that it didn’t rely on getting receive
messages
from the switch, and only took a channel down if the link state went
down. "

" The ‘flapping’ message is intentional, it points out that
something
is
wrong with heartbeat exchange with the switch. "
(sys/net/ieee8023ad_lacp.c)

[ ] ' s

Re: [FUG-BR] ipfw table list reportando endereçamento errado. // era "Problema sério com link aggregation LACP no FreeBSD 10.2-RELEASE"

[Marcelo Gondim]

On 18-09-2015 11:49, Vinícius Zavam wrote:

2015-09-18 11:06 GMT-03:00 Vinícius Zavam :



2015-09-17 19:20 GMT-03:00 Marcelo Gondim :


On 17-09-2015 16:54, Marcelo Gondim wrote:


On 17-09-2015 16:44, Vinícius Zavam wrote:


2015-09-17 15:22 GMT-03:00 Marcelo Gondim :

On 17-09-2015 11:51, Luiz Otavio O Souza wrote:

2015-09-15 11:59 GMT-03:00 Marcelo Gondim:

Opa Danilo,

Pois é e a única coisa que tenho é a revisão que funciona perfeito no
10.1-stable. Não sei se é simples achar a mudança entre as versões
que
saíram mas algo mudou nesse meio do caminho destruiu meu cenário.

Outra recente também que descobri e que sofri por muito mas muito
tempo.
Não
sei se lembram dessa thread [1] que abri em abril do ano passado.
Sabe qual era a solução desse problema?

Colocar um simples: gateway_enable="YES" no /etc/rc.conf

Ou seja, mesmo colocando o net.inet.ip.forwarding=1 se você não
colocar
essa
instrução no rc.conf e mandar criar uma vlan, simplesmente seu
roteamento
para completamente. Só reiniciando a máquina. Agora me diga porque o
roteamento para de funcionar quando faço um ifconfig vlanX create se
eu
não
tiver o gateway_enable no rc.conf? Onde que isso está escrito? Fiquei
meses
com esse problema e agora não tenho mais.

Pior é que os caras que me responderam isso na lista acham que isso
não
é um
bug. Só teve 1 que achou que era um bug. Não faz sentido algum isso.
Podem fazer esse teste. Peguem um FreeBSD 10.x coloquem 2 interfaces
de
rede
pra fazer o roteamento de um lado pra outro e setem umas vlans. Sem o
parâmetro acima experimentem fazer um simples:

# ifconfig vlan200 create

Depois tentem pingar de uma rede pra outra. Não vai nem à pau. Agora
se
colocarem o parâmetro acima no rc.conf vocês podem criar vlans sem
problemas.

São essas coisas que matam a gente.

[1]
http://www.fug.com.br/historico/html/freebsd/2014-04/msg00154.html

Opa Gondim,

Nós entendemos e sabemos o quanto é frustante aguardar (sem um ETA
definido) uma resposta ou uma correção nesses casos (eu também já
estive nessa posição).

É sempre importante lembrar que o projeto trabalha com voluntários, há
muita pouca gente lá que é paga pra fazer algum serviço ou para ser
responsável por determinada area, então mesmo com toda frustração é
importante manter uma atitude positiva.

Pessoas com a atitude positiva se relacionam melhor com a comunidade e
se relacionando bem as pessoas vão se lembrar de você. Lembre-se, é
tudo uma questão de como você interage com o projeto. O projeto esta
sempre acompanhando as pessoas, todo contribuidor eventual é um
possível desenvolvedor.

Mesmo com todos esses problemas, eu aposto que você ainda tem muito
mais chances de ter o seu problema resolvido no FreeBSD do que no
mikrotik ou no Windows (mesmo os últimos dois sendo pagos), reporte um
problema lá e depois me diga quando foram resolvidos ;-)

Bom, quanto a esse problema do gateway_enable, esta correto, apenas
adicionando o net.inet.ip.forwarding=1 não é o bastante para que o
sistema funcione, existem casos onde os scripts rc vão reescrever essa
sysctl e a única forma de você instruir os scripts para fazer a coisa
certa é através da variável gateway_enable.

O roteamento para de funcionar porque quando você cria a vlan ele seta
a sysctl de volta pra 0, pode fazer o teste. Basta setar a sysctl
novamente para tudo voltar a funcionar, não precisa reiniciar.

Contribua com a documentação do projeto, deixe isso escrito e claro
para que outras pessoas não tenham a mesma dificuldade.

Grande LooS  :)


Só desanima mas continuo na guerra rsrsrsrs

Então pois é. Eu vi que a sysctl voltava pra 0 mas mesmo setando pra 1
não
voltava à funcionar. Uma doideira mesmo. Só voltava o sistema quando
reiniciado e como estava em produção não deu pra fazer mais testes,
infelizmente. Só achei estranho isso acontecer.
Não sei se ele altera alguma outra sysctl que seria o motivo de parar.

Abrs,


gondim,

certamente tu já deves ter visto algum desses conteúdos, mas ...

+
https://lists.freebsd.org/pipermail/freebsd-net/2014-February/037738.html
+ https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=185967

chegou a aplicar algumas das alterações sugeridas na thread da
freebsd-net@,
ou na página do bugzilla pelos próprios desenvolvedores? // aqui,
algumas
palavras do scottl@ na thread da lista freebsd-net:

" The difference between FreeBSD 9.x and 10 is that in 9.x, it ran in
“optimistic” mode, meaning that it didn’t rely on getting receive
messages
from the switch, and only took a channel down if the link state went
down. "

" The ‘flapping’ message is intentional, it points out that something is
wrong with heartbeat exchange with the switch. "
(sys/net/ieee8023ad_lacp.c)

[ ] ' s


Opa Egypcio tranquilo?

Então tava olhando o log das modificações do ieee8023ad_lacp.c e acho
que essa revisão [1] deve resolver o meu problema. Ela saiu esses dias. Vou
testar hoje à noite mas estou bem otimista em relação à 

Re: [FUG-BR] ipfw table list reportando endereçamento errado. // era "Problema sério com link aggregation LACP no FreeBSD 10.2-RELEASE"

[Vinícius Zavam]

2015-09-18 12:00 GMT-03:00 Marcelo Gondim :

> On 18-09-2015 11:49, Vinícius Zavam wrote:
>
>> 2015-09-18 11:06 GMT-03:00 Vinícius Zavam :
>>
>>
>>> 2015-09-17 19:20 GMT-03:00 Marcelo Gondim :
>>>
>>> On 17-09-2015 16:54, Marcelo Gondim wrote:

 On 17-09-2015 16:44, Vinícius Zavam wrote:
>
> 2015-09-17 15:22 GMT-03:00 Marcelo Gondim :
>>
>> On 17-09-2015 11:51, Luiz Otavio O Souza wrote:
>>
>>> 2015-09-15 11:59 GMT-03:00 Marcelo Gondim:
>>>
 Opa Danilo,

> Pois é e a única coisa que tenho é a revisão que funciona perfeito
> no
> 10.1-stable. Não sei se é simples achar a mudança entre as versões
> que
> saíram mas algo mudou nesse meio do caminho destruiu meu cenário.
>
> Outra recente também que descobri e que sofri por muito mas muito
> tempo.
> Não
> sei se lembram dessa thread [1] que abri em abril do ano passado.
> Sabe qual era a solução desse problema?
>
> Colocar um simples: gateway_enable="YES" no /etc/rc.conf
>
> Ou seja, mesmo colocando o net.inet.ip.forwarding=1 se você não
> colocar
> essa
> instrução no rc.conf e mandar criar uma vlan, simplesmente seu
> roteamento
> para completamente. Só reiniciando a máquina. Agora me diga porque
> o
> roteamento para de funcionar quando faço um ifconfig vlanX create
> se
> eu
> não
> tiver o gateway_enable no rc.conf? Onde que isso está escrito?
> Fiquei
> meses
> com esse problema e agora não tenho mais.
>
> Pior é que os caras que me responderam isso na lista acham que isso
> não
> é um
> bug. Só teve 1 que achou que era um bug. Não faz sentido algum
> isso.
> Podem fazer esse teste. Peguem um FreeBSD 10.x coloquem 2
> interfaces
> de
> rede
> pra fazer o roteamento de um lado pra outro e setem umas vlans.
> Sem o
> parâmetro acima experimentem fazer um simples:
>
> # ifconfig vlan200 create
>
> Depois tentem pingar de uma rede pra outra. Não vai nem à pau.
> Agora
> se
> colocarem o parâmetro acima no rc.conf vocês podem criar vlans sem
> problemas.
>
> São essas coisas que matam a gente.
>
> [1]
> http://www.fug.com.br/historico/html/freebsd/2014-04/msg00154.html
>
> Opa Gondim,
>
 Nós entendemos e sabemos o quanto é frustante aguardar (sem um ETA
 definido) uma resposta ou uma correção nesses casos (eu também já
 estive nessa posição).

 É sempre importante lembrar que o projeto trabalha com voluntários,
 há
 muita pouca gente lá que é paga pra fazer algum serviço ou para ser
 responsável por determinada area, então mesmo com toda frustração é
 importante manter uma atitude positiva.

 Pessoas com a atitude positiva se relacionam melhor com a
 comunidade e
 se relacionando bem as pessoas vão se lembrar de você. Lembre-se, é
 tudo uma questão de como você interage com o projeto. O projeto esta
 sempre acompanhando as pessoas, todo contribuidor eventual é um
 possível desenvolvedor.

 Mesmo com todos esses problemas, eu aposto que você ainda tem muito
 mais chances de ter o seu problema resolvido no FreeBSD do que no
 mikrotik ou no Windows (mesmo os últimos dois sendo pagos), reporte
 um
 problema lá e depois me diga quando foram resolvidos ;-)

 Bom, quanto a esse problema do gateway_enable, esta correto, apenas
 adicionando o net.inet.ip.forwarding=1 não é o bastante para que o
 sistema funcione, existem casos onde os scripts rc vão reescrever
 essa
 sysctl e a única forma de você instruir os scripts para fazer a
 coisa
 certa é através da variável gateway_enable.

 O roteamento para de funcionar porque quando você cria a vlan ele
 seta
 a sysctl de volta pra 0, pode fazer o teste. Basta setar a sysctl
 novamente para tudo voltar a funcionar, não precisa reiniciar.

 Contribua com a documentação do projeto, deixe isso escrito e claro
 para que outras pessoas não tenham a mesma dificuldade.

 Grande LooS  :)

 Só desanima mas continuo na guerra rsrsrsrs
>>>
>>> Então pois é. Eu vi que a sysctl voltava pra 0 mas mesmo setando pra
>>> 1
>>> não
>>> voltava à funcionar. Uma doideira mesmo. Só voltava o sistema quando
>>> reiniciado e como estava em produção não deu pra fazer mais testes,
>>> 

Re: [FUG-BR] ipfw nat in-kernel FreeBSD 9.2

[Fabricio Lima]

Talvez o divert natd seja o q esteja funcionando no seu script

add divert natd all from 192.168.0.0/16 to any via wan0

eu costumava usar assim, inclusive com pipes.

mas o seu one_pass está me fazendo refletir se deveria ser setado em 1 ou nao...


[ ]'s
Fabricio Lima
When your hammer is C++, everything begins to look like a thumb.

Em 11 de novembro de 2014 11:37, Márcio Elias marcioel...@gmail.com
escreveu:

 Bom dia pessoal, devido a um problema com Pipe + MAC Address no FreeBSD 10
 para controle de upload (thread antiga aqui), estou fazendo testes na
 versão 9.2 do Nat do IPFW usando libalias.

 Pois bem, independentemente das demais regras (testei somente com as de
 NAT) o comportamento no FreeBSD 9.2 ficou diferente do FreeBSD 10.

 Considerem o seguinte:

 ipfw nat 123 config if WAN_IF log
 ipfw add 50 nat 123 ip from any to me in recv WAN_IF
 ipfw add 51 nat 123 ip from 192.168.0.0/16 to any out xmit WAN_IF
 ipfw add 52 nat 123 ip from 172.16.1.0/24 to any out xmit WAN_IF
 ipfw add 65000 allow ip from any to any

 Pois bem, esse cenário na versão 10 funciona, mais na 9 não, todos os
 pacotes incrementam somente a regra 50, mesmo que eu tente acessar o
 endereço IP configurado na interface WAN.

 outros detalhes
 sysctl: net.inet.ip.forwarding=1
 net.inet.ip.fastforwarding=1
 net.inet.ip.fw.one_pass=1

 kernel:
 options IPFIREWALL
 options IPFIREWALL_FORWARD #(somente no 9, no 10 não existe)
 options IPFIREWALL_VERBOSE
 options IPFIREWALL_VERBOSE_LIMIT=100
 options IPFIREWALL_DEFAULT_TO_ACCEPT
 options DUMMYNET
 options DEVICE_POLLING
 options HZ=1000
 options IPFIREWALL_NAT
 options LIBALIAS

 Alguma ideia de como configurar essas regras de NAT usando IPFW no FreeBSD
 9?



 --
 Att.
 __
 Márcio Elias Hahn do Nascimento

 Bacharel em Tecnologias da Informação e Comunicação - TIC
 Cel:   (55) 48-8469-1819
 Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
 Skype: marcioeliash...@hotmail.com
 FreeBSD - The Power To Serve
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw nat in-kernel FreeBSD 9.2

[Márcio Elias]

Fabricio, eu uso o divert em alguns cases (mais de 20), só que o consumo de
cpu e a latência conforme a banda consumida e o número de sub-redes com
alias na placa interna aumenta está ficando inviável.

A tentativa de utilizar essa forma de NAT é reduzir esse consumo de CPU e
também manter uma latência mais baixa na rede.

Já tentei com one_pass 1 e 0.

Estava testando o FreeBSD 10.1 RC4 para ver se ainda tinha o bug do MAC com
PIPE mais o mesmo está dando kernel panic assim que eu ativo o dummynet
para controlar a banda (subo as regras do firewall).

Vejo relatos deste nat usando libalias deste a versão 8, deve ser algum
tratamento diferenciado nos pacotes que obriga a criação de regras de nat
diferentes na versão 9, e por isso esteja errando, mais não encontrei a
lógica correta.

Vi alguns usuários usando duas FIBs, mais não sei se isso seria necessário.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel:   (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve

2014-11-11 12:13 GMT-02:00 Fabricio Lima lis...@fabriciolima.com.br:

 Talvez o divert natd seja o q esteja funcionando no seu script

 add divert natd all from 192.168.0.0/16 to any via wan0

 eu costumava usar assim, inclusive com pipes.

 mas o seu one_pass está me fazendo refletir se deveria ser setado em 1 ou
 nao...


 [ ]'s
 Fabricio Lima
 When your hammer is C++, everything begins to look like a thumb.

 Em 11 de novembro de 2014 11:37, Márcio Elias marcioel...@gmail.com
 escreveu:

  Bom dia pessoal, devido a um problema com Pipe + MAC Address no FreeBSD
 10
  para controle de upload (thread antiga aqui), estou fazendo testes na
  versão 9.2 do Nat do IPFW usando libalias.
 
  Pois bem, independentemente das demais regras (testei somente com as de
  NAT) o comportamento no FreeBSD 9.2 ficou diferente do FreeBSD 10.
 
  Considerem o seguinte:
 
  ipfw nat 123 config if WAN_IF log
  ipfw add 50 nat 123 ip from any to me in recv WAN_IF
  ipfw add 51 nat 123 ip from 192.168.0.0/16 to any out xmit WAN_IF
  ipfw add 52 nat 123 ip from 172.16.1.0/24 to any out xmit WAN_IF
  ipfw add 65000 allow ip from any to any
 
  Pois bem, esse cenário na versão 10 funciona, mais na 9 não, todos os
  pacotes incrementam somente a regra 50, mesmo que eu tente acessar o
  endereço IP configurado na interface WAN.
 
  outros detalhes
  sysctl: net.inet.ip.forwarding=1
  net.inet.ip.fastforwarding=1
  net.inet.ip.fw.one_pass=1
 
  kernel:
  options IPFIREWALL
  options IPFIREWALL_FORWARD #(somente no 9, no 10 não existe)
  options IPFIREWALL_VERBOSE
  options IPFIREWALL_VERBOSE_LIMIT=100
  options IPFIREWALL_DEFAULT_TO_ACCEPT
  options DUMMYNET
  options DEVICE_POLLING
  options HZ=1000
  options IPFIREWALL_NAT
  options LIBALIAS
 
  Alguma ideia de como configurar essas regras de NAT usando IPFW no
 FreeBSD
  9?
 
 
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Bacharel em Tecnologias da Informação e Comunicação - TIC
  Cel:   (55) 48-8469-1819
  Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
  Skype: marcioeliash...@hotmail.com
  FreeBSD - The Power To Serve
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw nat in-kernel FreeBSD 9.2

[Fabricio Lima]

Entendi...

seu objetivo (q estaria causando o kernel panic) é o MAC + pipes

Duvida:

-sem as regras de mac address, está tudo carregando normal ne? (pipes por
IP) e baixa cpu?

-pra estar gerando tanta carga na cpu assim, qual o throughput q estamos
falando? (pra saber se a alta demanda de cpu é a filtragem dos MAC, ou o
dummynet em si)  geralmente eu nao tinha problemas de cpu qndo usava, mas
eram poucos clientes aplicados dummynet.

tenta refazer suas regras em pf (mas ele so suporta filtragem por mac
operando como bridge)
ou poderia cogitar migrar os usuarios para pppoe, levantando um servidor de
pppoe na sua ponta.

se tudo mais falhar, poderia usar uma integraçao dhcp + reserva por mac +
dummynet + script levantando o firewall pra este ip dinamicamente,
validando a origem do mac, e aplicando sua limitaçao de banda por IP ao
inves de mac.

ou seja, caso nao resolva, tem 2 paleativos pra vc fugir da alta cpu, com
outras soluçoes. ou refazendo em outro fw.  mas nao esqueça de responder as
perguntas acima.

[ ]'s
Fabricio Lima
When your hammer is C++, everything begins to look like a thumb.

Em 11 de novembro de 2014 14:36, Márcio Elias marcioel...@gmail.com
escreveu:

 Fabricio, eu uso o divert em alguns cases (mais de 20), só que o consumo de
 cpu e a latência conforme a banda consumida e o número de sub-redes com
 alias na placa interna aumenta está ficando inviável.

 A tentativa de utilizar essa forma de NAT é reduzir esse consumo de CPU e
 também manter uma latência mais baixa na rede.

 Já tentei com one_pass 1 e 0.

 Estava testando o FreeBSD 10.1 RC4 para ver se ainda tinha o bug do MAC com
 PIPE mais o mesmo está dando kernel panic assim que eu ativo o dummynet
 para controlar a banda (subo as regras do firewall).

 Vejo relatos deste nat usando libalias deste a versão 8, deve ser algum
 tratamento diferenciado nos pacotes que obriga a criação de regras de nat
 diferentes na versão 9, e por isso esteja errando, mais não encontrei a
 lógica correta.

 Vi alguns usuários usando duas FIBs, mais não sei se isso seria necessário.

 --
 Att.
 __
 Márcio Elias Hahn do Nascimento

 Bacharel em Tecnologias da Informação e Comunicação - TIC
 Cel:   (55) 48-8469-1819
 Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
 Skype: marcioeliash...@hotmail.com
 FreeBSD - The Power To Serve

 2014-11-11 12:13 GMT-02:00 Fabricio Lima lis...@fabriciolima.com.br:

  Talvez o divert natd seja o q esteja funcionando no seu script
 
  add divert natd all from 192.168.0.0/16 to any via wan0
 
  eu costumava usar assim, inclusive com pipes.
 
  mas o seu one_pass está me fazendo refletir se deveria ser setado em 1 ou
  nao...
 
 
  [ ]'s
  Fabricio Lima
  When your hammer is C++, everything begins to look like a thumb.
 
  Em 11 de novembro de 2014 11:37, Márcio Elias marcioel...@gmail.com
  escreveu:
 
   Bom dia pessoal, devido a um problema com Pipe + MAC Address no FreeBSD
  10
   para controle de upload (thread antiga aqui), estou fazendo testes na
   versão 9.2 do Nat do IPFW usando libalias.
  
   Pois bem, independentemente das demais regras (testei somente com as de
   NAT) o comportamento no FreeBSD 9.2 ficou diferente do FreeBSD 10.
  
   Considerem o seguinte:
  
   ipfw nat 123 config if WAN_IF log
   ipfw add 50 nat 123 ip from any to me in recv WAN_IF
   ipfw add 51 nat 123 ip from 192.168.0.0/16 to any out xmit WAN_IF
   ipfw add 52 nat 123 ip from 172.16.1.0/24 to any out xmit WAN_IF
   ipfw add 65000 allow ip from any to any
  
   Pois bem, esse cenário na versão 10 funciona, mais na 9 não, todos os
   pacotes incrementam somente a regra 50, mesmo que eu tente acessar o
   endereço IP configurado na interface WAN.
  
   outros detalhes
   sysctl: net.inet.ip.forwarding=1
   net.inet.ip.fastforwarding=1
   net.inet.ip.fw.one_pass=1
  
   kernel:
   options IPFIREWALL
   options IPFIREWALL_FORWARD #(somente no 9, no 10 não existe)
   options IPFIREWALL_VERBOSE
   options IPFIREWALL_VERBOSE_LIMIT=100
   options IPFIREWALL_DEFAULT_TO_ACCEPT
   options DUMMYNET
   options DEVICE_POLLING
   options HZ=1000
   options IPFIREWALL_NAT
   options LIBALIAS
  
   Alguma ideia de como configurar essas regras de NAT usando IPFW no
  FreeBSD
   9?
  
  
  
   --
   Att.
   __
   Márcio Elias Hahn do Nascimento
  
   Bacharel em Tecnologias da Informação e Comunicação - TIC
   Cel:   (55) 48-8469-1819
   Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
   Skype: marcioeliash...@hotmail.com
   FreeBSD - The Power To Serve
   -
   Histórico: http://www.fug.com.br/historico/html/freebsd/
   Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
  
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 -
 Histórico: 

Re: [FUG-BR] ipfw nat in-kernel FreeBSD 9.2

[Márcio Elias]

Entendi...

seu objetivo (q estaria causando o kernel panic) é o MAC + pipes

Não dá Kernel Panic no 9.2, somente no 10.1, no 10 simplesmente não há
navegação, nem com MAC nem com IP direto.

Sobre PPPoE é meu futuro, estou caminhando para isso mais são muitos
clientes e tenho muitos concentradores que preciso otimizar antes de tudo
virar PPPoE.

Estamos falando de 600 aliases de IP em média por concentrador, e de até
uns 60Mb de banda.

Eu já uso o que vc sugeriu, DHCP por MAC + IPFW + dummynet + scripts. O
problema de deixar o IP atrelado somente ao DHCP é que algum usuário mal
intencionado pode setar um IP manualmente de alguma subrede roteada e sair
navegando. Ou seja, eu limito a banda ao IP e ao MAC atrelados.


2014-11-11 15:31 GMT-02:00 Fabricio Lima lis...@fabriciolima.com.br:

 Entendi...

 seu objetivo (q estaria causando o kernel panic) é o MAC + pipes

 Duvida:

 -sem as regras de mac address, está tudo carregando normal ne? (pipes por
 IP) e baixa cpu?

 -pra estar gerando tanta carga na cpu assim, qual o throughput q estamos
 falando? (pra saber se a alta demanda de cpu é a filtragem dos MAC, ou o
 dummynet em si)  geralmente eu nao tinha problemas de cpu qndo usava, mas
 eram poucos clientes aplicados dummynet.

 tenta refazer suas regras em pf (mas ele so suporta filtragem por mac
 operando como bridge)
 ou poderia cogitar migrar os usuarios para pppoe, levantando um servidor de
 pppoe na sua ponta.

 se tudo mais falhar, poderia usar uma integraçao dhcp + reserva por mac +
 dummynet + script levantando o firewall pra este ip dinamicamente,
 validando a origem do mac, e aplicando sua limitaçao de banda por IP ao
 inves de mac.

 ou seja, caso nao resolva, tem 2 paleativos pra vc fugir da alta cpu, com
 outras soluçoes. ou refazendo em outro fw.  mas nao esqueça de responder as
 perguntas acima.

 [ ]'s
 Fabricio Lima
 When your hammer is C++, everything begins to look like a thumb.

 Em 11 de novembro de 2014 14:36, Márcio Elias marcioel...@gmail.com
 escreveu:

  Fabricio, eu uso o divert em alguns cases (mais de 20), só que o consumo
 de
  cpu e a latência conforme a banda consumida e o número de sub-redes com
  alias na placa interna aumenta está ficando inviável.
 
  A tentativa de utilizar essa forma de NAT é reduzir esse consumo de CPU e
  também manter uma latência mais baixa na rede.
 
  Já tentei com one_pass 1 e 0.
 
  Estava testando o FreeBSD 10.1 RC4 para ver se ainda tinha o bug do MAC
 com
  PIPE mais o mesmo está dando kernel panic assim que eu ativo o dummynet
  para controlar a banda (subo as regras do firewall).
 
  Vejo relatos deste nat usando libalias deste a versão 8, deve ser algum
  tratamento diferenciado nos pacotes que obriga a criação de regras de nat
  diferentes na versão 9, e por isso esteja errando, mais não encontrei a
  lógica correta.
 
  Vi alguns usuários usando duas FIBs, mais não sei se isso seria
 necessário.
 
  --
  Att.
  __
  Márcio Elias Hahn do Nascimento
 
  Bacharel em Tecnologias da Informação e Comunicação - TIC
  Cel:   (55) 48-8469-1819
  Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
  Skype: marcioeliash...@hotmail.com
  FreeBSD - The Power To Serve
 
  2014-11-11 12:13 GMT-02:00 Fabricio Lima lis...@fabriciolima.com.br:
 
   Talvez o divert natd seja o q esteja funcionando no seu script
  
   add divert natd all from 192.168.0.0/16 to any via wan0
  
   eu costumava usar assim, inclusive com pipes.
  
   mas o seu one_pass está me fazendo refletir se deveria ser setado em 1
 ou
   nao...
  
  
   [ ]'s
   Fabricio Lima
   When your hammer is C++, everything begins to look like a thumb.
  
   Em 11 de novembro de 2014 11:37, Márcio Elias marcioel...@gmail.com
   escreveu:
  
Bom dia pessoal, devido a um problema com Pipe + MAC Address no
 FreeBSD
   10
para controle de upload (thread antiga aqui), estou fazendo testes na
versão 9.2 do Nat do IPFW usando libalias.
   
Pois bem, independentemente das demais regras (testei somente com as
 de
NAT) o comportamento no FreeBSD 9.2 ficou diferente do FreeBSD 10.
   
Considerem o seguinte:
   
ipfw nat 123 config if WAN_IF log
ipfw add 50 nat 123 ip from any to me in recv WAN_IF
ipfw add 51 nat 123 ip from 192.168.0.0/16 to any out xmit WAN_IF
ipfw add 52 nat 123 ip from 172.16.1.0/24 to any out xmit WAN_IF
ipfw add 65000 allow ip from any to any
   
Pois bem, esse cenário na versão 10 funciona, mais na 9 não, todos os
pacotes incrementam somente a regra 50, mesmo que eu tente acessar o
endereço IP configurado na interface WAN.
   
outros detalhes
sysctl: net.inet.ip.forwarding=1
net.inet.ip.fastforwarding=1
net.inet.ip.fw.one_pass=1
   
kernel:
options IPFIREWALL
options IPFIREWALL_FORWARD #(somente no 9, no 10 não existe)
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options 

Re: [FUG-BR] ipfw nat in-kernel FreeBSD 9.2

[Fabricio Lima]

faz o pipe apenas pelo IP...
e a regra do accept faça atraves de AND do ip e mac.

assim vc 'nao complicou' o seu script de fw fazendo regra dummynet em
layer2...
e liberou apenas os clientes com MAC previamente cadastrados

o mal intencionado teria q saber q vc faz isso, e clonar o mac de alguem.
tem furo, mas pqp, é meio 'impossivel'... so se vcs derem a dica.

eu fazia assim qndo vendia internet predial:

ipfw add pipe 1 ip from 192.168.0.1 to any
ipfw config pipe 1 bw 10Mbp/s
ipfw add accept from 192.162.168.0.1 to any
allow all ip from any to any MAC xx:xx:xx:xx any   # MAC do usuario do IP .1

ipfw add pipe 2 ip from 192.168.0.2 to any
ipfw config pipe 2 bw 10Mbp/s
ipfw add accept from 192.162.168.0.2 to any
allow all ip from any to any MAC xx:xx:xx:xx any   # MAC do usuario do IP .2

(claro q tem q fazer as regras de retorno tb..)

Dois pontos a considerar:
# sysctl net.link.ether.ipfw=1

The other thing to realise is that MAC addresses are written in reverse
order: *dest src*; whereas IP rules are written in forward order: *src dest*
.

[ ]'s
Fabricio Lima
When your hammer is C++, everything begins to look like a thumb.

Em 11 de novembro de 2014 15:42, Márcio Elias marcioel...@gmail.com
escreveu:

 Entendi...

 seu objetivo (q estaria causando o kernel panic) é o MAC + pipes

 Não dá Kernel Panic no 9.2, somente no 10.1, no 10 simplesmente não há
 navegação, nem com MAC nem com IP direto.

 Sobre PPPoE é meu futuro, estou caminhando para isso mais são muitos
 clientes e tenho muitos concentradores que preciso otimizar antes de tudo
 virar PPPoE.

 Estamos falando de 600 aliases de IP em média por concentrador, e de até
 uns 60Mb de banda.

 Eu já uso o que vc sugeriu, DHCP por MAC + IPFW + dummynet + scripts. O
 problema de deixar o IP atrelado somente ao DHCP é que algum usuário mal
 intencionado pode setar um IP manualmente de alguma subrede roteada e sair
 navegando. Ou seja, eu limito a banda ao IP e ao MAC atrelados.


 2014-11-11 15:31 GMT-02:00 Fabricio Lima lis...@fabriciolima.com.br:

  Entendi...
 
  seu objetivo (q estaria causando o kernel panic) é o MAC + pipes
 
  Duvida:
 
  -sem as regras de mac address, está tudo carregando normal ne? (pipes por
  IP) e baixa cpu?
 
  -pra estar gerando tanta carga na cpu assim, qual o throughput q estamos
  falando? (pra saber se a alta demanda de cpu é a filtragem dos MAC, ou o
  dummynet em si)  geralmente eu nao tinha problemas de cpu qndo usava, mas
  eram poucos clientes aplicados dummynet.
 
  tenta refazer suas regras em pf (mas ele so suporta filtragem por mac
  operando como bridge)
  ou poderia cogitar migrar os usuarios para pppoe, levantando um servidor
 de
  pppoe na sua ponta.
 
  se tudo mais falhar, poderia usar uma integraçao dhcp + reserva por mac +
  dummynet + script levantando o firewall pra este ip dinamicamente,
  validando a origem do mac, e aplicando sua limitaçao de banda por IP ao
  inves de mac.
 
  ou seja, caso nao resolva, tem 2 paleativos pra vc fugir da alta cpu, com
  outras soluçoes. ou refazendo em outro fw.  mas nao esqueça de responder
 as
  perguntas acima.
 
  [ ]'s
  Fabricio Lima
  When your hammer is C++, everything begins to look like a thumb.
 
  Em 11 de novembro de 2014 14:36, Márcio Elias marcioel...@gmail.com
  escreveu:
 
   Fabricio, eu uso o divert em alguns cases (mais de 20), só que o
 consumo
  de
   cpu e a latência conforme a banda consumida e o número de sub-redes com
   alias na placa interna aumenta está ficando inviável.
  
   A tentativa de utilizar essa forma de NAT é reduzir esse consumo de
 CPU e
   também manter uma latência mais baixa na rede.
  
   Já tentei com one_pass 1 e 0.
  
   Estava testando o FreeBSD 10.1 RC4 para ver se ainda tinha o bug do MAC
  com
   PIPE mais o mesmo está dando kernel panic assim que eu ativo o dummynet
   para controlar a banda (subo as regras do firewall).
  
   Vejo relatos deste nat usando libalias deste a versão 8, deve ser algum
   tratamento diferenciado nos pacotes que obriga a criação de regras de
 nat
   diferentes na versão 9, e por isso esteja errando, mais não encontrei a
   lógica correta.
  
   Vi alguns usuários usando duas FIBs, mais não sei se isso seria
  necessário.
  
   --
   Att.
   __
   Márcio Elias Hahn do Nascimento
  
   Bacharel em Tecnologias da Informação e Comunicação - TIC
   Cel:   (55) 48-8469-1819
   Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
   Skype: marcioeliash...@hotmail.com
   FreeBSD - The Power To Serve
  
   2014-11-11 12:13 GMT-02:00 Fabricio Lima lis...@fabriciolima.com.br:
  
Talvez o divert natd seja o q esteja funcionando no seu script
   
add divert natd all from 192.168.0.0/16 to any via wan0
   
eu costumava usar assim, inclusive com pipes.
   
mas o seu one_pass está me fazendo refletir se deveria ser setado em
 1
  ou
nao...
   
   
[ ]'s
Fabricio Lima
When your hammer is C++, everything begins to look like a thumb.

Re: [FUG-BR] IPFW e NAT

[Renato Frederick]

netri...@zipmail.com.br escreveu:

Boa tarde amigos.

�

Tenho uma estrutura com uma LAN e três Links de Internet em um
firewall FreeBSD 10-Release. Quero distribuir a saida da minha LAN
entre os três links de Internet. Não precisa ser balanceado, pode ser
por grupo de hosts, mas gostaria de fazer isso utilizando IPFW com nat
in-kernel, mas realmente não sei como.

�

Estrutura:

�

Link 1 --\

Link 2 -- [Firewall] - LAN

Link 3 --/

�

Conto com a ajuda de todos.

�

Atcs.

Opa.

Tudo bem que a lista é do FreeBSD, mas você já pensou em usar o PFSENSE? 
Neste caso em específico lá na interface dele você seta seus gateways 
dos 3 links de internet e escolhe se vai fazer load balance, failover, 
etc, etc...
Na unha aí na shell do FreeBSD você vai ter que usar provavelmente o pf 
+ load balancing:


http://www.openbsd.org/faq/pf/pools.html


Ultimamente prezo muito pela agilidade da inteface gráfica, 
principalmente quando precisamos distribuir o trabalho para mais 
pessoas. e o PFSense tem o ponto positivo que é um BSD por trás. Não é 
medonho tipo os shorewall hehehehehe

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW

[Márcio Elias]

2014-04-12 14:01 GMT-03:00 Tiago Drumond ti...@freebsdbrasil.com.br:

 Pessoal,
 Estou com uma dúvida sobre ipfw.
 Meu cenário é o seguinte:em0(interna): 172.30.0.9em1(internet):
 192.168.0.22 - Gateway 192.168.0.1
 O que estou querendo é que todo trafego que chegar na em1 encaminhe
 para o ip 173.30.0.10 que é uma maquina da rede interna. E todo
 tráfego que chegar da 173.30.0.10 encaminhe para o 192.168.0.1.Ou
 seja, quero encaminhar todos os dados da internet para a maquina
 interna e todo trafego que chegar nessa interna encaminhe para a
 internet.Queria com ipfw diretamente pois terei umas regras de filtro
 rodando nela.

 -
 Email sent using ProApps
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Não seria o caso de criar uma interface Bridge e aplicar as regras de IPFW
sobre essa bridge?

Handbook - http://www.freebsd.org/doc/handbook/network-bridging.html

ifconfig bridge0 addm em0 addm em1 up# ifconfig em0 up# ifconfig em1 up


Para tornar permanente, colocar no rc.conf

cloned_interfaces=bridge0
ifconfig_bridge0=addm em0 addm em1 up
ifconfig_em0=up
ifconfig_em1=up


Depois usa a interface bridge0 nas regras do firewall.

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel:   (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW

[Tiago Drumond]

 

- Menssagem Original -
De: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
Para:Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
Cópia:
Enviado:Sat, 12 Apr 2014 14:21:45 -0300
Assunto:Re: [FUG-BR] IPFW

 2014-04-12 14:01 GMT-03:00 Tiago Drumond :

  Pessoal,
  Estou com uma dúvida sobre ipfw.
  Meu cenário é o seguinte:em0(interna): 172.30.0.9em1(internet):
  192.168.0.22 - Gateway 192.168.0.1
  O que estou querendo é que todo trafego que chegar na em1
encaminhe
  para o ip 173.30.0.10 que é uma maquina da rede interna. E todo
  tráfego que chegar da 173.30.0.10 encaminhe para o 192.168.0.1.Ou
  seja, quero encaminhar todos os dados da internet para a maquina
  interna e todo trafego que chegar nessa interna encaminhe para a
  internet.Queria com ipfw diretamente pois terei umas regras de
filtro
  rodando nela.
 
  -
  Email sent using ProApps
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 

 Não seria o caso de criar uma interface Bridge e aplicar as regras
de IPFW
 sobre essa bridge?

 Handbook - http://www.freebsd.org/doc/handbook/network-bridging.html

 ifconfig bridge0 addm em0 addm em1 up# ifconfig em0 up# ifconfig em1
up

 Para tornar permanente, colocar no rc.conf

 cloned_interfaces=bridge0
 ifconfig_bridge0=addm em0 addm em1 up
 ifconfig_em0=up
 ifconfig_em1=up

 Depois usa a interface bridge0 nas regras do firewall.

 -- 
 Att.
 __
 Márcio Elias Hahn do Nascimento

 Bacharel em Tecnologias da Informação e Comunicação - TIC
 Cel: (55) 48-8469-1819
 Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
 Skype: marcioeliash...@hotmail.com
 FreeBSD - The Power To Serve
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Márcio,
Não deu certo. Da rede interna não pingo, não faço nada.
-
Email sent using ProApps
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza

[Luiz Otavio O Souza]

2013/10/4 Patrick Tracanelli eks...@freebsdbrasil.com.br:


 Em 04/10/2013, às 11:56, Renata Dias renatchi...@gmail.com escreveu:

 Patrick,

 Eu consigo rodar este mesmo patch
 http://loos.no-ip.org:280/lusca_bridge.diff no 9.2-STABLE ?

 Renata, não consegue não. A partir do MFC do PFIL pro IPFW e bridge, alguma 
 coisa quebrou (acho que a forma que os mbuff tags são marcados, não sei) e 
 esse patch apesar de aplicar normalmente, com pouca mudança (so o path do 
 ip_fw2.c saindo do netinet) não funciona mais.

 O MFC aconteceu em algum momento entre o 9.1-RELEASE e o 9.1-STABLE então se 
 mantenha no 9.1-RELEASE-pX se precisa desse patch. O Loos comentou comigo que 
 ia arrumar um tempo pra investigar o que quebrou exatamente que esse patch 
 não funciona mais.

 Melhor que investigar/corrigir/gerarnovopatch é que agora com commit bit do 
 src quem sabe ele não consiga commitar em definitivo ;-) Seria o ideal! :D

 Loos esse patch foi send-pr(1)? Se foi fala o PR # ai, se tiverem muitos aqui 
 na lista que precisam desse patch sugiro que todos dêem follow-up em um 
 possível PR pra ajudar a dar a importância devida ao patch e mostrar a 
 importância dele entrar na base.


Patrick, Renato,

Eu não criei nenhum PR para aquele patch porque ele funcionou um tanto
quanto sem querer e eu não poderia justificar aquelas alterações, o
que definitivamente é um no-go.

Outra coisa que dificulta o commit é a falta de testes ou talvez até a
completa falta de suporte para ipv6.

Fora isso, o fato que vocês já comentaram muito bem, essa topologia é
mais complicada para ser utilizada (no final das contas), pois não
escala bem. Fora o Brasil e alguns outros poucos países o interesse
nesse tipo de solução é muito pequeno.

Eu acho que o que eles chamam de modo 'paralelo' deve funcionar sem
patches. Se não funciona esse seria o primeiro ponto a ser corrigido.

Att.,
Luiz
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza

[Renata Dias]

Tentei fazer o download do patch, porém a página não está disponível.

http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_9-STABLE.diff
Page not found.

Gostaria de rodar o patch no 9.2-STABLE. Alguma dica?

Obrigada.


Em 6 de fevereiro de 2013 13:51, Christian Sant'Ana 
christian.li...@eloinet.com.br escreveu:

 Alguém sabe como fazer funcionar no 9.1-STABLE, porque aqui não deu certo.

 Christian Sant'Ana

 Em 17/10/2012 16:18, Luiz Gustavo S. Costa escreveu:
  detalhe, eu rodei o patch do 9-STABLE no 9.1-PRERELEASE e foi de boa..
  não precisei mexer em nada.
 
  ou seja, tenho um 9.1 com esse patch rodando de boa !
 
  Em 17 de outubro de 2012 16:16, Luiz Gustavo S. Costa
  luizgust...@luizgustavo.pro.br escreveu:
  Eu fiz adaptações no patch do loos para rodar no 8-STABLE e no 9-STABLE:
 
  http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_8_STABLE.diff
  http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_9-STABLE.diff
 
  lembrando, todo o crédito é do LOOS !!! (Luiz Otavio)
 
  para aplicar, puxe o src para o stable 8/9 e aplique o patch assim:
 
  cd /usr/src
  patch -p0  /caminho/do/arquivo/lusca_tproxy_9-STABLE.diff
 
  pronto, dai é compilar world e kernel (o config do kernel deve ter a
  bridge e o fwd do ipfw build-in)
 
  Em 17 de outubro de 2012 16:08, Alexandre Silva Nano
  alexna...@gmail.com escreveu:
  Em 16 de outubro de 2012 17:24, Renata Dias renatchi...@gmail.com
 escreveu:
 
  Boa tarde, Pessoal!
 
  Podem me ajudar a aplicar este patch? Quais os passos mesmo?
 
 
  Nuss.. Há um tempo que venho procurando esse patch também!!! Acabei até
  desistindo de implementar o proxy por causa disso...
 
  Quero saber também o caminho das pedras para aplicar esse patch!
 
  Abraços.
 
  --
  Att, Alexandre Silva Nano
  Tecnólogo em Gestão de Redes de Computadores, UNIFACS
  Enterasys Security Systems Engineer - IPS/SIEM
  Enterasys Certified Specialist - NAC, Switching
 
  Analista de Tecnologia da Informação e Comunicação
  www.ideiadigital.com.br
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 
  --
  Luiz Gustavo Costa (Powered by BSD)
  *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
  mundoUnix - Consultoria em Software Livre
  http://www.mundounix.com.br
  ICQ: 2890831 / MSN: cont...@mundounix.com.br
  Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
  Blog: http://www.luizgustavo.pro.br
 
 

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd




-- 
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza

[Renata Dias]

Patrick,

Eu consigo rodar este mesmo patch
http://loos.no-ip.org:280/lusca_bridge.diff no 9.2-STABLE ?

Obrigada.


Em 8 de outubro de 2010 13:02, Patrick Tracanelli 
eks...@freebsdbrasil.com.br escreveu:

 Pessoal,

 Tenho o prazer de dizer que o Luiz Souza recuperou um patch do Luigi Rizzo
 que não funcionava desde o FreeBSD 6, e nessa nova versão do Luiz, aplica
 novamente em FreeBSD 8 (testado -STABLE):

 http://loos.no-ip.org:280/lusca_bridge.diff

 Com ele é possível fazer IPFW FWD em bridge transparente. Perfeito pra
 proxy sem roteamento.

 Como acredito que isso seja de interesse de muitos, façam seu devido
 backup do patch acima porque de vez em quando o Luiz desliga essa maquina
 ;-)

 Valeu Luiz de novo. Esperamos que isso entre no -HEAD pra não se perder de
 novo.

 --
 Patrick Tracanelli

 FreeBSD Brasil LTDA.
 Tel.: (31) 3516-0800
 316...@sip.freebsdbrasil.com.br
 http://www.freebsdbrasil.com.br
 Long live Hanin Elias, Kim Deal!

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd




-- 
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza

[Luiz Gustavo Costa]

* Renata Dias (renatchi...@gmail.com) wrote:
 Tentei fazer o download do patch, porém a página não está disponível.
 
 http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_9-STABLE.diff
 Page not found.
 
 Gostaria de rodar o patch no 9.2-STABLE. Alguma dica?
 
 Obrigada.
 

Você terá que fazer com o 9.1-RELEASE

a partir do 9.1-STABLE houveram algumas alterações em relação ao ipfw
que o patch não funciona.

segue url atualizada

http://mundounix.com.br/~gugabsd/tproxy_bridge_ipfw-9.1-RELEASE.diff

boa sorte !

---
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: cont...@mundounix.com.br
Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
Blog: http://www.luizgustavo.pro.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza

[Patrick Tracanelli]

Em 04/10/2013, às 11:56, Renata Dias renatchi...@gmail.com escreveu:

 Patrick,
 
 Eu consigo rodar este mesmo patch
 http://loos.no-ip.org:280/lusca_bridge.diff no 9.2-STABLE ?

Renata, não consegue não. A partir do MFC do PFIL pro IPFW e bridge, alguma 
coisa quebrou (acho que a forma que os mbuff tags são marcados, não sei) e esse 
patch apesar de aplicar normalmente, com pouca mudança (so o path do ip_fw2.c 
saindo do netinet) não funciona mais.

O MFC aconteceu em algum momento entre o 9.1-RELEASE e o 9.1-STABLE então se 
mantenha no 9.1-RELEASE-pX se precisa desse patch. O Loos comentou comigo que 
ia arrumar um tempo pra investigar o que quebrou exatamente que esse patch não 
funciona mais.

Melhor que investigar/corrigir/gerarnovopatch é que agora com commit bit do src 
quem sabe ele não consiga commitar em definitivo ;-) Seria o ideal! :D

Loos esse patch foi send-pr(1)? Se foi fala o PR # ai, se tiverem muitos aqui 
na lista que precisam desse patch sugiro que todos dêem follow-up em um 
possível PR pra ajudar a dar a importância devida ao patch e mostrar a 
importância dele entrar na base.


 
 Obrigada.
 
 
 Em 8 de outubro de 2010 13:02, Patrick Tracanelli 
 eks...@freebsdbrasil.com.br escreveu:
 
 Pessoal,
 
 Tenho o prazer de dizer que o Luiz Souza recuperou um patch do Luigi Rizzo
 que não funcionava desde o FreeBSD 6, e nessa nova versão do Luiz, aplica
 novamente em FreeBSD 8 (testado -STABLE):
 
 http://loos.no-ip.org:280/lusca_bridge.diff
 
 Com ele é possível fazer IPFW FWD em bridge transparente. Perfeito pra
 proxy sem roteamento.
 
 Como acredito que isso seja de interesse de muitos, façam seu devido
 backup do patch acima porque de vez em quando o Luiz desliga essa maquina
 ;-)
 
 Valeu Luiz de novo. Esperamos que isso entre no -HEAD pra não se perder de
 novo.
 
 --
 Patrick Tracanelli
 
 FreeBSD Brasil LTDA.
 Tel.: (31) 3516-0800
 316...@sip.freebsdbrasil.com.br
 http://www.freebsdbrasil.com.br
 Long live Hanin Elias, Kim Deal!
 
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 
 
 
 -- 
 Renata Dias
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza

[Renato Frederick]

Em 04/10/13 12:35, Patrick Tracanelli escreveu:

 Em 04/10/2013, às 11:56, Renata Dias renatchi...@gmail.com escreveu:

 Patrick,

 Eu consigo rodar este mesmo patch
 http://loos.no-ip.org:280/lusca_bridge.diff no 9.2-STABLE ?
 Renata, não consegue não. A partir do MFC do PFIL pro IPFW e bridge, alguma 
 coisa quebrou (acho que a forma que os mbuff tags são marcados, não sei) e 
 esse patch apesar de aplicar normalmente, com pouca mudança (so o path do 
 ip_fw2.c saindo do netinet) não funciona mais.

 O MFC aconteceu em algum momento entre o 9.1-RELEASE e o 9.1-STABLE então se 
 mantenha no 9.1-RELEASE-pX se precisa desse patch. O Loos comentou comigo que 
 ia arrumar um tempo pra investigar o que quebrou exatamente que esse patch 
 não funciona mais.

 Melhor que investigar/corrigir/gerarnovopatch é que agora com commit bit do 
 src quem sabe ele não consiga commitar em definitivo ;-) Seria o ideal! :D

 Loos esse patch foi send-pr(1)? Se foi fala o PR # ai, se tiverem muitos aqui 
 na lista que precisam desse patch sugiro que todos dêem follow-up em um 
 possível PR pra ajudar a dar a importância devida ao patch e mostrar a 
 importância dele entrar na base.



Mudando o papo.

Como fica a performance? Ambiente com vários pps e grande quantidade de 
Mb? Tipo um médio ou grande isp?

Já teve gente que se recusou a instalar thundercache em bridge devido a 
performance, tanto em linux quando bsd. Já tive gente que ao mesmo tempo 
vende appliance de cache de outros fabricantes que só funcionam em 
bridge, desligam o cabo que vai no router, poe a bridge e liga ela no 
router, usam ate aquelas placas que se desligar o appliance da energia, 
ela chaveia, de modo que se o appliance der algum problema, basta tirar 
da tomada...

Eu sempre evitei, até porque estes patchs me cansam de aplicar, ás vezes 
quebram na hora de aplicar, fica incompatível e prá mim uma bridge, que 
tem que analisar tudo que passa, seja ip, tcp, udp, ipsec, gre, sei lá o 
que mais, só prá fazer cache de um protocolo específico, é perda de 
dinheiro, onera demais a caixa.

Ao mesmo tempo, já precisei rodar uns ipfw faznedo count em bridge prá 
gerar gráficos de uso de protocolo junto ao cacti e funcionou, mas hoje 
prefiro rodar flow.

Patrick, os softwares  que vocês estão alugando que fazem a análise web, 
tem conceito de bridge? Ao mesmo tempo, muito cliente tem receio de 
tirar uma caixa cisco ou juniper ou mikrotik, ou sonicwall ou seja lá o 
que esteja rodando que faz firewall ou router e colocar um novo router 
bsd ou qq outra coisa que não conhecem. Neste caso, para análise de 
tráfego online, uma bridge fica perfeita, até o cara obter confiança e 
permitir usar a caixa de novo como router.


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza

[Patrick Tracanelli]

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316...@sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
Long live Hanin Elias, Kim Deal!

Em 04/10/2013, às 13:28, Renato Frederick ren...@frederick.eti.br escreveu:

 Em 04/10/13 12:35, Patrick Tracanelli escreveu:
 
 Em 04/10/2013, às 11:56, Renata Dias renatchi...@gmail.com escreveu:
 
 Patrick,
 
 Eu consigo rodar este mesmo patch
 http://loos.no-ip.org:280/lusca_bridge.diff no 9.2-STABLE ?
 Renata, não consegue não. A partir do MFC do PFIL pro IPFW e bridge, alguma 
 coisa quebrou (acho que a forma que os mbuff tags são marcados, não sei) e 
 esse patch apesar de aplicar normalmente, com pouca mudança (so o path do 
 ip_fw2.c saindo do netinet) não funciona mais.
 
 O MFC aconteceu em algum momento entre o 9.1-RELEASE e o 9.1-STABLE então se 
 mantenha no 9.1-RELEASE-pX se precisa desse patch. O Loos comentou comigo 
 que ia arrumar um tempo pra investigar o que quebrou exatamente que esse 
 patch não funciona mais.
 
 Melhor que investigar/corrigir/gerarnovopatch é que agora com commit bit do 
 src quem sabe ele não consiga commitar em definitivo ;-) Seria o ideal! :D
 
 Loos esse patch foi send-pr(1)? Se foi fala o PR # ai, se tiverem muitos 
 aqui na lista que precisam desse patch sugiro que todos dêem follow-up em um 
 possível PR pra ajudar a dar a importância devida ao patch e mostrar a 
 importância dele entrar na base.
 
 
 
 Mudando o papo.
 
 Como fica a performance? Ambiente com vários pps e grande quantidade de 
 Mb? Tipo um médio ou grande isp?
 Já teve gente que se recusou a instalar thundercache em bridge devido a 
 performance, tanto em linux quando bsd. Já tive gente que ao mesmo tempo 
 vende appliance de cache de outros fabricantes que só funcionam em 
 bridge, desligam o cabo que vai no router, poe a bridge e liga ela no 
 router, usam ate aquelas placas que se desligar o appliance da energia, 
 ela chaveia, de modo que se o appliance der algum problema, basta tirar 
 da tomada…

Eu pessoalmente não gosto da topologia em bridge. Ela é fácil vender/instalar 
mas não escala tão bem, e sem uma rede com Fail Open realmente em um evento de 
falha é bem menos trivial, envolve intervenção física ou um ambiente preparado 
pra redundância sem IP como 802.1w. Muita gente acha que por em bridge ou 
paralelo da na mesma pro hardware. Por algum motivo que mal consigo imaginar 
qual seja, acreditam que seja a mesma coisa. Além de diferente em consumo de 
recurso (sim bridge consome mais que um mero forwarding de pacote) colocar em 
bridge ja define uma taxa de PPS muito maior pela obvia razao de voce colocar o 
ISP inteiro passando ali, não apenas porta 80 que é direcionado seletivamente 
em um ambiente paralelo. Que em caso de falha basta parar de desviar, simples 
como um watchdog.sh ou watchdog no mikrotik o que for…

Alem disso todo o lixo que chega numa porta vai pra outra. E isso inclui 
broadcast, multicast, virus hehehe. O entendimento que a mudanca não é apenas 
topologica normalmente é negligenciado quando se tuxa em bridge.

 Eu sempre evitei, até porque estes patchs me cansam de aplicar, ás vezes 
 quebram na hora de aplicar, fica incompatível e prá mim uma bridge, que 
 tem que analisar tudo que passa, seja ip, tcp, udp, ipsec, gre, sei lá o 
 que mais, só prá fazer cache de um protocolo específico, é perda de 
 dinheiro, onera demais a caixa.

Eu concordo exatamente com esse ponto.

 Patrick, os softwares  que vocês estão alugando que fazem a análise web, 
 tem conceito de bridge? Ao mesmo tempo, muito cliente tem receio de 
 tirar uma caixa cisco ou juniper ou mikrotik, ou sonicwall ou seja lá o 
 que esteja rodando que faz firewall ou router e colocar um novo router 
 bsd ou qq outra coisa que não conhecem. Neste caso, para análise de 
 tráfego online, uma bridge fica perfeita, até o cara obter confiança e 
 permitir usar a caixa de novo como router.

Sim, tanto bridge quanto espelhamento de porta ou recebendo netflow ou ainda 
indo buscar snmp. Todas as formas possíveis ;-)

 
 
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza

[Renato Frederick]

Em 04/10/13 14:28, Patrick Tracanelli escreveu:

 Eu pessoalmente não gosto da topologia em bridge. Ela é fácil vender/instalar 
 mas não escala tão bem, e sem uma rede com Fail Open realmente em um evento 
 de falha é bem menos trivial, envolve intervenção física ou um ambiente 
 preparado pra redundância sem IP como 802.1w. Muita gente acha que por em 
 bridge ou paralelo da na mesma pro hardware. Por algum motivo que mal consigo 
 imaginar qual seja, acreditam que seja a mesma coisa. Além de diferente em 
 consumo de recurso (sim bridge consome mais que um mero forwarding de pacote) 
 colocar em bridge ja define uma taxa de PPS muito maior pela obvia razao de 
 voce colocar o ISP inteiro passando ali, não apenas porta 80 que é 
 direcionado seletivamente em um ambiente paralelo. Que em caso de falha basta 
 parar de desviar, simples como um watchdog.sh ou watchdog no mikrotik o que 
 for…

 Alem disso todo o lixo que chega numa porta vai pra outra. E isso inclui 
 broadcast, multicast, virus hehehe. O entendimento que a mudanca não é apenas 
 topologica normalmente é negligenciado quando se tuxa em bridge.

Somos dois! :-)

 Eu sempre evitei, até porque estes patchs me cansam de aplicar, ás vezes
 quebram na hora de aplicar, fica incompatível e prá mim uma bridge, que
 tem que analisar tudo que passa, seja ip, tcp, udp, ipsec, gre, sei lá o
 que mais, só prá fazer cache de um protocolo específico, é perda de
 dinheiro, onera demais a caixa.
 Eu concordo exatamente com esse ponto.

 Patrick, os softwares  que vocês estão alugando que fazem a análise web,
 tem conceito de bridge? Ao mesmo tempo, muito cliente tem receio de
 tirar uma caixa cisco ou juniper ou mikrotik, ou sonicwall ou seja lá o
 que esteja rodando que faz firewall ou router e colocar um novo router
 bsd ou qq outra coisa que não conhecem. Neste caso, para análise de
 tráfego online, uma bridge fica perfeita, até o cara obter confiança e
 permitir usar a caixa de novo como router.
 Sim, tanto bridge quanto espelhamento de porta ou recebendo netflow ou ainda 
 indo buscar snmp. Todas as formas possíveis ;-)

Beleza! Bom saber, fica mais fácil vislumbrar a demanda.
Valeu Patrick!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw + 3 way handshake

[Márcio Elias]

Entao, corrijam-me se estiver equivocado, mais ele nao conta na regra do
check-state, por que na verdade quem eh processada eh a regra dinamica
criada pelo argumento setup... por isso da necessidade de rodar o ipfw -d
show e constatar se de fato, essas regras estao sendo criadas e estao
contando pacotes...

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2013/8/31 Marcelo Gondim gon...@bsdinfo.com.br

 Em 31/08/13 00:39, Márcio Elias escreveu:
  As regras postadas estao corretas, se bloqueou no stablished eh por que o
  ipfw nao achou a regra dinamica criada, ou seja nao caiu no check-state.
 
  Como ficaram as regras que vc implementou ai?
 
  experimenta executar o comando: ipfw -d show
 
  Veja se vc encontra regras dinamicas (criadas pelo setup keep-state).
 
 Pois é Marcio,

 Uma coisa que sempre achei estranho no ipfw é que sempre aparece zerado
 o contador do check-state. Como se não tivesse passando nada ali.
 Tem alguma sysctl pra habilitar ele? Porque comigo nunca apareceu nada
 no contador dele.

 []'s
 Gondim
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw + 3 way handshake

[Luiz Gustavo S. Costa]

Em 30 de agosto de 2013 20:01, Marcelo Gondim gon...@bsdinfo.com.br escreveu:

 Pessoal,

 Estou com um problema que é o seguinte. Quando coloco essa regra:

 ipfw add allow tcp from any to me 80 in via em0 setup limit src-addr 10

 Na minha concepção só seria registrado como regra consumindo stateful se
 houvesse o 3 way handshake na tentativa de conexão, por causa do setup.
 Ou o ipfw não faz dessa forma? Eu sei que o pf tem esse recurso usando o
 synproxy.

   The synproxy state option can be used to cause
   pf(4) itself to complete the handshake with the active endpoint, perform
   a handshake with the passive endpoint, and then forward packets between
   the endpoints.

 []'s
 Gondim
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Godim,

Por padrão, o ipfw não mantem estado (state), você tem que especificar
isso, veja no man [1], na sessão de examplos, tem um exemplo do que
você quer fazer:

  ipfw add check-state
  ipfw add deny tcp from any to any established
  ipfw add allow tcp from my-net to any setup keep-state

  ipfw add allow tcp from my-net/24 to any setup limit src-addr 10
  ipfw add allow tcp from any to me setup limit src-addr 4


[1] 
http://www.freebsd.org/cgi/man.cgi?query=ipfwapropos=0sektion=0manpath=FreeBSD+9.1-RELEASEarch=defaultformat=html#EXAMPLES

-- 
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: cont...@mundounix.com.br
Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
Blog: http://www.luizgustavo.pro.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw + 3 way handshake

[Marcelo Gondim]

Em 30/08/13 20:09, Luiz Gustavo S. Costa escreveu:
 Em 30 de agosto de 2013 20:01, Marcelo Gondim gon...@bsdinfo.com.br 
 escreveu:
 Pessoal,

 Estou com um problema que é o seguinte. Quando coloco essa regra:

 ipfw add allow tcp from any to me 80 in via em0 setup limit src-addr 10

 Na minha concepção só seria registrado como regra consumindo stateful se
 houvesse o 3 way handshake na tentativa de conexão, por causa do setup.
 Ou o ipfw não faz dessa forma? Eu sei que o pf tem esse recurso usando o
 synproxy.

The synproxy state option can be used to cause
pf(4) itself to complete the handshake with the active endpoint, perform
a handshake with the passive endpoint, and then forward packets between
the endpoints.

 []'s
 Gondim
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 Godim,

 Por padrão, o ipfw não mantem estado (state), você tem que especificar
 isso, veja no man [1], na sessão de examplos, tem um exemplo do que
 você quer fazer:

ipfw add check-state
ipfw add deny tcp from any to any established
ipfw add allow tcp from my-net to any setup keep-state

ipfw add allow tcp from my-net/24 to any setup limit src-addr 10
ipfw add allow tcp from any to me setup limit src-addr 4


 [1] 
 http://www.freebsd.org/cgi/man.cgi?query=ipfwapropos=0sektion=0manpath=FreeBSD+9.1-RELEASEarch=defaultformat=html#EXAMPLES

Guga, não rolou. Quando tentei fazer isso o deny do established bloqueou 
minha conexão. Ou eu estou fazendo algo bem errado ou esse esquema aí 
tem algo errado.  :(

[]'s
Gondim
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw + 3 way handshake

[Márcio Elias]

As regras postadas estao corretas, se bloqueou no stablished eh por que o
ipfw nao achou a regra dinamica criada, ou seja nao caiu no check-state.

Como ficaram as regras que vc implementou ai?

experimenta executar o comando: ipfw -d show

Veja se vc encontra regras dinamicas (criadas pelo setup keep-state).

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliash...@hotmail.com


2013/8/30 Marcelo Gondim gon...@bsdinfo.com.br

 Em 30/08/13 20:09, Luiz Gustavo S. Costa escreveu:
  Em 30 de agosto de 2013 20:01, Marcelo Gondim gon...@bsdinfo.com.br
 escreveu:
  Pessoal,
 
  Estou com um problema que é o seguinte. Quando coloco essa regra:
 
  ipfw add allow tcp from any to me 80 in via em0 setup limit src-addr 10
 
  Na minha concepção só seria registrado como regra consumindo stateful se
  houvesse o 3 way handshake na tentativa de conexão, por causa do setup.
  Ou o ipfw não faz dessa forma? Eu sei que o pf tem esse recurso usando o
  synproxy.
 
 The synproxy state option can be used to cause
 pf(4) itself to complete the handshake with the active endpoint,
 perform
 a handshake with the passive endpoint, and then forward packets
 between
 the endpoints.
 
  []'s
  Gondim
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
  Godim,
 
  Por padrão, o ipfw não mantem estado (state), você tem que especificar
  isso, veja no man [1], na sessão de examplos, tem um exemplo do que
  você quer fazer:
 
 ipfw add check-state
 ipfw add deny tcp from any to any established
 ipfw add allow tcp from my-net to any setup keep-state
 
 ipfw add allow tcp from my-net/24 to any setup limit src-addr 10
 ipfw add allow tcp from any to me setup limit src-addr 4
 
 
  [1]
 http://www.freebsd.org/cgi/man.cgi?query=ipfwapropos=0sektion=0manpath=FreeBSD+9.1-RELEASEarch=defaultformat=html#EXAMPLES
 
 Guga, não rolou. Quando tentei fazer isso o deny do established bloqueou
 minha conexão. Ou eu estou fazendo algo bem errado ou esse esquema aí
 tem algo errado.  :(

 []'s
 Gondim
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw + 3 way handshake

[Marcelo Gondim]

Em 31/08/13 00:39, Márcio Elias escreveu:
 As regras postadas estao corretas, se bloqueou no stablished eh por que o
 ipfw nao achou a regra dinamica criada, ou seja nao caiu no check-state.

 Como ficaram as regras que vc implementou ai?

 experimenta executar o comando: ipfw -d show

 Veja se vc encontra regras dinamicas (criadas pelo setup keep-state).

Pois é Marcio,

Uma coisa que sempre achei estranho no ipfw é que sempre aparece zerado 
o contador do check-state. Como se não tivesse passando nada ali.
Tem alguma sysctl pra habilitar ele? Porque comigo nunca apareceu nada 
no contador dele.

[]'s
Gondim
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza

[Christian Sant'Ana]

Alguém sabe como fazer funcionar no 9.1-STABLE, porque aqui não deu certo.

Christian Sant'Ana

Em 17/10/2012 16:18, Luiz Gustavo S. Costa escreveu:
 detalhe, eu rodei o patch do 9-STABLE no 9.1-PRERELEASE e foi de boa..
 não precisei mexer em nada.

 ou seja, tenho um 9.1 com esse patch rodando de boa !

 Em 17 de outubro de 2012 16:16, Luiz Gustavo S. Costa
 luizgust...@luizgustavo.pro.br escreveu:
 Eu fiz adaptações no patch do loos para rodar no 8-STABLE e no 9-STABLE:

 http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_8_STABLE.diff
 http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_9-STABLE.diff

 lembrando, todo o crédito é do LOOS !!! (Luiz Otavio)

 para aplicar, puxe o src para o stable 8/9 e aplique o patch assim:

 cd /usr/src
 patch -p0  /caminho/do/arquivo/lusca_tproxy_9-STABLE.diff

 pronto, dai é compilar world e kernel (o config do kernel deve ter a
 bridge e o fwd do ipfw build-in)

 Em 17 de outubro de 2012 16:08, Alexandre Silva Nano
 alexna...@gmail.com escreveu:
 Em 16 de outubro de 2012 17:24, Renata Dias renatchi...@gmail.comescreveu:

 Boa tarde, Pessoal!

 Podem me ajudar a aplicar este patch? Quais os passos mesmo?


 Nuss.. Há um tempo que venho procurando esse patch também!!! Acabei até
 desistindo de implementar o proxy por causa disso...

 Quero saber também o caminho das pedras para aplicar esse patch!

 Abraços.

 --
 Att, Alexandre Silva Nano
 Tecnólogo em Gestão de Redes de Computadores, UNIFACS
 Enterasys Security Systems Engineer - IPS/SIEM
 Enterasys Certified Specialist - NAC, Switching

 Analista de Tecnologia da Informação e Comunicação
 www.ideiadigital.com.br
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


 --
 Luiz Gustavo Costa (Powered by BSD)
 *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
 mundoUnix - Consultoria em Software Livre
 http://www.mundounix.com.br
 ICQ: 2890831 / MSN: cont...@mundounix.com.br
 Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
 Blog: http://www.luizgustavo.pro.br



-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw - firewall_enable=NO

[Renato Sousa]

Aproveitando o assunto...
Sempre que implemento um server, faço a compilação do kernel e insiro a
diretiva  IPFIREWALL_DEFAULT_TO_ACCEPT no kernel e copio o script de fw
para a maquina.
Em uma maquina de testes que está com o kernel GENERIC, o shell perde
conexão quando executa as regras.  Analisando as regras, o problema ocorre
quando o script faz um FLUSH e, neste momento, a regra DENY bloqueia as
conexões, derruba meu shell e eu tenho que ir fisicamente até a máquina.
O que os amigos da lista praticam nesse sentido ?
Tem como obter o IPFIREWALL_DEFAULT_TO_ACCEPT via sysctl ?
Como preparar o script para poder ser executado tranquilamente via shell
remoto ?

Abraços,

Renato

Em 27 de novembro de 2012 17:42, Eduardo Schoedler lis...@esds.com.brescreveu:

 Sim.

 --
 Eduardo Schoedler


 Em 27 de novembro de 2012 17:40, Mail GTER mail.g...@gmail.com escreveu:

  Então, mesmo com firewall_enable=NO  a regra deny all (ultima) será
  carregada ?
 
 
 
  Enviado via iPhone
 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw - firewall_enable=NO

[mail gter]

Segundo o manual, é recomendado o uso de -q para evitar a perda da conexão
remota

 -q  Be quiet when executing the add, nat, zero, resetlog or flush
 commands; (implies -f).  This is useful when updating rulesets
by
 executing multiple ipfw commands in a script (e.g.,
 `sh /etc/rc.firewall'), or by processing a file with many ipfw
 rules across a remote login session.  It also stops a table add
 or delete from failing if the entry already exists or is not
 present.


Contudo, percebi que caso haja algum regra com erro de sintaxe, mesmo com
-q a conexão é perdida, pois o ipfw não lê as regras abaixo da linha
problemática.

No meu caso não compilei o kernel com  IPFIREWALL_DEFAULT_TO_ACCEPT.

Em 3 de dezembro de 2012 09:19, Renato Sousa renso...@gmail.com escreveu:

 quando o script faz um FLUSH e, neste momento, a regra DENY bloqueia as
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw - firewall_enable=NO

[Renato Sousa]

NO meu caso também.  No script tem um trecho conforme abaixo que examina
o conteúdo da variável firewall_quiet e carrega sempre as regras com -q.

...
case ${firewall_quiet} in
[Yy][Ee][Ss])
fwcmd=/sbin/ipfw -q
;;
*)
fwcmd=/sbin/ipfw
;;
esac

###
# Limpa a lista de regras antes de iniciar
#
${fwcmd} -f flush
...


cat /etc/rc.conf | grep firewall_quiet
firewall_quiet=YES

Alguém tem alguma outra dica ?

Abraços,

Renato

2012/12/3 mail gter mail.g...@gmail.com

 Segundo o manual, é recomendado o uso de -q para evitar a perda da conexão
 remota

  -q  Be quiet when executing the add, nat, zero, resetlog or flush
  commands; (implies -f).  This is useful when updating rulesets
 by
  executing multiple ipfw commands in a script (e.g.,
  `sh /etc/rc.firewall'), or by processing a file with many ipfw
  rules across a remote login session.  It also stops a table
 add
  or delete from failing if the entry already exists or is not
  present.


 Contudo, percebi que caso haja algum regra com erro de sintaxe, mesmo com
 -q a conexão é perdida, pois o ipfw não lê as regras abaixo da linha
 problemática.

 No meu caso não compilei o kernel com  IPFIREWALL_DEFAULT_TO_ACCEPT.


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw - firewall_enable=NO

[Eduardo Schoedler]

Esse firewall é o script das regras.
O ipfw estará sempre carregado com ele compilado no kernel.

-- 
Eduardo Schoedler


Em 27 de novembro de 2012 17:18, mail gter mail.g...@gmail.com escreveu:

 Boa tarde,

 Embora tenha definido no rc.conf a diretiva firewall_enable=NO o ipfw
 insiste em subir durante o boot.

 Ao que tudo indica, isso começou após eu compilar o kernel. os ajustes que
 fiz foram:

 options IPFIREWALL
 optionsIPFIREWALL_VERBOSE
 optionsIPFIREWALL_VERBOSE_LIMIT=1
 options IPDIVERT
 options DUMMYNET
 options HZ=1000

 Paliativamente, após cada boot, estou rodando um ipfw disable firewall.

 Será que pode ter sido algum dos parâmetros acima ?

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw - firewall_enable=NO

[Mail GTER]

Então, mesmo com firewall_enable=NO  a regra deny all (ultima) será carregada 
? 



Enviado via iPhone

Em 27/11/2012, às 17:21, Eduardo Schoedler lis...@esds.com.br escreveu:

 Esse firewall é o script das regras.
 O ipfw estará sempre carregado com ele compilado no kernel.
 
 -- 
 Eduardo Schoedler
 
 
 Em 27 de novembro de 2012 17:18, mail gter mail.g...@gmail.com escreveu:
 
 Boa tarde,
 
 Embora tenha definido no rc.conf a diretiva firewall_enable=NO o ipfw
 insiste em subir durante o boot.
 
 Ao que tudo indica, isso começou após eu compilar o kernel. os ajustes que
 fiz foram:
 
 options IPFIREWALL
 optionsIPFIREWALL_VERBOSE
 optionsIPFIREWALL_VERBOSE_LIMIT=1
 options IPDIVERT
 options DUMMYNET
 options HZ=1000
 
 Paliativamente, após cada boot, estou rodando um ipfw disable firewall.
 
 Será que pode ter sido algum dos parâmetros acima ?
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw - firewall_enable=NO

[Eduardo Schoedler]

Sim.

--
Eduardo Schoedler


Em 27 de novembro de 2012 17:40, Mail GTER mail.g...@gmail.com escreveu:

 Então, mesmo com firewall_enable=NO  a regra deny all (ultima) será
 carregada ?



 Enviado via iPhone

 Em 27/11/2012, às 17:21, Eduardo Schoedler lis...@esds.com.br escreveu:

  Esse firewall é o script das regras.
  O ipfw estará sempre carregado com ele compilado no kernel.
 
  --
  Eduardo Schoedler
 
 
  Em 27 de novembro de 2012 17:18, mail gter mail.g...@gmail.com
 escreveu:
 
  Boa tarde,
 
  Embora tenha definido no rc.conf a diretiva firewall_enable=NO o ipfw
  insiste em subir durante o boot.
 
  Ao que tudo indica, isso começou após eu compilar o kernel. os ajustes
 que
  fiz foram:
 
  options IPFIREWALL
  optionsIPFIREWALL_VERBOSE
  optionsIPFIREWALL_VERBOSE_LIMIT=1
  options IPDIVERT
  options DUMMYNET
  options HZ=1000
 
  Paliativamente, após cada boot, estou rodando um ipfw disable firewall.
 
  Será que pode ter sido algum dos parâmetros acima ?

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza

[Alexandre Silva Nano]

Em 16 de outubro de 2012 17:24, Renata Dias renatchi...@gmail.comescreveu:

 Boa tarde, Pessoal!

 Podem me ajudar a aplicar este patch? Quais os passos mesmo?


Nuss.. Há um tempo que venho procurando esse patch também!!! Acabei até
desistindo de implementar o proxy por causa disso...

Quero saber também o caminho das pedras para aplicar esse patch!

Abraços.

-- 
Att, Alexandre Silva Nano
Tecnólogo em Gestão de Redes de Computadores, UNIFACS
Enterasys Security Systems Engineer - IPS/SIEM
Enterasys Certified Specialist - NAC, Switching

Analista de Tecnologia da Informação e Comunicação
www.ideiadigital.com.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza

[Luiz Gustavo S. Costa]

Eu fiz adaptações no patch do loos para rodar no 8-STABLE e no 9-STABLE:

http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_8_STABLE.diff
http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_9-STABLE.diff

lembrando, todo o crédito é do LOOS !!! (Luiz Otavio)

para aplicar, puxe o src para o stable 8/9 e aplique o patch assim:

cd /usr/src
patch -p0  /caminho/do/arquivo/lusca_tproxy_9-STABLE.diff

pronto, dai é compilar world e kernel (o config do kernel deve ter a
bridge e o fwd do ipfw build-in)

Em 17 de outubro de 2012 16:08, Alexandre Silva Nano
alexna...@gmail.com escreveu:
 Em 16 de outubro de 2012 17:24, Renata Dias renatchi...@gmail.comescreveu:

 Boa tarde, Pessoal!

 Podem me ajudar a aplicar este patch? Quais os passos mesmo?


 Nuss.. Há um tempo que venho procurando esse patch também!!! Acabei até
 desistindo de implementar o proxy por causa disso...

 Quero saber também o caminho das pedras para aplicar esse patch!

 Abraços.

 --
 Att, Alexandre Silva Nano
 Tecnólogo em Gestão de Redes de Computadores, UNIFACS
 Enterasys Security Systems Engineer - IPS/SIEM
 Enterasys Certified Specialist - NAC, Switching

 Analista de Tecnologia da Informação e Comunicação
 www.ideiadigital.com.br
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: cont...@mundounix.com.br
Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
Blog: http://www.luizgustavo.pro.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza

[Luiz Gustavo S. Costa]

detalhe, eu rodei o patch do 9-STABLE no 9.1-PRERELEASE e foi de boa..
não precisei mexer em nada.

ou seja, tenho um 9.1 com esse patch rodando de boa !

Em 17 de outubro de 2012 16:16, Luiz Gustavo S. Costa
luizgust...@luizgustavo.pro.br escreveu:
 Eu fiz adaptações no patch do loos para rodar no 8-STABLE e no 9-STABLE:

 http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_8_STABLE.diff
 http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_9-STABLE.diff

 lembrando, todo o crédito é do LOOS !!! (Luiz Otavio)

 para aplicar, puxe o src para o stable 8/9 e aplique o patch assim:

 cd /usr/src
 patch -p0  /caminho/do/arquivo/lusca_tproxy_9-STABLE.diff

 pronto, dai é compilar world e kernel (o config do kernel deve ter a
 bridge e o fwd do ipfw build-in)

 Em 17 de outubro de 2012 16:08, Alexandre Silva Nano
 alexna...@gmail.com escreveu:
 Em 16 de outubro de 2012 17:24, Renata Dias renatchi...@gmail.comescreveu:

 Boa tarde, Pessoal!

 Podem me ajudar a aplicar este patch? Quais os passos mesmo?


 Nuss.. Há um tempo que venho procurando esse patch também!!! Acabei até
 desistindo de implementar o proxy por causa disso...

 Quero saber também o caminho das pedras para aplicar esse patch!

 Abraços.

 --
 Att, Alexandre Silva Nano
 Tecnólogo em Gestão de Redes de Computadores, UNIFACS
 Enterasys Security Systems Engineer - IPS/SIEM
 Enterasys Certified Specialist - NAC, Switching

 Analista de Tecnologia da Informação e Comunicação
 www.ideiadigital.com.br
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



 --
 Luiz Gustavo Costa (Powered by BSD)
 *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
 mundoUnix - Consultoria em Software Livre
 http://www.mundounix.com.br
 ICQ: 2890831 / MSN: cont...@mundounix.com.br
 Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
 Blog: http://www.luizgustavo.pro.br



-- 
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: cont...@mundounix.com.br
Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
Blog: http://www.luizgustavo.pro.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza

[Renata Dias]

Boa tarde, Pessoal!

Podem me ajudar a aplicar este patch? Quais os passos mesmo?

Obrigada.


Em 8 de outubro de 2010 13:02, Patrick Tracanelli
eks...@freebsdbrasil.com.br escreveu:
 Pessoal,

 Tenho o prazer de dizer que o Luiz Souza recuperou um patch do Luigi Rizzo 
 que não funcionava desde o FreeBSD 6, e nessa nova versão do Luiz, aplica 
 novamente em FreeBSD 8 (testado -STABLE):

 http://loos.no-ip.org:280/lusca_bridge.diff

 Com ele é possível fazer IPFW FWD em bridge transparente. Perfeito pra proxy 
 sem roteamento.

 Como acredito que isso seja de interesse de muitos, façam seu devido backup 
 do patch acima porque de vez em quando o Luiz desliga essa maquina ;-)

 Valeu Luiz de novo. Esperamos que isso entre no -HEAD pra não se perder de 
 novo.

 --
 Patrick Tracanelli

 FreeBSD Brasil LTDA.
 Tel.: (31) 3516-0800
 316...@sip.freebsdbrasil.com.br
 http://www.freebsdbrasil.com.br
 Long live Hanin Elias, Kim Deal!

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - Bloquear dominios pelo Firewall

[Otavio Augusto]

Uma boa solução é colocar instalar o dnsmasq e fazer dele o dns cache
resolver da rede inteira. se for preciso redirecione a a porta udp e
tcp 53 pra ele.
E nele vc pode apontar os dominios que quiser para 127.0.0.2 assim
ninguem acessa.



Em 7 de junho de 2012 13:37, Renato Frederick
ren...@frederick.eti.br escreveu:
 Opa,

 Danilo, sem um proxy(Squid e tal),que faz o L7 e vai inspecionar a URL,
 etc, etc, estes bloqueios por IP - no meu ponto de vista são muito
 radicais e manuais.
 Colocar o ipfw para dar deny dependendo de nome é um problema também,
 seu firewall fica preso ao DNS responder.
 o Ideal é usar um squid/lusca transparente e fazer nele o controle de URL.

 Se o servidor não puder rodar squid, aí só vejo alternativa você usar o
 whois para obter os blocos de IP deles e ir bloqueando.


 Em 07/06/12 13:07, Danilo Neves escreveu:
 Caro colegas da comunidadeé o seguinteee
 Não sei se estou fazendo da forma correta ou se um jeito melhor (sem
 proxy), mas vamos supor que eu queira bloquear o facebook.com
 pelo ipfw.

 ipfw add deny ip from any to facebook.com

 Nesse caso ele só vai bloquear o ip que resolveu na hora como mostro
 abaixo...mas o facebook é resolvido por vários IPs...e sendo assim não
 seria a forma ideal.

 # ipfw show
 00100      0        0 deny tcp from any to 69.171.224.37


 No iptables  ele já pega todos os ips  e já bloqueia.

 Comando para bloquear
 #iptables -A OUTPUT -d facebook.com.br -j DROP

 Listando os ips bloqueados
 #iptables -nL OUTPUT
 Chain OUTPUT (policy ACCEPT)
 target     prot opt source               destination
 DROP       all  --  0.0.0.0/0            69.171.242.11
 DROP       all  --  0.0.0.0/0            66.220.158.11
 DROP       all  --  0.0.0.0/0            69.171.224.37
 DROP       all  --  0.0.0.0/0            66.220.149.11
 DROP       all  --  0.0.0.0/0            69.171.229.11

 Vejam que ele já pegou todos os ips e dropou :D

 Agora vem a perguntano ipfw tem algum parâmetro que eu tenho q colocar
 para bloquear todos os ips que resolve o nome facebook.com?


 Veja uma alternativa em script e table dentro do arquivo do firewall a ser
 carregado:
 
 ipfw -f flush
 # Table
 # é só criar um arquivo /etc/rc.blacklist e colocar dentro o nome dos
 domínios a serem bloqueados

 while read domain
 do
      nslookup $domain | grep Address | grep -v '#' | egrep
 '([0-9]{1,3}\.){3}([0-9]){1,3}' | awk '{print $2}'  /etc/blockedips
 done  /etc/rc.blacklist

 ipfw -f table 91 flush
   for rede in $(cat /etc/blockedips) ; do
     ipfw table 91 add $rede
   done

 rm /etc/blockedips


 ipfw add  1 deny ip from any to table(91)

 ---


 Ou seja...quando eu coloco dentro do arquivo /etc/rc.blacklist os nome dos
 domínios

 facebook.com
 terra.com.br

 ele vai resolver todos os ips do domínio com nslookup e jogar pra dentro do
 arquivo os /etc/blockedips que colequei dentro da table 91.
 Tendeu

 Tem uma forma melhor de fazer isso ou correta com ipfw ??
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 
Otavio Augusto
-
Consultor de TI
Citius Tecnologia
31 37761866
31 88651242
http://www.citiustecnologia.com.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - Bloquear dominios pelo Firewall

[Eduardo Schoedler]

Em 8 de junho de 2012 12:30, Otavio Augusto otavi...@gmail.com escreveu:

 Uma boa solução é colocar instalar o dnsmasq e fazer dele o dns cache
 resolver da rede inteira. se for preciso redirecione a a porta udp e
 tcp 53 pra ele.
 E nele vc pode apontar os dominios que quiser para 127.0.0.2 assim
 ninguem acessa.


Redirecionar não funciona, precisa fazer NAT.
Já tive problemas tentando simplesmente redirecionar consultas de DNS para
servidores locais.


-- 
Eduardo Schoedler
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - Bloquear dominios pelo Firewall

[Renato Frederick]

Opa,

Danilo, sem um proxy(Squid e tal),que faz o L7 e vai inspecionar a URL, 
etc, etc, estes bloqueios por IP - no meu ponto de vista são muito 
radicais e manuais.
Colocar o ipfw para dar deny dependendo de nome é um problema também, 
seu firewall fica preso ao DNS responder.
o Ideal é usar um squid/lusca transparente e fazer nele o controle de URL.

Se o servidor não puder rodar squid, aí só vejo alternativa você usar o 
whois para obter os blocos de IP deles e ir bloqueando.


Em 07/06/12 13:07, Danilo Neves escreveu:
 Caro colegas da comunidadeé o seguinteee
 Não sei se estou fazendo da forma correta ou se um jeito melhor (sem
 proxy), mas vamos supor que eu queira bloquear o facebook.com
 pelo ipfw.

 ipfw add deny ip from any to facebook.com

 Nesse caso ele só vai bloquear o ip que resolveu na hora como mostro
 abaixo...mas o facebook é resolvido por vários IPs...e sendo assim não
 seria a forma ideal.

 # ipfw show
 00100  00 deny tcp from any to 69.171.224.37


 No iptables  ele já pega todos os ips  e já bloqueia.

 Comando para bloquear
 #iptables -A OUTPUT -d facebook.com.br -j DROP

 Listando os ips bloqueados
 #iptables -nL OUTPUT
 Chain OUTPUT (policy ACCEPT)
 target prot opt source   destination
 DROP   all  --  0.0.0.0/069.171.242.11
 DROP   all  --  0.0.0.0/066.220.158.11
 DROP   all  --  0.0.0.0/069.171.224.37
 DROP   all  --  0.0.0.0/066.220.149.11
 DROP   all  --  0.0.0.0/069.171.229.11

 Vejam que ele já pegou todos os ips e dropou :D

 Agora vem a perguntano ipfw tem algum parâmetro que eu tenho q colocar
 para bloquear todos os ips que resolve o nome facebook.com?


 Veja uma alternativa em script e table dentro do arquivo do firewall a ser
 carregado:
 
 ipfw -f flush
 # Table
 # é só criar um arquivo /etc/rc.blacklist e colocar dentro o nome dos
 domínios a serem bloqueados

 while read domain
 do
  nslookup $domain | grep Address | grep -v '#' | egrep
 '([0-9]{1,3}\.){3}([0-9]){1,3}' | awk '{print $2}'  /etc/blockedips
 done  /etc/rc.blacklist

 ipfw -f table 91 flush
   for rede in $(cat /etc/blockedips) ; do
 ipfw table 91 add $rede
   done

 rm /etc/blockedips


 ipfw add  1 deny ip from any to table(91)

 ---


 Ou seja...quando eu coloco dentro do arquivo /etc/rc.blacklist os nome dos
 domínios

 facebook.com
 terra.com.br

 ele vai resolver todos os ips do domínio com nslookup e jogar pra dentro do
 arquivo os /etc/blockedips que colequei dentro da table 91.
 Tendeu

 Tem uma forma melhor de fazer isso ou correta com ipfw ??
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - Bloquear dominios pelo Firewall

[Danilo Neves]

Pois é Renato...
Mas a idéia é mais pra didática mesmoai queria saber se tem como fazer
no ipfw
sei que o pf faz...mas no ipfw eu não sei...por isso perguntei se tem como
fazer com ipfw


Em 7 de junho de 2012 13:37, Renato Frederick ren...@frederick.eti.brescreveu:

 Opa,

 Danilo, sem um proxy(Squid e tal),que faz o L7 e vai inspecionar a URL,
 etc, etc, estes bloqueios por IP - no meu ponto de vista são muito
 radicais e manuais.
 Colocar o ipfw para dar deny dependendo de nome é um problema também,
 seu firewall fica preso ao DNS responder.
 o Ideal é usar um squid/lusca transparente e fazer nele o controle de URL.

 Se o servidor não puder rodar squid, aí só vejo alternativa você usar o
 whois para obter os blocos de IP deles e ir bloqueando.


 Em 07/06/12 13:07, Danilo Neves escreveu:
  Caro colegas da comunidadeé o seguinteee
  Não sei se estou fazendo da forma correta ou se um jeito melhor (sem
  proxy), mas vamos supor que eu queira bloquear o facebook.com
  pelo ipfw.
 
  ipfw add deny ip from any to facebook.com
 
  Nesse caso ele só vai bloquear o ip que resolveu na hora como mostro
  abaixo...mas o facebook é resolvido por vários IPs...e sendo assim não
  seria a forma ideal.
 
  # ipfw show
  00100  00 deny tcp from any to 69.171.224.37
 
 
  No iptables  ele já pega todos os ips  e já bloqueia.
 
  Comando para bloquear
  #iptables -A OUTPUT -d facebook.com.br -j DROP
 
  Listando os ips bloqueados
  #iptables -nL OUTPUT
  Chain OUTPUT (policy ACCEPT)
  target prot opt source   destination
  DROP   all  --  0.0.0.0/069.171.242.11
  DROP   all  --  0.0.0.0/066.220.158.11
  DROP   all  --  0.0.0.0/069.171.224.37
  DROP   all  --  0.0.0.0/066.220.149.11
  DROP   all  --  0.0.0.0/069.171.229.11
 
  Vejam que ele já pegou todos os ips e dropou :D
 
  Agora vem a perguntano ipfw tem algum parâmetro que eu tenho q
 colocar
  para bloquear todos os ips que resolve o nome facebook.com?
 
 
  Veja uma alternativa em script e table dentro do arquivo do firewall a
 ser
  carregado:
 
 
  ipfw -f flush
  # Table
  # é só criar um arquivo /etc/rc.blacklist e colocar dentro o nome dos
  domínios a serem bloqueados
 
  while read domain
  do
   nslookup $domain | grep Address | grep -v '#' | egrep
  '([0-9]{1,3}\.){3}([0-9]){1,3}' | awk '{print $2}'  /etc/blockedips
  done  /etc/rc.blacklist
 
  ipfw -f table 91 flush
for rede in $(cat /etc/blockedips) ; do
  ipfw table 91 add $rede
done
 
  rm /etc/blockedips
 
 
  ipfw add  1 deny ip from any to table(91)
 
 
 ---
 
 
  Ou seja...quando eu coloco dentro do arquivo /etc/rc.blacklist os nome
 dos
  domínios
 
  facebook.com
  terra.com.br
 
  ele vai resolver todos os ips do domínio com nslookup e jogar pra dentro
 do
  arquivo os /etc/blockedips que colequei dentro da table 91.
  Tendeu
 
  Tem uma forma melhor de fazer isso ou correta com ipfw ??
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - Bloquear dominios pelo Firewall

[Marcelo Gondim]

Em 07/06/2012 13:07, Danilo Neves escreveu:
 Caro colegas da comunidadeé o seguinteee
 Não sei se estou fazendo da forma correta ou se um jeito melhor (sem
 proxy), mas vamos supor que eu queira bloquear o facebook.com
 pelo ipfw.

 ipfw add deny ip from any to facebook.com

 Nesse caso ele só vai bloquear o ip que resolveu na hora como mostro
 abaixo...mas o facebook é resolvido por vários IPs...e sendo assim não
 seria a forma ideal.

 # ipfw show
 00100  00 deny tcp from any to 69.171.224.37


 No iptables  ele já pega todos os ips  e já bloqueia.

 Comando para bloquear
 #iptables -A OUTPUT -d facebook.com.br -j DROP

 Listando os ips bloqueados
 #iptables -nL OUTPUT
 Chain OUTPUT (policy ACCEPT)
 target prot opt source   destination
 DROP   all  --  0.0.0.0/069.171.242.11
 DROP   all  --  0.0.0.0/066.220.158.11
 DROP   all  --  0.0.0.0/069.171.224.37
 DROP   all  --  0.0.0.0/066.220.149.11
 DROP   all  --  0.0.0.0/069.171.229.11

 Vejam que ele já pegou todos os ips e dropou :D

 Agora vem a perguntano ipfw tem algum parâmetro que eu tenho q colocar
 para bloquear todos os ips que resolve o nome facebook.com?


 Veja uma alternativa em script e table dentro do arquivo do firewall a ser
 carregado:
 
 ipfw -f flush
 # Table
 # é só criar um arquivo /etc/rc.blacklist e colocar dentro o nome dos
 domínios a serem bloqueados

 while read domain
 do
  nslookup $domain | grep Address | grep -v '#' | egrep
 '([0-9]{1,3}\.){3}([0-9]){1,3}' | awk '{print $2}'  /etc/blockedips
 done  /etc/rc.blacklist

 ipfw -f table 91 flush
   for rede in $(cat /etc/blockedips) ; do
 ipfw table 91 add $rede
   done

 rm /etc/blockedips
essa linha abaixo ficou mais enxutinha. rsrsrs

for i in `host facebook.com.br|awk {'print $4'}`;do ipfw table 91 add 
$i; done



 ipfw add  1 deny ip from any to table(91)

 ---


 Ou seja...quando eu coloco dentro do arquivo /etc/rc.blacklist os nome dos
 domínios

 facebook.com
 terra.com.br

 ele vai resolver todos os ips do domínio com nslookup e jogar pra dentro do
 arquivo os /etc/blockedips que colequei dentro da table 91.
 Tendeu

 Tem uma forma melhor de fazer isso ou correta com ipfw ??
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - Bloquear dominios pelo Firewall

[Paulo Henrique]

Em 7 de junho de 2012 18:34, Marcelo Gondim gon...@bsdinfo.com.brescreveu:

 Em 07/06/2012 13:07, Danilo Neves escreveu:
  Caro colegas da comunidadeé o seguinteee
  Não sei se estou fazendo da forma correta ou se um jeito melhor (sem
  proxy), mas vamos supor que eu queira bloquear o facebook.com
  pelo ipfw.
 
  ipfw add deny ip from any to facebook.com
 
  Nesse caso ele só vai bloquear o ip que resolveu na hora como mostro
  abaixo...mas o facebook é resolvido por vários IPs...e sendo assim não
  seria a forma ideal.
 
  # ipfw show
  00100  00 deny tcp from any to 69.171.224.37
 
 
  No iptables  ele já pega todos os ips  e já bloqueia.
 
  Comando para bloquear
  #iptables -A OUTPUT -d facebook.com.br -j DROP
 
  Listando os ips bloqueados
  #iptables -nL OUTPUT
  Chain OUTPUT (policy ACCEPT)
  target prot opt source   destination
  DROP   all  --  0.0.0.0/069.171.242.11
  DROP   all  --  0.0.0.0/066.220.158.11
  DROP   all  --  0.0.0.0/069.171.224.37
  DROP   all  --  0.0.0.0/066.220.149.11
  DROP   all  --  0.0.0.0/069.171.229.11
 
  Vejam que ele já pegou todos os ips e dropou :D
 
  Agora vem a perguntano ipfw tem algum parâmetro que eu tenho q
 colocar
  para bloquear todos os ips que resolve o nome facebook.com?
 
 
  Veja uma alternativa em script e table dentro do arquivo do firewall a
 ser
  carregado:
 
 
  ipfw -f flush
  # Table
  # é só criar um arquivo /etc/rc.blacklist e colocar dentro o nome dos
  domínios a serem bloqueados
 
  while read domain
  do
   nslookup $domain | grep Address | grep -v '#' | egrep
  '([0-9]{1,3}\.){3}([0-9]){1,3}' | awk '{print $2}'  /etc/blockedips
  done  /etc/rc.blacklist
 
  ipfw -f table 91 flush
for rede in $(cat /etc/blockedips) ; do
  ipfw table 91 add $rede
done
 
  rm /etc/blockedips
 essa linha abaixo ficou mais enxutinha. rsrsrs

 for i in `host facebook.com.br|awk {'print $4'}`;do ipfw table 91 add
 $i; done

 
 
  ipfw add  1 deny ip from any to table(91)
 
 
 ---
 
 
  Ou seja...quando eu coloco dentro do arquivo /etc/rc.blacklist os nome
 dos
  domínios
 
  facebook.com
  terra.com.br
 
  ele vai resolver todos os ips do domínio com nslookup e jogar pra dentro
 do
  arquivo os /etc/blockedips que colequei dentro da table 91.
  Tendeu
 


Por mais que queria usar apenas firewall para isso, infelizmente não será
possivel visto que há proxies de interconexão com o serviço.
Se quer fazer so no firewall a unica forma eficiente é barrar tudo e
liberar redes confiaveis liberando blocos de IPs pequenos, /24 ou /23 no
maximo com algumas excessões para redes de serviços bancários e orgãos
governamentais.

Não se impressione se seu firewall tiver 4000 regras !!

Att.


-- 
:=)(=:

Flamers  /dev/null !!!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw count cacti ou mrtg.

[Edinilson - ATINET]

Este nao funcionou?
http://alex.kruijff.org/FreeBSD/Traffic_Report.html


Edinilson
--
ATINET
Tel Voz: (0xx11) 4412-0876
http://www.atinet.com.br


- Original Message - 
From: Alessandro de Souza Rocha etherlin...@gmail.com
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
freebsd@fug.com.br
Sent: Monday, February 13, 2012 2:07 PM
Subject: [FUG-BR] ipfw count cacti ou mrtg.


Boa tarde, galera estou tentando coletar trafego de alguma maquina
pelo ipfw so que nao estou conseguindo alguem tem um link
de algum material bom para fazer isso pelo exemplos que peguei no
google nao rolou.

-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
FreeBSD-BR User #117
Long live FreeBSD

Powered by 

(__)
\\\'',)
\/ \ ^
.\._/_)

www.FreeBSD.org
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw count cacti ou mrtg.

[coopermine]

   Eu particulamente uso o IPFM,

   cat /var/log/ipfm/subnet/ipfm.log | grep -w 192.168.xx.xx | awk '{print
   $2}' | sed '1q'
   funciona que é uma beleza

   Até;;;
 __

   Em 13/02/2012 16:08, Edinilson - ATINET  edinil...@atinet.com.br 
   escreveu:
   Este nao funcionou?
   [1]http://alex.kruijff.org/FreeBSD/Traffic_Report.html
   Edinilson
   --
   ATINET
   Tel Voz: (0xx11) 4412-0876
   [2]http://www.atinet.com.br
   - Original Message -
   From: Alessandro de Souza Rocha
   To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
   Sent: Monday, February 13, 2012 2:07 PM
   Subject: [FUG-BR] ipfw count cacti ou mrtg.
   Boa tarde, galera estou tentando coletar trafego de alguma maquina
   pelo ipfw so que nao estou conseguindo alguem tem um link
   de algum material bom para fazer isso pelo exemplos que peguei no
   google nao rolou.
   --
   Alessan dro de Souza Rocha
   Administrador de Redes e Sistemas
   FreeBSD-BR User #117
   Long live FreeBSD
   Powered by 
   (__)
   \\\'',)
   \/ \ ^
   .\._/_)
   [3]www.FreeBSD.org
   -
   Histórico: [4]http://www.fug.com.br/historico/html/freebsd/
   Sair da lista: [5]https://www.fug.com.br/mailman/listinfo/freebsd
   -
   Histórico: [6]http://www.fug.com.br/historico/html/freebsd/
   Sair da lista: [7]https://www.fug.com.br/mailman/listinfo/freebsd

References

   1. http://alex.kruijff.org/FreeBSD/Traffic_Report.html
   2. http://www.atinet.com.br/
   3. http://www.FreeBSD.org/
   4. http://www.fug.com.br/historico/html/freebsd/
   5. https://www.fug.com.br/mailman/listinfo/freebsd
   6. http://www.fug.com.br/historico/html/freebsd/
   7. https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw com deny sem sentido

[Saul Figueiredo]

Em 8 de fevereiro de 2012 10:04, Marcelo Gondim
gon...@bsdinfo.com.br escreveu:
 Olá pessoal,

 Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo
 funciona normal mas fica me gerando uns logs que ai meu ver não deveriam
 existir.
 Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr
 pra ter certeza que não era isso:

 $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100
 $fw add deny log tcp from any to me 3306 in via em0

 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona
 perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas
 está me gerando log de bloqueio dele:

 em /var/log/security ele gera:

 Feb  8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277
 69.162.120.106:3306 in via em0
 Feb  8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595
 69.162.120.106:3306 in via em0
 Feb  8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869
 69.162.120.106:3306 in via em0
 Feb  8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931
 69.162.120.106:3306 in via em0
 Feb  8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740
 69.162.120.106:3306 in via em0

 Não entendi porque ele está dando deny em alguns pacotes e gerando log.
 Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes
 estão caindo nesse deny. Why?  :)

 Grande abraço à todos.

 Gondim

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


$fw add deny log tcp from any to me 3306 in via em0

Marcelo
a linha acima está fazendo isso.


-- 
Deve-se aprender sempre, até mesmo com um inimigo.
(Isaac Newton)

Atenciosamente,
Saul Figueiredo
Analista FreeBSD/Linux
Linux Professional Institute Certification Level 1
Linux Professional Institute Certification Level 2
saulfelip...@gmail.com
saul-fel...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw com deny sem sentido

[Marcelo Gondim]

Em 08/02/2012 10:22, Saul Figueiredo escreveu:
 Em 8 de fevereiro de 2012 10:04, Marcelo Gondim
 gon...@bsdinfo.com.br  escreveu:
 Olá pessoal,

 Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo
 funciona normal mas fica me gerando uns logs que ai meu ver não deveriam
 existir.
 Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr
 pra ter certeza que não era isso:

 $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100
 $fw add deny log tcp from any to me 3306 in via em0

 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona
 perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas
 está me gerando log de bloqueio dele:

 em /var/log/security ele gera:

 Feb  8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277
 69.162.120.106:3306 in via em0
 Feb  8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595
 69.162.120.106:3306 in via em0
 Feb  8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869
 69.162.120.106:3306 in via em0
 Feb  8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931
 69.162.120.106:3306 in via em0
 Feb  8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740
 69.162.120.106:3306 in via em0

 Não entendi porque ele está dando deny em alguns pacotes e gerando log.
 Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes
 estão caindo nesse deny. Why?  :)

 Grande abraço à todos.

 Gondim

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 $fw add deny log tcp from any to me 3306 in via em0
 Marcelo
 a linha acima está fazendo isso.

Isso eu sei que ela está fazendo, o problema é que a regra anterior 
libera o acesso, logo não deveria entrar nessa regra.  :) First match wins




-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw com deny sem sentido

[Saul Figueiredo]

Em 8 de fevereiro de 2012 10:28, Marcelo Gondim
gon...@bsdinfo.com.br escreveu:
 Em 08/02/2012 10:22, Saul Figueiredo escreveu:
 Em 8 de fevereiro de 2012 10:04, Marcelo Gondim
 gon...@bsdinfo.com.br  escreveu:
 Olá pessoal,

 Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo
 funciona normal mas fica me gerando uns logs que ai meu ver não deveriam
 existir.
 Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr
 pra ter certeza que não era isso:

 $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100
 $fw add deny log tcp from any to me 3306 in via em0

 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona
 perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas
 está me gerando log de bloqueio dele:

 em /var/log/security ele gera:

 Feb  8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277
 69.162.120.106:3306 in via em0
 Feb  8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595
 69.162.120.106:3306 in via em0
 Feb  8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869
 69.162.120.106:3306 in via em0
 Feb  8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931
 69.162.120.106:3306 in via em0
 Feb  8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740
 69.162.120.106:3306 in via em0

 Não entendi porque ele está dando deny em alguns pacotes e gerando log.
 Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes
 estão caindo nesse deny. Why?  :)

 Grande abraço à todos.

 Gondim

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 $fw add deny log tcp from any to me 3306 in via em0
 Marcelo
 a linha acima está fazendo isso.

 Isso eu sei que ela está fazendo, o problema é que a regra anterior
 libera o acesso, logo não deveria entrar nessa regra.  :) First match wins




 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



Mas lá no man do ipfw, na parte do log ele fala o seguinte:

 Note: logging is done after all other packet matching
conditions have been successfully veri-fied, verified,
 fied, and before performing the final action (accept,
deny, etc.) on the packet.

Ou seja, meio bugado, mas normal
xD

-- 
Deve-se aprender sempre, até mesmo com um inimigo.
(Isaac Newton)

Atenciosamente,
Saul Figueiredo
Analista FreeBSD/Linux
Linux Professional Institute Certification Level 1
Linux Professional Institute Certification Level 2
saulfelip...@gmail.com
saul-fel...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw com deny sem sentido

[Marcelo Gondim]

Em 08/02/2012 10:35, Saul Figueiredo escreveu:
 Em 8 de fevereiro de 2012 10:28, Marcelo Gondim
 gon...@bsdinfo.com.br  escreveu:
 Em 08/02/2012 10:22, Saul Figueiredo escreveu:
 Em 8 de fevereiro de 2012 10:04, Marcelo Gondim
 gon...@bsdinfo.com.brescreveu:
 Olá pessoal,

 Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo
 funciona normal mas fica me gerando uns logs que ai meu ver não deveriam
 existir.
 Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr
 pra ter certeza que não era isso:

 $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100
 $fw add deny log tcp from any to me 3306 in via em0

 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona
 perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas
 está me gerando log de bloqueio dele:

 em /var/log/security ele gera:

 Feb  8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277
 69.162.120.106:3306 in via em0
 Feb  8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595
 69.162.120.106:3306 in via em0
 Feb  8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869
 69.162.120.106:3306 in via em0
 Feb  8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931
 69.162.120.106:3306 in via em0
 Feb  8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740
 69.162.120.106:3306 in via em0

 Não entendi porque ele está dando deny em alguns pacotes e gerando log.
 Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes
 estão caindo nesse deny. Why?  :)

 Grande abraço à todos.

 Gondim

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 $fw add deny log tcp from any to me 3306 in via em0
 Marcelo
 a linha acima está fazendo isso.
 Isso eu sei que ela está fazendo, o problema é que a regra anterior
 libera o acesso, logo não deveria entrar nessa regra.  :) First match wins


 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


 Mas lá no man do ipfw, na parte do log ele fala o seguinte:

   Note: logging is done after all other packet matching
 conditions have been successfully veri-fied, verified,
   fied, and before performing the final action (accept,
 deny, etc.) on the packet.

Ou seja, ele loga antes de qualquer deny ou accept. Nesse caso ele 
estaria gerando um log mesmo se o pacote não tivesse sido negado? Nossa 
muito estranho isso. No meu entendimento ele só deveria gerar um log 
nessa situação se realmente houvesse um drop nessa regra. A não ser que 
o número de conexões vindas daquele IP para o mysql tivesse passando de 
100. Nesse caso a regra deixaria passar e entraria no drop. Mas não 
acredito ou não quero acreditar que o IP da outra ponta está conectando 
mais de 100 vezes no mysql porque é uma página web e ela está em uma 
máquina não divulgada ainda e só tem eu acessando ela para testes.



 Ou seja, meio bugado, mas normal
 xD


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw com deny sem sentido

[Saul Figueiredo]

Em 8 de fevereiro de 2012 10:48, Marcelo Gondim
gon...@bsdinfo.com.br escreveu:
 Em 08/02/2012 10:35, Saul Figueiredo escreveu:
 Em 8 de fevereiro de 2012 10:28, Marcelo Gondim
 gon...@bsdinfo.com.br  escreveu:
 Em 08/02/2012 10:22, Saul Figueiredo escreveu:
 Em 8 de fevereiro de 2012 10:04, Marcelo Gondim
 gon...@bsdinfo.com.br    escreveu:
 Olá pessoal,

 Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo
 funciona normal mas fica me gerando uns logs que ai meu ver não deveriam
 existir.
 Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr
 pra ter certeza que não era isso:

 $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100
 $fw add deny log tcp from any to me 3306 in via em0

 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona
 perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas
 está me gerando log de bloqueio dele:

 em /var/log/security ele gera:

 Feb  8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277
 69.162.120.106:3306 in via em0
 Feb  8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595
 69.162.120.106:3306 in via em0
 Feb  8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869
 69.162.120.106:3306 in via em0
 Feb  8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931
 69.162.120.106:3306 in via em0
 Feb  8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740
 69.162.120.106:3306 in via em0

 Não entendi porque ele está dando deny em alguns pacotes e gerando log.
 Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes
 estão caindo nesse deny. Why?  :)

 Grande abraço à todos.

 Gondim

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 $fw add deny log tcp from any to me 3306 in via em0
 Marcelo
 a linha acima está fazendo isso.
 Isso eu sei que ela está fazendo, o problema é que a regra anterior
 libera o acesso, logo não deveria entrar nessa regra.  :) First match wins


 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


 Mas lá no man do ipfw, na parte do log ele fala o seguinte:

               Note: logging is done after all other packet matching
 conditions have been successfully veri-fied, verified,
               fied, and before performing the final action (accept,
 deny, etc.) on the packet.

 Ou seja, ele loga antes de qualquer deny ou accept. Nesse caso ele
 estaria gerando um log mesmo se o pacote não tivesse sido negado? Nossa
 muito estranho isso. No meu entendimento ele só deveria gerar um log
 nessa situação se realmente houvesse um drop nessa regra. A não ser que
 o número de conexões vindas daquele IP para o mysql tivesse passando de
 100. Nesse caso a regra deixaria passar e entraria no drop. Mas não
 acredito ou não quero acreditar que o IP da outra ponta está conectando
 mais de 100 vezes no mysql porque é uma página web e ela está em uma
 máquina não divulgada ainda e só tem eu acessando ela para testes.



 Ou seja, meio bugado, mas normal
 xD


 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


rsrsrsrsrsr por isso que disse... é meio bugado eu também pensava
assim... ou talves não seja um bug, pode ter sido feito para ser
assim... vai entender...



-- 
Deve-se aprender sempre, até mesmo com um inimigo.
(Isaac Newton)

Atenciosamente,
Saul Figueiredo
Analista FreeBSD/Linux
Linux Professional Institute Certification Level 1
Linux Professional Institute Certification Level 2
saulfelip...@gmail.com
saul-fel...@hotmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw com deny sem sentido

[Marcelo Gondim]

Em 08/02/2012 10:51, Saul Figueiredo escreveu:
 Em 8 de fevereiro de 2012 10:48, Marcelo Gondim
 gon...@bsdinfo.com.br  escreveu:
 Em 08/02/2012 10:35, Saul Figueiredo escreveu:
 Em 8 de fevereiro de 2012 10:28, Marcelo Gondim
 gon...@bsdinfo.com.brescreveu:
 Em 08/02/2012 10:22, Saul Figueiredo escreveu:
 Em 8 de fevereiro de 2012 10:04, Marcelo Gondim
 gon...@bsdinfo.com.br  escreveu:
 Olá pessoal,

 Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo
 funciona normal mas fica me gerando uns logs que ai meu ver não deveriam
 existir.
 Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr
 pra ter certeza que não era isso:

 $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100
 $fw add deny log tcp from any to me 3306 in via em0

 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona
 perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas
 está me gerando log de bloqueio dele:

 em /var/log/security ele gera:

 Feb  8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277
 69.162.120.106:3306 in via em0
 Feb  8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595
 69.162.120.106:3306 in via em0
 Feb  8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869
 69.162.120.106:3306 in via em0
 Feb  8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931
 69.162.120.106:3306 in via em0
 Feb  8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740
 69.162.120.106:3306 in via em0

 Não entendi porque ele está dando deny em alguns pacotes e gerando log.
 Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes
 estão caindo nesse deny. Why?  :)

 Grande abraço à todos.

 Gondim

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 $fw add deny log tcp from any to me 3306 in via em0
 Marcelo
 a linha acima está fazendo isso.
 Isso eu sei que ela está fazendo, o problema é que a regra anterior
 libera o acesso, logo não deveria entrar nessa regra.  :) First match 
 wins

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 Mas lá no man do ipfw, na parte do log ele fala o seguinte:

Note: logging is done after all other packet matching
 conditions have been successfully veri-fied, verified,
fied, and before performing the final action (accept,
 deny, etc.) on the packet.
 Ou seja, ele loga antes de qualquer deny ou accept. Nesse caso ele
 estaria gerando um log mesmo se o pacote não tivesse sido negado? Nossa
 muito estranho isso. No meu entendimento ele só deveria gerar um log
 nessa situação se realmente houvesse um drop nessa regra. A não ser que
 o número de conexões vindas daquele IP para o mysql tivesse passando de
 100. Nesse caso a regra deixaria passar e entraria no drop. Mas não
 acredito ou não quero acreditar que o IP da outra ponta está conectando
 mais de 100 vezes no mysql porque é uma página web e ela está em uma
 máquina não divulgada ainda e só tem eu acessando ela para testes.


 Ou seja, meio bugado, mas normal
 xD

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 rsrsrsrsrsr por isso que disse... é meio bugado eu também pensava
 assim... ou talves não seja um bug, pode ter sido feito para ser
 assim... vai entender...



Sabe o que parece? Que em algum momento o stateful falha e o pacote não 
é reconhecido aí ele descarta e vai pro drop. Eu uso na regra o setup e 
o limit, o setup obriga o 3 way handshake e o limit faz o stateful com a 
limitação de conexões. Só vejo isso, na comunicação algum pacote não é 
reconhecido no state e cai no drop.

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw com deny sem sentido

[Joao Rocha Braga Filho]

2012/2/8 Marcelo Gondim gon...@bsdinfo.com.br:
 Olá pessoal,

 Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo
 funciona normal mas fica me gerando uns logs que ai meu ver não deveriam
 existir.
 Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr
 pra ter certeza que não era isso:

 $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100
 $fw add deny log tcp from any to me 3306 in via em0

Quantos programas estão acessando o MySQL? E eles estão sendo educados
e encerrando a conexão, ou estão saindo à francesa, sem encerrar a conexão,
e ela fica aberta até dar timeout?



João Rocha.


 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona
 perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas
 está me gerando log de bloqueio dele:

 em /var/log/security ele gera:

 Feb  8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277
 69.162.120.106:3306 in via em0
 Feb  8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595
 69.162.120.106:3306 in via em0
 Feb  8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869
 69.162.120.106:3306 in via em0
 Feb  8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931
 69.162.120.106:3306 in via em0
 Feb  8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740
 69.162.120.106:3306 in via em0

 Não entendi porque ele está dando deny em alguns pacotes e gerando log.
 Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes
 estão caindo nesse deny. Why?  :)

 Grande abraço à todos.

 Gondim

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 
Sempre se apanha mais com as menores besteiras. Experiência própria.

http://jgoffredo.blogspot.com
goffr...@gmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw com deny sem sentido

[Marcelo Gondim]

Em 08/02/2012 11:36, Joao Rocha Braga Filho escreveu:
 2012/2/8 Marcelo Gondimgon...@bsdinfo.com.br:
 Olá pessoal,

 Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo
 funciona normal mas fica me gerando uns logs que ai meu ver não deveriam
 existir.
 Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr
 pra ter certeza que não era isso:

 $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100
 $fw add deny log tcp from any to me 3306 in via em0
 Quantos programas estão acessando o MySQL? E eles estão sendo educados
 e encerrando a conexão, ou estão saindo à francesa, sem encerrar a conexão,
 e ela fica aberta até dar timeout?

Olá João,

Foi exatamente isso que perguntei ao programador ainda agora por e-mail, 
se ele está fechando as conexões corretamente porque se não tiver, pode 
estar saindo por timeout o stateful e aí os próximos pacotes estariam 
fora mesmo. O padrão inclusive são 5 minutos o timeout do ack:

net.inet.ip.fw.dyn_ack_lifetime=300
net.inet.ip.fw.dyn_syn_lifetime=20
net.inet.ip.fw.dyn_fin_lifetime=1

Pelo que conheço o programador pode realmente ser esse o problema. rsrsrs




 João Rocha.

 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona
 perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas
 está me gerando log de bloqueio dele:

 em /var/log/security ele gera:

 Feb  8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277
 69.162.120.106:3306 in via em0
 Feb  8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595
 69.162.120.106:3306 in via em0
 Feb  8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869
 69.162.120.106:3306 in via em0
 Feb  8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931
 69.162.120.106:3306 in via em0
 Feb  8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740
 69.162.120.106:3306 in via em0

 Não entendi porque ele está dando deny em alguns pacotes e gerando log.
 Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes
 estão caindo nesse deny. Why?  :)

 Grande abraço à todos.

 Gondim

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw com deny sem sentido

[Marcelo Gondim]

Em 08/02/2012 13:48, Eduardo Schoedler escreveu:
 Você esta liberando somente o 'setup', sem 'keep-state'. Coloque na primeira 
 linha do seu firewall um 'check-state' e faca essa alteração do 'keep-state'.

Opa Eduardo,

Eu tenho o check-state no topo do Firewall já. Só coloquei essas 2 
linhas pertinentes ao problema mesmo. No caso eu tenho setup e tenho o 
limit. O limit tem a função do keep-state só que com limite de conexões, 
ou se usa o keep-state ou se usa o limit.

Ainda acho que pode ser o lance do fechamento das conexões. Coisa errada 
na programação do site mesmo.

 --
 Eduardo Schoedler
 Enviado via iPhone

 Em 08/02/2012, às 10:04, Marcelo Gondimgon...@bsdinfo.com.br  escreveu:

 Olá pessoal,

 Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo
 funciona normal mas fica me gerando uns logs que ai meu ver não deveriam
 existir.
 Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr
 pra ter certeza que não era isso:

 $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100
 $fw add deny log tcp from any to me 3306 in via em0

 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona
 perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas
 está me gerando log de bloqueio dele:

 em /var/log/security ele gera:

 Feb  8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277
 69.162.120.106:3306 in via em0
 Feb  8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595
 69.162.120.106:3306 in via em0
 Feb  8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869
 69.162.120.106:3306 in via em0
 Feb  8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931
 69.162.120.106:3306 in via em0
 Feb  8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740
 69.162.120.106:3306 in via em0

 Não entendi porque ele está dando deny em alguns pacotes e gerando log.
 Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes
 estão caindo nesse deny. Why?  :)

 Grande abraço à todos.

 Gondim

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw com deny sem sentido

[Eduardo Schoedler]

É um php que esta se conectando ao seu servidor mysql?

Se for, ele nao utiliza conexões persistentes... são varias conexões por 
segundo. Tente aumentar esse limite ou ate mesmo tira-lo e coloque o keep-state 
no seu lugar.

--
Eduardo Schoedler
Enviado via iPhone

Em 08/02/2012, às 16:21, Marcelo Gondim gon...@bsdinfo.com.br escreveu:

 Em 08/02/2012 13:48, Eduardo Schoedler escreveu:
 Você esta liberando somente o 'setup', sem 'keep-state'. Coloque na primeira 
 linha do seu firewall um 'check-state' e faca essa alteração do 'keep-state'.
 
 Opa Eduardo,
 
 Eu tenho o check-state no topo do Firewall já. Só coloquei essas 2 
 linhas pertinentes ao problema mesmo. No caso eu tenho setup e tenho o 
 limit. O limit tem a função do keep-state só que com limite de conexões, 
 ou se usa o keep-state ou se usa o limit.
 
 Ainda acho que pode ser o lance do fechamento das conexões. Coisa errada 
 na programação do site mesmo.
 
 --
 Eduardo Schoedler
 Enviado via iPhone
 
 Em 08/02/2012, às 10:04, Marcelo Gondimgon...@bsdinfo.com.br  escreveu:
 
 Olá pessoal,
 
 Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo
 funciona normal mas fica me gerando uns logs que ai meu ver não deveriam
 existir.
 Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr
 pra ter certeza que não era isso:
 
 $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100
 $fw add deny log tcp from any to me 3306 in via em0
 
 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona
 perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas
 está me gerando log de bloqueio dele:
 
 em /var/log/security ele gera:
 
 Feb  8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277
 69.162.120.106:3306 in via em0
 Feb  8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595
 69.162.120.106:3306 in via em0
 Feb  8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869
 69.162.120.106:3306 in via em0
 Feb  8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931
 69.162.120.106:3306 in via em0
 Feb  8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740
 69.162.120.106:3306 in via em0
 
 Não entendi porque ele está dando deny em alguns pacotes e gerando log.
 Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes
 estão caindo nesse deny. Why?  :)
 
 Grande abraço à todos.
 
 Gondim
 
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw com deny sem sentido

[Marcelo Gondim]

Em 08/02/2012 18:54, Eduardo Schoedler escreveu:
 É um php que esta se conectando ao seu servidor mysql?

 Se for, ele nao utiliza conexões persistentes... são varias conexões por 
 segundo. Tente aumentar esse limite ou ate mesmo tira-lo e coloque o 
 keep-state no seu lugar.

Opa Eduardo,

Podes crer, acabei de pegar um php dele aqui e ele não tá usando 
pconnect. Vou pedir pra ele trocar e fazer novos testes.

Grande abraço


 --
 Eduardo Schoedler
 Enviado via iPhone

 Em 08/02/2012, às 16:21, Marcelo Gondimgon...@bsdinfo.com.br  escreveu:

 Em 08/02/2012 13:48, Eduardo Schoedler escreveu:
 Você esta liberando somente o 'setup', sem 'keep-state'. Coloque na 
 primeira linha do seu firewall um 'check-state' e faca essa alteração do 
 'keep-state'.
 Opa Eduardo,

 Eu tenho o check-state no topo do Firewall já. Só coloquei essas 2
 linhas pertinentes ao problema mesmo. No caso eu tenho setup e tenho o
 limit. O limit tem a função do keep-state só que com limite de conexões,
 ou se usa o keep-state ou se usa o limit.

 Ainda acho que pode ser o lance do fechamento das conexões. Coisa errada
 na programação do site mesmo.

 --
 Eduardo Schoedler
 Enviado via iPhone

 Em 08/02/2012, às 10:04, Marcelo Gondimgon...@bsdinfo.com.br   escreveu:

 Olá pessoal,

 Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo
 funciona normal mas fica me gerando uns logs que ai meu ver não deveriam
 existir.
 Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr
 pra ter certeza que não era isso:

 $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100
 $fw add deny log tcp from any to me 3306 in via em0

 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona
 perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas
 está me gerando log de bloqueio dele:

 em /var/log/security ele gera:

 Feb  8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277
 69.162.120.106:3306 in via em0
 Feb  8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595
 69.162.120.106:3306 in via em0
 Feb  8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869
 69.162.120.106:3306 in via em0
 Feb  8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931
 69.162.120.106:3306 in via em0
 Feb  8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740
 69.162.120.106:3306 in via em0

 Não entendi porque ele está dando deny em alguns pacotes e gerando log.
 Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes
 estão caindo nesse deny. Why?  :)

 Grande abraço à todos.

 Gondim

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] ipfw com deny sem sentido

[Eduardo Schoedler]

Bingo. ;-)

Se ele usar pconnect e for um site muito acessado, vai estourar o limite de 
conexões do mysql.

Se você já esta liberando no firewall somente para 1 ip, nao tem porque colocar 
limit.

Abraço,


--
Eduardo Schoedler
Enviado via iPhone

Em 08/02/2012, às 20:03, Marcelo Gondim gon...@bsdinfo.com.br escreveu:

 Em 08/02/2012 18:54, Eduardo Schoedler escreveu:
 É um php que esta se conectando ao seu servidor mysql?
 
 Se for, ele nao utiliza conexões persistentes... são varias conexões por 
 segundo. Tente aumentar esse limite ou ate mesmo tira-lo e coloque o 
 keep-state no seu lugar.
 
 Opa Eduardo,
 
 Podes crer, acabei de pegar um php dele aqui e ele não tá usando 
 pconnect. Vou pedir pra ele trocar e fazer novos testes.
 
 Grande abraço
 
 
 --
 Eduardo Schoedler
 Enviado via iPhone
 
 Em 08/02/2012, às 16:21, Marcelo Gondimgon...@bsdinfo.com.br  escreveu:
 
 Em 08/02/2012 13:48, Eduardo Schoedler escreveu:
 Você esta liberando somente o 'setup', sem 'keep-state'. Coloque na 
 primeira linha do seu firewall um 'check-state' e faca essa alteração do 
 'keep-state'.
 Opa Eduardo,
 
 Eu tenho o check-state no topo do Firewall já. Só coloquei essas 2
 linhas pertinentes ao problema mesmo. No caso eu tenho setup e tenho o
 limit. O limit tem a função do keep-state só que com limite de conexões,
 ou se usa o keep-state ou se usa o limit.
 
 Ainda acho que pode ser o lance do fechamento das conexões. Coisa errada
 na programação do site mesmo.
 
 --
 Eduardo Schoedler
 Enviado via iPhone
 
 Em 08/02/2012, às 10:04, Marcelo Gondimgon...@bsdinfo.com.br   escreveu:
 
 Olá pessoal,
 
 Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo
 funciona normal mas fica me gerando uns logs que ai meu ver não deveriam
 existir.
 Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr
 pra ter certeza que não era isso:
 
 $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100
 $fw add deny log tcp from any to me 3306 in via em0
 
 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona
 perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas
 está me gerando log de bloqueio dele:
 
 em /var/log/security ele gera:
 
 Feb  8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277
 69.162.120.106:3306 in via em0
 Feb  8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595
 69.162.120.106:3306 in via em0
 Feb  8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869
 69.162.120.106:3306 in via em0
 Feb  8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931
 69.162.120.106:3306 in via em0
 Feb  8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740
 69.162.120.106:3306 in via em0
 
 Não entendi porque ele está dando deny em alguns pacotes e gerando log.
 Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes
 estão caindo nesse deny. Why?  :)
 
 Grande abraço à todos.
 
 Gondim
 
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW

[Luciano O. Bissoli - Analista Informatica (Destilaria Agua Bonita)]

ipfw add X fwd yyy.yyy.yyy.yyy,3128 tcp from any to any 80

X=Numero da regra
Y=IP para Forward


Luciano O. Bissoli -
T.I. Destilaria Água Bonita Ltda.
Fone/Fax: (18)3373-4400/4401
www.aguabonita.com.br
analist...@aguabonita.com.br

- Original Message - 
From: Bruno S. Ferreira brsobre...@gmail.com
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
freebsd@fug.com.br
Sent: Thursday, January 26, 2012 3:34 PM
Subject: [FUG-BR] IPFW


Senhores,

  boa tardem estou estudando um servidor de cache com o BSD, porém,
gostaria de todo trafego fosse redirecionado para a porta 3128 usando o
ipfw. Alguém poderia me da uma luz nesse aspecto, obriogado
-- 
Bruno S. Ferreira

Graduated: System Information
Course: Specialization Information Security
Certification:
- Cisco Certified Network Associate - CCNA
-* *** Linux Professional Institute Certification - LPIC
- IPV6 Silver

Contact:
Msn: sobreira_...@hotmail.com
Phone: (83) 8852-9418
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW

[Alessandro de Souza Rocha]

${fwcmd} add 64000 forward 200.0.0.10,3128 tcp from any to any
dst-port 80 via vr0


Em 26 de janeiro de 2012 16:34, Bruno S. Ferreira
brsobre...@gmail.com escreveu:
 Senhores,

  boa tardem estou estudando um servidor de cache com o BSD, porém,
 gostaria de todo trafego fosse redirecionado para a porta 3128 usando o
 ipfw. Alguém poderia me da uma luz nesse aspecto, obriogado
 --
 Bruno S. Ferreira

 Graduated: System Information
 Course: Specialization Information Security
 Certification:
 - Cisco Certified Network Associate - CCNA
 -* *** Linux Professional Institute Certification - LPIC
 - IPV6 Silver

 Contact:
 Msn: sobreira_...@hotmail.com
 Phone: (83) 8852-9418
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
FreeBSD-BR User #117
             Long live FreeBSD

                     Powered by 

                                          (__)
                                       \\\'',)
                                         \/  \ ^
                                         .\._/_)

                                     www.FreeBSD.org
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW

[Bruno S. Ferreira]

ue só isso Alessandro ??

Em 26 de janeiro de 2012 15:54, Alessandro de Souza Rocha 
etherlin...@gmail.com escreveu:

 ${fwcmd} add 64000 forward 200.0.0.10,3128 tcp from any to any
 dst-port 80 via vr0


 Em 26 de janeiro de 2012 16:34, Bruno S. Ferreira
 brsobre...@gmail.com escreveu:
  Senhores,
 
   boa tardem estou estudando um servidor de cache com o BSD, porém,
  gostaria de todo trafego fosse redirecionado para a porta 3128 usando o
  ipfw. Alguém poderia me da uma luz nesse aspecto, obriogado
  --
  Bruno S. Ferreira
 
  Graduated: System Information
  Course: Specialization Information Security
  Certification:
  - Cisco Certified Network Associate - CCNA
  -* *** Linux Professional Institute Certification - LPIC
  - IPV6 Silver
 
  Contact:
  Msn: sobreira_...@hotmail.com
  Phone: (83) 8852-9418
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



 --
 Alessandro de Souza Rocha
 Administrador de Redes e Sistemas
 FreeBSD-BR User #117
  Long live FreeBSD

  Powered by 

   (__)
\\\'',)
  \/  \ ^
  .\._/_)

  www.FreeBSD.org
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd




-- 
Bruno S. Ferreira

Graduated: System Information
Course: Specialization Information Security
Certification:
- Cisco Certified Network Associate - CCNA
-* *** Linux Professional Institute Certification - LPIC
- IPV6 Silver

Contact:
Msn: sobreira_...@hotmail.com
Phone: (83) 8852-9418
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW

[Luiz Gustavo S. Costa]

em teoria sim, basta um fwd...

atente-se para que o seu squid esteja com o transparent devidamente
configurado. a internet tem quilos de informações sobre isso.

abraços

* Bruno S. Ferreira (brsobre...@gmail.com) wrote:
 ue só isso Alessandro ??
 
 Em 26 de janeiro de 2012 15:54, Alessandro de Souza Rocha 
 etherlin...@gmail.com escreveu:
 
  ${fwcmd} add 64000 forward 200.0.0.10,3128 tcp from any to any
  dst-port 80 via vr0
 
 
  Em 26 de janeiro de 2012 16:34, Bruno S. Ferreira
  brsobre...@gmail.com escreveu:
   Senhores,
  
boa tardem estou estudando um servidor de cache com o BSD, porém,
   gostaria de todo trafego fosse redirecionado para a porta 3128 usando o
   ipfw. Alguém poderia me da uma luz nesse aspecto, obriogado
   --
   Bruno S. Ferreira
  
   Graduated: System Information
   Course: Specialization Information Security
   Certification:
   - Cisco Certified Network Associate - CCNA
   -* *** Linux Professional Institute Certification - LPIC
   - IPV6 Silver
  
   Contact:
   Msn: sobreira_...@hotmail.com
   Phone: (83) 8852-9418
   -
   Histórico: http://www.fug.com.br/historico/html/freebsd/
   Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 
 
  --
  Alessandro de Souza Rocha
  Administrador de Redes e Sistemas
  FreeBSD-BR User #117
   Long live FreeBSD
 
   Powered by 
 
(__)
 \\\'',)
   \/  \ ^
   .\._/_)
 
   www.FreeBSD.org
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 
 
 
 -- 
 Bruno S. Ferreira
 
 Graduated: System Information
 Course: Specialization Information Security
 Certification:
 - Cisco Certified Network Associate - CCNA
 -* *** Linux Professional Institute Certification - LPIC
 - IPV6 Silver
 
 Contact:
 Msn: sobreira_...@hotmail.com
 Phone: (83) 8852-9418
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
---
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: cont...@mundounix.com.br
Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
Blog: http://www.luizgustavo.pro.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW

[Alessandro de Souza Rocha]

oxe, vc perguntou como redirecionar o trafego pelo ipfw,
vc nao disse nada de squid ou outra coisa.

Em 26 de janeiro de 2012 17:59, Luiz Gustavo S. Costa
luizgust...@luizgustavo.pro.br escreveu:
 em teoria sim, basta um fwd...

 atente-se para que o seu squid esteja com o transparent devidamente
 configurado. a internet tem quilos de informações sobre isso.

 abraços

 * Bruno S. Ferreira (brsobre...@gmail.com) wrote:
 ue só isso Alessandro ??

 Em 26 de janeiro de 2012 15:54, Alessandro de Souza Rocha 
 etherlin...@gmail.com escreveu:

  ${fwcmd} add 64000 forward 200.0.0.10,3128 tcp from any to any
  dst-port 80 via vr0
 
 
  Em 26 de janeiro de 2012 16:34, Bruno S. Ferreira
  brsobre...@gmail.com escreveu:
   Senhores,
  
    boa tardem estou estudando um servidor de cache com o BSD, porém,
   gostaria de todo trafego fosse redirecionado para a porta 3128 usando o
   ipfw. Alguém poderia me da uma luz nesse aspecto, obriogado
   --
   Bruno S. Ferreira
  
   Graduated: System Information
   Course: Specialization Information Security
   Certification:
   - Cisco Certified Network Associate - CCNA
   -* *** Linux Professional Institute Certification - LPIC
   - IPV6 Silver
  
   Contact:
   Msn: sobreira_...@hotmail.com
   Phone: (83) 8852-9418
   -
   Histórico: http://www.fug.com.br/historico/html/freebsd/
   Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 
 
  --
  Alessandro de Souza Rocha
  Administrador de Redes e Sistemas
  FreeBSD-BR User #117
               Long live FreeBSD
 
                       Powered by 
 
                                            (__)
                                         \\\'',)
                                           \/  \ ^
                                           .\._/_)
 
                                       www.FreeBSD.org
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 



 --
 Bruno S. Ferreira

 Graduated: System Information
 Course: Specialization Information Security
 Certification:
 - Cisco Certified Network Associate - CCNA
 -* *** Linux Professional Institute Certification - LPIC
 - IPV6 Silver

 Contact:
 Msn: sobreira_...@hotmail.com
 Phone: (83) 8852-9418
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 ---
 Luiz Gustavo Costa (Powered by BSD)
 *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
 mundoUnix - Consultoria em Software Livre
 http://www.mundounix.com.br
 ICQ: 2890831 / MSN: cont...@mundounix.com.br
 Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
 Blog: http://www.luizgustavo.pro.br
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
FreeBSD-BR User #117
             Long live FreeBSD

                     Powered by 

                                          (__)
                                       \\\'',)
                                         \/  \ ^
                                         .\._/_)

                                     www.FreeBSD.org
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW

[Paulo Henrique]

Me admiro com a pergunta do Companheiro Bruno, quando a assinatura demostra
as seguintes certificações !!!

O cara sabe inglês  

Graduated: System Information ( O cara é graduado em Sistema de Informação )
Course: Specialization Information Security ( Está fazendo Especificação em
Segurança da Informação )
Certification:
- Cisco Certified Network Associate - CCNA ( Primeiro Certificação que me
vem a cabeça para poder trabalhar com rede, obs eu não sou ).
-* *** Linux Professional Institute Certification - LPIC ( Profissional
certificado pela principal certificação linux ).
- IPV6 Silver ( Já ta sacano Protocolo de Internet versão 6 ).

Agora depois de ter tudo isso de certificação me faz uma pergunda, onde só
no site fug.com.br deve ter pelo menos 5 artigos.
Se usar a string de busca FreeBSD + Squid + Proxy transparente terá uma
quantidade maior ainda de links.

NO final só me resta dois pontos de vista.
1 - O cara é preguiçoso quanto a ler documentação ( o cara estudou muito
para ter todas essas certificações ).
2 -  O cara não deve ter todas essas certificações 

Foi mal mais não tem como não observar que determinadas perguntas não se
justificam !!!





Em 26 de janeiro de 2012 18:44, Alessandro de Souza Rocha 
etherlin...@gmail.com escreveu:

 oxe, vc perguntou como redirecionar o trafego pelo ipfw,
 vc nao disse nada de squid ou outra coisa.

 Em 26 de janeiro de 2012 17:59, Luiz Gustavo S. Costa
 luizgust...@luizgustavo.pro.br escreveu:
  em teoria sim, basta um fwd...
 
  atente-se para que o seu squid esteja com o transparent devidamente
  configurado. a internet tem quilos de informações sobre isso.
 
  abraços
 
  * Bruno S. Ferreira (brsobre...@gmail.com) wrote:
  ue só isso Alessandro ??
 
  Em 26 de janeiro de 2012 15:54, Alessandro de Souza Rocha 
  etherlin...@gmail.com escreveu:
 
   ${fwcmd} add 64000 forward 200.0.0.10,3128 tcp from any to any
   dst-port 80 via vr0
  
  
   Em 26 de janeiro de 2012 16:34, Bruno S. Ferreira
   brsobre...@gmail.com escreveu:
Senhores,
   
 boa tardem estou estudando um servidor de cache com o BSD, porém,
gostaria de todo trafego fosse redirecionado para a porta 3128
 usando o
ipfw. Alguém poderia me da uma luz nesse aspecto, obriogado
--
Bruno S. Ferreira
   
Graduated: System Information
Course: Specialization Information Security
Certification:
- Cisco Certified Network Associate - CCNA
-* *** Linux Professional Institute Certification - LPIC
- IPV6 Silver
   
Contact:
Msn: sobreira_...@hotmail.com
Phone: (83) 8852-9418
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
  
  
  
   --
   Alessandro de Souza Rocha
   Administrador de Redes e Sistemas
   FreeBSD-BR User #117
Long live FreeBSD
  
Powered by 
  
 (__)
  \\\'',)
\/  \ ^
.\._/_)
  
www.FreeBSD.org
   -
   Histórico: http://www.fug.com.br/historico/html/freebsd/
   Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
  
 
 
 
  --
  Bruno S. Ferreira
 
  Graduated: System Information
  Course: Specialization Information Security
  Certification:
  - Cisco Certified Network Associate - CCNA
  -* *** Linux Professional Institute Certification - LPIC
  - IPV6 Silver
 
  Contact:
  Msn: sobreira_...@hotmail.com
  Phone: (83) 8852-9418
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
  ---
  Luiz Gustavo Costa (Powered by BSD)
  *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
  mundoUnix - Consultoria em Software Livre
  http://www.mundounix.com.br
  ICQ: 2890831 / MSN: cont...@mundounix.com.br
  Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
  Blog: http://www.luizgustavo.pro.br
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



 --
 Alessandro de Souza Rocha
 Administrador de Redes e Sistemas
 FreeBSD-BR User #117
  Long live FreeBSD

  Powered by 

   (__)
\\\'',)
  \/  \ ^
  .\._/_)

  www.FreeBSD.org
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd




-- 
:=)BattleMaster(=:

Flamers  /dev/null !!!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: 

Re: [FUG-BR] Ipfw - Natd, de novo !!!

[Tiago Furbeta]

pra começar o nat from any to any...
são nessas horas que o Irado faz falta...


Em 12 de janeiro de 2012 10:35, Adiel de Lima Ribeiro 
adiel.netad...@gmail.com escreveu:

 Pessoal, bom dia.
 Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue
 na internet.
 No ipfw a placa de rede em0 está ligada na internet, em1 está na rede
 interna.
 O Ipfw consegue acessar tudo, foi testado, ele está como Statefull.
 Segue a configuração relevante do IPFW:


 #
 ### Divert ###

 #
 ipfw add 010 divert natd ip from any to any via em0

 #
 ### Permite acesso ###
 ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state

 Configuração do natd no rc.conf:

 natd_flags=-dynamic -m.

 Com a configuração acima a máquina não navega, agora se coloco a
 seguinte regra, funciona tudo.
 ipfw add 012 allow ip from any to any

 O que estou fazendo de errado ?


   Adiel de Lima Ribeiro
 http://www.facebook.com/sembr.dyndns.info

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd




-- 
Att.

Tiago N. Furbeta
Cangere Online Provedor de Internet Ltda.
Empresa de Telecomunicações Autorizada SCM/ANATEL
tfurb...@cangere.com.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Ipfw - Natd, de novo !!!

[Lucas Dias]

Em 12 de janeiro de 2012 10:52, Tiago Furbeta tfurb...@cangere.com.brescreveu:

 pra começar o nat from any to any...
 são nessas horas que o Irado faz falta...


 Em 12 de janeiro de 2012 10:35, Adiel de Lima Ribeiro 
 adiel.netad...@gmail.com escreveu:

  Pessoal, bom dia.
  Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue
  na internet.
  No ipfw a placa de rede em0 está ligada na internet, em1 está na rede
  interna.
  O Ipfw consegue acessar tudo, foi testado, ele está como Statefull.
  Segue a configuração relevante do IPFW:
 
 
 
 #
  ### Divert ###
 
 
 #
  ipfw add 010 divert natd ip from any to any via em0
 
 
 #
  ### Permite acesso ###
  ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state
 
  Configuração do natd no rc.conf:
 
  natd_flags=-dynamic -m.
 
  Com a configuração acima a máquina não navega, agora se coloco a
  seguinte regra, funciona tudo.
  ipfw add 012 allow ip from any to any
 
  O que estou fazendo de errado ?


Adiel

dá uma sacada nesses materiais

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html
http://www.freebsddiary.org/ipfw.php

acho que vai lhe ajudar


-- 
.:: Lucas Dias
.:: Analista de Sistemas
.:: OS3 Soluções em TI
.:: (82) 8813-1494 / 8111-2288
.:: Antes de imprimir, veja se realmente é necessário!!!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Ipfw - Natd, de novo !!!

[Adiel de Lima Ribeiro]

Lucas, já li e reli este material, fiz o curso da FreeBSD  Brasil e
estou com a apostila em mãos. 


-Original Message-
From: Lucas Dias lucas...@gmail.com
Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!!
Date: Thu, 12 Jan 2012 11:07:47 -0300


Em 12 de janeiro de 2012 10:52, Tiago Furbeta tfurb...@cangere.com.brescreveu:

 pra começar o nat from any to any...
 são nessas horas que o Irado faz falta...


 Em 12 de janeiro de 2012 10:35, Adiel de Lima Ribeiro 
 adiel.netad...@gmail.com escreveu:

  Pessoal, bom dia.
  Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue
  na internet.
  No ipfw a placa de rede em0 está ligada na internet, em1 está na rede
  interna.
  O Ipfw consegue acessar tudo, foi testado, ele está como Statefull.
  Segue a configuração relevante do IPFW:
 
 
 
 #
  ### Divert ###
 
 
 #
  ipfw add 010 divert natd ip from any to any via em0
 
 
 #
  ### Permite acesso ###
  ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state
 
  Configuração do natd no rc.conf:
 
  natd_flags=-dynamic -m.
 
  Com a configuração acima a máquina não navega, agora se coloco a
  seguinte regra, funciona tudo.
  ipfw add 012 allow ip from any to any
 
  O que estou fazendo de errado ?


Adiel

dá uma sacada nesses materiais

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html
http://www.freebsddiary.org/ipfw.php

acho que vai lhe ajudar




-- 
   Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Ipfw - Natd, de novo !!!

[Marcelo Gondim]

Em 12/01/2012 10:35, Adiel de Lima Ribeiro escreveu:
 Pessoal, bom dia.
 Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue
 na internet.
 No ipfw a placa de rede em0 está ligada na internet, em1 está na rede
 interna.
 O Ipfw consegue acessar tudo, foi testado, ele está como Statefull.
 Segue a configuração relevante do IPFW:

 #
 ### Divert ###
 #
 ipfw add 010 divert natd ip from any to any via em0
 #
 ### Permite acesso ###
 ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state
Onde está a regra que libera acesso de dns 53/udp e 53/tcp?  Se não 
resolver nome não acessa mesmo liberando o acesso da máquina.

 Configuração do natd no rc.conf:

 natd_flags=-dynamic -m.

 Com a configuração acima a máquina não navega, agora se coloco a
 seguinte regra, funciona tudo.
 ipfw add 012 allow ip from any to any

 O que estou fazendo de errado ?


 Adiel de Lima Ribeiro
 http://www.facebook.com/sembr.dyndns.info

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Ipfw - Natd, de novo !!!

[Marcelo Gondim]

Em 12/01/2012 11:52, Tiago Furbeta escreveu:
 pra começar o nat from any to any...
 são nessas horas que o Irado faz falta...
Pois é eu falei sobre isso mas não me deram ouvidos rsrsrsrs nat só se 
faz para endereços da RFC 1918: 192.168.0.0/16, 10.0.0.0/8 e 172.16.0.0/12


 Em 12 de janeiro de 2012 10:35, Adiel de Lima Ribeiro
 adiel.netad...@gmail.com  escreveu:

 Pessoal, bom dia.
 Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue
 na internet.
 No ipfw a placa de rede em0 está ligada na internet, em1 está na rede
 interna.
 O Ipfw consegue acessar tudo, foi testado, ele está como Statefull.
 Segue a configuração relevante do IPFW:


 #
 ### Divert ###

 #
 ipfw add 010 divert natd ip from any to any via em0

 #
 ### Permite acesso ###
 ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state

 Configuração do natd no rc.conf:

 natd_flags=-dynamic -m.

 Com a configuração acima a máquina não navega, agora se coloco a
 seguinte regra, funciona tudo.
 ipfw add 012 allow ip from any to any

 O que estou fazendo de errado ?


Adiel de Lima Ribeiro
 http://www.facebook.com/sembr.dyndns.info

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd




-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Ipfw - Natd, de novo !!!

[Marcelo Gondim]

Em 12/01/2012 12:41, Adiel de Lima Ribeiro escreveu:
 Lucas, já li e reli este material, fiz o curso da FreeBSD  Brasil e
 estou com a apostila em mãos.

Adiel no curso o Patrick não diz pra fazer nat de tudo não.  :)
Você copiou os scripts das aulas?


 -Original Message-
 From: Lucas Diaslucas...@gmail.com
 Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!!
 Date: Thu, 12 Jan 2012 11:07:47 -0300


 Em 12 de janeiro de 2012 10:52, Tiago 
 Furbetatfurb...@cangere.com.brescreveu:

 pra começar o nat from any to any...
 são nessas horas que o Irado faz falta...


 Em 12 de janeiro de 2012 10:35, Adiel de Lima Ribeiro
 adiel.netad...@gmail.com  escreveu:

 Pessoal, bom dia.
 Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue
 na internet.
 No ipfw a placa de rede em0 está ligada na internet, em1 está na rede
 interna.
 O Ipfw consegue acessar tudo, foi testado, ele está como Statefull.
 Segue a configuração relevante do IPFW:



 #
 ### Divert ###


 #
 ipfw add 010 divert natd ip from any to any via em0


 #
 ### Permite acesso ###
 ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state

 Configuração do natd no rc.conf:

 natd_flags=-dynamic -m.

 Com a configuração acima a máquina não navega, agora se coloco a
 seguinte regra, funciona tudo.
 ipfw add 012 allow ip from any to any

 O que estou fazendo de errado ?
 Adiel

 dá uma sacada nesses materiais

 http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html
 http://www.freebsddiary.org/ipfw.php

 acho que vai lhe ajudar





-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Ipfw - Natd, de novo !!!

[Lucas Dias]

Adiel

Então você deve estar esquecendo de algum detalhe.
Reveja o que os colegas Marcelo Gondim e Luiz Gustavo falaram.

Se for possível, e resolver seu problema, usa o pf, pois ele é cheio de
recursos interessantes para NAT.
Agora, se for questão de honra colocar pra funcionar o NAT com o IPFW,
reveja com calma as regras e as ordens das mesmas

Vale ressaltar que nat from any to any não é muito legal...
entendo any, como 0.0.0.0/0, eu acredito que você quer fazer nat sua rede,
algo como 192.168.10.0/24.

Seja um pouco mais seletivo na criação das regras.

Os Scripts do Patrick e a apostila do treinamento (que lembra a história do
livro horrivel hehehe) estão com muito conteúdo que vão lhe ajudar.

Abraços e espero ter ajudado...

# flames  /dev/null (by irado, o furioso com tudo)
RIP Irado
-- 
.:: Lucas Dias
.:: Analista de Sistemas
.:: OS3 Soluções em TI
.:: (82) 8813-1494 / 8111-2288
.:: Antes de imprimir, veja se realmente é necessário!!!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Ipfw - Natd, de novo !!!

[Adiel de Lima Ribeiro]

Não sei se é uma boa idéia, mas vou migrar pro PF, vou ter que aprender
as regras, mas tudo bem, ele me parece melhor que o IPFW.
O que vocês tem a me dizer ? 


-Original Message-
From: Lucas Dias lucas...@gmail.com
Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!!
Date: Thu, 12 Jan 2012 13:06:35 -0300


Adiel

Então você deve estar esquecendo de algum detalhe.
Reveja o que os colegas Marcelo Gondim e Luiz Gustavo falaram.

Se for possível, e resolver seu problema, usa o pf, pois ele é cheio de
recursos interessantes para NAT.
Agora, se for questão de honra colocar pra funcionar o NAT com o IPFW,
reveja com calma as regras e as ordens das mesmas

Vale ressaltar que nat from any to any não é muito legal...
entendo any, como 0.0.0.0/0, eu acredito que você quer fazer nat sua rede,
algo como 192.168.10.0/24.

Seja um pouco mais seletivo na criação das regras.

Os Scripts do Patrick e a apostila do treinamento (que lembra a história do
livro horrivel hehehe) estão com muito conteúdo que vão lhe ajudar.

Abraços e espero ter ajudado...

# flames  /dev/null (by irado, o furioso com tudo)
RIP Irado


-- 
   Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - natd.

[Jean Zanuzo]

Em 11/01/2012 20:20, Adiel de Lima Ribeiro escreveu:
 Obrigado a todos, com seus exemplos e lendo bastante consegui algum
 progresso, a pessoa que mais entendeu minha necessidade foi o Jean, foi
 de grande valia o exemplo dele, apenas tive que complementar minhas
 regras do IPFW e no rc.conf modificar o natd_flags de
 =-f /etc/natd.conf para -dynamic -m.
 No caso dessa lan de exemplo, o acesso a internet está funcionando com o
 exemplo do Jean, e se eu quizer publicar algum servidor dela na
 internet, como faço ?
Oi Adiel?
Bom, é uma porta de um servidor que você quer publicar?


 -Original Message-
 From: Jean Zanuzoj...@w3nt.com
 Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 Subject: Re: [FUG-BR] IPFW - natd.
 Date: Wed, 11 Jan 2012 17:42:58 -0300


 Boa tarde,

 Nao acompanhei o assunto, e não li mensagens anteriores, mas como é um
 exemplo novo, segue um exemplo de regra que te atende.

 Em 11/01/2012 16:40, Adiel de Lima Ribeiro escreveu:
 Vou tentar ser mais prático, mudarei de exemplo.
 Vamos supor que tenho um servidor IPFW.
 em0 - interface externa, internet.
 em1 - interface interna, lan.
 Ipfw com política fechada.

 Quero fazer um nat da lan para a internet, para que a lan possa navegar, ou 
 seja, porta 80.
 Quando coloco do jeito abaixo, funciona:

 ipfw add divert natd ip from any to any
 ipfw add allow ip from any to any

 Mas isso está permitindo tudo.
 Neste caso o nat libera tudo tratando a informação que está entrando e
 saindo da interface para qualquer porta e qualquer endereço.
 Quero restringir para que seja feito o nat apenas da lan, restrito a 
 navegação na internet. Fiz assim, mas não funcionou:

 ipfw add divert natd tcp from {lan} to any 80
 ipfw add allow tcp from {lan} to any 80
 Vamos considerar que a informação que vem dos endereços da sua rede
 interna com destino a porta 80 precisa entrar no nat

 ipfw add divert natd tcp from {lan} to any 80 in via em1

 Agora a informação quando volta da Internet precisa passar pelo nat para
 desfazer o mascaramento

 ipfw add divert natd tcp from any 80 to me in via em0

 Caso seu servidor tenha um bloco de ips publicos alocado e voce
 configure no natd.conf um ip especifico (xxx.xxx.xxx.xxx) para usar
 neste nat, sendo e ele um alias na em0, então podemos utilizar outra
 regra no lugar da anterior para ser mais seletivo:

 ipfw add divert natd tcp from any 80 to xxx.xxx.xxx.xxx in via em0



 O que estou fazendo de errado ?
 Agradeço a todas as sugestões e peço desculpas se não fui claro em minha 
 dúvida.

 Obrigado.


 Att.

 Jean Zanuzo
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Ipfw - Natd, de novo !!!

[Marcelo Gondim]

Em 12/01/2012 14:32, Adiel de Lima Ribeiro escreveu:
 Não sei se é uma boa idéia, mas vou migrar pro PF, vou ter que aprender
 as regras, mas tudo bem, ele me parece melhor que o IPFW.
 O que vocês tem a me dizer ?

Você precisaria aprender 2. rsrsrsrsr
Não importa qual você vai usar o problema que está tendo parece mais de 
conceito sobre Firewalls que dá própria aplicação.
Confesso que quando saí do Netfilter/IPTables e vi o ipfw e o pf quase 
pirei nas regras mas o que ajuda mesmo é o conceito, graças à ele hoje 
já tenho todos os meus Firewalls convertidos para pf e ipfw.

Vou fazer algo que não deveria pois acertos e erros levam à aprendizagem 
e mais que tudo aumento da experiência. Como o Irado dizia... melhor 
ensinar à pescar que já dar o peixe pronto.

Ps: gosto até de pescar mas limpar o peixe não é nada legal. 
ahahahahahah Fazer o que?

Vou fazer o seguinte ambiente imaginário:

Firewall com 2 interfaces de rede: em0 para a Internet e em1 para a rede 
Interna.
Rede Interna: 192.168.0.0/24

estação
Firewall
==
192.168.0.2 ===  192.168.0.1/24(em1)  10.0.0.1/24(em0) 
=== INTERNET

No seu Kernel compilado:

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_FORWARD
options IPFIREWALL_NAT
options LIBALIAS
options DUMMYNET
options IPDIVERT

No script de Firewall:

##
#!/bin/sh
fw=/sbin/ipfw

ext_if=em0
int_if=em1

$fw disable one_pass
$fw -f flush
$fw zero
$fw table all flush

# Estacoes
$fw table 1 add 192.168.0.2
$fw table 1 add 192.168.0.3
$fw table 1 add 192.168.0.4

$fw add allow all from any to any via lo0
$fw add deny all from 127.0.0.0/8 to any
$fw add deny all from any to 127.0.0.0/8

$fw add deny all from any to any not antispoof

# Redireciona para o natd
$fw add divert 8668 ip from 192.168.0.0/24 to any out via $ext_if
$fw add divert 8668 ip from any to me in via $ext_if

# Permite IPs na table 2 o acesso à DNS externo
$fw add allow udp from table(2) to any 53 keep-state
$fw add allow tcp from table(2) to any 53 setup keep-state

# Permite IPs para acesso web
$fw add allow tcp from table(2) to any 80 setup keep-state

$fw add allow tcp from me to any out setup keep-state
$fw add allow all from me to any out keep-state
$fw add 65534 deny all from any to any

###

# natd.conf
instance default
interface em0
dynamic no
same_ports yes
use_sockets yes
unregistered_only yes

Bem esse é um script bem simples, tem que funcionar aí. Basta agora você 
adaptar para a sua realidade.

Melhor não consigo fazer pra vc entender rsrsrsr



 -Original Message-
 From: Lucas Diaslucas...@gmail.com
 Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!!
 Date: Thu, 12 Jan 2012 13:06:35 -0300


 Adiel

 Então você deve estar esquecendo de algum detalhe.
 Reveja o que os colegas Marcelo Gondim e Luiz Gustavo falaram.

 Se for possível, e resolver seu problema, usa o pf, pois ele é cheio de
 recursos interessantes para NAT.
 Agora, se for questão de honra colocar pra funcionar o NAT com o IPFW,
 reveja com calma as regras e as ordens das mesmas

 Vale ressaltar que nat from any to any não é muito legal...
 entendo any, como 0.0.0.0/0, eu acredito que você quer fazer nat sua rede,
 algo como 192.168.10.0/24.

 Seja um pouco mais seletivo na criação das regras.

 Os Scripts do Patrick e a apostila do treinamento (que lembra a história do
 livro horrivel hehehe) estão com muito conteúdo que vão lhe ajudar.

 Abraços e espero ter ajudado...

 # flames  /dev/null (by irado, o furioso com tudo)
 RIP Irado



-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Ipfw - Natd, de novo !!!

[Marcelo Gondim]

Em 12/01/2012 15:31, Marcelo Gondim escreveu:
 Em 12/01/2012 14:32, Adiel de Lima Ribeiro escreveu:
 Não sei se é uma boa idéia, mas vou migrar pro PF, vou ter que aprender
 as regras, mas tudo bem, ele me parece melhor que o IPFW.
 O que vocês tem a me dizer ?
 Você precisaria aprender 2. rsrsrsrsr
 Não importa qual você vai usar o problema que está tendo parece mais de
 conceito sobre Firewalls que dá própria aplicação.
 Confesso que quando saí do Netfilter/IPTables e vi o ipfw e o pf quase
 pirei nas regras mas o que ajuda mesmo é o conceito, graças à ele hoje
 já tenho todos os meus Firewalls convertidos para pf e ipfw.

 Vou fazer algo que não deveria pois acertos e erros levam à aprendizagem
 e mais que tudo aumento da experiência. Como o Irado dizia... melhor
 ensinar à pescar que já dar o peixe pronto.

 Ps: gosto até de pescar mas limpar o peixe não é nada legal.
 ahahahahahah Fazer o que?

 Vou fazer o seguinte ambiente imaginário:

 Firewall com 2 interfaces de rede: em0 para a Internet e em1 para a rede
 Interna.
 Rede Interna: 192.168.0.0/24

 estação
 Firewall
 ==
 192.168.0.2===   192.168.0.1/24(em1)  10.0.0.1/24(em0)
 ===  INTERNET

 No seu Kernel compilado:

 options IPFIREWALL
 options IPFIREWALL_VERBOSE
 options IPFIREWALL_VERBOSE_LIMIT=100
 options IPFIREWALL_DEFAULT_TO_ACCEPT
 options IPFIREWALL_FORWARD
 options IPFIREWALL_NAT
 options LIBALIAS
 options DUMMYNET
 options IPDIVERT

 No script de Firewall:

 ##
 #!/bin/sh
 fw=/sbin/ipfw

 ext_if=em0
 int_if=em1

 $fw disable one_pass
 $fw -f flush
 $fw zero
 $fw table all flush

 # Estacoes
 $fw table 1 add 192.168.0.2
 $fw table 1 add 192.168.0.3
 $fw table 1 add 192.168.0.4

 $fw add allow all from any to any via lo0
 $fw add deny all from 127.0.0.0/8 to any
 $fw add deny all from any to 127.0.0.0/8

 $fw add deny all from any to any not antispoof

 # Redireciona para o natd
 $fw add divert 8668 ip from 192.168.0.0/24 to any out via $ext_if
 $fw add divert 8668 ip from any to me in via $ext_if

 # Permite IPs na table 2 o acesso à DNS externo
 $fw add allow udp from table(2) to any 53 keep-state
 $fw add allow tcp from table(2) to any 53 setup keep-state
Correção em tempo é table(1)


 # Permite IPs para acesso web
 $fw add allow tcp from table(2) to any 80 setup keep-state

 $fw add allow tcp from me to any out setup keep-state
 $fw add allow all from me to any out keep-state
 $fw add 65534 deny all from any to any

 ###

 # natd.conf
 instance default
 interface em0
 dynamic no
 same_ports yes
 use_sockets yes
 unregistered_only yes

 Bem esse é um script bem simples, tem que funcionar aí. Basta agora você
 adaptar para a sua realidade.

 Melhor não consigo fazer pra vc entender rsrsrsr


 -Original Message-
 From: Lucas Diaslucas...@gmail.com
 Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!!
 Date: Thu, 12 Jan 2012 13:06:35 -0300


 Adiel

 Então você deve estar esquecendo de algum detalhe.
 Reveja o que os colegas Marcelo Gondim e Luiz Gustavo falaram.

 Se for possível, e resolver seu problema, usa o pf, pois ele é cheio de
 recursos interessantes para NAT.
 Agora, se for questão de honra colocar pra funcionar o NAT com o IPFW,
 reveja com calma as regras e as ordens das mesmas

 Vale ressaltar que nat from any to any não é muito legal...
 entendo any, como 0.0.0.0/0, eu acredito que você quer fazer nat sua rede,
 algo como 192.168.10.0/24.

 Seja um pouco mais seletivo na criação das regras.

 Os Scripts do Patrick e a apostila do treinamento (que lembra a história do
 livro horrivel hehehe) estão com muito conteúdo que vão lhe ajudar.

 Abraços e espero ter ajudado...

 # flames   /dev/null (by irado, o furioso com tudo)
 RIP Irado


 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Ipfw - Natd, de novo !!!

[Renato Frederick]

Eu acho mais interessante fazer a coisa funcionar com ipfw e depois 
aprender também com PF, o conceito apreendido e em entendido em um vale 
para outro. :-)

se tiver tempo aprende também com IPF, vai que aparece um Solaris prá 
administrar! hehehehhehe

Em 12/01/2012 14:32, Adiel de Lima Ribeiro escreveu:
 Não sei se é uma boa idéia, mas vou migrar pro PF, vou ter que aprender
 as regras, mas tudo bem, ele me parece melhor que o IPFW.
 O que vocês tem a me dizer ?


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Ipfw - Natd, de novo !!!

[Adiel de Lima Ribeiro]

Ficou perfeito, mas isso eu já tinha feito, com relação ao conceito
estou vindo do Iptables ... 
Acredito que o mundo BSD é melhor, principalmente para firewalls, eles
são mais completos.
Este conceito eu já tenho, mas comecei a mecher com Ipfw terça-feira
12/01/2012, rs.
Agradeço a todos pela ajuda, vlw !!



-Original Message-
From: Marcelo Gondim gon...@bsdinfo.com.br
Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!!
Date: Thu, 12 Jan 2012 15:31:23 -0200


Em 12/01/2012 14:32, Adiel de Lima Ribeiro escreveu:
 Não sei se é uma boa idéia, mas vou migrar pro PF, vou ter que aprender
 as regras, mas tudo bem, ele me parece melhor que o IPFW.
 O que vocês tem a me dizer ?

Você precisaria aprender 2. rsrsrsrsr
Não importa qual você vai usar o problema que está tendo parece mais de 
conceito sobre Firewalls que dá própria aplicação.
Confesso que quando saí do Netfilter/IPTables e vi o ipfw e o pf quase 
pirei nas regras mas o que ajuda mesmo é o conceito, graças à ele hoje 
já tenho todos os meus Firewalls convertidos para pf e ipfw.

Vou fazer algo que não deveria pois acertos e erros levam à aprendizagem 
e mais que tudo aumento da experiência. Como o Irado dizia... melhor 
ensinar à pescar que já dar o peixe pronto.

Ps: gosto até de pescar mas limpar o peixe não é nada legal. 
ahahahahahah Fazer o que?

Vou fazer o seguinte ambiente imaginário:

Firewall com 2 interfaces de rede: em0 para a Internet e em1 para a rede 
Interna.
Rede Interna: 192.168.0.0/24

estação
Firewall
==
192.168.0.2 ===  192.168.0.1/24(em1)  10.0.0.1/24(em0) 
=== INTERNET

No seu Kernel compilado:

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_FORWARD
options IPFIREWALL_NAT
options LIBALIAS
options DUMMYNET
options IPDIVERT

No script de Firewall:

##
#!/bin/sh
fw=/sbin/ipfw

ext_if=em0
int_if=em1

$fw disable one_pass
$fw -f flush
$fw zero
$fw table all flush

# Estacoes
$fw table 1 add 192.168.0.2
$fw table 1 add 192.168.0.3
$fw table 1 add 192.168.0.4

$fw add allow all from any to any via lo0
$fw add deny all from 127.0.0.0/8 to any
$fw add deny all from any to 127.0.0.0/8

$fw add deny all from any to any not antispoof

# Redireciona para o natd
$fw add divert 8668 ip from 192.168.0.0/24 to any out via $ext_if
$fw add divert 8668 ip from any to me in via $ext_if

# Permite IPs na table 2 o acesso à DNS externo
$fw add allow udp from table(2) to any 53 keep-state
$fw add allow tcp from table(2) to any 53 setup keep-state

# Permite IPs para acesso web
$fw add allow tcp from table(2) to any 80 setup keep-state

$fw add allow tcp from me to any out setup keep-state
$fw add allow all from me to any out keep-state
$fw add 65534 deny all from any to any

###

# natd.conf
instance default
interface em0
dynamic no
same_ports yes
use_sockets yes
unregistered_only yes

Bem esse é um script bem simples, tem que funcionar aí. Basta agora você 
adaptar para a sua realidade.

Melhor não consigo fazer pra vc entender rsrsrsr



 -Original Message-
 From: Lucas Diaslucas...@gmail.com
 Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!!
 Date: Thu, 12 Jan 2012 13:06:35 -0300


 Adiel

 Então você deve estar esquecendo de algum detalhe.
 Reveja o que os colegas Marcelo Gondim e Luiz Gustavo falaram.

 Se for possível, e resolver seu problema, usa o pf, pois ele é cheio de
 recursos interessantes para NAT.
 Agora, se for questão de honra colocar pra funcionar o NAT com o IPFW,
 reveja com calma as regras e as ordens das mesmas

 Vale ressaltar que nat from any to any não é muito legal...
 entendo any, como 0.0.0.0/0, eu acredito que você quer fazer nat sua rede,
 algo como 192.168.10.0/24.

 Seja um pouco mais seletivo na criação das regras.

 Os Scripts do Patrick e a apostila do treinamento (que lembra a história do
 livro horrivel hehehe) estão com muito conteúdo que vão lhe ajudar.

 Abraços e espero ter ajudado...

 # flames  /dev/null (by irado, o furioso com tudo)
 RIP Irado



-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-- 
   Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Ipfw - Natd, de novo !!!

[Luiz Gustavo]

um detalhe importante que o pessoal que faz nat com ipfw acaba
esquecendo:

sysctl net.inet.ip.forwarding = 1

ou pode ser habilitando no rc.conf:

gateway_enable=YES

preste atenção nessa sysctl que tem que estar habilitada pra fazer nat.

isso ta no man do natd:

 2.   Ensure that your machine is acting as a gateway.  This can be
done
  by specifying the line

gateway_enable=YES

  in the /etc/rc.conf file or using the command

sysctl net.inet.ip.forwarding=1


abraços

Em Qui, 2012-01-12 às 16:33 -0200, Adiel de Lima Ribeiro escreveu:
 Ficou perfeito, mas isso eu já tinha feito, com relação ao conceito
 estou vindo do Iptables ... 
 Acredito que o mundo BSD é melhor, principalmente para firewalls, eles
 são mais completos.
 Este conceito eu já tenho, mas comecei a mecher com Ipfw terça-feira
 12/01/2012, rs.
 Agradeço a todos pela ajuda, vlw !!
 
 
 
 -Original Message-
 From: Marcelo Gondim gon...@bsdinfo.com.br
 Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!!
 Date: Thu, 12 Jan 2012 15:31:23 -0200
 
 
 Em 12/01/2012 14:32, Adiel de Lima Ribeiro escreveu:
  Não sei se é uma boa idéia, mas vou migrar pro PF, vou ter que aprender
  as regras, mas tudo bem, ele me parece melhor que o IPFW.
  O que vocês tem a me dizer ?
 
 Você precisaria aprender 2. rsrsrsrsr
 Não importa qual você vai usar o problema que está tendo parece mais de 
 conceito sobre Firewalls que dá própria aplicação.
 Confesso que quando saí do Netfilter/IPTables e vi o ipfw e o pf quase 
 pirei nas regras mas o que ajuda mesmo é o conceito, graças à ele hoje 
 já tenho todos os meus Firewalls convertidos para pf e ipfw.
 
 Vou fazer algo que não deveria pois acertos e erros levam à aprendizagem 
 e mais que tudo aumento da experiência. Como o Irado dizia... melhor 
 ensinar à pescar que já dar o peixe pronto.
 
 Ps: gosto até de pescar mas limpar o peixe não é nada legal. 
 ahahahahahah Fazer o que?
 
 Vou fazer o seguinte ambiente imaginário:
 
 Firewall com 2 interfaces de rede: em0 para a Internet e em1 para a rede 
 Interna.
 Rede Interna: 192.168.0.0/24
 
 estação
 Firewall
 ==
 192.168.0.2 ===  192.168.0.1/24(em1)  10.0.0.1/24(em0) 
 === INTERNET
 
 No seu Kernel compilado:
 
 options IPFIREWALL
 options IPFIREWALL_VERBOSE
 options IPFIREWALL_VERBOSE_LIMIT=100
 options IPFIREWALL_DEFAULT_TO_ACCEPT
 options IPFIREWALL_FORWARD
 options IPFIREWALL_NAT
 options LIBALIAS
 options DUMMYNET
 options IPDIVERT
 
 No script de Firewall:
 
 ##
 #!/bin/sh
 fw=/sbin/ipfw
 
 ext_if=em0
 int_if=em1
 
 $fw disable one_pass
 $fw -f flush
 $fw zero
 $fw table all flush
 
 # Estacoes
 $fw table 1 add 192.168.0.2
 $fw table 1 add 192.168.0.3
 $fw table 1 add 192.168.0.4
 
 $fw add allow all from any to any via lo0
 $fw add deny all from 127.0.0.0/8 to any
 $fw add deny all from any to 127.0.0.0/8
 
 $fw add deny all from any to any not antispoof
 
 # Redireciona para o natd
 $fw add divert 8668 ip from 192.168.0.0/24 to any out via $ext_if
 $fw add divert 8668 ip from any to me in via $ext_if
 
 # Permite IPs na table 2 o acesso à DNS externo
 $fw add allow udp from table(2) to any 53 keep-state
 $fw add allow tcp from table(2) to any 53 setup keep-state
 
 # Permite IPs para acesso web
 $fw add allow tcp from table(2) to any 80 setup keep-state
 
 $fw add allow tcp from me to any out setup keep-state
 $fw add allow all from me to any out keep-state
 $fw add 65534 deny all from any to any
 
 ###
 
 # natd.conf
 instance default
 interface em0
 dynamic no
 same_ports yes
 use_sockets yes
 unregistered_only yes
 
 Bem esse é um script bem simples, tem que funcionar aí. Basta agora você 
 adaptar para a sua realidade.
 
 Melhor não consigo fazer pra vc entender rsrsrsr
 
 
 
  -Original Message-
  From: Lucas Diaslucas...@gmail.com
  Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
  freebsd@fug.com.br
  To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
  freebsd@fug.com.br
  Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!!
  Date: Thu, 12 Jan 2012 13:06:35 -0300
 
 
  Adiel
 
  Então você deve estar esquecendo de algum detalhe.
  Reveja o que os colegas Marcelo Gondim e Luiz Gustavo falaram.
 
  Se for possível, e resolver seu problema, usa o pf, pois ele é cheio de
  recursos interessantes para NAT.
  Agora, se for questão de honra colocar pra funcionar o NAT com o IPFW,
  reveja com calma as regras e as ordens das mesmas
 
  Vale ressaltar que nat from any to any não é muito legal...
  entendo any, como 0.0.0.0/0, eu acredito que você quer fazer nat sua

Re: [FUG-BR] IPFW - natd.

[Marcelo Gondim]

Em 11/01/2012 13:51, Adiel de Lima Ribeiro escreveu:
 Senhores, boa tarde.

 Tenho um IPFW como firewall aqui em minha infraestrutura.
 Ele tem uma interface de rede ligada a internet com IP fixo, em0.
 Tenho uma interface de rede ligada a lan dos servidores, em1.

 Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
 quando crio as seguintes regras no meu firewall, o redirecionamento da
 lan dos servidores para a internet funciona, por exemplo, ping e
 consultas DNS.
 ipfw add 099 divert natd all from any to any
 ipfw add 100 allow all from any to any

 Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
 exemplo:
 ipfw add 666 divert natd tcp from {servidor} to any 53
 ipfw add 669 divert natd udp from {servidor} to any 53
 ipfw add 667 allow tcp from {servidor} to any 53
 ipfw add 668 allow udp from {servidor} to any 53

 Se não houver, gostaria de saber se faço isso pelas flags do natd,
 gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
 pelas flags do natd.
 Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
 algum.

 Obrigado.

Opa Adiel,

Confesso que não entendi bem o que está acontecendo e o que você quer 
realmente fazer.
Tenta explicar mais detalhadamente.
Por exemplo no seu nat 099 você faz nat de tudo, eu faria nat apenas dos 
IPs internos para fora. Mas confesso que não entendi o que queres fazer.
Também costumo usar o nat do pf com o filtro do ipfw, mas isso é uma 
opção minha porque acho o nat do pf muito tranquilo as regras.

[]´s
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - natd.

[Tiago Furbeta]

sua necessidade é redirecionamento de portas (nat estatico) ou apenas
mascarar a rede interna? não ficou claro...

Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro 
adiel.netad...@gmail.com escreveu:

 Senhores, boa tarde.

 Tenho um IPFW como firewall aqui em minha infraestrutura.
 Ele tem uma interface de rede ligada a internet com IP fixo, em0.
 Tenho uma interface de rede ligada a lan dos servidores, em1.

 Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
 quando crio as seguintes regras no meu firewall, o redirecionamento da
 lan dos servidores para a internet funciona, por exemplo, ping e
 consultas DNS.
 ipfw add 099 divert natd all from any to any
 ipfw add 100 allow all from any to any

 Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
 exemplo:
 ipfw add 666 divert natd tcp from {servidor} to any 53
 ipfw add 669 divert natd udp from {servidor} to any 53
 ipfw add 667 allow tcp from {servidor} to any 53
 ipfw add 668 allow udp from {servidor} to any 53

 Se não houver, gostaria de saber se faço isso pelas flags do natd,
 gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
 pelas flags do natd.
 Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
 algum.

 Obrigado.

 --
   Adiel de Lima Ribeiro
 http://www.facebook.com/sembr.dyndns.info

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd




-- 
Att.

Tiago N. Furbeta
Cangere Online Provedor de Internet Ltda.
Empresa de Telecomunicações Autorizada SCM/ANATEL
tfurb...@cangere.com.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - natd.

[Adiel de Lima Ribeiro]

Marcelo, justamente isso. 
Quando faço o nat de tudo, funciona, mas quando resrtinjo o nat apenas a
consultas DNS na internet, não funciona, como pode ver nas regras.
Quero justamente uma regra do IPFW que consiga restringir o nat.
Não sei se tal regra funciona apenas com o IPFW divert any to any e deve
ser configurada nas flags do natd ou se consigo criar tal bloqueio no
ipfw mesmo.
Obrigado.


-Original Message-
From: Marcelo Gondim gon...@bsdinfo.com.br
Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Subject: Re: [FUG-BR] IPFW - natd.
Date: Wed, 11 Jan 2012 14:48:21 -0200


Em 11/01/2012 13:51, Adiel de Lima Ribeiro escreveu:
 Senhores, boa tarde.

 Tenho um IPFW como firewall aqui em minha infraestrutura.
 Ele tem uma interface de rede ligada a internet com IP fixo, em0.
 Tenho uma interface de rede ligada a lan dos servidores, em1.

 Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
 quando crio as seguintes regras no meu firewall, o redirecionamento da
 lan dos servidores para a internet funciona, por exemplo, ping e
 consultas DNS.
 ipfw add 099 divert natd all from any to any
 ipfw add 100 allow all from any to any

 Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
 exemplo:
 ipfw add 666 divert natd tcp from {servidor} to any 53
 ipfw add 669 divert natd udp from {servidor} to any 53
 ipfw add 667 allow tcp from {servidor} to any 53
 ipfw add 668 allow udp from {servidor} to any 53

 Se não houver, gostaria de saber se faço isso pelas flags do natd,
 gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
 pelas flags do natd.
 Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
 algum.

 Obrigado.

Opa Adiel,

Confesso que não entendi bem o que está acontecendo e o que você quer 
realmente fazer.
Tenta explicar mais detalhadamente.
Por exemplo no seu nat 099 você faz nat de tudo, eu faria nat apenas dos 
IPs internos para fora. Mas confesso que não entendi o que queres fazer.
Também costumo usar o nat do pf com o filtro do ipfw, mas isso é uma 
opção minha porque acho o nat do pf muito tranquilo as regras.

[]´s
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-- 
   Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - natd.

[Adiel de Lima Ribeiro]

Marcelo, esqueci de dizer.

Em teoria esta regra deveria permitir consultas DNS do meu servidor para
a internet, mas não funciona, quando libero o nat total funciona.
ipfw add 666 divert natd tcp from {servidor} to any 53
 ipfw add 669 divert natd udp from {servidor} to any 53
 ipfw add 667 allow tcp from {servidor} to any 53
 ipfw add 668 allow udp from {servidor} to any 53



-Original Message-
From: Marcelo Gondim gon...@bsdinfo.com.br
Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Subject: Re: [FUG-BR] IPFW - natd.
Date: Wed, 11 Jan 2012 14:48:21 -0200


Em 11/01/2012 13:51, Adiel de Lima Ribeiro escreveu:
 Senhores, boa tarde.

 Tenho um IPFW como firewall aqui em minha infraestrutura.
 Ele tem uma interface de rede ligada a internet com IP fixo, em0.
 Tenho uma interface de rede ligada a lan dos servidores, em1.

 Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
 quando crio as seguintes regras no meu firewall, o redirecionamento da
 lan dos servidores para a internet funciona, por exemplo, ping e
 consultas DNS.
 ipfw add 099 divert natd all from any to any
 ipfw add 100 allow all from any to any

 Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
 exemplo:
 ipfw add 666 divert natd tcp from {servidor} to any 53
 ipfw add 669 divert natd udp from {servidor} to any 53
 ipfw add 667 allow tcp from {servidor} to any 53
 ipfw add 668 allow udp from {servidor} to any 53

 Se não houver, gostaria de saber se faço isso pelas flags do natd,
 gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
 pelas flags do natd.
 Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
 algum.

 Obrigado.

Opa Adiel,

Confesso que não entendi bem o que está acontecendo e o que você quer 
realmente fazer.
Tenta explicar mais detalhadamente.
Por exemplo no seu nat 099 você faz nat de tudo, eu faria nat apenas dos 
IPs internos para fora. Mas confesso que não entendi o que queres fazer.
Também costumo usar o nat do pf com o filtro do ipfw, mas isso é uma 
opção minha porque acho o nat do pf muito tranquilo as regras.

[]´s
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-- 
   Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - natd.

[Adiel de Lima Ribeiro]

Tiago, no caso mascarar consultas dns dos servidores para a internet.

-Original Message-
From: Tiago Furbeta tfurb...@cangere.com.br
Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Subject: Re: [FUG-BR] IPFW - natd.
Date: Wed, 11 Jan 2012 15:28:38 -0200


sua necessidade é redirecionamento de portas (nat estatico) ou apenas
mascarar a rede interna? não ficou claro...

Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro 
adiel.netad...@gmail.com escreveu:

 Senhores, boa tarde.

 Tenho um IPFW como firewall aqui em minha infraestrutura.
 Ele tem uma interface de rede ligada a internet com IP fixo, em0.
 Tenho uma interface de rede ligada a lan dos servidores, em1.

 Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
 quando crio as seguintes regras no meu firewall, o redirecionamento da
 lan dos servidores para a internet funciona, por exemplo, ping e
 consultas DNS.
 ipfw add 099 divert natd all from any to any
 ipfw add 100 allow all from any to any

 Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
 exemplo:
 ipfw add 666 divert natd tcp from {servidor} to any 53
 ipfw add 669 divert natd udp from {servidor} to any 53
 ipfw add 667 allow tcp from {servidor} to any 53
 ipfw add 668 allow udp from {servidor} to any 53

 Se não houver, gostaria de saber se faço isso pelas flags do natd,
 gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
 pelas flags do natd.
 Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
 algum.

 Obrigado.

 --
   Adiel de Lima Ribeiro
 http://www.facebook.com/sembr.dyndns.info

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd






-- 
   Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - natd.

[Marcelo Gondim]

Em 11/01/2012 15:31, Adiel de Lima Ribeiro escreveu:
 Marcelo, justamente isso.
 Quando faço o nat de tudo, funciona, mas quando resrtinjo o nat apenas a
 consultas DNS na internet, não funciona, como pode ver nas regras.
 Quero justamente uma regra do IPFW que consiga restringir o nat.
 Não sei se tal regra funciona apenas com o IPFW divert any to any e deve
 ser configurada nas flags do natd ou se consigo criar tal bloqueio no
 ipfw mesmo.
 Obrigado.

Manda como está o seu natd.conf também. Mas vou te dar um exemplo:

no seu script do ipfw ficaria assim como exemplo:

ipfw add divert natd ip from 192.168.66.0/24 to any out via em0
ipfw add divert natd ip from any to me in via em0

No caso em0 é a interface externa que liga com a Internet.

no natd.conf um exemplo seria:

instance default
interface em0
dynamic no
same_ports yes
use_sockets yes
unregistered_only yes


[]´s

Gondim



 -Original Message-
 From: Marcelo Gondimgon...@bsdinfo.com.br
 Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 Subject: Re: [FUG-BR] IPFW - natd.
 Date: Wed, 11 Jan 2012 14:48:21 -0200


 Em 11/01/2012 13:51, Adiel de Lima Ribeiro escreveu:
 Senhores, boa tarde.

 Tenho um IPFW como firewall aqui em minha infraestrutura.
 Ele tem uma interface de rede ligada a internet com IP fixo, em0.
 Tenho uma interface de rede ligada a lan dos servidores, em1.

 Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
 quando crio as seguintes regras no meu firewall, o redirecionamento da
 lan dos servidores para a internet funciona, por exemplo, ping e
 consultas DNS.
 ipfw add 099 divert natd all from any to any
 ipfw add 100 allow all from any to any

 Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
 exemplo:
 ipfw add 666 divert natd tcp from {servidor} to any 53
 ipfw add 669 divert natd udp from {servidor} to any 53
 ipfw add 667 allow tcp from {servidor} to any 53
 ipfw add 668 allow udp from {servidor} to any 53

 Se não houver, gostaria de saber se faço isso pelas flags do natd,
 gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
 pelas flags do natd.
 Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
 algum.

 Obrigado.

 Opa Adiel,

 Confesso que não entendi bem o que está acontecendo e o que você quer
 realmente fazer.
 Tenta explicar mais detalhadamente.
 Por exemplo no seu nat 099 você faz nat de tudo, eu faria nat apenas dos
 IPs internos para fora. Mas confesso que não entendi o que queres fazer.
 Também costumo usar o nat do pf com o filtro do ipfw, mas isso é uma
 opção minha porque acho o nat do pf muito tranquilo as regras.

 []´s
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - natd.

[Tiago Furbeta]

você deseja fazer masquerade apenas para as consultas a servdores DNS
externos realizadas pelos seus servidores? mais nada?


Em 11 de janeiro de 2012 15:37, Adiel de Lima Ribeiro 
adiel.netad...@gmail.com escreveu:

 Tiago, no caso mascarar consultas dns dos servidores para a internet.

 -Original Message-
 From: Tiago Furbeta tfurb...@cangere.com.br
 Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 Subject: Re: [FUG-BR] IPFW - natd.
 Date: Wed, 11 Jan 2012 15:28:38 -0200


 sua necessidade é redirecionamento de portas (nat estatico) ou apenas
 mascarar a rede interna? não ficou claro...

 Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro 
 adiel.netad...@gmail.com escreveu:

  Senhores, boa tarde.
 
  Tenho um IPFW como firewall aqui em minha infraestrutura.
  Ele tem uma interface de rede ligada a internet com IP fixo, em0.
  Tenho uma interface de rede ligada a lan dos servidores, em1.
 
  Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
  quando crio as seguintes regras no meu firewall, o redirecionamento da
  lan dos servidores para a internet funciona, por exemplo, ping e
  consultas DNS.
  ipfw add 099 divert natd all from any to any
  ipfw add 100 allow all from any to any
 
  Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
  exemplo:
  ipfw add 666 divert natd tcp from {servidor} to any 53
  ipfw add 669 divert natd udp from {servidor} to any 53
  ipfw add 667 allow tcp from {servidor} to any 53
  ipfw add 668 allow udp from {servidor} to any 53
 
  Se não houver, gostaria de saber se faço isso pelas flags do natd,
  gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
  pelas flags do natd.
  Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
  algum.
 
  Obrigado.
 
  --
Adiel de Lima Ribeiro
  http://www.facebook.com/sembr.dyndns.info
 
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 




 --
   Adiel de Lima Ribeiro
 http://www.facebook.com/sembr.dyndns.info

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd




-- 
Att.

Tiago N. Furbeta
Cangere Online Provedor de Internet Ltda.
Empresa de Telecomunicações Autorizada SCM/ANATEL
tfurb...@cangere.com.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - natd.

[Adiel de Lima Ribeiro]

Sim, no caso é, pois entendendo como se faz isso parto para o resto da
configuração.

-Original Message-
From: Tiago Furbeta tfurb...@cangere.com.br
Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Subject: Re: [FUG-BR] IPFW - natd.
Date: Wed, 11 Jan 2012 16:04:21 -0200


você deseja fazer masquerade apenas para as consultas a servdores DNS
externos realizadas pelos seus servidores? mais nada?


Em 11 de janeiro de 2012 15:37, Adiel de Lima Ribeiro 
adiel.netad...@gmail.com escreveu:

 Tiago, no caso mascarar consultas dns dos servidores para a internet.

 -Original Message-
 From: Tiago Furbeta tfurb...@cangere.com.br
 Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 Subject: Re: [FUG-BR] IPFW - natd.
 Date: Wed, 11 Jan 2012 15:28:38 -0200


 sua necessidade é redirecionamento de portas (nat estatico) ou apenas
 mascarar a rede interna? não ficou claro...

 Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro 
 adiel.netad...@gmail.com escreveu:

  Senhores, boa tarde.
 
  Tenho um IPFW como firewall aqui em minha infraestrutura.
  Ele tem uma interface de rede ligada a internet com IP fixo, em0.
  Tenho uma interface de rede ligada a lan dos servidores, em1.
 
  Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
  quando crio as seguintes regras no meu firewall, o redirecionamento da
  lan dos servidores para a internet funciona, por exemplo, ping e
  consultas DNS.
  ipfw add 099 divert natd all from any to any
  ipfw add 100 allow all from any to any
 
  Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
  exemplo:
  ipfw add 666 divert natd tcp from {servidor} to any 53
  ipfw add 669 divert natd udp from {servidor} to any 53
  ipfw add 667 allow tcp from {servidor} to any 53
  ipfw add 668 allow udp from {servidor} to any 53
 
  Se não houver, gostaria de saber se faço isso pelas flags do natd,
  gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
  pelas flags do natd.
  Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
  algum.
 
  Obrigado.
 
  --
Adiel de Lima Ribeiro
  http://www.facebook.com/sembr.dyndns.info
 
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 




 --
   Adiel de Lima Ribeiro
 http://www.facebook.com/sembr.dyndns.info

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd






-- 
   Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - natd.

[Wenderson Souza]

Não seria...

ipfw add 666 divert natd tcp from any to {servidor} 53
ipfw add 669 divert natd udp from any to {servidor} 53
ipfw add 667 allow tcp from any to {servidor} 53
ipfw add 668 allow udp from any to {servidor}  53

?

Wenderson Souza



Em 11 de janeiro de 2012 15:09, Adiel de Lima Ribeiro
adiel.netad...@gmail.com escreveu:
 Sim, no caso é, pois entendendo como se faz isso parto para o resto da
 configuração.

 -Original Message-
 From: Tiago Furbeta tfurb...@cangere.com.br
 Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 Subject: Re: [FUG-BR] IPFW - natd.
 Date: Wed, 11 Jan 2012 16:04:21 -0200


 você deseja fazer masquerade apenas para as consultas a servdores DNS
 externos realizadas pelos seus servidores? mais nada?


 Em 11 de janeiro de 2012 15:37, Adiel de Lima Ribeiro 
 adiel.netad...@gmail.com escreveu:

 Tiago, no caso mascarar consultas dns dos servidores para a internet.

 -Original Message-
 From: Tiago Furbeta tfurb...@cangere.com.br
 Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 Subject: Re: [FUG-BR] IPFW - natd.
 Date: Wed, 11 Jan 2012 15:28:38 -0200


 sua necessidade é redirecionamento de portas (nat estatico) ou apenas
 mascarar a rede interna? não ficou claro...

 Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro 
 adiel.netad...@gmail.com escreveu:

  Senhores, boa tarde.
 
  Tenho um IPFW como firewall aqui em minha infraestrutura.
  Ele tem uma interface de rede ligada a internet com IP fixo, em0.
  Tenho uma interface de rede ligada a lan dos servidores, em1.
 
  Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
  quando crio as seguintes regras no meu firewall, o redirecionamento da
  lan dos servidores para a internet funciona, por exemplo, ping e
  consultas DNS.
  ipfw add 099 divert natd all from any to any
  ipfw add 100 allow all from any to any
 
  Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
  exemplo:
  ipfw add 666 divert natd tcp from {servidor} to any 53
  ipfw add 669 divert natd udp from {servidor} to any 53
  ipfw add 667 allow tcp from {servidor} to any 53
  ipfw add 668 allow udp from {servidor} to any 53
 
  Se não houver, gostaria de saber se faço isso pelas flags do natd,
  gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
  pelas flags do natd.
  Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
  algum.
 
  Obrigado.
 
  --
        Adiel de Lima Ribeiro
  http://www.facebook.com/sembr.dyndns.info
 
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 




 --
       Adiel de Lima Ribeiro
 http://www.facebook.com/sembr.dyndns.info

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd






 --
       Adiel de Lima Ribeiro
 http://www.facebook.com/sembr.dyndns.info

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - natd.

[Adiel de Lima Ribeiro]

Wenderson, não é publicação DNS, é nat de consulta DNS de meus
servidores DNS para a internet.

-Original Message-
From: Wenderson Souza wendersonso...@gmail.com
Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Subject: Re: [FUG-BR] IPFW - natd.
Date: Wed, 11 Jan 2012 15:15:17 -0300


Não seria...

ipfw add 666 divert natd tcp from any to {servidor} 53
ipfw add 669 divert natd udp from any to {servidor} 53
ipfw add 667 allow tcp from any to {servidor} 53
ipfw add 668 allow udp from any to {servidor}  53

?

Wenderson Souza



Em 11 de janeiro de 2012 15:09, Adiel de Lima Ribeiro
adiel.netad...@gmail.com escreveu:
 Sim, no caso é, pois entendendo como se faz isso parto para o resto da
 configuração.

 -Original Message-
 From: Tiago Furbeta tfurb...@cangere.com.br
 Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 Subject: Re: [FUG-BR] IPFW - natd.
 Date: Wed, 11 Jan 2012 16:04:21 -0200


 você deseja fazer masquerade apenas para as consultas a servdores DNS
 externos realizadas pelos seus servidores? mais nada?


 Em 11 de janeiro de 2012 15:37, Adiel de Lima Ribeiro 
 adiel.netad...@gmail.com escreveu:

 Tiago, no caso mascarar consultas dns dos servidores para a internet.

 -Original Message-
 From: Tiago Furbeta tfurb...@cangere.com.br
 Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 Subject: Re: [FUG-BR] IPFW - natd.
 Date: Wed, 11 Jan 2012 15:28:38 -0200


 sua necessidade é redirecionamento de portas (nat estatico) ou apenas
 mascarar a rede interna? não ficou claro...

 Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro 
 adiel.netad...@gmail.com escreveu:

  Senhores, boa tarde.
 
  Tenho um IPFW como firewall aqui em minha infraestrutura.
  Ele tem uma interface de rede ligada a internet com IP fixo, em0.
  Tenho uma interface de rede ligada a lan dos servidores, em1.
 
  Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
  quando crio as seguintes regras no meu firewall, o redirecionamento da
  lan dos servidores para a internet funciona, por exemplo, ping e
  consultas DNS.
  ipfw add 099 divert natd all from any to any
  ipfw add 100 allow all from any to any
 
  Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
  exemplo:
  ipfw add 666 divert natd tcp from {servidor} to any 53
  ipfw add 669 divert natd udp from {servidor} to any 53
  ipfw add 667 allow tcp from {servidor} to any 53
  ipfw add 668 allow udp from {servidor} to any 53
 
  Se não houver, gostaria de saber se faço isso pelas flags do natd,
  gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
  pelas flags do natd.
  Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
  algum.
 
  Obrigado.
 
  --
Adiel de Lima Ribeiro
  http://www.facebook.com/sembr.dyndns.info
 
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 




 --
   Adiel de Lima Ribeiro
 http://www.facebook.com/sembr.dyndns.info

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd






 --
   Adiel de Lima Ribeiro
 http://www.facebook.com/sembr.dyndns.info

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-- 
   Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - natd.

[Wenderson Souza]

Wenderson Souza



Em 11 de janeiro de 2012 15:17, Adiel de Lima Ribeiro
adiel.netad...@gmail.com escreveu:
 Wenderson, não é publicação DNS, é nat de consulta DNS de meus
 servidores DNS para a internet.

 -Original Message-
 From: Wenderson Souza wendersonso...@gmail.com
 Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 Subject: Re: [FUG-BR] IPFW - natd.
 Date: Wed, 11 Jan 2012 15:15:17 -0300


 Não seria...

 ipfw add 666 divert natd tcp from any to {servidor} 53
 ipfw add 669 divert natd udp from any to {servidor} 53
 ipfw add 667 allow tcp from any to {servidor} 53
 ipfw add 668 allow udp from any to {servidor}  53

 ?

 Wenderson Souza



 Em 11 de janeiro de 2012 15:09, Adiel de Lima Ribeiro
 adiel.netad...@gmail.com escreveu:
 Sim, no caso é, pois entendendo como se faz isso parto para o resto da
 configuração.

 -Original Message-
 From: Tiago Furbeta tfurb...@cangere.com.br
 Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 Subject: Re: [FUG-BR] IPFW - natd.
 Date: Wed, 11 Jan 2012 16:04:21 -0200


 você deseja fazer masquerade apenas para as consultas a servdores DNS
 externos realizadas pelos seus servidores? mais nada?


 Em 11 de janeiro de 2012 15:37, Adiel de Lima Ribeiro 
 adiel.netad...@gmail.com escreveu:

 Tiago, no caso mascarar consultas dns dos servidores para a internet.

 -Original Message-
 From: Tiago Furbeta tfurb...@cangere.com.br
 Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 Subject: Re: [FUG-BR] IPFW - natd.
 Date: Wed, 11 Jan 2012 15:28:38 -0200


 sua necessidade é redirecionamento de portas (nat estatico) ou apenas
 mascarar a rede interna? não ficou claro...

 Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro 
 adiel.netad...@gmail.com escreveu:

  Senhores, boa tarde.
 
  Tenho um IPFW como firewall aqui em minha infraestrutura.
  Ele tem uma interface de rede ligada a internet com IP fixo, em0.
  Tenho uma interface de rede ligada a lan dos servidores, em1.
 
  Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
  quando crio as seguintes regras no meu firewall, o redirecionamento da
  lan dos servidores para a internet funciona, por exemplo, ping e
  consultas DNS.
  ipfw add 099 divert natd all from any to any
  ipfw add 100 allow all from any to any
 
  Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
  exemplo:
  ipfw add 666 divert natd tcp from {servidor} to any 53
  ipfw add 669 divert natd udp from {servidor} to any 53
  ipfw add 667 allow tcp from {servidor} to any 53
  ipfw add 668 allow udp from {servidor} to any 53
 
  Se não houver, gostaria de saber se faço isso pelas flags do natd,
  gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
  pelas flags do natd.
  Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
  algum.
 
  Obrigado.
 
  --
        Adiel de Lima Ribeiro
  http://www.facebook.com/sembr.dyndns.info
 
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 




 --
       Adiel de Lima Ribeiro
 http://www.facebook.com/sembr.dyndns.info

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd






 --
       Adiel de Lima Ribeiro
 http://www.facebook.com/sembr.dyndns.info

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


 --
       Adiel de Lima Ribeiro
 http://www.facebook.com/sembr.dyndns.info

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - natd.

[Renato Frederick]

Opa,

Não seria mais fácil fazer um dirvert natd all from any to any,

e depois as regras de allow
e por fim deny?

Acredito que vai economizar algumas dezenas de linhas de firewall 
assim... :-)


Em 11/01/2012 16:15, Wenderson Souza escreveu:
 Não seria...

 ipfw add 666 divert natd tcp from any to {servidor} 53
 ipfw add 669 divert natd udp from any to {servidor} 53
 ipfw add 667 allow tcp from any to {servidor} 53
 ipfw add 668 allow udp from any to {servidor}  53

 ?

 Wenderson Souza



-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - natd.

[Tiago Furbeta]

faça o nat normal para sua(s) rede(s) privada(s) e trate isso no firewall,
regras de DMZ: nega tudo e libera o necessário...


Em 11 de janeiro de 2012 16:17, Adiel de Lima Ribeiro 
adiel.netad...@gmail.com escreveu:

 Wenderson, não é publicação DNS, é nat de consulta DNS de meus
 servidores DNS para a internet.

 -Original Message-
 From: Wenderson Souza wendersonso...@gmail.com
 Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
 freebsd@fug.com.br
 Subject: Re: [FUG-BR] IPFW - natd.
 Date: Wed, 11 Jan 2012 15:15:17 -0300


 Não seria...

 ipfw add 666 divert natd tcp from any to {servidor} 53
 ipfw add 669 divert natd udp from any to {servidor} 53
 ipfw add 667 allow tcp from any to {servidor} 53
 ipfw add 668 allow udp from any to {servidor}  53

 ?

 Wenderson Souza



 Em 11 de janeiro de 2012 15:09, Adiel de Lima Ribeiro
 adiel.netad...@gmail.com escreveu:
  Sim, no caso é, pois entendendo como se faz isso parto para o resto da
  configuração.
 
  -Original Message-
  From: Tiago Furbeta tfurb...@cangere.com.br
  Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
  freebsd@fug.com.br
  To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
  freebsd@fug.com.br
  Subject: Re: [FUG-BR] IPFW - natd.
  Date: Wed, 11 Jan 2012 16:04:21 -0200
 
 
  você deseja fazer masquerade apenas para as consultas a servdores DNS
  externos realizadas pelos seus servidores? mais nada?
 
 
  Em 11 de janeiro de 2012 15:37, Adiel de Lima Ribeiro 
  adiel.netad...@gmail.com escreveu:
 
  Tiago, no caso mascarar consultas dns dos servidores para a internet.
 
  -Original Message-
  From: Tiago Furbeta tfurb...@cangere.com.br
  Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
  freebsd@fug.com.br
  To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
  freebsd@fug.com.br
  Subject: Re: [FUG-BR] IPFW - natd.
  Date: Wed, 11 Jan 2012 15:28:38 -0200
 
 
  sua necessidade é redirecionamento de portas (nat estatico) ou apenas
  mascarar a rede interna? não ficou claro...
 
  Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro 
  adiel.netad...@gmail.com escreveu:
 
   Senhores, boa tarde.
  
   Tenho um IPFW como firewall aqui em minha infraestrutura.
   Ele tem uma interface de rede ligada a internet com IP fixo, em0.
   Tenho uma interface de rede ligada a lan dos servidores, em1.
  
   Recompilei o kernel com as devidas opções de natd e o ativei no
 rc.conf,
   quando crio as seguintes regras no meu firewall, o redirecionamento da
   lan dos servidores para a internet funciona, por exemplo, ping e
   consultas DNS.
   ipfw add 099 divert natd all from any to any
   ipfw add 100 allow all from any to any
  
   Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
   exemplo:
   ipfw add 666 divert natd tcp from {servidor} to any 53
   ipfw add 669 divert natd udp from {servidor} to any 53
   ipfw add 667 allow tcp from {servidor} to any 53
   ipfw add 668 allow udp from {servidor} to any 53
  
   Se não houver, gostaria de saber se faço isso pelas flags do natd,
   gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
   pelas flags do natd.
   Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
   algum.
  
   Obrigado.
  
   --
 Adiel de Lima Ribeiro
   http://www.facebook.com/sembr.dyndns.info
  
   -
   Histórico: http://www.fug.com.br/historico/html/freebsd/
   Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
  
  
 
 
 
 
  --
Adiel de Lima Ribeiro
  http://www.facebook.com/sembr.dyndns.info
 
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 
 
 
 
 
  --
Adiel de Lima Ribeiro
  http://www.facebook.com/sembr.dyndns.info
 
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


 --
   Adiel de Lima Ribeiro
 http://www.facebook.com/sembr.dyndns.info

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd




-- 
Att.

Tiago N. Furbeta
Cangere Online Provedor de Internet Ltda.
Empresa de Telecomunicações Autorizada SCM/ANATEL
tfurb...@cangere.com.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - natd.

[Wenderson Souza]

Em 11 de janeiro de 2012 14:36, Adiel de Lima Ribeiro
adiel.netad...@gmail.com escreveu:
 Marcelo, esqueci de dizer.
 Em teoria esta regra deveria permitir consultas DNS do meu servidor para
 a internet, mas não funciona, quando libero o nat total funciona.
 ipfw add 666 divert natd tcp from {servidor} to any 53
 ipfw add 669 divert natd udp from {servidor} to any 53
 ipfw add 667 allow tcp from {servidor} to any 53
 ipfw add 668 allow udp from {servidor} to any 53

Entendi,

Na verdade o que está acontecendo é:

Quando libara o NATd total, os clientes (LAN) conseguem acessar o DNS
externo (creio eu).

Quando bloqueia o NATd total, os clientes não conseguem, mas conseguem
acessar local certo?

Então verifique se o próprio servidor (local) tem acesso a internet,
para isso deve liberar entrada para a sua porta 53, para poder o DNS
Server poder consultar na internet.

Tente algo como:

ipfw add 667 permit all from any to me 53 in via em0
ipfw add 668 permit all from me 53 to any out via em0

Ou se quiser ser mais especifico, liberando apenas de 53 parar 53.

ipfw add 667 permit all from any 53 to me 53 in via em0
ipfw add 668 permit all from me 53 to any 53 out via em0

Não sei se era essa dúvida.

Sobre o NATd em si não posso ajudar muito, pois utilizo PF.

Sem contar que ainda não sabemos como é seu firewall, se STATEFUL ou STATELESS.

[]'s


Wenderson Souza
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - natd.

[Jeimerson C Chaves]

Amigo já que você quer liberar apenas o nat para dns, configura o 
dnsmasq e vc não precisa nem de NAT para o dns.
Pronto.

Em 11/01/2012 16:40, Wenderson Souza escreveu:
 Em 11 de janeiro de 2012 14:36, Adiel de Lima Ribeiro
 adiel.netad...@gmail.com  escreveu:
 Marcelo, esqueci de dizer.
 Em teoria esta regra deveria permitir consultas DNS do meu servidor para
 a internet, mas não funciona, quando libero o nat total funciona.
 ipfw add 666 divert natd tcp from {servidor} to any 53
 ipfw add 669 divert natd udp from {servidor} to any 53
 ipfw add 667 allow tcp from {servidor} to any 53
 ipfw add 668 allow udp from {servidor} to any 53
 Entendi,

 Na verdade o que está acontecendo é:

 Quando libara o NATd total, os clientes (LAN) conseguem acessar o DNS
 externo (creio eu).

 Quando bloqueia o NATd total, os clientes não conseguem, mas conseguem
 acessar local certo?

 Então verifique se o próprio servidor (local) tem acesso a internet,
 para isso deve liberar entrada para a sua porta 53, para poder o DNS
 Server poder consultar na internet.

 Tente algo como:

 ipfw add 667 permit all from any to me 53 in via em0
 ipfw add 668 permit all from me 53 to any out via em0

 Ou se quiser ser mais especifico, liberando apenas de 53 parar 53.

 ipfw add 667 permit all from any 53 to me 53 in via em0
 ipfw add 668 permit all from me 53 to any 53 out via em0

 Não sei se era essa dúvida.

 Sobre o NATd em si não posso ajudar muito, pois utilizo PF.

 Sem contar que ainda não sabemos como é seu firewall, se STATEFUL ou 
 STATELESS.

 []'s


 Wenderson Souza
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPFW - natd.

[Adiel de Lima Ribeiro]

Sim, seria. 

ipfw add divert natd ip from any to any - OK e depois ? 

ipfw add allow from {servidor} to any 53 
ipfw add allow from any 53 to servidor 

Isso permitiria um nat da rede dos meus servidores para resolver nomes
na internet ? 

-Original Message-
From: Renato Frederick ren...@frederick.eti.br
Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
To: freebsd@fug.com.br
Subject: Re: [FUG-BR] IPFW - natd.
Date: Wed, 11 Jan 2012 16:21:23 -0200


Opa,

Não seria mais fácil fazer um dirvert natd all from any to any,

e depois as regras de allow
e por fim deny?

Acredito que vai economizar algumas dezenas de linhas de firewall 
assim... :-)


Em 11/01/2012 16:15, Wenderson Souza escreveu:
 Não seria...

 ipfw add 666 divert natd tcp from any to {servidor} 53
 ipfw add 669 divert natd udp from any to {servidor} 53
 ipfw add 667 allow tcp from any to {servidor} 53
 ipfw add 668 allow udp from any to {servidor}  53

 ?

 Wenderson Souza



-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-- 
   Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd