Re: [FUG-BR] IPFW e traceroute
Porque não migra para PF? Em 30 de setembro de 2015 09:53, Lucas Diasescreveu: > Em 30 de setembro de 2015 09:37, Thiago Andrighetti < > thiagoapa...@yahoo.com.br> escreveu: > > > Olá pessoal,Eu estou tendo alguns problemas com ipfw no gateway aqui do > > escritorio.Um deles (outros posto em outra ocasião) é que de dentro da > > minha rede, eu não consigo executar traceroute.Já tentei liberar todo > UDP e > > ICMP, mas não deu certo.Se puderem, poderiam dar uma ajuda com o > firewall, > > ainda estou em processo de aprendizado do ipfw.Se quiserem dar uma > opinião > > de como está configurado o mesmo, agradeço tambem rsrrs. > > Muito obrigado. > > Segue abaixo o link do script > > http://pastebin.com/zQQe5Lmp > > > > > > > > > > -- Thiago Andrighetti de Pádua > > - > > > > > Thiago, bom dia. > > > Cara, incialmente não erro de sintaxe. > Acredito que seja ordem de regra. > > Você tem algumas regras, negando algumas coisas tendo como fluxo, any to > any. > > Realize alguns testes, colocando a permissão do icmp antes das regras de > deny. > > Acho que isso poderá te ajudar. > > Segue alguns links de apoio. > > http://www.macenterprise.org/articles/advancedipfwfirewallconfiguration > https://www.freebsd.org/doc/handbook/firewalls-ipfw.html > > A lista e o Handbook sempre serão seus amigos =) > > Abraços, > > > -- > .:: Lucas Dias > .:: (82) 9 8813-1494 / 9 8111-2288 > .:: Antes de imprimir, veja se realmente é necessário!!! > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e traceroute
Em 30 de setembro de 2015 09:37, Thiago Andrighetti < thiagoapa...@yahoo.com.br> escreveu: > Olá pessoal,Eu estou tendo alguns problemas com ipfw no gateway aqui do > escritorio.Um deles (outros posto em outra ocasião) é que de dentro da > minha rede, eu não consigo executar traceroute.Já tentei liberar todo UDP e > ICMP, mas não deu certo.Se puderem, poderiam dar uma ajuda com o firewall, > ainda estou em processo de aprendizado do ipfw.Se quiserem dar uma opinião > de como está configurado o mesmo, agradeço tambem rsrrs. > Muito obrigado. > Segue abaixo o link do script > http://pastebin.com/zQQe5Lmp > > > > > -- Thiago Andrighetti de Pádua > - > Thiago, bom dia. Cara, incialmente não erro de sintaxe. Acredito que seja ordem de regra. Você tem algumas regras, negando algumas coisas tendo como fluxo, any to any. Realize alguns testes, colocando a permissão do icmp antes das regras de deny. Acho que isso poderá te ajudar. Segue alguns links de apoio. http://www.macenterprise.org/articles/advancedipfwfirewallconfiguration https://www.freebsd.org/doc/handbook/firewalls-ipfw.html A lista e o Handbook sempre serão seus amigos =) Abraços, -- .:: Lucas Dias .:: (82) 9 8813-1494 / 9 8111-2288 .:: Antes de imprimir, veja se realmente é necessário!!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e traceroute
Muito obrigado Lucas, vou seguir dando uma lida e mudando as regras pra ver se da certo. -- Thiago Andrighetti de Pádua Em Quarta-feira, 30 de Setembro de 2015 9:54, Lucas Diasescreveu: Em 30 de setembro de 2015 09:37, Thiago Andrighetti < thiagoapa...@yahoo.com.br> escreveu: > Olá pessoal,Eu estou tendo alguns problemas com ipfw no gateway aqui do > escritorio.Um deles (outros posto em outra ocasião) é que de dentro da > minha rede, eu não consigo executar traceroute.Já tentei liberar todo UDP e > ICMP, mas não deu certo.Se puderem, poderiam dar uma ajuda com o firewall, > ainda estou em processo de aprendizado do ipfw.Se quiserem dar uma opinião > de como está configurado o mesmo, agradeço tambem rsrrs. > Muito obrigado. > Segue abaixo o link do script > http://pastebin.com/zQQe5Lmp > > > > > -- Thiago Andrighetti de Pádua > - > Thiago, bom dia. Cara, incialmente não erro de sintaxe. Acredito que seja ordem de regra. Você tem algumas regras, negando algumas coisas tendo como fluxo, any to any. Realize alguns testes, colocando a permissão do icmp antes das regras de deny. Acho que isso poderá te ajudar. Segue alguns links de apoio. http://www.macenterprise.org/articles/advancedipfwfirewallconfiguration https://www.freebsd.org/doc/handbook/firewalls-ipfw.html A lista e o Handbook sempre serão seus amigos =) Abraços, -- .:: Lucas Dias .:: (82) 9 8813-1494 / 9 8111-2288 .:: Antes de imprimir, veja se realmente é necessário!!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e traceroute
Olá Guilherme,Eu já pensei nisso.Mas pretendo estudar a fundo o IPFW primeiramente, pois em comparativo de performance e é muito bom eeu uso ele tambem em meu servidor de Borda com BGP, já o PF não ficaria legal ao meu ver pelo fator performance eintegração com o sistema.Eu até entendo que pro meu gateway do escritório o PF ficaria muito bom, mas estou usando esse firewall como meu laboratóriopra um estudo mais aprofundado. -- Thiago Andrighetti de Pádua Em Quarta-feira, 30 de Setembro de 2015 10:00, Guilherme Ferreira Rosárioescreveu: Porque não migra para PF? Em 30 de setembro de 2015 09:53, Lucas Dias escreveu: > Em 30 de setembro de 2015 09:37, Thiago Andrighetti < > thiagoapa...@yahoo.com.br> escreveu: > > > Olá pessoal,Eu estou tendo alguns problemas com ipfw no gateway aqui do > > escritorio.Um deles (outros posto em outra ocasião) é que de dentro da > > minha rede, eu não consigo executar traceroute.Já tentei liberar todo > UDP e > > ICMP, mas não deu certo.Se puderem, poderiam dar uma ajuda com o > firewall, > > ainda estou em processo de aprendizado do ipfw.Se quiserem dar uma > opinião > > de como está configurado o mesmo, agradeço tambem rsrrs. > > Muito obrigado. > > Segue abaixo o link do script > > http://pastebin.com/zQQe5Lmp > > > > > > > > > > -- Thiago Andrighetti de Pádua > > - > > > > > Thiago, bom dia. > > > Cara, incialmente não erro de sintaxe. > Acredito que seja ordem de regra. > > Você tem algumas regras, negando algumas coisas tendo como fluxo, any to > any. > > Realize alguns testes, colocando a permissão do icmp antes das regras de > deny. > > Acho que isso poderá te ajudar. > > Segue alguns links de apoio. > > http://www.macenterprise.org/articles/advancedipfwfirewallconfiguration > https://www.freebsd.org/doc/handbook/firewalls-ipfw.html > > A lista e o Handbook sempre serão seus amigos =) > > Abraços, > > > -- > .:: Lucas Dias > .:: (82) 9 8813-1494 / 9 8111-2288 > .:: Antes de imprimir, veja se realmente é necessário!!! > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw table list reportando endereçamento errado. // era "Problema sério com link aggregation LACP no FreeBSD 10.2-RELEASE"
On 21-09-2015 15:28, Vinícius Zavam wrote: novidades? seria interessante reportar o status do ipfw(8) atual na 10.2-STABLE. chegou a atualizar a máquina do blog (bsdinfo) , como vc falou? Egypcio,, Ontem saiu essa correção [1]. Será que pode ter à ver? O problema é que saíram outras juntas e o source não está mais compilando. Vou aguardar corrigirem: [1] https://svnweb.freebsd.org/base?view=revision=288072 cc -c -O2 -pipe -fno-strict-aliasing -std=c99 -Wall -Wredundant-decls -Wnested-externs -Wstrict-prototypes -Wmissing-prototypes -Wpointer-arith -Winline -Wcast-qual -Wundef -Wno-pointer-sign -fformat-extensions -Wmissing-include-dirs -fdiagnostics-show-option -Wno-error-tautological-compare -Wno-error-empty-body -Wno-error-parentheses-equality -Wno-error-unused-function -nostdinc -I. -I/usr/src/sys -I/usr/src/sys/contrib/altq -I/usr/src/sys/contrib/libfdt -D_KERNEL -DHAVE_KERNEL_OPTION_HEADERS -include opt_global.h -fno-omit-frame-pointer -mno-omit-leaf-frame-pointer -mno-aes -mno-avx -mcmodel=kernel -mno-red-zone -mno-mmx -mno-sse -msoft-float -fno-asynchronous-unwind-tables -ffreestanding -fstack-protector -Werror /usr/src/sys/kern/vfs_init.c --- vfs_hash.o --- /usr/src/sys/kern/vfs_hash.c:184:2: error: implicit declaration of function 'rw_wlock' is invalid in C99 [-Werror,-Wimplicit-function-declaration] rw_wlock(_hash_lock); ^ /usr/src/sys/kern/vfs_hash.c:184:12: error: use of undeclared identifier 'vfs_hash_lock'; did you mean 'vfs_hash_mask'? rw_wlock(_hash_lock); ^ vfs_hash_mask /usr/src/sys/kern/vfs_hash.c:42:18: note: 'vfs_hash_mask' declared here static u_long vfs_hash_mask; ^ /usr/src/sys/kern/vfs_hash.c:197:2: error: implicit declaration of function 'rw_wunlock' is invalid in C99 [-Werror,-Wimplicit-function-declaration] rw_wunlock(_hash_lock); ^ /usr/src/sys/kern/vfs_hash.c:197:2: note: did you mean 'rw_wlock'? /usr/src/sys/kern/vfs_hash.c:184:2: note: 'rw_wlock' declared here rw_wlock(_hash_lock); ^ /usr/src/sys/kern/vfs_hash.c:197:14: error: use of undeclared identifier 'vfs_hash_lock'; did you mean 'vfs_hash_mask'? rw_wunlock(_hash_lock); ^ vfs_hash_mask /usr/src/sys/kern/vfs_hash.c:42:18: note: 'vfs_hash_mask' declared here static u_long vfs_hash_mask; ^ 4 errors generated. *** [vfs_hash.o] Error code 1 bmake[2]: stopped in /usr/obj/usr/src/sys/INTNET10 --- modules-all --- A failure has been detected in another branch of the parallel make bmake[4]: stopped in /usr/src/sys/modules/ath *** [all_subdir_ath] Error code 2 bmake[3]: stopped in /usr/src/sys/modules --- all_subdir_bwi --- A failure has been detected in another branch of the parallel make bmake[4]: stopped in /usr/src/sys/modules/bwi *** [all_subdir_bwi] Error code 2 bmake[3]: stopped in /usr/src/sys/modules 2 errors bmake[3]: stopped in /usr/src/sys/modules *** [modules-all] Error code 2 bmake[2]: stopped in /usr/obj/usr/src/sys/INTNET10 2 errors bmake[2]: stopped in /usr/obj/usr/src/sys/INTNET10 *** [buildkernel] Error code 2 bmake[1]: stopped in /usr/src 1 error bmake[1]: stopped in /usr/src *** [buildkernel] Error code 2 make: stopped in /usr/src 1 error make: stopped in /usr/src []'s Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw table list reportando endereçamento errado. // era "Problema sério com link aggregation LACP no FreeBSD 10.2-RELEASE"
novidades? seria interessante reportar o status do ipfw(8) atual na 10.2-STABLE. chegou a atualizar a máquina do blog (bsdinfo) , como vc falou? -- Vinícius Zavam keybase.io/egypcio/key.asc - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw table list reportando endereçamento errado. // era "Problema sério com link aggregation LACP no FreeBSD 10.2-RELEASE"
On 21-09-2015 15:28, Vinícius Zavam wrote: novidades? seria interessante reportar o status do ipfw(8) atual na 10.2-STABLE. chegou a atualizar a máquina do blog (bsdinfo) , como vc falou? Sim e reportei no PR no mesmo dia que testei. Inclusive nos 2 PR sobre o mesmo assunto do ipfw. Mas estranhamente meus comentários sumiram dos 2 reports. Aff. Ficou 100% o ipfw. :) Vou lá novamente comentar [1] e [2]. [1] https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=200169 [2] https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=189471 Quanto ao problema do lagg continuo na mesma. O lado do Juniper fez uma nova configuração de periodic slow e deu uma melhorada nas mensagens do lacp. Agora eu vejo os transmit e receive dos laggs de 30 em 30 segundos normalmente. Mas quarta ou quinta vou migrar os 2 laggs que tenho para uma Intel X520-SR2 que tem 2 portas de 10GbE e aí não vou mais usar o lagg. Uma pena porque não vou conseguir mais fazer os testes. É torcer para que outra pessoa com um tráfego como o meu de 4.5Gbps, usando lagg e tenha o mesmo problema pra poder dar continuidade. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw table list reportando endereçamento errado. // era "Problema sério com link aggregation LACP no FreeBSD 10.2-RELEASE"
2015-09-18 15:03 GMT-03:00 Marcelo Gondim: > On 18-09-2015 14:41, Vinícius Zavam wrote: > >> 2015-09-18 12:00 GMT-03:00 Marcelo Gondim : >> >> On 18-09-2015 11:49, Vinícius Zavam wrote: >>> >>> 2015-09-18 11:06 GMT-03:00 Vinícius Zavam : 2015-09-17 19:20 GMT-03:00 Marcelo Gondim : > > On 17-09-2015 16:54, Marcelo Gondim wrote: > >> On 17-09-2015 16:44, Vinícius Zavam wrote: >> >>> 2015-09-17 15:22 GMT-03:00 Marcelo Gondim : >>> On 17-09-2015 11:51, Luiz Otavio O Souza wrote: 2015-09-15 11:59 GMT-03:00 Marcelo Gondim: > > Opa Danilo, >> >> Pois é e a única coisa que tenho é a revisão que funciona perfeito >>> no >>> 10.1-stable. Não sei se é simples achar a mudança entre as >>> versões >>> que >>> saíram mas algo mudou nesse meio do caminho destruiu meu cenário. >>> >>> Outra recente também que descobri e que sofri por muito mas muito >>> tempo. >>> Não >>> sei se lembram dessa thread [1] que abri em abril do ano passado. >>> Sabe qual era a solução desse problema? >>> >>> Colocar um simples: gateway_enable="YES" no /etc/rc.conf >>> >>> Ou seja, mesmo colocando o net.inet.ip.forwarding=1 se você não >>> colocar >>> essa >>> instrução no rc.conf e mandar criar uma vlan, simplesmente seu >>> roteamento >>> para completamente. Só reiniciando a máquina. Agora me diga >>> porque >>> o >>> roteamento para de funcionar quando faço um ifconfig vlanX create >>> se >>> eu >>> não >>> tiver o gateway_enable no rc.conf? Onde que isso está escrito? >>> Fiquei >>> meses >>> com esse problema e agora não tenho mais. >>> >>> Pior é que os caras que me responderam isso na lista acham que >>> isso >>> não >>> é um >>> bug. Só teve 1 que achou que era um bug. Não faz sentido algum >>> isso. >>> Podem fazer esse teste. Peguem um FreeBSD 10.x coloquem 2 >>> interfaces >>> de >>> rede >>> pra fazer o roteamento de um lado pra outro e setem umas vlans. >>> Sem o >>> parâmetro acima experimentem fazer um simples: >>> >>> # ifconfig vlan200 create >>> >>> Depois tentem pingar de uma rede pra outra. Não vai nem à pau. >>> Agora >>> se >>> colocarem o parâmetro acima no rc.conf vocês podem criar vlans >>> sem >>> problemas. >>> >>> São essas coisas que matam a gente. >>> >>> [1] >>> >>> http://www.fug.com.br/historico/html/freebsd/2014-04/msg00154.html >>> >>> Opa Gondim, >>> >>> Nós entendemos e sabemos o quanto é frustante aguardar (sem um >> ETA >> definido) uma resposta ou uma correção nesses casos (eu também já >> estive nessa posição). >> >> É sempre importante lembrar que o projeto trabalha com >> voluntários, >> há >> muita pouca gente lá que é paga pra fazer algum serviço ou para >> ser >> responsável por determinada area, então mesmo com toda frustração >> é >> importante manter uma atitude positiva. >> >> Pessoas com a atitude positiva se relacionam melhor com a >> comunidade e >> se relacionando bem as pessoas vão se lembrar de você. Lembre-se, >> é >> tudo uma questão de como você interage com o projeto. O projeto >> esta >> sempre acompanhando as pessoas, todo contribuidor eventual é um >> possível desenvolvedor. >> >> Mesmo com todos esses problemas, eu aposto que você ainda tem >> muito >> mais chances de ter o seu problema resolvido no FreeBSD do que no >> mikrotik ou no Windows (mesmo os últimos dois sendo pagos), >> reporte >> um >> problema lá e depois me diga quando foram resolvidos ;-) >> >> Bom, quanto a esse problema do gateway_enable, esta correto, >> apenas >> adicionando o net.inet.ip.forwarding=1 não é o bastante para que o >> sistema funcione, existem casos onde os scripts rc vão reescrever >> essa >> sysctl e a única forma de você instruir os scripts para fazer a >> coisa >> certa é através da variável gateway_enable. >> >> O roteamento para de funcionar porque quando você cria a vlan ele >> seta >> a sysctl de volta pra 0, pode fazer o teste. Basta setar a sysctl >> novamente para tudo voltar a funcionar, não precisa reiniciar. >> >>
Re: [FUG-BR] ipfw table list reportando endereçamento errado. // era "Problema sério com link aggregation LACP no FreeBSD 10.2-RELEASE"
On 18-09-2015 14:41, Vinícius Zavam wrote: 2015-09-18 12:00 GMT-03:00 Marcelo Gondim: On 18-09-2015 11:49, Vinícius Zavam wrote: 2015-09-18 11:06 GMT-03:00 Vinícius Zavam : 2015-09-17 19:20 GMT-03:00 Marcelo Gondim : On 17-09-2015 16:54, Marcelo Gondim wrote: On 17-09-2015 16:44, Vinícius Zavam wrote: 2015-09-17 15:22 GMT-03:00 Marcelo Gondim : On 17-09-2015 11:51, Luiz Otavio O Souza wrote: 2015-09-15 11:59 GMT-03:00 Marcelo Gondim: Opa Danilo, Pois é e a única coisa que tenho é a revisão que funciona perfeito no 10.1-stable. Não sei se é simples achar a mudança entre as versões que saíram mas algo mudou nesse meio do caminho destruiu meu cenário. Outra recente também que descobri e que sofri por muito mas muito tempo. Não sei se lembram dessa thread [1] que abri em abril do ano passado. Sabe qual era a solução desse problema? Colocar um simples: gateway_enable="YES" no /etc/rc.conf Ou seja, mesmo colocando o net.inet.ip.forwarding=1 se você não colocar essa instrução no rc.conf e mandar criar uma vlan, simplesmente seu roteamento para completamente. Só reiniciando a máquina. Agora me diga porque o roteamento para de funcionar quando faço um ifconfig vlanX create se eu não tiver o gateway_enable no rc.conf? Onde que isso está escrito? Fiquei meses com esse problema e agora não tenho mais. Pior é que os caras que me responderam isso na lista acham que isso não é um bug. Só teve 1 que achou que era um bug. Não faz sentido algum isso. Podem fazer esse teste. Peguem um FreeBSD 10.x coloquem 2 interfaces de rede pra fazer o roteamento de um lado pra outro e setem umas vlans. Sem o parâmetro acima experimentem fazer um simples: # ifconfig vlan200 create Depois tentem pingar de uma rede pra outra. Não vai nem à pau. Agora se colocarem o parâmetro acima no rc.conf vocês podem criar vlans sem problemas. São essas coisas que matam a gente. [1] http://www.fug.com.br/historico/html/freebsd/2014-04/msg00154.html Opa Gondim, Nós entendemos e sabemos o quanto é frustante aguardar (sem um ETA definido) uma resposta ou uma correção nesses casos (eu também já estive nessa posição). É sempre importante lembrar que o projeto trabalha com voluntários, há muita pouca gente lá que é paga pra fazer algum serviço ou para ser responsável por determinada area, então mesmo com toda frustração é importante manter uma atitude positiva. Pessoas com a atitude positiva se relacionam melhor com a comunidade e se relacionando bem as pessoas vão se lembrar de você. Lembre-se, é tudo uma questão de como você interage com o projeto. O projeto esta sempre acompanhando as pessoas, todo contribuidor eventual é um possível desenvolvedor. Mesmo com todos esses problemas, eu aposto que você ainda tem muito mais chances de ter o seu problema resolvido no FreeBSD do que no mikrotik ou no Windows (mesmo os últimos dois sendo pagos), reporte um problema lá e depois me diga quando foram resolvidos ;-) Bom, quanto a esse problema do gateway_enable, esta correto, apenas adicionando o net.inet.ip.forwarding=1 não é o bastante para que o sistema funcione, existem casos onde os scripts rc vão reescrever essa sysctl e a única forma de você instruir os scripts para fazer a coisa certa é através da variável gateway_enable. O roteamento para de funcionar porque quando você cria a vlan ele seta a sysctl de volta pra 0, pode fazer o teste. Basta setar a sysctl novamente para tudo voltar a funcionar, não precisa reiniciar. Contribua com a documentação do projeto, deixe isso escrito e claro para que outras pessoas não tenham a mesma dificuldade. Grande LooS :) Só desanima mas continuo na guerra rsrsrsrs Então pois é. Eu vi que a sysctl voltava pra 0 mas mesmo setando pra 1 não voltava à funcionar. Uma doideira mesmo. Só voltava o sistema quando reiniciado e como estava em produção não deu pra fazer mais testes, infelizmente. Só achei estranho isso acontecer. Não sei se ele altera alguma outra sysctl que seria o motivo de parar. Abrs, gondim, certamente tu já deves ter visto algum desses conteúdos, mas ... + https://lists.freebsd.org/pipermail/freebsd-net/2014-February/037738.html + https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=185967 chegou a aplicar algumas das alterações sugeridas na thread da freebsd-net@, ou na página do bugzilla pelos próprios desenvolvedores? // aqui, algumas palavras do scottl@ na thread da lista freebsd-net: " The difference between FreeBSD 9.x and 10 is that in 9.x, it ran in “optimistic” mode, meaning that it didn’t rely on getting receive messages from the switch, and only took a channel down if the link state went down. " " The ‘flapping’ message is intentional, it points out that something is wrong with heartbeat exchange with the switch. " (sys/net/ieee8023ad_lacp.c) [ ] ' s Opa Egypcio tranquilo? Então tava olhando o log das modificações do ieee8023ad_lacp.c e acho que essa revisão [1]
Re: [FUG-BR] ipfw table list reportando endereçamento errado. // era "Problema sério com link aggregation LACP no FreeBSD 10.2-RELEASE"
On 18-09-2015 15:34, Vinícius Zavam wrote: 2015-09-18 15:03 GMT-03:00 Marcelo Gondim: On 18-09-2015 14:41, Vinícius Zavam wrote: 2015-09-18 12:00 GMT-03:00 Marcelo Gondim : On 18-09-2015 11:49, Vinícius Zavam wrote: 2015-09-18 11:06 GMT-03:00 Vinícius Zavam : 2015-09-17 19:20 GMT-03:00 Marcelo Gondim : On 17-09-2015 16:54, Marcelo Gondim wrote: On 17-09-2015 16:44, Vinícius Zavam wrote: 2015-09-17 15:22 GMT-03:00 Marcelo Gondim : On 17-09-2015 11:51, Luiz Otavio O Souza wrote: 2015-09-15 11:59 GMT-03:00 Marcelo Gondim: Opa Danilo, Pois é e a única coisa que tenho é a revisão que funciona perfeito no 10.1-stable. Não sei se é simples achar a mudança entre as versões que saíram mas algo mudou nesse meio do caminho destruiu meu cenário. Outra recente também que descobri e que sofri por muito mas muito tempo. Não sei se lembram dessa thread [1] que abri em abril do ano passado. Sabe qual era a solução desse problema? Colocar um simples: gateway_enable="YES" no /etc/rc.conf Ou seja, mesmo colocando o net.inet.ip.forwarding=1 se você não colocar essa instrução no rc.conf e mandar criar uma vlan, simplesmente seu roteamento para completamente. Só reiniciando a máquina. Agora me diga porque o roteamento para de funcionar quando faço um ifconfig vlanX create se eu não tiver o gateway_enable no rc.conf? Onde que isso está escrito? Fiquei meses com esse problema e agora não tenho mais. Pior é que os caras que me responderam isso na lista acham que isso não é um bug. Só teve 1 que achou que era um bug. Não faz sentido algum isso. Podem fazer esse teste. Peguem um FreeBSD 10.x coloquem 2 interfaces de rede pra fazer o roteamento de um lado pra outro e setem umas vlans. Sem o parâmetro acima experimentem fazer um simples: # ifconfig vlan200 create Depois tentem pingar de uma rede pra outra. Não vai nem à pau. Agora se colocarem o parâmetro acima no rc.conf vocês podem criar vlans sem problemas. São essas coisas que matam a gente. [1] http://www.fug.com.br/historico/html/freebsd/2014-04/msg00154.html Opa Gondim, Nós entendemos e sabemos o quanto é frustante aguardar (sem um ETA definido) uma resposta ou uma correção nesses casos (eu também já estive nessa posição). É sempre importante lembrar que o projeto trabalha com voluntários, há muita pouca gente lá que é paga pra fazer algum serviço ou para ser responsável por determinada area, então mesmo com toda frustração é importante manter uma atitude positiva. Pessoas com a atitude positiva se relacionam melhor com a comunidade e se relacionando bem as pessoas vão se lembrar de você. Lembre-se, é tudo uma questão de como você interage com o projeto. O projeto esta sempre acompanhando as pessoas, todo contribuidor eventual é um possível desenvolvedor. Mesmo com todos esses problemas, eu aposto que você ainda tem muito mais chances de ter o seu problema resolvido no FreeBSD do que no mikrotik ou no Windows (mesmo os últimos dois sendo pagos), reporte um problema lá e depois me diga quando foram resolvidos ;-) Bom, quanto a esse problema do gateway_enable, esta correto, apenas adicionando o net.inet.ip.forwarding=1 não é o bastante para que o sistema funcione, existem casos onde os scripts rc vão reescrever essa sysctl e a única forma de você instruir os scripts para fazer a coisa certa é através da variável gateway_enable. O roteamento para de funcionar porque quando você cria a vlan ele seta a sysctl de volta pra 0, pode fazer o teste. Basta setar a sysctl novamente para tudo voltar a funcionar, não precisa reiniciar. Contribua com a documentação do projeto, deixe isso escrito e claro para que outras pessoas não tenham a mesma dificuldade. Grande LooS :) Só desanima mas continuo na guerra rsrsrsrs Então pois é. Eu vi que a sysctl voltava pra 0 mas mesmo setando pra 1 não voltava à funcionar. Uma doideira mesmo. Só voltava o sistema quando reiniciado e como estava em produção não deu pra fazer mais testes, infelizmente. Só achei estranho isso acontecer. Não sei se ele altera alguma outra sysctl que seria o motivo de parar. Abrs, gondim, certamente tu já deves ter visto algum desses conteúdos, mas ... + https://lists.freebsd.org/pipermail/freebsd-net/2014-February/037738.html + https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=185967 chegou a aplicar algumas das alterações sugeridas na thread da freebsd-net@, ou na página do bugzilla pelos próprios desenvolvedores? // aqui, algumas palavras do scottl@ na thread da lista freebsd-net: " The difference between FreeBSD 9.x and 10 is that in 9.x, it ran in “optimistic” mode, meaning that it didn’t rely on getting receive messages from the switch, and only took a channel down if the link state went down. " " The ‘flapping’ message is intentional, it points out that something is wrong with heartbeat exchange with the switch. " (sys/net/ieee8023ad_lacp.c) [ ] ' s
Re: [FUG-BR] ipfw table list reportando endereçamento errado. // era "Problema sério com link aggregation LACP no FreeBSD 10.2-RELEASE"
On 18-09-2015 11:49, Vinícius Zavam wrote: 2015-09-18 11:06 GMT-03:00 Vinícius Zavam: 2015-09-17 19:20 GMT-03:00 Marcelo Gondim : On 17-09-2015 16:54, Marcelo Gondim wrote: On 17-09-2015 16:44, Vinícius Zavam wrote: 2015-09-17 15:22 GMT-03:00 Marcelo Gondim : On 17-09-2015 11:51, Luiz Otavio O Souza wrote: 2015-09-15 11:59 GMT-03:00 Marcelo Gondim: Opa Danilo, Pois é e a única coisa que tenho é a revisão que funciona perfeito no 10.1-stable. Não sei se é simples achar a mudança entre as versões que saíram mas algo mudou nesse meio do caminho destruiu meu cenário. Outra recente também que descobri e que sofri por muito mas muito tempo. Não sei se lembram dessa thread [1] que abri em abril do ano passado. Sabe qual era a solução desse problema? Colocar um simples: gateway_enable="YES" no /etc/rc.conf Ou seja, mesmo colocando o net.inet.ip.forwarding=1 se você não colocar essa instrução no rc.conf e mandar criar uma vlan, simplesmente seu roteamento para completamente. Só reiniciando a máquina. Agora me diga porque o roteamento para de funcionar quando faço um ifconfig vlanX create se eu não tiver o gateway_enable no rc.conf? Onde que isso está escrito? Fiquei meses com esse problema e agora não tenho mais. Pior é que os caras que me responderam isso na lista acham que isso não é um bug. Só teve 1 que achou que era um bug. Não faz sentido algum isso. Podem fazer esse teste. Peguem um FreeBSD 10.x coloquem 2 interfaces de rede pra fazer o roteamento de um lado pra outro e setem umas vlans. Sem o parâmetro acima experimentem fazer um simples: # ifconfig vlan200 create Depois tentem pingar de uma rede pra outra. Não vai nem à pau. Agora se colocarem o parâmetro acima no rc.conf vocês podem criar vlans sem problemas. São essas coisas que matam a gente. [1] http://www.fug.com.br/historico/html/freebsd/2014-04/msg00154.html Opa Gondim, Nós entendemos e sabemos o quanto é frustante aguardar (sem um ETA definido) uma resposta ou uma correção nesses casos (eu também já estive nessa posição). É sempre importante lembrar que o projeto trabalha com voluntários, há muita pouca gente lá que é paga pra fazer algum serviço ou para ser responsável por determinada area, então mesmo com toda frustração é importante manter uma atitude positiva. Pessoas com a atitude positiva se relacionam melhor com a comunidade e se relacionando bem as pessoas vão se lembrar de você. Lembre-se, é tudo uma questão de como você interage com o projeto. O projeto esta sempre acompanhando as pessoas, todo contribuidor eventual é um possível desenvolvedor. Mesmo com todos esses problemas, eu aposto que você ainda tem muito mais chances de ter o seu problema resolvido no FreeBSD do que no mikrotik ou no Windows (mesmo os últimos dois sendo pagos), reporte um problema lá e depois me diga quando foram resolvidos ;-) Bom, quanto a esse problema do gateway_enable, esta correto, apenas adicionando o net.inet.ip.forwarding=1 não é o bastante para que o sistema funcione, existem casos onde os scripts rc vão reescrever essa sysctl e a única forma de você instruir os scripts para fazer a coisa certa é através da variável gateway_enable. O roteamento para de funcionar porque quando você cria a vlan ele seta a sysctl de volta pra 0, pode fazer o teste. Basta setar a sysctl novamente para tudo voltar a funcionar, não precisa reiniciar. Contribua com a documentação do projeto, deixe isso escrito e claro para que outras pessoas não tenham a mesma dificuldade. Grande LooS :) Só desanima mas continuo na guerra rsrsrsrs Então pois é. Eu vi que a sysctl voltava pra 0 mas mesmo setando pra 1 não voltava à funcionar. Uma doideira mesmo. Só voltava o sistema quando reiniciado e como estava em produção não deu pra fazer mais testes, infelizmente. Só achei estranho isso acontecer. Não sei se ele altera alguma outra sysctl que seria o motivo de parar. Abrs, gondim, certamente tu já deves ter visto algum desses conteúdos, mas ... + https://lists.freebsd.org/pipermail/freebsd-net/2014-February/037738.html + https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=185967 chegou a aplicar algumas das alterações sugeridas na thread da freebsd-net@, ou na página do bugzilla pelos próprios desenvolvedores? // aqui, algumas palavras do scottl@ na thread da lista freebsd-net: " The difference between FreeBSD 9.x and 10 is that in 9.x, it ran in “optimistic” mode, meaning that it didn’t rely on getting receive messages from the switch, and only took a channel down if the link state went down. " " The ‘flapping’ message is intentional, it points out that something is wrong with heartbeat exchange with the switch. " (sys/net/ieee8023ad_lacp.c) [ ] ' s Opa Egypcio tranquilo? Então tava olhando o log das modificações do ieee8023ad_lacp.c e acho que essa revisão [1] deve resolver o meu problema. Ela saiu esses dias. Vou testar hoje à noite mas estou bem otimista em relação à
Re: [FUG-BR] ipfw table list reportando endereçamento errado. // era "Problema sério com link aggregation LACP no FreeBSD 10.2-RELEASE"
2015-09-18 12:00 GMT-03:00 Marcelo Gondim: > On 18-09-2015 11:49, Vinícius Zavam wrote: > >> 2015-09-18 11:06 GMT-03:00 Vinícius Zavam : >> >> >>> 2015-09-17 19:20 GMT-03:00 Marcelo Gondim : >>> >>> On 17-09-2015 16:54, Marcelo Gondim wrote: On 17-09-2015 16:44, Vinícius Zavam wrote: > > 2015-09-17 15:22 GMT-03:00 Marcelo Gondim : >> >> On 17-09-2015 11:51, Luiz Otavio O Souza wrote: >> >>> 2015-09-15 11:59 GMT-03:00 Marcelo Gondim: >>> Opa Danilo, > Pois é e a única coisa que tenho é a revisão que funciona perfeito > no > 10.1-stable. Não sei se é simples achar a mudança entre as versões > que > saíram mas algo mudou nesse meio do caminho destruiu meu cenário. > > Outra recente também que descobri e que sofri por muito mas muito > tempo. > Não > sei se lembram dessa thread [1] que abri em abril do ano passado. > Sabe qual era a solução desse problema? > > Colocar um simples: gateway_enable="YES" no /etc/rc.conf > > Ou seja, mesmo colocando o net.inet.ip.forwarding=1 se você não > colocar > essa > instrução no rc.conf e mandar criar uma vlan, simplesmente seu > roteamento > para completamente. Só reiniciando a máquina. Agora me diga porque > o > roteamento para de funcionar quando faço um ifconfig vlanX create > se > eu > não > tiver o gateway_enable no rc.conf? Onde que isso está escrito? > Fiquei > meses > com esse problema e agora não tenho mais. > > Pior é que os caras que me responderam isso na lista acham que isso > não > é um > bug. Só teve 1 que achou que era um bug. Não faz sentido algum > isso. > Podem fazer esse teste. Peguem um FreeBSD 10.x coloquem 2 > interfaces > de > rede > pra fazer o roteamento de um lado pra outro e setem umas vlans. > Sem o > parâmetro acima experimentem fazer um simples: > > # ifconfig vlan200 create > > Depois tentem pingar de uma rede pra outra. Não vai nem à pau. > Agora > se > colocarem o parâmetro acima no rc.conf vocês podem criar vlans sem > problemas. > > São essas coisas que matam a gente. > > [1] > http://www.fug.com.br/historico/html/freebsd/2014-04/msg00154.html > > Opa Gondim, > Nós entendemos e sabemos o quanto é frustante aguardar (sem um ETA definido) uma resposta ou uma correção nesses casos (eu também já estive nessa posição). É sempre importante lembrar que o projeto trabalha com voluntários, há muita pouca gente lá que é paga pra fazer algum serviço ou para ser responsável por determinada area, então mesmo com toda frustração é importante manter uma atitude positiva. Pessoas com a atitude positiva se relacionam melhor com a comunidade e se relacionando bem as pessoas vão se lembrar de você. Lembre-se, é tudo uma questão de como você interage com o projeto. O projeto esta sempre acompanhando as pessoas, todo contribuidor eventual é um possível desenvolvedor. Mesmo com todos esses problemas, eu aposto que você ainda tem muito mais chances de ter o seu problema resolvido no FreeBSD do que no mikrotik ou no Windows (mesmo os últimos dois sendo pagos), reporte um problema lá e depois me diga quando foram resolvidos ;-) Bom, quanto a esse problema do gateway_enable, esta correto, apenas adicionando o net.inet.ip.forwarding=1 não é o bastante para que o sistema funcione, existem casos onde os scripts rc vão reescrever essa sysctl e a única forma de você instruir os scripts para fazer a coisa certa é através da variável gateway_enable. O roteamento para de funcionar porque quando você cria a vlan ele seta a sysctl de volta pra 0, pode fazer o teste. Basta setar a sysctl novamente para tudo voltar a funcionar, não precisa reiniciar. Contribua com a documentação do projeto, deixe isso escrito e claro para que outras pessoas não tenham a mesma dificuldade. Grande LooS :) Só desanima mas continuo na guerra rsrsrsrs >>> >>> Então pois é. Eu vi que a sysctl voltava pra 0 mas mesmo setando pra >>> 1 >>> não >>> voltava à funcionar. Uma doideira mesmo. Só voltava o sistema quando >>> reiniciado e como estava em produção não deu pra fazer mais testes, >>>
Re: [FUG-BR] ipfw nat in-kernel FreeBSD 9.2
Talvez o divert natd seja o q esteja funcionando no seu script add divert natd all from 192.168.0.0/16 to any via wan0 eu costumava usar assim, inclusive com pipes. mas o seu one_pass está me fazendo refletir se deveria ser setado em 1 ou nao... [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb. Em 11 de novembro de 2014 11:37, Márcio Elias marcioel...@gmail.com escreveu: Bom dia pessoal, devido a um problema com Pipe + MAC Address no FreeBSD 10 para controle de upload (thread antiga aqui), estou fazendo testes na versão 9.2 do Nat do IPFW usando libalias. Pois bem, independentemente das demais regras (testei somente com as de NAT) o comportamento no FreeBSD 9.2 ficou diferente do FreeBSD 10. Considerem o seguinte: ipfw nat 123 config if WAN_IF log ipfw add 50 nat 123 ip from any to me in recv WAN_IF ipfw add 51 nat 123 ip from 192.168.0.0/16 to any out xmit WAN_IF ipfw add 52 nat 123 ip from 172.16.1.0/24 to any out xmit WAN_IF ipfw add 65000 allow ip from any to any Pois bem, esse cenário na versão 10 funciona, mais na 9 não, todos os pacotes incrementam somente a regra 50, mesmo que eu tente acessar o endereço IP configurado na interface WAN. outros detalhes sysctl: net.inet.ip.forwarding=1 net.inet.ip.fastforwarding=1 net.inet.ip.fw.one_pass=1 kernel: options IPFIREWALL options IPFIREWALL_FORWARD #(somente no 9, no 10 não existe) options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options DUMMYNET options DEVICE_POLLING options HZ=1000 options IPFIREWALL_NAT options LIBALIAS Alguma ideia de como configurar essas regras de NAT usando IPFW no FreeBSD 9? -- Att. __ Márcio Elias Hahn do Nascimento Bacharel em Tecnologias da Informação e Comunicação - TIC Cel: (55) 48-8469-1819 Emails: marcioel...@bsd.com.br / marcioel...@gmail.com Skype: marcioeliash...@hotmail.com FreeBSD - The Power To Serve - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw nat in-kernel FreeBSD 9.2
Fabricio, eu uso o divert em alguns cases (mais de 20), só que o consumo de cpu e a latência conforme a banda consumida e o número de sub-redes com alias na placa interna aumenta está ficando inviável. A tentativa de utilizar essa forma de NAT é reduzir esse consumo de CPU e também manter uma latência mais baixa na rede. Já tentei com one_pass 1 e 0. Estava testando o FreeBSD 10.1 RC4 para ver se ainda tinha o bug do MAC com PIPE mais o mesmo está dando kernel panic assim que eu ativo o dummynet para controlar a banda (subo as regras do firewall). Vejo relatos deste nat usando libalias deste a versão 8, deve ser algum tratamento diferenciado nos pacotes que obriga a criação de regras de nat diferentes na versão 9, e por isso esteja errando, mais não encontrei a lógica correta. Vi alguns usuários usando duas FIBs, mais não sei se isso seria necessário. -- Att. __ Márcio Elias Hahn do Nascimento Bacharel em Tecnologias da Informação e Comunicação - TIC Cel: (55) 48-8469-1819 Emails: marcioel...@bsd.com.br / marcioel...@gmail.com Skype: marcioeliash...@hotmail.com FreeBSD - The Power To Serve 2014-11-11 12:13 GMT-02:00 Fabricio Lima lis...@fabriciolima.com.br: Talvez o divert natd seja o q esteja funcionando no seu script add divert natd all from 192.168.0.0/16 to any via wan0 eu costumava usar assim, inclusive com pipes. mas o seu one_pass está me fazendo refletir se deveria ser setado em 1 ou nao... [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb. Em 11 de novembro de 2014 11:37, Márcio Elias marcioel...@gmail.com escreveu: Bom dia pessoal, devido a um problema com Pipe + MAC Address no FreeBSD 10 para controle de upload (thread antiga aqui), estou fazendo testes na versão 9.2 do Nat do IPFW usando libalias. Pois bem, independentemente das demais regras (testei somente com as de NAT) o comportamento no FreeBSD 9.2 ficou diferente do FreeBSD 10. Considerem o seguinte: ipfw nat 123 config if WAN_IF log ipfw add 50 nat 123 ip from any to me in recv WAN_IF ipfw add 51 nat 123 ip from 192.168.0.0/16 to any out xmit WAN_IF ipfw add 52 nat 123 ip from 172.16.1.0/24 to any out xmit WAN_IF ipfw add 65000 allow ip from any to any Pois bem, esse cenário na versão 10 funciona, mais na 9 não, todos os pacotes incrementam somente a regra 50, mesmo que eu tente acessar o endereço IP configurado na interface WAN. outros detalhes sysctl: net.inet.ip.forwarding=1 net.inet.ip.fastforwarding=1 net.inet.ip.fw.one_pass=1 kernel: options IPFIREWALL options IPFIREWALL_FORWARD #(somente no 9, no 10 não existe) options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options DUMMYNET options DEVICE_POLLING options HZ=1000 options IPFIREWALL_NAT options LIBALIAS Alguma ideia de como configurar essas regras de NAT usando IPFW no FreeBSD 9? -- Att. __ Márcio Elias Hahn do Nascimento Bacharel em Tecnologias da Informação e Comunicação - TIC Cel: (55) 48-8469-1819 Emails: marcioel...@bsd.com.br / marcioel...@gmail.com Skype: marcioeliash...@hotmail.com FreeBSD - The Power To Serve - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw nat in-kernel FreeBSD 9.2
Entendi... seu objetivo (q estaria causando o kernel panic) é o MAC + pipes Duvida: -sem as regras de mac address, está tudo carregando normal ne? (pipes por IP) e baixa cpu? -pra estar gerando tanta carga na cpu assim, qual o throughput q estamos falando? (pra saber se a alta demanda de cpu é a filtragem dos MAC, ou o dummynet em si) geralmente eu nao tinha problemas de cpu qndo usava, mas eram poucos clientes aplicados dummynet. tenta refazer suas regras em pf (mas ele so suporta filtragem por mac operando como bridge) ou poderia cogitar migrar os usuarios para pppoe, levantando um servidor de pppoe na sua ponta. se tudo mais falhar, poderia usar uma integraçao dhcp + reserva por mac + dummynet + script levantando o firewall pra este ip dinamicamente, validando a origem do mac, e aplicando sua limitaçao de banda por IP ao inves de mac. ou seja, caso nao resolva, tem 2 paleativos pra vc fugir da alta cpu, com outras soluçoes. ou refazendo em outro fw. mas nao esqueça de responder as perguntas acima. [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb. Em 11 de novembro de 2014 14:36, Márcio Elias marcioel...@gmail.com escreveu: Fabricio, eu uso o divert em alguns cases (mais de 20), só que o consumo de cpu e a latência conforme a banda consumida e o número de sub-redes com alias na placa interna aumenta está ficando inviável. A tentativa de utilizar essa forma de NAT é reduzir esse consumo de CPU e também manter uma latência mais baixa na rede. Já tentei com one_pass 1 e 0. Estava testando o FreeBSD 10.1 RC4 para ver se ainda tinha o bug do MAC com PIPE mais o mesmo está dando kernel panic assim que eu ativo o dummynet para controlar a banda (subo as regras do firewall). Vejo relatos deste nat usando libalias deste a versão 8, deve ser algum tratamento diferenciado nos pacotes que obriga a criação de regras de nat diferentes na versão 9, e por isso esteja errando, mais não encontrei a lógica correta. Vi alguns usuários usando duas FIBs, mais não sei se isso seria necessário. -- Att. __ Márcio Elias Hahn do Nascimento Bacharel em Tecnologias da Informação e Comunicação - TIC Cel: (55) 48-8469-1819 Emails: marcioel...@bsd.com.br / marcioel...@gmail.com Skype: marcioeliash...@hotmail.com FreeBSD - The Power To Serve 2014-11-11 12:13 GMT-02:00 Fabricio Lima lis...@fabriciolima.com.br: Talvez o divert natd seja o q esteja funcionando no seu script add divert natd all from 192.168.0.0/16 to any via wan0 eu costumava usar assim, inclusive com pipes. mas o seu one_pass está me fazendo refletir se deveria ser setado em 1 ou nao... [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb. Em 11 de novembro de 2014 11:37, Márcio Elias marcioel...@gmail.com escreveu: Bom dia pessoal, devido a um problema com Pipe + MAC Address no FreeBSD 10 para controle de upload (thread antiga aqui), estou fazendo testes na versão 9.2 do Nat do IPFW usando libalias. Pois bem, independentemente das demais regras (testei somente com as de NAT) o comportamento no FreeBSD 9.2 ficou diferente do FreeBSD 10. Considerem o seguinte: ipfw nat 123 config if WAN_IF log ipfw add 50 nat 123 ip from any to me in recv WAN_IF ipfw add 51 nat 123 ip from 192.168.0.0/16 to any out xmit WAN_IF ipfw add 52 nat 123 ip from 172.16.1.0/24 to any out xmit WAN_IF ipfw add 65000 allow ip from any to any Pois bem, esse cenário na versão 10 funciona, mais na 9 não, todos os pacotes incrementam somente a regra 50, mesmo que eu tente acessar o endereço IP configurado na interface WAN. outros detalhes sysctl: net.inet.ip.forwarding=1 net.inet.ip.fastforwarding=1 net.inet.ip.fw.one_pass=1 kernel: options IPFIREWALL options IPFIREWALL_FORWARD #(somente no 9, no 10 não existe) options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options DUMMYNET options DEVICE_POLLING options HZ=1000 options IPFIREWALL_NAT options LIBALIAS Alguma ideia de como configurar essas regras de NAT usando IPFW no FreeBSD 9? -- Att. __ Márcio Elias Hahn do Nascimento Bacharel em Tecnologias da Informação e Comunicação - TIC Cel: (55) 48-8469-1819 Emails: marcioel...@bsd.com.br / marcioel...@gmail.com Skype: marcioeliash...@hotmail.com FreeBSD - The Power To Serve - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico:
Re: [FUG-BR] ipfw nat in-kernel FreeBSD 9.2
Entendi... seu objetivo (q estaria causando o kernel panic) é o MAC + pipes Não dá Kernel Panic no 9.2, somente no 10.1, no 10 simplesmente não há navegação, nem com MAC nem com IP direto. Sobre PPPoE é meu futuro, estou caminhando para isso mais são muitos clientes e tenho muitos concentradores que preciso otimizar antes de tudo virar PPPoE. Estamos falando de 600 aliases de IP em média por concentrador, e de até uns 60Mb de banda. Eu já uso o que vc sugeriu, DHCP por MAC + IPFW + dummynet + scripts. O problema de deixar o IP atrelado somente ao DHCP é que algum usuário mal intencionado pode setar um IP manualmente de alguma subrede roteada e sair navegando. Ou seja, eu limito a banda ao IP e ao MAC atrelados. 2014-11-11 15:31 GMT-02:00 Fabricio Lima lis...@fabriciolima.com.br: Entendi... seu objetivo (q estaria causando o kernel panic) é o MAC + pipes Duvida: -sem as regras de mac address, está tudo carregando normal ne? (pipes por IP) e baixa cpu? -pra estar gerando tanta carga na cpu assim, qual o throughput q estamos falando? (pra saber se a alta demanda de cpu é a filtragem dos MAC, ou o dummynet em si) geralmente eu nao tinha problemas de cpu qndo usava, mas eram poucos clientes aplicados dummynet. tenta refazer suas regras em pf (mas ele so suporta filtragem por mac operando como bridge) ou poderia cogitar migrar os usuarios para pppoe, levantando um servidor de pppoe na sua ponta. se tudo mais falhar, poderia usar uma integraçao dhcp + reserva por mac + dummynet + script levantando o firewall pra este ip dinamicamente, validando a origem do mac, e aplicando sua limitaçao de banda por IP ao inves de mac. ou seja, caso nao resolva, tem 2 paleativos pra vc fugir da alta cpu, com outras soluçoes. ou refazendo em outro fw. mas nao esqueça de responder as perguntas acima. [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb. Em 11 de novembro de 2014 14:36, Márcio Elias marcioel...@gmail.com escreveu: Fabricio, eu uso o divert em alguns cases (mais de 20), só que o consumo de cpu e a latência conforme a banda consumida e o número de sub-redes com alias na placa interna aumenta está ficando inviável. A tentativa de utilizar essa forma de NAT é reduzir esse consumo de CPU e também manter uma latência mais baixa na rede. Já tentei com one_pass 1 e 0. Estava testando o FreeBSD 10.1 RC4 para ver se ainda tinha o bug do MAC com PIPE mais o mesmo está dando kernel panic assim que eu ativo o dummynet para controlar a banda (subo as regras do firewall). Vejo relatos deste nat usando libalias deste a versão 8, deve ser algum tratamento diferenciado nos pacotes que obriga a criação de regras de nat diferentes na versão 9, e por isso esteja errando, mais não encontrei a lógica correta. Vi alguns usuários usando duas FIBs, mais não sei se isso seria necessário. -- Att. __ Márcio Elias Hahn do Nascimento Bacharel em Tecnologias da Informação e Comunicação - TIC Cel: (55) 48-8469-1819 Emails: marcioel...@bsd.com.br / marcioel...@gmail.com Skype: marcioeliash...@hotmail.com FreeBSD - The Power To Serve 2014-11-11 12:13 GMT-02:00 Fabricio Lima lis...@fabriciolima.com.br: Talvez o divert natd seja o q esteja funcionando no seu script add divert natd all from 192.168.0.0/16 to any via wan0 eu costumava usar assim, inclusive com pipes. mas o seu one_pass está me fazendo refletir se deveria ser setado em 1 ou nao... [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb. Em 11 de novembro de 2014 11:37, Márcio Elias marcioel...@gmail.com escreveu: Bom dia pessoal, devido a um problema com Pipe + MAC Address no FreeBSD 10 para controle de upload (thread antiga aqui), estou fazendo testes na versão 9.2 do Nat do IPFW usando libalias. Pois bem, independentemente das demais regras (testei somente com as de NAT) o comportamento no FreeBSD 9.2 ficou diferente do FreeBSD 10. Considerem o seguinte: ipfw nat 123 config if WAN_IF log ipfw add 50 nat 123 ip from any to me in recv WAN_IF ipfw add 51 nat 123 ip from 192.168.0.0/16 to any out xmit WAN_IF ipfw add 52 nat 123 ip from 172.16.1.0/24 to any out xmit WAN_IF ipfw add 65000 allow ip from any to any Pois bem, esse cenário na versão 10 funciona, mais na 9 não, todos os pacotes incrementam somente a regra 50, mesmo que eu tente acessar o endereço IP configurado na interface WAN. outros detalhes sysctl: net.inet.ip.forwarding=1 net.inet.ip.fastforwarding=1 net.inet.ip.fw.one_pass=1 kernel: options IPFIREWALL options IPFIREWALL_FORWARD #(somente no 9, no 10 não existe) options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options
Re: [FUG-BR] ipfw nat in-kernel FreeBSD 9.2
faz o pipe apenas pelo IP... e a regra do accept faça atraves de AND do ip e mac. assim vc 'nao complicou' o seu script de fw fazendo regra dummynet em layer2... e liberou apenas os clientes com MAC previamente cadastrados o mal intencionado teria q saber q vc faz isso, e clonar o mac de alguem. tem furo, mas pqp, é meio 'impossivel'... so se vcs derem a dica. eu fazia assim qndo vendia internet predial: ipfw add pipe 1 ip from 192.168.0.1 to any ipfw config pipe 1 bw 10Mbp/s ipfw add accept from 192.162.168.0.1 to any allow all ip from any to any MAC xx:xx:xx:xx any # MAC do usuario do IP .1 ipfw add pipe 2 ip from 192.168.0.2 to any ipfw config pipe 2 bw 10Mbp/s ipfw add accept from 192.162.168.0.2 to any allow all ip from any to any MAC xx:xx:xx:xx any # MAC do usuario do IP .2 (claro q tem q fazer as regras de retorno tb..) Dois pontos a considerar: # sysctl net.link.ether.ipfw=1 The other thing to realise is that MAC addresses are written in reverse order: *dest src*; whereas IP rules are written in forward order: *src dest* . [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb. Em 11 de novembro de 2014 15:42, Márcio Elias marcioel...@gmail.com escreveu: Entendi... seu objetivo (q estaria causando o kernel panic) é o MAC + pipes Não dá Kernel Panic no 9.2, somente no 10.1, no 10 simplesmente não há navegação, nem com MAC nem com IP direto. Sobre PPPoE é meu futuro, estou caminhando para isso mais são muitos clientes e tenho muitos concentradores que preciso otimizar antes de tudo virar PPPoE. Estamos falando de 600 aliases de IP em média por concentrador, e de até uns 60Mb de banda. Eu já uso o que vc sugeriu, DHCP por MAC + IPFW + dummynet + scripts. O problema de deixar o IP atrelado somente ao DHCP é que algum usuário mal intencionado pode setar um IP manualmente de alguma subrede roteada e sair navegando. Ou seja, eu limito a banda ao IP e ao MAC atrelados. 2014-11-11 15:31 GMT-02:00 Fabricio Lima lis...@fabriciolima.com.br: Entendi... seu objetivo (q estaria causando o kernel panic) é o MAC + pipes Duvida: -sem as regras de mac address, está tudo carregando normal ne? (pipes por IP) e baixa cpu? -pra estar gerando tanta carga na cpu assim, qual o throughput q estamos falando? (pra saber se a alta demanda de cpu é a filtragem dos MAC, ou o dummynet em si) geralmente eu nao tinha problemas de cpu qndo usava, mas eram poucos clientes aplicados dummynet. tenta refazer suas regras em pf (mas ele so suporta filtragem por mac operando como bridge) ou poderia cogitar migrar os usuarios para pppoe, levantando um servidor de pppoe na sua ponta. se tudo mais falhar, poderia usar uma integraçao dhcp + reserva por mac + dummynet + script levantando o firewall pra este ip dinamicamente, validando a origem do mac, e aplicando sua limitaçao de banda por IP ao inves de mac. ou seja, caso nao resolva, tem 2 paleativos pra vc fugir da alta cpu, com outras soluçoes. ou refazendo em outro fw. mas nao esqueça de responder as perguntas acima. [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb. Em 11 de novembro de 2014 14:36, Márcio Elias marcioel...@gmail.com escreveu: Fabricio, eu uso o divert em alguns cases (mais de 20), só que o consumo de cpu e a latência conforme a banda consumida e o número de sub-redes com alias na placa interna aumenta está ficando inviável. A tentativa de utilizar essa forma de NAT é reduzir esse consumo de CPU e também manter uma latência mais baixa na rede. Já tentei com one_pass 1 e 0. Estava testando o FreeBSD 10.1 RC4 para ver se ainda tinha o bug do MAC com PIPE mais o mesmo está dando kernel panic assim que eu ativo o dummynet para controlar a banda (subo as regras do firewall). Vejo relatos deste nat usando libalias deste a versão 8, deve ser algum tratamento diferenciado nos pacotes que obriga a criação de regras de nat diferentes na versão 9, e por isso esteja errando, mais não encontrei a lógica correta. Vi alguns usuários usando duas FIBs, mais não sei se isso seria necessário. -- Att. __ Márcio Elias Hahn do Nascimento Bacharel em Tecnologias da Informação e Comunicação - TIC Cel: (55) 48-8469-1819 Emails: marcioel...@bsd.com.br / marcioel...@gmail.com Skype: marcioeliash...@hotmail.com FreeBSD - The Power To Serve 2014-11-11 12:13 GMT-02:00 Fabricio Lima lis...@fabriciolima.com.br: Talvez o divert natd seja o q esteja funcionando no seu script add divert natd all from 192.168.0.0/16 to any via wan0 eu costumava usar assim, inclusive com pipes. mas o seu one_pass está me fazendo refletir se deveria ser setado em 1 ou nao... [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb.
Re: [FUG-BR] IPFW e NAT
netri...@zipmail.com.br escreveu: Boa tarde amigos. � Tenho uma estrutura com uma LAN e três Links de Internet em um firewall FreeBSD 10-Release. Quero distribuir a saida da minha LAN entre os três links de Internet. Não precisa ser balanceado, pode ser por grupo de hosts, mas gostaria de fazer isso utilizando IPFW com nat in-kernel, mas realmente não sei como. � Estrutura: � Link 1 --\ Link 2 -- [Firewall] - LAN Link 3 --/ � Conto com a ajuda de todos. � Atcs. Opa. Tudo bem que a lista é do FreeBSD, mas você já pensou em usar o PFSENSE? Neste caso em específico lá na interface dele você seta seus gateways dos 3 links de internet e escolhe se vai fazer load balance, failover, etc, etc... Na unha aí na shell do FreeBSD você vai ter que usar provavelmente o pf + load balancing: http://www.openbsd.org/faq/pf/pools.html Ultimamente prezo muito pela agilidade da inteface gráfica, principalmente quando precisamos distribuir o trabalho para mais pessoas. e o PFSense tem o ponto positivo que é um BSD por trás. Não é medonho tipo os shorewall hehehehehe - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW
2014-04-12 14:01 GMT-03:00 Tiago Drumond ti...@freebsdbrasil.com.br: Pessoal, Estou com uma dúvida sobre ipfw. Meu cenário é o seguinte:em0(interna): 172.30.0.9em1(internet): 192.168.0.22 - Gateway 192.168.0.1 O que estou querendo é que todo trafego que chegar na em1 encaminhe para o ip 173.30.0.10 que é uma maquina da rede interna. E todo tráfego que chegar da 173.30.0.10 encaminhe para o 192.168.0.1.Ou seja, quero encaminhar todos os dados da internet para a maquina interna e todo trafego que chegar nessa interna encaminhe para a internet.Queria com ipfw diretamente pois terei umas regras de filtro rodando nela. - Email sent using ProApps - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Não seria o caso de criar uma interface Bridge e aplicar as regras de IPFW sobre essa bridge? Handbook - http://www.freebsd.org/doc/handbook/network-bridging.html ifconfig bridge0 addm em0 addm em1 up# ifconfig em0 up# ifconfig em1 up Para tornar permanente, colocar no rc.conf cloned_interfaces=bridge0 ifconfig_bridge0=addm em0 addm em1 up ifconfig_em0=up ifconfig_em1=up Depois usa a interface bridge0 nas regras do firewall. -- Att. __ Márcio Elias Hahn do Nascimento Bacharel em Tecnologias da Informação e Comunicação - TIC Cel: (55) 48-8469-1819 Emails: marcioel...@bsd.com.br / marcioel...@gmail.com Skype: marcioeliash...@hotmail.com FreeBSD - The Power To Serve - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW
- Menssagem Original - De: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Para:Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Cópia: Enviado:Sat, 12 Apr 2014 14:21:45 -0300 Assunto:Re: [FUG-BR] IPFW 2014-04-12 14:01 GMT-03:00 Tiago Drumond : Pessoal, Estou com uma dúvida sobre ipfw. Meu cenário é o seguinte:em0(interna): 172.30.0.9em1(internet): 192.168.0.22 - Gateway 192.168.0.1 O que estou querendo é que todo trafego que chegar na em1 encaminhe para o ip 173.30.0.10 que é uma maquina da rede interna. E todo tráfego que chegar da 173.30.0.10 encaminhe para o 192.168.0.1.Ou seja, quero encaminhar todos os dados da internet para a maquina interna e todo trafego que chegar nessa interna encaminhe para a internet.Queria com ipfw diretamente pois terei umas regras de filtro rodando nela. - Email sent using ProApps - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Não seria o caso de criar uma interface Bridge e aplicar as regras de IPFW sobre essa bridge? Handbook - http://www.freebsd.org/doc/handbook/network-bridging.html ifconfig bridge0 addm em0 addm em1 up# ifconfig em0 up# ifconfig em1 up Para tornar permanente, colocar no rc.conf cloned_interfaces=bridge0 ifconfig_bridge0=addm em0 addm em1 up ifconfig_em0=up ifconfig_em1=up Depois usa a interface bridge0 nas regras do firewall. -- Att. __ Márcio Elias Hahn do Nascimento Bacharel em Tecnologias da Informação e Comunicação - TIC Cel: (55) 48-8469-1819 Emails: marcioel...@bsd.com.br / marcioel...@gmail.com Skype: marcioeliash...@hotmail.com FreeBSD - The Power To Serve - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Márcio, Não deu certo. Da rede interna não pingo, não faço nada. - Email sent using ProApps - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
2013/10/4 Patrick Tracanelli eks...@freebsdbrasil.com.br: Em 04/10/2013, às 11:56, Renata Dias renatchi...@gmail.com escreveu: Patrick, Eu consigo rodar este mesmo patch http://loos.no-ip.org:280/lusca_bridge.diff no 9.2-STABLE ? Renata, não consegue não. A partir do MFC do PFIL pro IPFW e bridge, alguma coisa quebrou (acho que a forma que os mbuff tags são marcados, não sei) e esse patch apesar de aplicar normalmente, com pouca mudança (so o path do ip_fw2.c saindo do netinet) não funciona mais. O MFC aconteceu em algum momento entre o 9.1-RELEASE e o 9.1-STABLE então se mantenha no 9.1-RELEASE-pX se precisa desse patch. O Loos comentou comigo que ia arrumar um tempo pra investigar o que quebrou exatamente que esse patch não funciona mais. Melhor que investigar/corrigir/gerarnovopatch é que agora com commit bit do src quem sabe ele não consiga commitar em definitivo ;-) Seria o ideal! :D Loos esse patch foi send-pr(1)? Se foi fala o PR # ai, se tiverem muitos aqui na lista que precisam desse patch sugiro que todos dêem follow-up em um possível PR pra ajudar a dar a importância devida ao patch e mostrar a importância dele entrar na base. Patrick, Renato, Eu não criei nenhum PR para aquele patch porque ele funcionou um tanto quanto sem querer e eu não poderia justificar aquelas alterações, o que definitivamente é um no-go. Outra coisa que dificulta o commit é a falta de testes ou talvez até a completa falta de suporte para ipv6. Fora isso, o fato que vocês já comentaram muito bem, essa topologia é mais complicada para ser utilizada (no final das contas), pois não escala bem. Fora o Brasil e alguns outros poucos países o interesse nesse tipo de solução é muito pequeno. Eu acho que o que eles chamam de modo 'paralelo' deve funcionar sem patches. Se não funciona esse seria o primeiro ponto a ser corrigido. Att., Luiz - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
Tentei fazer o download do patch, porém a página não está disponível. http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_9-STABLE.diff Page not found. Gostaria de rodar o patch no 9.2-STABLE. Alguma dica? Obrigada. Em 6 de fevereiro de 2013 13:51, Christian Sant'Ana christian.li...@eloinet.com.br escreveu: Alguém sabe como fazer funcionar no 9.1-STABLE, porque aqui não deu certo. Christian Sant'Ana Em 17/10/2012 16:18, Luiz Gustavo S. Costa escreveu: detalhe, eu rodei o patch do 9-STABLE no 9.1-PRERELEASE e foi de boa.. não precisei mexer em nada. ou seja, tenho um 9.1 com esse patch rodando de boa ! Em 17 de outubro de 2012 16:16, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: Eu fiz adaptações no patch do loos para rodar no 8-STABLE e no 9-STABLE: http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_8_STABLE.diff http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_9-STABLE.diff lembrando, todo o crédito é do LOOS !!! (Luiz Otavio) para aplicar, puxe o src para o stable 8/9 e aplique o patch assim: cd /usr/src patch -p0 /caminho/do/arquivo/lusca_tproxy_9-STABLE.diff pronto, dai é compilar world e kernel (o config do kernel deve ter a bridge e o fwd do ipfw build-in) Em 17 de outubro de 2012 16:08, Alexandre Silva Nano alexna...@gmail.com escreveu: Em 16 de outubro de 2012 17:24, Renata Dias renatchi...@gmail.com escreveu: Boa tarde, Pessoal! Podem me ajudar a aplicar este patch? Quais os passos mesmo? Nuss.. Há um tempo que venho procurando esse patch também!!! Acabei até desistindo de implementar o proxy por causa disso... Quero saber também o caminho das pedras para aplicar esse patch! Abraços. -- Att, Alexandre Silva Nano Tecnólogo em Gestão de Redes de Computadores, UNIFACS Enterasys Security Systems Engineer - IPS/SIEM Enterasys Certified Specialist - NAC, Switching Analista de Tecnologia da Informação e Comunicação www.ideiadigital.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
Patrick, Eu consigo rodar este mesmo patch http://loos.no-ip.org:280/lusca_bridge.diff no 9.2-STABLE ? Obrigada. Em 8 de outubro de 2010 13:02, Patrick Tracanelli eks...@freebsdbrasil.com.br escreveu: Pessoal, Tenho o prazer de dizer que o Luiz Souza recuperou um patch do Luigi Rizzo que não funcionava desde o FreeBSD 6, e nessa nova versão do Luiz, aplica novamente em FreeBSD 8 (testado -STABLE): http://loos.no-ip.org:280/lusca_bridge.diff Com ele é possível fazer IPFW FWD em bridge transparente. Perfeito pra proxy sem roteamento. Como acredito que isso seja de interesse de muitos, façam seu devido backup do patch acima porque de vez em quando o Luiz desliga essa maquina ;-) Valeu Luiz de novo. Esperamos que isso entre no -HEAD pra não se perder de novo. -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
* Renata Dias (renatchi...@gmail.com) wrote: Tentei fazer o download do patch, porém a página não está disponível. http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_9-STABLE.diff Page not found. Gostaria de rodar o patch no 9.2-STABLE. Alguma dica? Obrigada. Você terá que fazer com o 9.1-RELEASE a partir do 9.1-STABLE houveram algumas alterações em relação ao ipfw que o patch não funciona. segue url atualizada http://mundounix.com.br/~gugabsd/tproxy_bridge_ipfw-9.1-RELEASE.diff boa sorte ! --- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
Em 04/10/2013, às 11:56, Renata Dias renatchi...@gmail.com escreveu: Patrick, Eu consigo rodar este mesmo patch http://loos.no-ip.org:280/lusca_bridge.diff no 9.2-STABLE ? Renata, não consegue não. A partir do MFC do PFIL pro IPFW e bridge, alguma coisa quebrou (acho que a forma que os mbuff tags são marcados, não sei) e esse patch apesar de aplicar normalmente, com pouca mudança (so o path do ip_fw2.c saindo do netinet) não funciona mais. O MFC aconteceu em algum momento entre o 9.1-RELEASE e o 9.1-STABLE então se mantenha no 9.1-RELEASE-pX se precisa desse patch. O Loos comentou comigo que ia arrumar um tempo pra investigar o que quebrou exatamente que esse patch não funciona mais. Melhor que investigar/corrigir/gerarnovopatch é que agora com commit bit do src quem sabe ele não consiga commitar em definitivo ;-) Seria o ideal! :D Loos esse patch foi send-pr(1)? Se foi fala o PR # ai, se tiverem muitos aqui na lista que precisam desse patch sugiro que todos dêem follow-up em um possível PR pra ajudar a dar a importância devida ao patch e mostrar a importância dele entrar na base. Obrigada. Em 8 de outubro de 2010 13:02, Patrick Tracanelli eks...@freebsdbrasil.com.br escreveu: Pessoal, Tenho o prazer de dizer que o Luiz Souza recuperou um patch do Luigi Rizzo que não funcionava desde o FreeBSD 6, e nessa nova versão do Luiz, aplica novamente em FreeBSD 8 (testado -STABLE): http://loos.no-ip.org:280/lusca_bridge.diff Com ele é possível fazer IPFW FWD em bridge transparente. Perfeito pra proxy sem roteamento. Como acredito que isso seja de interesse de muitos, façam seu devido backup do patch acima porque de vez em quando o Luiz desliga essa maquina ;-) Valeu Luiz de novo. Esperamos que isso entre no -HEAD pra não se perder de novo. -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
Em 04/10/13 12:35, Patrick Tracanelli escreveu: Em 04/10/2013, às 11:56, Renata Dias renatchi...@gmail.com escreveu: Patrick, Eu consigo rodar este mesmo patch http://loos.no-ip.org:280/lusca_bridge.diff no 9.2-STABLE ? Renata, não consegue não. A partir do MFC do PFIL pro IPFW e bridge, alguma coisa quebrou (acho que a forma que os mbuff tags são marcados, não sei) e esse patch apesar de aplicar normalmente, com pouca mudança (so o path do ip_fw2.c saindo do netinet) não funciona mais. O MFC aconteceu em algum momento entre o 9.1-RELEASE e o 9.1-STABLE então se mantenha no 9.1-RELEASE-pX se precisa desse patch. O Loos comentou comigo que ia arrumar um tempo pra investigar o que quebrou exatamente que esse patch não funciona mais. Melhor que investigar/corrigir/gerarnovopatch é que agora com commit bit do src quem sabe ele não consiga commitar em definitivo ;-) Seria o ideal! :D Loos esse patch foi send-pr(1)? Se foi fala o PR # ai, se tiverem muitos aqui na lista que precisam desse patch sugiro que todos dêem follow-up em um possível PR pra ajudar a dar a importância devida ao patch e mostrar a importância dele entrar na base. Mudando o papo. Como fica a performance? Ambiente com vários pps e grande quantidade de Mb? Tipo um médio ou grande isp? Já teve gente que se recusou a instalar thundercache em bridge devido a performance, tanto em linux quando bsd. Já tive gente que ao mesmo tempo vende appliance de cache de outros fabricantes que só funcionam em bridge, desligam o cabo que vai no router, poe a bridge e liga ela no router, usam ate aquelas placas que se desligar o appliance da energia, ela chaveia, de modo que se o appliance der algum problema, basta tirar da tomada... Eu sempre evitei, até porque estes patchs me cansam de aplicar, ás vezes quebram na hora de aplicar, fica incompatível e prá mim uma bridge, que tem que analisar tudo que passa, seja ip, tcp, udp, ipsec, gre, sei lá o que mais, só prá fazer cache de um protocolo específico, é perda de dinheiro, onera demais a caixa. Ao mesmo tempo, já precisei rodar uns ipfw faznedo count em bridge prá gerar gráficos de uso de protocolo junto ao cacti e funcionou, mas hoje prefiro rodar flow. Patrick, os softwares que vocês estão alugando que fazem a análise web, tem conceito de bridge? Ao mesmo tempo, muito cliente tem receio de tirar uma caixa cisco ou juniper ou mikrotik, ou sonicwall ou seja lá o que esteja rodando que faz firewall ou router e colocar um novo router bsd ou qq outra coisa que não conhecem. Neste caso, para análise de tráfego online, uma bridge fica perfeita, até o cara obter confiança e permitir usar a caixa de novo como router. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
-- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! Em 04/10/2013, às 13:28, Renato Frederick ren...@frederick.eti.br escreveu: Em 04/10/13 12:35, Patrick Tracanelli escreveu: Em 04/10/2013, às 11:56, Renata Dias renatchi...@gmail.com escreveu: Patrick, Eu consigo rodar este mesmo patch http://loos.no-ip.org:280/lusca_bridge.diff no 9.2-STABLE ? Renata, não consegue não. A partir do MFC do PFIL pro IPFW e bridge, alguma coisa quebrou (acho que a forma que os mbuff tags são marcados, não sei) e esse patch apesar de aplicar normalmente, com pouca mudança (so o path do ip_fw2.c saindo do netinet) não funciona mais. O MFC aconteceu em algum momento entre o 9.1-RELEASE e o 9.1-STABLE então se mantenha no 9.1-RELEASE-pX se precisa desse patch. O Loos comentou comigo que ia arrumar um tempo pra investigar o que quebrou exatamente que esse patch não funciona mais. Melhor que investigar/corrigir/gerarnovopatch é que agora com commit bit do src quem sabe ele não consiga commitar em definitivo ;-) Seria o ideal! :D Loos esse patch foi send-pr(1)? Se foi fala o PR # ai, se tiverem muitos aqui na lista que precisam desse patch sugiro que todos dêem follow-up em um possível PR pra ajudar a dar a importância devida ao patch e mostrar a importância dele entrar na base. Mudando o papo. Como fica a performance? Ambiente com vários pps e grande quantidade de Mb? Tipo um médio ou grande isp? Já teve gente que se recusou a instalar thundercache em bridge devido a performance, tanto em linux quando bsd. Já tive gente que ao mesmo tempo vende appliance de cache de outros fabricantes que só funcionam em bridge, desligam o cabo que vai no router, poe a bridge e liga ela no router, usam ate aquelas placas que se desligar o appliance da energia, ela chaveia, de modo que se o appliance der algum problema, basta tirar da tomada… Eu pessoalmente não gosto da topologia em bridge. Ela é fácil vender/instalar mas não escala tão bem, e sem uma rede com Fail Open realmente em um evento de falha é bem menos trivial, envolve intervenção física ou um ambiente preparado pra redundância sem IP como 802.1w. Muita gente acha que por em bridge ou paralelo da na mesma pro hardware. Por algum motivo que mal consigo imaginar qual seja, acreditam que seja a mesma coisa. Além de diferente em consumo de recurso (sim bridge consome mais que um mero forwarding de pacote) colocar em bridge ja define uma taxa de PPS muito maior pela obvia razao de voce colocar o ISP inteiro passando ali, não apenas porta 80 que é direcionado seletivamente em um ambiente paralelo. Que em caso de falha basta parar de desviar, simples como um watchdog.sh ou watchdog no mikrotik o que for… Alem disso todo o lixo que chega numa porta vai pra outra. E isso inclui broadcast, multicast, virus hehehe. O entendimento que a mudanca não é apenas topologica normalmente é negligenciado quando se tuxa em bridge. Eu sempre evitei, até porque estes patchs me cansam de aplicar, ás vezes quebram na hora de aplicar, fica incompatível e prá mim uma bridge, que tem que analisar tudo que passa, seja ip, tcp, udp, ipsec, gre, sei lá o que mais, só prá fazer cache de um protocolo específico, é perda de dinheiro, onera demais a caixa. Eu concordo exatamente com esse ponto. Patrick, os softwares que vocês estão alugando que fazem a análise web, tem conceito de bridge? Ao mesmo tempo, muito cliente tem receio de tirar uma caixa cisco ou juniper ou mikrotik, ou sonicwall ou seja lá o que esteja rodando que faz firewall ou router e colocar um novo router bsd ou qq outra coisa que não conhecem. Neste caso, para análise de tráfego online, uma bridge fica perfeita, até o cara obter confiança e permitir usar a caixa de novo como router. Sim, tanto bridge quanto espelhamento de porta ou recebendo netflow ou ainda indo buscar snmp. Todas as formas possíveis ;-) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
Em 04/10/13 14:28, Patrick Tracanelli escreveu: Eu pessoalmente não gosto da topologia em bridge. Ela é fácil vender/instalar mas não escala tão bem, e sem uma rede com Fail Open realmente em um evento de falha é bem menos trivial, envolve intervenção física ou um ambiente preparado pra redundância sem IP como 802.1w. Muita gente acha que por em bridge ou paralelo da na mesma pro hardware. Por algum motivo que mal consigo imaginar qual seja, acreditam que seja a mesma coisa. Além de diferente em consumo de recurso (sim bridge consome mais que um mero forwarding de pacote) colocar em bridge ja define uma taxa de PPS muito maior pela obvia razao de voce colocar o ISP inteiro passando ali, não apenas porta 80 que é direcionado seletivamente em um ambiente paralelo. Que em caso de falha basta parar de desviar, simples como um watchdog.sh ou watchdog no mikrotik o que for… Alem disso todo o lixo que chega numa porta vai pra outra. E isso inclui broadcast, multicast, virus hehehe. O entendimento que a mudanca não é apenas topologica normalmente é negligenciado quando se tuxa em bridge. Somos dois! :-) Eu sempre evitei, até porque estes patchs me cansam de aplicar, ás vezes quebram na hora de aplicar, fica incompatível e prá mim uma bridge, que tem que analisar tudo que passa, seja ip, tcp, udp, ipsec, gre, sei lá o que mais, só prá fazer cache de um protocolo específico, é perda de dinheiro, onera demais a caixa. Eu concordo exatamente com esse ponto. Patrick, os softwares que vocês estão alugando que fazem a análise web, tem conceito de bridge? Ao mesmo tempo, muito cliente tem receio de tirar uma caixa cisco ou juniper ou mikrotik, ou sonicwall ou seja lá o que esteja rodando que faz firewall ou router e colocar um novo router bsd ou qq outra coisa que não conhecem. Neste caso, para análise de tráfego online, uma bridge fica perfeita, até o cara obter confiança e permitir usar a caixa de novo como router. Sim, tanto bridge quanto espelhamento de porta ou recebendo netflow ou ainda indo buscar snmp. Todas as formas possíveis ;-) Beleza! Bom saber, fica mais fácil vislumbrar a demanda. Valeu Patrick! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw + 3 way handshake
Entao, corrijam-me se estiver equivocado, mais ele nao conta na regra do check-state, por que na verdade quem eh processada eh a regra dinamica criada pelo argumento setup... por isso da necessidade de rodar o ipfw -d show e constatar se de fato, essas regras estao sendo criadas e estao contando pacotes... -- Att. __ Márcio Elias Hahn do Nascimento Araranguá - SC Cel: (55) 48-9661-0233 msn: marcioeliash...@hotmail.com 2013/8/31 Marcelo Gondim gon...@bsdinfo.com.br Em 31/08/13 00:39, Márcio Elias escreveu: As regras postadas estao corretas, se bloqueou no stablished eh por que o ipfw nao achou a regra dinamica criada, ou seja nao caiu no check-state. Como ficaram as regras que vc implementou ai? experimenta executar o comando: ipfw -d show Veja se vc encontra regras dinamicas (criadas pelo setup keep-state). Pois é Marcio, Uma coisa que sempre achei estranho no ipfw é que sempre aparece zerado o contador do check-state. Como se não tivesse passando nada ali. Tem alguma sysctl pra habilitar ele? Porque comigo nunca apareceu nada no contador dele. []'s Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw + 3 way handshake
Em 30 de agosto de 2013 20:01, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Pessoal, Estou com um problema que é o seguinte. Quando coloco essa regra: ipfw add allow tcp from any to me 80 in via em0 setup limit src-addr 10 Na minha concepção só seria registrado como regra consumindo stateful se houvesse o 3 way handshake na tentativa de conexão, por causa do setup. Ou o ipfw não faz dessa forma? Eu sei que o pf tem esse recurso usando o synproxy. The synproxy state option can be used to cause pf(4) itself to complete the handshake with the active endpoint, perform a handshake with the passive endpoint, and then forward packets between the endpoints. []'s Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Godim, Por padrão, o ipfw não mantem estado (state), você tem que especificar isso, veja no man [1], na sessão de examplos, tem um exemplo do que você quer fazer: ipfw add check-state ipfw add deny tcp from any to any established ipfw add allow tcp from my-net to any setup keep-state ipfw add allow tcp from my-net/24 to any setup limit src-addr 10 ipfw add allow tcp from any to me setup limit src-addr 4 [1] http://www.freebsd.org/cgi/man.cgi?query=ipfwapropos=0sektion=0manpath=FreeBSD+9.1-RELEASEarch=defaultformat=html#EXAMPLES -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw + 3 way handshake
Em 30/08/13 20:09, Luiz Gustavo S. Costa escreveu: Em 30 de agosto de 2013 20:01, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Pessoal, Estou com um problema que é o seguinte. Quando coloco essa regra: ipfw add allow tcp from any to me 80 in via em0 setup limit src-addr 10 Na minha concepção só seria registrado como regra consumindo stateful se houvesse o 3 way handshake na tentativa de conexão, por causa do setup. Ou o ipfw não faz dessa forma? Eu sei que o pf tem esse recurso usando o synproxy. The synproxy state option can be used to cause pf(4) itself to complete the handshake with the active endpoint, perform a handshake with the passive endpoint, and then forward packets between the endpoints. []'s Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Godim, Por padrão, o ipfw não mantem estado (state), você tem que especificar isso, veja no man [1], na sessão de examplos, tem um exemplo do que você quer fazer: ipfw add check-state ipfw add deny tcp from any to any established ipfw add allow tcp from my-net to any setup keep-state ipfw add allow tcp from my-net/24 to any setup limit src-addr 10 ipfw add allow tcp from any to me setup limit src-addr 4 [1] http://www.freebsd.org/cgi/man.cgi?query=ipfwapropos=0sektion=0manpath=FreeBSD+9.1-RELEASEarch=defaultformat=html#EXAMPLES Guga, não rolou. Quando tentei fazer isso o deny do established bloqueou minha conexão. Ou eu estou fazendo algo bem errado ou esse esquema aí tem algo errado. :( []'s Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw + 3 way handshake
As regras postadas estao corretas, se bloqueou no stablished eh por que o ipfw nao achou a regra dinamica criada, ou seja nao caiu no check-state. Como ficaram as regras que vc implementou ai? experimenta executar o comando: ipfw -d show Veja se vc encontra regras dinamicas (criadas pelo setup keep-state). -- Att. __ Márcio Elias Hahn do Nascimento Araranguá - SC Cel: (55) 48-9661-0233 msn: marcioeliash...@hotmail.com 2013/8/30 Marcelo Gondim gon...@bsdinfo.com.br Em 30/08/13 20:09, Luiz Gustavo S. Costa escreveu: Em 30 de agosto de 2013 20:01, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Pessoal, Estou com um problema que é o seguinte. Quando coloco essa regra: ipfw add allow tcp from any to me 80 in via em0 setup limit src-addr 10 Na minha concepção só seria registrado como regra consumindo stateful se houvesse o 3 way handshake na tentativa de conexão, por causa do setup. Ou o ipfw não faz dessa forma? Eu sei que o pf tem esse recurso usando o synproxy. The synproxy state option can be used to cause pf(4) itself to complete the handshake with the active endpoint, perform a handshake with the passive endpoint, and then forward packets between the endpoints. []'s Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Godim, Por padrão, o ipfw não mantem estado (state), você tem que especificar isso, veja no man [1], na sessão de examplos, tem um exemplo do que você quer fazer: ipfw add check-state ipfw add deny tcp from any to any established ipfw add allow tcp from my-net to any setup keep-state ipfw add allow tcp from my-net/24 to any setup limit src-addr 10 ipfw add allow tcp from any to me setup limit src-addr 4 [1] http://www.freebsd.org/cgi/man.cgi?query=ipfwapropos=0sektion=0manpath=FreeBSD+9.1-RELEASEarch=defaultformat=html#EXAMPLES Guga, não rolou. Quando tentei fazer isso o deny do established bloqueou minha conexão. Ou eu estou fazendo algo bem errado ou esse esquema aí tem algo errado. :( []'s Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw + 3 way handshake
Em 31/08/13 00:39, Márcio Elias escreveu: As regras postadas estao corretas, se bloqueou no stablished eh por que o ipfw nao achou a regra dinamica criada, ou seja nao caiu no check-state. Como ficaram as regras que vc implementou ai? experimenta executar o comando: ipfw -d show Veja se vc encontra regras dinamicas (criadas pelo setup keep-state). Pois é Marcio, Uma coisa que sempre achei estranho no ipfw é que sempre aparece zerado o contador do check-state. Como se não tivesse passando nada ali. Tem alguma sysctl pra habilitar ele? Porque comigo nunca apareceu nada no contador dele. []'s Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
Alguém sabe como fazer funcionar no 9.1-STABLE, porque aqui não deu certo. Christian Sant'Ana Em 17/10/2012 16:18, Luiz Gustavo S. Costa escreveu: detalhe, eu rodei o patch do 9-STABLE no 9.1-PRERELEASE e foi de boa.. não precisei mexer em nada. ou seja, tenho um 9.1 com esse patch rodando de boa ! Em 17 de outubro de 2012 16:16, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: Eu fiz adaptações no patch do loos para rodar no 8-STABLE e no 9-STABLE: http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_8_STABLE.diff http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_9-STABLE.diff lembrando, todo o crédito é do LOOS !!! (Luiz Otavio) para aplicar, puxe o src para o stable 8/9 e aplique o patch assim: cd /usr/src patch -p0 /caminho/do/arquivo/lusca_tproxy_9-STABLE.diff pronto, dai é compilar world e kernel (o config do kernel deve ter a bridge e o fwd do ipfw build-in) Em 17 de outubro de 2012 16:08, Alexandre Silva Nano alexna...@gmail.com escreveu: Em 16 de outubro de 2012 17:24, Renata Dias renatchi...@gmail.comescreveu: Boa tarde, Pessoal! Podem me ajudar a aplicar este patch? Quais os passos mesmo? Nuss.. Há um tempo que venho procurando esse patch também!!! Acabei até desistindo de implementar o proxy por causa disso... Quero saber também o caminho das pedras para aplicar esse patch! Abraços. -- Att, Alexandre Silva Nano Tecnólogo em Gestão de Redes de Computadores, UNIFACS Enterasys Security Systems Engineer - IPS/SIEM Enterasys Certified Specialist - NAC, Switching Analista de Tecnologia da Informação e Comunicação www.ideiadigital.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw - firewall_enable=NO
Aproveitando o assunto... Sempre que implemento um server, faço a compilação do kernel e insiro a diretiva IPFIREWALL_DEFAULT_TO_ACCEPT no kernel e copio o script de fw para a maquina. Em uma maquina de testes que está com o kernel GENERIC, o shell perde conexão quando executa as regras. Analisando as regras, o problema ocorre quando o script faz um FLUSH e, neste momento, a regra DENY bloqueia as conexões, derruba meu shell e eu tenho que ir fisicamente até a máquina. O que os amigos da lista praticam nesse sentido ? Tem como obter o IPFIREWALL_DEFAULT_TO_ACCEPT via sysctl ? Como preparar o script para poder ser executado tranquilamente via shell remoto ? Abraços, Renato Em 27 de novembro de 2012 17:42, Eduardo Schoedler lis...@esds.com.brescreveu: Sim. -- Eduardo Schoedler Em 27 de novembro de 2012 17:40, Mail GTER mail.g...@gmail.com escreveu: Então, mesmo com firewall_enable=NO a regra deny all (ultima) será carregada ? Enviado via iPhone - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw - firewall_enable=NO
Segundo o manual, é recomendado o uso de -q para evitar a perda da conexão remota -q Be quiet when executing the add, nat, zero, resetlog or flush commands; (implies -f). This is useful when updating rulesets by executing multiple ipfw commands in a script (e.g., `sh /etc/rc.firewall'), or by processing a file with many ipfw rules across a remote login session. It also stops a table add or delete from failing if the entry already exists or is not present. Contudo, percebi que caso haja algum regra com erro de sintaxe, mesmo com -q a conexão é perdida, pois o ipfw não lê as regras abaixo da linha problemática. No meu caso não compilei o kernel com IPFIREWALL_DEFAULT_TO_ACCEPT. Em 3 de dezembro de 2012 09:19, Renato Sousa renso...@gmail.com escreveu: quando o script faz um FLUSH e, neste momento, a regra DENY bloqueia as - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw - firewall_enable=NO
NO meu caso também. No script tem um trecho conforme abaixo que examina o conteúdo da variável firewall_quiet e carrega sempre as regras com -q. ... case ${firewall_quiet} in [Yy][Ee][Ss]) fwcmd=/sbin/ipfw -q ;; *) fwcmd=/sbin/ipfw ;; esac ### # Limpa a lista de regras antes de iniciar # ${fwcmd} -f flush ... cat /etc/rc.conf | grep firewall_quiet firewall_quiet=YES Alguém tem alguma outra dica ? Abraços, Renato 2012/12/3 mail gter mail.g...@gmail.com Segundo o manual, é recomendado o uso de -q para evitar a perda da conexão remota -q Be quiet when executing the add, nat, zero, resetlog or flush commands; (implies -f). This is useful when updating rulesets by executing multiple ipfw commands in a script (e.g., `sh /etc/rc.firewall'), or by processing a file with many ipfw rules across a remote login session. It also stops a table add or delete from failing if the entry already exists or is not present. Contudo, percebi que caso haja algum regra com erro de sintaxe, mesmo com -q a conexão é perdida, pois o ipfw não lê as regras abaixo da linha problemática. No meu caso não compilei o kernel com IPFIREWALL_DEFAULT_TO_ACCEPT. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw - firewall_enable=NO
Esse firewall é o script das regras. O ipfw estará sempre carregado com ele compilado no kernel. -- Eduardo Schoedler Em 27 de novembro de 2012 17:18, mail gter mail.g...@gmail.com escreveu: Boa tarde, Embora tenha definido no rc.conf a diretiva firewall_enable=NO o ipfw insiste em subir durante o boot. Ao que tudo indica, isso começou após eu compilar o kernel. os ajustes que fiz foram: options IPFIREWALL optionsIPFIREWALL_VERBOSE optionsIPFIREWALL_VERBOSE_LIMIT=1 options IPDIVERT options DUMMYNET options HZ=1000 Paliativamente, após cada boot, estou rodando um ipfw disable firewall. Será que pode ter sido algum dos parâmetros acima ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw - firewall_enable=NO
Então, mesmo com firewall_enable=NO a regra deny all (ultima) será carregada ? Enviado via iPhone Em 27/11/2012, às 17:21, Eduardo Schoedler lis...@esds.com.br escreveu: Esse firewall é o script das regras. O ipfw estará sempre carregado com ele compilado no kernel. -- Eduardo Schoedler Em 27 de novembro de 2012 17:18, mail gter mail.g...@gmail.com escreveu: Boa tarde, Embora tenha definido no rc.conf a diretiva firewall_enable=NO o ipfw insiste em subir durante o boot. Ao que tudo indica, isso começou após eu compilar o kernel. os ajustes que fiz foram: options IPFIREWALL optionsIPFIREWALL_VERBOSE optionsIPFIREWALL_VERBOSE_LIMIT=1 options IPDIVERT options DUMMYNET options HZ=1000 Paliativamente, após cada boot, estou rodando um ipfw disable firewall. Será que pode ter sido algum dos parâmetros acima ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw - firewall_enable=NO
Sim. -- Eduardo Schoedler Em 27 de novembro de 2012 17:40, Mail GTER mail.g...@gmail.com escreveu: Então, mesmo com firewall_enable=NO a regra deny all (ultima) será carregada ? Enviado via iPhone Em 27/11/2012, às 17:21, Eduardo Schoedler lis...@esds.com.br escreveu: Esse firewall é o script das regras. O ipfw estará sempre carregado com ele compilado no kernel. -- Eduardo Schoedler Em 27 de novembro de 2012 17:18, mail gter mail.g...@gmail.com escreveu: Boa tarde, Embora tenha definido no rc.conf a diretiva firewall_enable=NO o ipfw insiste em subir durante o boot. Ao que tudo indica, isso começou após eu compilar o kernel. os ajustes que fiz foram: options IPFIREWALL optionsIPFIREWALL_VERBOSE optionsIPFIREWALL_VERBOSE_LIMIT=1 options IPDIVERT options DUMMYNET options HZ=1000 Paliativamente, após cada boot, estou rodando um ipfw disable firewall. Será que pode ter sido algum dos parâmetros acima ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
Em 16 de outubro de 2012 17:24, Renata Dias renatchi...@gmail.comescreveu: Boa tarde, Pessoal! Podem me ajudar a aplicar este patch? Quais os passos mesmo? Nuss.. Há um tempo que venho procurando esse patch também!!! Acabei até desistindo de implementar o proxy por causa disso... Quero saber também o caminho das pedras para aplicar esse patch! Abraços. -- Att, Alexandre Silva Nano Tecnólogo em Gestão de Redes de Computadores, UNIFACS Enterasys Security Systems Engineer - IPS/SIEM Enterasys Certified Specialist - NAC, Switching Analista de Tecnologia da Informação e Comunicação www.ideiadigital.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
Eu fiz adaptações no patch do loos para rodar no 8-STABLE e no 9-STABLE: http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_8_STABLE.diff http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_9-STABLE.diff lembrando, todo o crédito é do LOOS !!! (Luiz Otavio) para aplicar, puxe o src para o stable 8/9 e aplique o patch assim: cd /usr/src patch -p0 /caminho/do/arquivo/lusca_tproxy_9-STABLE.diff pronto, dai é compilar world e kernel (o config do kernel deve ter a bridge e o fwd do ipfw build-in) Em 17 de outubro de 2012 16:08, Alexandre Silva Nano alexna...@gmail.com escreveu: Em 16 de outubro de 2012 17:24, Renata Dias renatchi...@gmail.comescreveu: Boa tarde, Pessoal! Podem me ajudar a aplicar este patch? Quais os passos mesmo? Nuss.. Há um tempo que venho procurando esse patch também!!! Acabei até desistindo de implementar o proxy por causa disso... Quero saber também o caminho das pedras para aplicar esse patch! Abraços. -- Att, Alexandre Silva Nano Tecnólogo em Gestão de Redes de Computadores, UNIFACS Enterasys Security Systems Engineer - IPS/SIEM Enterasys Certified Specialist - NAC, Switching Analista de Tecnologia da Informação e Comunicação www.ideiadigital.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
detalhe, eu rodei o patch do 9-STABLE no 9.1-PRERELEASE e foi de boa.. não precisei mexer em nada. ou seja, tenho um 9.1 com esse patch rodando de boa ! Em 17 de outubro de 2012 16:16, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: Eu fiz adaptações no patch do loos para rodar no 8-STABLE e no 9-STABLE: http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_8_STABLE.diff http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_9-STABLE.diff lembrando, todo o crédito é do LOOS !!! (Luiz Otavio) para aplicar, puxe o src para o stable 8/9 e aplique o patch assim: cd /usr/src patch -p0 /caminho/do/arquivo/lusca_tproxy_9-STABLE.diff pronto, dai é compilar world e kernel (o config do kernel deve ter a bridge e o fwd do ipfw build-in) Em 17 de outubro de 2012 16:08, Alexandre Silva Nano alexna...@gmail.com escreveu: Em 16 de outubro de 2012 17:24, Renata Dias renatchi...@gmail.comescreveu: Boa tarde, Pessoal! Podem me ajudar a aplicar este patch? Quais os passos mesmo? Nuss.. Há um tempo que venho procurando esse patch também!!! Acabei até desistindo de implementar o proxy por causa disso... Quero saber também o caminho das pedras para aplicar esse patch! Abraços. -- Att, Alexandre Silva Nano Tecnólogo em Gestão de Redes de Computadores, UNIFACS Enterasys Security Systems Engineer - IPS/SIEM Enterasys Certified Specialist - NAC, Switching Analista de Tecnologia da Informação e Comunicação www.ideiadigital.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
Boa tarde, Pessoal! Podem me ajudar a aplicar este patch? Quais os passos mesmo? Obrigada. Em 8 de outubro de 2010 13:02, Patrick Tracanelli eks...@freebsdbrasil.com.br escreveu: Pessoal, Tenho o prazer de dizer que o Luiz Souza recuperou um patch do Luigi Rizzo que não funcionava desde o FreeBSD 6, e nessa nova versão do Luiz, aplica novamente em FreeBSD 8 (testado -STABLE): http://loos.no-ip.org:280/lusca_bridge.diff Com ele é possível fazer IPFW FWD em bridge transparente. Perfeito pra proxy sem roteamento. Como acredito que isso seja de interesse de muitos, façam seu devido backup do patch acima porque de vez em quando o Luiz desliga essa maquina ;-) Valeu Luiz de novo. Esperamos que isso entre no -HEAD pra não se perder de novo. -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - Bloquear dominios pelo Firewall
Uma boa solução é colocar instalar o dnsmasq e fazer dele o dns cache resolver da rede inteira. se for preciso redirecione a a porta udp e tcp 53 pra ele. E nele vc pode apontar os dominios que quiser para 127.0.0.2 assim ninguem acessa. Em 7 de junho de 2012 13:37, Renato Frederick ren...@frederick.eti.br escreveu: Opa, Danilo, sem um proxy(Squid e tal),que faz o L7 e vai inspecionar a URL, etc, etc, estes bloqueios por IP - no meu ponto de vista são muito radicais e manuais. Colocar o ipfw para dar deny dependendo de nome é um problema também, seu firewall fica preso ao DNS responder. o Ideal é usar um squid/lusca transparente e fazer nele o controle de URL. Se o servidor não puder rodar squid, aí só vejo alternativa você usar o whois para obter os blocos de IP deles e ir bloqueando. Em 07/06/12 13:07, Danilo Neves escreveu: Caro colegas da comunidadeé o seguinteee Não sei se estou fazendo da forma correta ou se um jeito melhor (sem proxy), mas vamos supor que eu queira bloquear o facebook.com pelo ipfw. ipfw add deny ip from any to facebook.com Nesse caso ele só vai bloquear o ip que resolveu na hora como mostro abaixo...mas o facebook é resolvido por vários IPs...e sendo assim não seria a forma ideal. # ipfw show 00100 0 0 deny tcp from any to 69.171.224.37 No iptables ele já pega todos os ips e já bloqueia. Comando para bloquear #iptables -A OUTPUT -d facebook.com.br -j DROP Listando os ips bloqueados #iptables -nL OUTPUT Chain OUTPUT (policy ACCEPT) target prot opt source destination DROP all -- 0.0.0.0/0 69.171.242.11 DROP all -- 0.0.0.0/0 66.220.158.11 DROP all -- 0.0.0.0/0 69.171.224.37 DROP all -- 0.0.0.0/0 66.220.149.11 DROP all -- 0.0.0.0/0 69.171.229.11 Vejam que ele já pegou todos os ips e dropou :D Agora vem a perguntano ipfw tem algum parâmetro que eu tenho q colocar para bloquear todos os ips que resolve o nome facebook.com? Veja uma alternativa em script e table dentro do arquivo do firewall a ser carregado: ipfw -f flush # Table # é só criar um arquivo /etc/rc.blacklist e colocar dentro o nome dos domínios a serem bloqueados while read domain do nslookup $domain | grep Address | grep -v '#' | egrep '([0-9]{1,3}\.){3}([0-9]){1,3}' | awk '{print $2}' /etc/blockedips done /etc/rc.blacklist ipfw -f table 91 flush for rede in $(cat /etc/blockedips) ; do ipfw table 91 add $rede done rm /etc/blockedips ipfw add 1 deny ip from any to table(91) --- Ou seja...quando eu coloco dentro do arquivo /etc/rc.blacklist os nome dos domínios facebook.com terra.com.br ele vai resolver todos os ips do domínio com nslookup e jogar pra dentro do arquivo os /etc/blockedips que colequei dentro da table 91. Tendeu Tem uma forma melhor de fazer isso ou correta com ipfw ?? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI Citius Tecnologia 31 37761866 31 88651242 http://www.citiustecnologia.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - Bloquear dominios pelo Firewall
Em 8 de junho de 2012 12:30, Otavio Augusto otavi...@gmail.com escreveu: Uma boa solução é colocar instalar o dnsmasq e fazer dele o dns cache resolver da rede inteira. se for preciso redirecione a a porta udp e tcp 53 pra ele. E nele vc pode apontar os dominios que quiser para 127.0.0.2 assim ninguem acessa. Redirecionar não funciona, precisa fazer NAT. Já tive problemas tentando simplesmente redirecionar consultas de DNS para servidores locais. -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - Bloquear dominios pelo Firewall
Opa, Danilo, sem um proxy(Squid e tal),que faz o L7 e vai inspecionar a URL, etc, etc, estes bloqueios por IP - no meu ponto de vista são muito radicais e manuais. Colocar o ipfw para dar deny dependendo de nome é um problema também, seu firewall fica preso ao DNS responder. o Ideal é usar um squid/lusca transparente e fazer nele o controle de URL. Se o servidor não puder rodar squid, aí só vejo alternativa você usar o whois para obter os blocos de IP deles e ir bloqueando. Em 07/06/12 13:07, Danilo Neves escreveu: Caro colegas da comunidadeé o seguinteee Não sei se estou fazendo da forma correta ou se um jeito melhor (sem proxy), mas vamos supor que eu queira bloquear o facebook.com pelo ipfw. ipfw add deny ip from any to facebook.com Nesse caso ele só vai bloquear o ip que resolveu na hora como mostro abaixo...mas o facebook é resolvido por vários IPs...e sendo assim não seria a forma ideal. # ipfw show 00100 00 deny tcp from any to 69.171.224.37 No iptables ele já pega todos os ips e já bloqueia. Comando para bloquear #iptables -A OUTPUT -d facebook.com.br -j DROP Listando os ips bloqueados #iptables -nL OUTPUT Chain OUTPUT (policy ACCEPT) target prot opt source destination DROP all -- 0.0.0.0/069.171.242.11 DROP all -- 0.0.0.0/066.220.158.11 DROP all -- 0.0.0.0/069.171.224.37 DROP all -- 0.0.0.0/066.220.149.11 DROP all -- 0.0.0.0/069.171.229.11 Vejam que ele já pegou todos os ips e dropou :D Agora vem a perguntano ipfw tem algum parâmetro que eu tenho q colocar para bloquear todos os ips que resolve o nome facebook.com? Veja uma alternativa em script e table dentro do arquivo do firewall a ser carregado: ipfw -f flush # Table # é só criar um arquivo /etc/rc.blacklist e colocar dentro o nome dos domínios a serem bloqueados while read domain do nslookup $domain | grep Address | grep -v '#' | egrep '([0-9]{1,3}\.){3}([0-9]){1,3}' | awk '{print $2}' /etc/blockedips done /etc/rc.blacklist ipfw -f table 91 flush for rede in $(cat /etc/blockedips) ; do ipfw table 91 add $rede done rm /etc/blockedips ipfw add 1 deny ip from any to table(91) --- Ou seja...quando eu coloco dentro do arquivo /etc/rc.blacklist os nome dos domínios facebook.com terra.com.br ele vai resolver todos os ips do domínio com nslookup e jogar pra dentro do arquivo os /etc/blockedips que colequei dentro da table 91. Tendeu Tem uma forma melhor de fazer isso ou correta com ipfw ?? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - Bloquear dominios pelo Firewall
Pois é Renato... Mas a idéia é mais pra didática mesmoai queria saber se tem como fazer no ipfw sei que o pf faz...mas no ipfw eu não sei...por isso perguntei se tem como fazer com ipfw Em 7 de junho de 2012 13:37, Renato Frederick ren...@frederick.eti.brescreveu: Opa, Danilo, sem um proxy(Squid e tal),que faz o L7 e vai inspecionar a URL, etc, etc, estes bloqueios por IP - no meu ponto de vista são muito radicais e manuais. Colocar o ipfw para dar deny dependendo de nome é um problema também, seu firewall fica preso ao DNS responder. o Ideal é usar um squid/lusca transparente e fazer nele o controle de URL. Se o servidor não puder rodar squid, aí só vejo alternativa você usar o whois para obter os blocos de IP deles e ir bloqueando. Em 07/06/12 13:07, Danilo Neves escreveu: Caro colegas da comunidadeé o seguinteee Não sei se estou fazendo da forma correta ou se um jeito melhor (sem proxy), mas vamos supor que eu queira bloquear o facebook.com pelo ipfw. ipfw add deny ip from any to facebook.com Nesse caso ele só vai bloquear o ip que resolveu na hora como mostro abaixo...mas o facebook é resolvido por vários IPs...e sendo assim não seria a forma ideal. # ipfw show 00100 00 deny tcp from any to 69.171.224.37 No iptables ele já pega todos os ips e já bloqueia. Comando para bloquear #iptables -A OUTPUT -d facebook.com.br -j DROP Listando os ips bloqueados #iptables -nL OUTPUT Chain OUTPUT (policy ACCEPT) target prot opt source destination DROP all -- 0.0.0.0/069.171.242.11 DROP all -- 0.0.0.0/066.220.158.11 DROP all -- 0.0.0.0/069.171.224.37 DROP all -- 0.0.0.0/066.220.149.11 DROP all -- 0.0.0.0/069.171.229.11 Vejam que ele já pegou todos os ips e dropou :D Agora vem a perguntano ipfw tem algum parâmetro que eu tenho q colocar para bloquear todos os ips que resolve o nome facebook.com? Veja uma alternativa em script e table dentro do arquivo do firewall a ser carregado: ipfw -f flush # Table # é só criar um arquivo /etc/rc.blacklist e colocar dentro o nome dos domínios a serem bloqueados while read domain do nslookup $domain | grep Address | grep -v '#' | egrep '([0-9]{1,3}\.){3}([0-9]){1,3}' | awk '{print $2}' /etc/blockedips done /etc/rc.blacklist ipfw -f table 91 flush for rede in $(cat /etc/blockedips) ; do ipfw table 91 add $rede done rm /etc/blockedips ipfw add 1 deny ip from any to table(91) --- Ou seja...quando eu coloco dentro do arquivo /etc/rc.blacklist os nome dos domínios facebook.com terra.com.br ele vai resolver todos os ips do domínio com nslookup e jogar pra dentro do arquivo os /etc/blockedips que colequei dentro da table 91. Tendeu Tem uma forma melhor de fazer isso ou correta com ipfw ?? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - Bloquear dominios pelo Firewall
Em 07/06/2012 13:07, Danilo Neves escreveu: Caro colegas da comunidadeé o seguinteee Não sei se estou fazendo da forma correta ou se um jeito melhor (sem proxy), mas vamos supor que eu queira bloquear o facebook.com pelo ipfw. ipfw add deny ip from any to facebook.com Nesse caso ele só vai bloquear o ip que resolveu na hora como mostro abaixo...mas o facebook é resolvido por vários IPs...e sendo assim não seria a forma ideal. # ipfw show 00100 00 deny tcp from any to 69.171.224.37 No iptables ele já pega todos os ips e já bloqueia. Comando para bloquear #iptables -A OUTPUT -d facebook.com.br -j DROP Listando os ips bloqueados #iptables -nL OUTPUT Chain OUTPUT (policy ACCEPT) target prot opt source destination DROP all -- 0.0.0.0/069.171.242.11 DROP all -- 0.0.0.0/066.220.158.11 DROP all -- 0.0.0.0/069.171.224.37 DROP all -- 0.0.0.0/066.220.149.11 DROP all -- 0.0.0.0/069.171.229.11 Vejam que ele já pegou todos os ips e dropou :D Agora vem a perguntano ipfw tem algum parâmetro que eu tenho q colocar para bloquear todos os ips que resolve o nome facebook.com? Veja uma alternativa em script e table dentro do arquivo do firewall a ser carregado: ipfw -f flush # Table # é só criar um arquivo /etc/rc.blacklist e colocar dentro o nome dos domínios a serem bloqueados while read domain do nslookup $domain | grep Address | grep -v '#' | egrep '([0-9]{1,3}\.){3}([0-9]){1,3}' | awk '{print $2}' /etc/blockedips done /etc/rc.blacklist ipfw -f table 91 flush for rede in $(cat /etc/blockedips) ; do ipfw table 91 add $rede done rm /etc/blockedips essa linha abaixo ficou mais enxutinha. rsrsrs for i in `host facebook.com.br|awk {'print $4'}`;do ipfw table 91 add $i; done ipfw add 1 deny ip from any to table(91) --- Ou seja...quando eu coloco dentro do arquivo /etc/rc.blacklist os nome dos domínios facebook.com terra.com.br ele vai resolver todos os ips do domínio com nslookup e jogar pra dentro do arquivo os /etc/blockedips que colequei dentro da table 91. Tendeu Tem uma forma melhor de fazer isso ou correta com ipfw ?? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - Bloquear dominios pelo Firewall
Em 7 de junho de 2012 18:34, Marcelo Gondim gon...@bsdinfo.com.brescreveu: Em 07/06/2012 13:07, Danilo Neves escreveu: Caro colegas da comunidadeé o seguinteee Não sei se estou fazendo da forma correta ou se um jeito melhor (sem proxy), mas vamos supor que eu queira bloquear o facebook.com pelo ipfw. ipfw add deny ip from any to facebook.com Nesse caso ele só vai bloquear o ip que resolveu na hora como mostro abaixo...mas o facebook é resolvido por vários IPs...e sendo assim não seria a forma ideal. # ipfw show 00100 00 deny tcp from any to 69.171.224.37 No iptables ele já pega todos os ips e já bloqueia. Comando para bloquear #iptables -A OUTPUT -d facebook.com.br -j DROP Listando os ips bloqueados #iptables -nL OUTPUT Chain OUTPUT (policy ACCEPT) target prot opt source destination DROP all -- 0.0.0.0/069.171.242.11 DROP all -- 0.0.0.0/066.220.158.11 DROP all -- 0.0.0.0/069.171.224.37 DROP all -- 0.0.0.0/066.220.149.11 DROP all -- 0.0.0.0/069.171.229.11 Vejam que ele já pegou todos os ips e dropou :D Agora vem a perguntano ipfw tem algum parâmetro que eu tenho q colocar para bloquear todos os ips que resolve o nome facebook.com? Veja uma alternativa em script e table dentro do arquivo do firewall a ser carregado: ipfw -f flush # Table # é só criar um arquivo /etc/rc.blacklist e colocar dentro o nome dos domínios a serem bloqueados while read domain do nslookup $domain | grep Address | grep -v '#' | egrep '([0-9]{1,3}\.){3}([0-9]){1,3}' | awk '{print $2}' /etc/blockedips done /etc/rc.blacklist ipfw -f table 91 flush for rede in $(cat /etc/blockedips) ; do ipfw table 91 add $rede done rm /etc/blockedips essa linha abaixo ficou mais enxutinha. rsrsrs for i in `host facebook.com.br|awk {'print $4'}`;do ipfw table 91 add $i; done ipfw add 1 deny ip from any to table(91) --- Ou seja...quando eu coloco dentro do arquivo /etc/rc.blacklist os nome dos domínios facebook.com terra.com.br ele vai resolver todos os ips do domínio com nslookup e jogar pra dentro do arquivo os /etc/blockedips que colequei dentro da table 91. Tendeu Por mais que queria usar apenas firewall para isso, infelizmente não será possivel visto que há proxies de interconexão com o serviço. Se quer fazer so no firewall a unica forma eficiente é barrar tudo e liberar redes confiaveis liberando blocos de IPs pequenos, /24 ou /23 no maximo com algumas excessões para redes de serviços bancários e orgãos governamentais. Não se impressione se seu firewall tiver 4000 regras !! Att. -- :=)(=: Flamers /dev/null !!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw count cacti ou mrtg.
Este nao funcionou? http://alex.kruijff.org/FreeBSD/Traffic_Report.html Edinilson -- ATINET Tel Voz: (0xx11) 4412-0876 http://www.atinet.com.br - Original Message - From: Alessandro de Souza Rocha etherlin...@gmail.com To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, February 13, 2012 2:07 PM Subject: [FUG-BR] ipfw count cacti ou mrtg. Boa tarde, galera estou tentando coletar trafego de alguma maquina pelo ipfw so que nao estou conseguindo alguem tem um link de algum material bom para fazer isso pelo exemplos que peguei no google nao rolou. -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw count cacti ou mrtg.
Eu particulamente uso o IPFM, cat /var/log/ipfm/subnet/ipfm.log | grep -w 192.168.xx.xx | awk '{print $2}' | sed '1q' funciona que é uma beleza Até;;; __ Em 13/02/2012 16:08, Edinilson - ATINET edinil...@atinet.com.br escreveu: Este nao funcionou? [1]http://alex.kruijff.org/FreeBSD/Traffic_Report.html Edinilson -- ATINET Tel Voz: (0xx11) 4412-0876 [2]http://www.atinet.com.br - Original Message - From: Alessandro de Souza Rocha To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Sent: Monday, February 13, 2012 2:07 PM Subject: [FUG-BR] ipfw count cacti ou mrtg. Boa tarde, galera estou tentando coletar trafego de alguma maquina pelo ipfw so que nao estou conseguindo alguem tem um link de algum material bom para fazer isso pelo exemplos que peguei no google nao rolou. -- Alessan dro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) [3]www.FreeBSD.org - Histórico: [4]http://www.fug.com.br/historico/html/freebsd/ Sair da lista: [5]https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: [6]http://www.fug.com.br/historico/html/freebsd/ Sair da lista: [7]https://www.fug.com.br/mailman/listinfo/freebsd References 1. http://alex.kruijff.org/FreeBSD/Traffic_Report.html 2. http://www.atinet.com.br/ 3. http://www.FreeBSD.org/ 4. http://www.fug.com.br/historico/html/freebsd/ 5. https://www.fug.com.br/mailman/listinfo/freebsd 6. http://www.fug.com.br/historico/html/freebsd/ 7. https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
Em 8 de fevereiro de 2012 10:04, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd $fw add deny log tcp from any to me 3306 in via em0 Marcelo a linha acima está fazendo isso. -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 1 Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
Em 08/02/2012 10:22, Saul Figueiredo escreveu: Em 8 de fevereiro de 2012 10:04, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd $fw add deny log tcp from any to me 3306 in via em0 Marcelo a linha acima está fazendo isso. Isso eu sei que ela está fazendo, o problema é que a regra anterior libera o acesso, logo não deveria entrar nessa regra. :) First match wins - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
Em 8 de fevereiro de 2012 10:28, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 08/02/2012 10:22, Saul Figueiredo escreveu: Em 8 de fevereiro de 2012 10:04, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd $fw add deny log tcp from any to me 3306 in via em0 Marcelo a linha acima está fazendo isso. Isso eu sei que ela está fazendo, o problema é que a regra anterior libera o acesso, logo não deveria entrar nessa regra. :) First match wins - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Mas lá no man do ipfw, na parte do log ele fala o seguinte: Note: logging is done after all other packet matching conditions have been successfully veri-fied, verified, fied, and before performing the final action (accept, deny, etc.) on the packet. Ou seja, meio bugado, mas normal xD -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 1 Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
Em 08/02/2012 10:35, Saul Figueiredo escreveu: Em 8 de fevereiro de 2012 10:28, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 08/02/2012 10:22, Saul Figueiredo escreveu: Em 8 de fevereiro de 2012 10:04, Marcelo Gondim gon...@bsdinfo.com.brescreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd $fw add deny log tcp from any to me 3306 in via em0 Marcelo a linha acima está fazendo isso. Isso eu sei que ela está fazendo, o problema é que a regra anterior libera o acesso, logo não deveria entrar nessa regra. :) First match wins - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Mas lá no man do ipfw, na parte do log ele fala o seguinte: Note: logging is done after all other packet matching conditions have been successfully veri-fied, verified, fied, and before performing the final action (accept, deny, etc.) on the packet. Ou seja, ele loga antes de qualquer deny ou accept. Nesse caso ele estaria gerando um log mesmo se o pacote não tivesse sido negado? Nossa muito estranho isso. No meu entendimento ele só deveria gerar um log nessa situação se realmente houvesse um drop nessa regra. A não ser que o número de conexões vindas daquele IP para o mysql tivesse passando de 100. Nesse caso a regra deixaria passar e entraria no drop. Mas não acredito ou não quero acreditar que o IP da outra ponta está conectando mais de 100 vezes no mysql porque é uma página web e ela está em uma máquina não divulgada ainda e só tem eu acessando ela para testes. Ou seja, meio bugado, mas normal xD - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
Em 8 de fevereiro de 2012 10:48, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 08/02/2012 10:35, Saul Figueiredo escreveu: Em 8 de fevereiro de 2012 10:28, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 08/02/2012 10:22, Saul Figueiredo escreveu: Em 8 de fevereiro de 2012 10:04, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd $fw add deny log tcp from any to me 3306 in via em0 Marcelo a linha acima está fazendo isso. Isso eu sei que ela está fazendo, o problema é que a regra anterior libera o acesso, logo não deveria entrar nessa regra. :) First match wins - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Mas lá no man do ipfw, na parte do log ele fala o seguinte: Note: logging is done after all other packet matching conditions have been successfully veri-fied, verified, fied, and before performing the final action (accept, deny, etc.) on the packet. Ou seja, ele loga antes de qualquer deny ou accept. Nesse caso ele estaria gerando um log mesmo se o pacote não tivesse sido negado? Nossa muito estranho isso. No meu entendimento ele só deveria gerar um log nessa situação se realmente houvesse um drop nessa regra. A não ser que o número de conexões vindas daquele IP para o mysql tivesse passando de 100. Nesse caso a regra deixaria passar e entraria no drop. Mas não acredito ou não quero acreditar que o IP da outra ponta está conectando mais de 100 vezes no mysql porque é uma página web e ela está em uma máquina não divulgada ainda e só tem eu acessando ela para testes. Ou seja, meio bugado, mas normal xD - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd rsrsrsrsrsr por isso que disse... é meio bugado eu também pensava assim... ou talves não seja um bug, pode ter sido feito para ser assim... vai entender... -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 1 Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
Em 08/02/2012 10:51, Saul Figueiredo escreveu: Em 8 de fevereiro de 2012 10:48, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 08/02/2012 10:35, Saul Figueiredo escreveu: Em 8 de fevereiro de 2012 10:28, Marcelo Gondim gon...@bsdinfo.com.brescreveu: Em 08/02/2012 10:22, Saul Figueiredo escreveu: Em 8 de fevereiro de 2012 10:04, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd $fw add deny log tcp from any to me 3306 in via em0 Marcelo a linha acima está fazendo isso. Isso eu sei que ela está fazendo, o problema é que a regra anterior libera o acesso, logo não deveria entrar nessa regra. :) First match wins - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Mas lá no man do ipfw, na parte do log ele fala o seguinte: Note: logging is done after all other packet matching conditions have been successfully veri-fied, verified, fied, and before performing the final action (accept, deny, etc.) on the packet. Ou seja, ele loga antes de qualquer deny ou accept. Nesse caso ele estaria gerando um log mesmo se o pacote não tivesse sido negado? Nossa muito estranho isso. No meu entendimento ele só deveria gerar um log nessa situação se realmente houvesse um drop nessa regra. A não ser que o número de conexões vindas daquele IP para o mysql tivesse passando de 100. Nesse caso a regra deixaria passar e entraria no drop. Mas não acredito ou não quero acreditar que o IP da outra ponta está conectando mais de 100 vezes no mysql porque é uma página web e ela está em uma máquina não divulgada ainda e só tem eu acessando ela para testes. Ou seja, meio bugado, mas normal xD - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd rsrsrsrsrsr por isso que disse... é meio bugado eu também pensava assim... ou talves não seja um bug, pode ter sido feito para ser assim... vai entender... Sabe o que parece? Que em algum momento o stateful falha e o pacote não é reconhecido aí ele descarta e vai pro drop. Eu uso na regra o setup e o limit, o setup obriga o 3 way handshake e o limit faz o stateful com a limitação de conexões. Só vejo isso, na comunicação algum pacote não é reconhecido no state e cai no drop. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
2012/2/8 Marcelo Gondim gon...@bsdinfo.com.br: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Quantos programas estão acessando o MySQL? E eles estão sendo educados e encerrando a conexão, ou estão saindo à francesa, sem encerrar a conexão, e ela fica aberta até dar timeout? João Rocha. Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. http://jgoffredo.blogspot.com goffr...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
Em 08/02/2012 11:36, Joao Rocha Braga Filho escreveu: 2012/2/8 Marcelo Gondimgon...@bsdinfo.com.br: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Quantos programas estão acessando o MySQL? E eles estão sendo educados e encerrando a conexão, ou estão saindo à francesa, sem encerrar a conexão, e ela fica aberta até dar timeout? Olá João, Foi exatamente isso que perguntei ao programador ainda agora por e-mail, se ele está fechando as conexões corretamente porque se não tiver, pode estar saindo por timeout o stateful e aí os próximos pacotes estariam fora mesmo. O padrão inclusive são 5 minutos o timeout do ack: net.inet.ip.fw.dyn_ack_lifetime=300 net.inet.ip.fw.dyn_syn_lifetime=20 net.inet.ip.fw.dyn_fin_lifetime=1 Pelo que conheço o programador pode realmente ser esse o problema. rsrsrs João Rocha. Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
Em 08/02/2012 13:48, Eduardo Schoedler escreveu: Você esta liberando somente o 'setup', sem 'keep-state'. Coloque na primeira linha do seu firewall um 'check-state' e faca essa alteração do 'keep-state'. Opa Eduardo, Eu tenho o check-state no topo do Firewall já. Só coloquei essas 2 linhas pertinentes ao problema mesmo. No caso eu tenho setup e tenho o limit. O limit tem a função do keep-state só que com limite de conexões, ou se usa o keep-state ou se usa o limit. Ainda acho que pode ser o lance do fechamento das conexões. Coisa errada na programação do site mesmo. -- Eduardo Schoedler Enviado via iPhone Em 08/02/2012, às 10:04, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
É um php que esta se conectando ao seu servidor mysql? Se for, ele nao utiliza conexões persistentes... são varias conexões por segundo. Tente aumentar esse limite ou ate mesmo tira-lo e coloque o keep-state no seu lugar. -- Eduardo Schoedler Enviado via iPhone Em 08/02/2012, às 16:21, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 08/02/2012 13:48, Eduardo Schoedler escreveu: Você esta liberando somente o 'setup', sem 'keep-state'. Coloque na primeira linha do seu firewall um 'check-state' e faca essa alteração do 'keep-state'. Opa Eduardo, Eu tenho o check-state no topo do Firewall já. Só coloquei essas 2 linhas pertinentes ao problema mesmo. No caso eu tenho setup e tenho o limit. O limit tem a função do keep-state só que com limite de conexões, ou se usa o keep-state ou se usa o limit. Ainda acho que pode ser o lance do fechamento das conexões. Coisa errada na programação do site mesmo. -- Eduardo Schoedler Enviado via iPhone Em 08/02/2012, às 10:04, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
Em 08/02/2012 18:54, Eduardo Schoedler escreveu: É um php que esta se conectando ao seu servidor mysql? Se for, ele nao utiliza conexões persistentes... são varias conexões por segundo. Tente aumentar esse limite ou ate mesmo tira-lo e coloque o keep-state no seu lugar. Opa Eduardo, Podes crer, acabei de pegar um php dele aqui e ele não tá usando pconnect. Vou pedir pra ele trocar e fazer novos testes. Grande abraço -- Eduardo Schoedler Enviado via iPhone Em 08/02/2012, às 16:21, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Em 08/02/2012 13:48, Eduardo Schoedler escreveu: Você esta liberando somente o 'setup', sem 'keep-state'. Coloque na primeira linha do seu firewall um 'check-state' e faca essa alteração do 'keep-state'. Opa Eduardo, Eu tenho o check-state no topo do Firewall já. Só coloquei essas 2 linhas pertinentes ao problema mesmo. No caso eu tenho setup e tenho o limit. O limit tem a função do keep-state só que com limite de conexões, ou se usa o keep-state ou se usa o limit. Ainda acho que pode ser o lance do fechamento das conexões. Coisa errada na programação do site mesmo. -- Eduardo Schoedler Enviado via iPhone Em 08/02/2012, às 10:04, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw com deny sem sentido
Bingo. ;-) Se ele usar pconnect e for um site muito acessado, vai estourar o limite de conexões do mysql. Se você já esta liberando no firewall somente para 1 ip, nao tem porque colocar limit. Abraço, -- Eduardo Schoedler Enviado via iPhone Em 08/02/2012, às 20:03, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 08/02/2012 18:54, Eduardo Schoedler escreveu: É um php que esta se conectando ao seu servidor mysql? Se for, ele nao utiliza conexões persistentes... são varias conexões por segundo. Tente aumentar esse limite ou ate mesmo tira-lo e coloque o keep-state no seu lugar. Opa Eduardo, Podes crer, acabei de pegar um php dele aqui e ele não tá usando pconnect. Vou pedir pra ele trocar e fazer novos testes. Grande abraço -- Eduardo Schoedler Enviado via iPhone Em 08/02/2012, às 16:21, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Em 08/02/2012 13:48, Eduardo Schoedler escreveu: Você esta liberando somente o 'setup', sem 'keep-state'. Coloque na primeira linha do seu firewall um 'check-state' e faca essa alteração do 'keep-state'. Opa Eduardo, Eu tenho o check-state no topo do Firewall já. Só coloquei essas 2 linhas pertinentes ao problema mesmo. No caso eu tenho setup e tenho o limit. O limit tem a função do keep-state só que com limite de conexões, ou se usa o keep-state ou se usa o limit. Ainda acho que pode ser o lance do fechamento das conexões. Coisa errada na programação do site mesmo. -- Eduardo Schoedler Enviado via iPhone Em 08/02/2012, às 10:04, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Olá pessoal, Tem acontecido uma coisa estranha com uma regra de ipfw que tenho. Tudo funciona normal mas fica me gerando uns logs que ai meu ver não deveriam existir. Tenho por exemplo esse trecho. Até aumentei pra 100 o limit de src-addr pra ter certeza que não era isso: $fw add allow tcp from 187.xx.xx.44 to me 3306 setup limit src-addr 100 $fw add deny log tcp from any to me 3306 in via em0 Ou seja liberei o IP 187.xx.xx.44 de conectar ao meu mysql. Funciona perfeitamente. Somente esse IP conecta e os outros são bloqueados, mas está me gerando log de bloqueio dele: em /var/log/security ele gera: Feb 8 09:50:23 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:38277 69.162.120.106:3306 in via em0 Feb 8 09:55:18 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:34595 69.162.120.106:3306 in via em0 Feb 8 09:57:34 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48869 69.162.120.106:3306 in via em0 Feb 8 09:58:19 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:48931 69.162.120.106:3306 in via em0 Feb 8 09:58:27 game kernel: ipfw: 1210 Deny TCP 187.xx.xx.44:49740 69.162.120.106:3306 in via em0 Não entendi porque ele está dando deny em alguns pacotes e gerando log. Como eu disse o acesso está funcionando perfeitamente mas alguns pacotes estão caindo nesse deny. Why? :) Grande abraço à todos. Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW
ipfw add X fwd yyy.yyy.yyy.yyy,3128 tcp from any to any 80 X=Numero da regra Y=IP para Forward Luciano O. Bissoli - T.I. Destilaria Água Bonita Ltda. Fone/Fax: (18)3373-4400/4401 www.aguabonita.com.br analist...@aguabonita.com.br - Original Message - From: Bruno S. Ferreira brsobre...@gmail.com To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Thursday, January 26, 2012 3:34 PM Subject: [FUG-BR] IPFW Senhores, boa tardem estou estudando um servidor de cache com o BSD, porém, gostaria de todo trafego fosse redirecionado para a porta 3128 usando o ipfw. Alguém poderia me da uma luz nesse aspecto, obriogado -- Bruno S. Ferreira Graduated: System Information Course: Specialization Information Security Certification: - Cisco Certified Network Associate - CCNA -* *** Linux Professional Institute Certification - LPIC - IPV6 Silver Contact: Msn: sobreira_...@hotmail.com Phone: (83) 8852-9418 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW
${fwcmd} add 64000 forward 200.0.0.10,3128 tcp from any to any dst-port 80 via vr0 Em 26 de janeiro de 2012 16:34, Bruno S. Ferreira brsobre...@gmail.com escreveu: Senhores, boa tardem estou estudando um servidor de cache com o BSD, porém, gostaria de todo trafego fosse redirecionado para a porta 3128 usando o ipfw. Alguém poderia me da uma luz nesse aspecto, obriogado -- Bruno S. Ferreira Graduated: System Information Course: Specialization Information Security Certification: - Cisco Certified Network Associate - CCNA -* *** Linux Professional Institute Certification - LPIC - IPV6 Silver Contact: Msn: sobreira_...@hotmail.com Phone: (83) 8852-9418 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW
ue só isso Alessandro ?? Em 26 de janeiro de 2012 15:54, Alessandro de Souza Rocha etherlin...@gmail.com escreveu: ${fwcmd} add 64000 forward 200.0.0.10,3128 tcp from any to any dst-port 80 via vr0 Em 26 de janeiro de 2012 16:34, Bruno S. Ferreira brsobre...@gmail.com escreveu: Senhores, boa tardem estou estudando um servidor de cache com o BSD, porém, gostaria de todo trafego fosse redirecionado para a porta 3128 usando o ipfw. Alguém poderia me da uma luz nesse aspecto, obriogado -- Bruno S. Ferreira Graduated: System Information Course: Specialization Information Security Certification: - Cisco Certified Network Associate - CCNA -* *** Linux Professional Institute Certification - LPIC - IPV6 Silver Contact: Msn: sobreira_...@hotmail.com Phone: (83) 8852-9418 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Bruno S. Ferreira Graduated: System Information Course: Specialization Information Security Certification: - Cisco Certified Network Associate - CCNA -* *** Linux Professional Institute Certification - LPIC - IPV6 Silver Contact: Msn: sobreira_...@hotmail.com Phone: (83) 8852-9418 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW
em teoria sim, basta um fwd... atente-se para que o seu squid esteja com o transparent devidamente configurado. a internet tem quilos de informações sobre isso. abraços * Bruno S. Ferreira (brsobre...@gmail.com) wrote: ue só isso Alessandro ?? Em 26 de janeiro de 2012 15:54, Alessandro de Souza Rocha etherlin...@gmail.com escreveu: ${fwcmd} add 64000 forward 200.0.0.10,3128 tcp from any to any dst-port 80 via vr0 Em 26 de janeiro de 2012 16:34, Bruno S. Ferreira brsobre...@gmail.com escreveu: Senhores, boa tardem estou estudando um servidor de cache com o BSD, porém, gostaria de todo trafego fosse redirecionado para a porta 3128 usando o ipfw. Alguém poderia me da uma luz nesse aspecto, obriogado -- Bruno S. Ferreira Graduated: System Information Course: Specialization Information Security Certification: - Cisco Certified Network Associate - CCNA -* *** Linux Professional Institute Certification - LPIC - IPV6 Silver Contact: Msn: sobreira_...@hotmail.com Phone: (83) 8852-9418 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Bruno S. Ferreira Graduated: System Information Course: Specialization Information Security Certification: - Cisco Certified Network Associate - CCNA -* *** Linux Professional Institute Certification - LPIC - IPV6 Silver Contact: Msn: sobreira_...@hotmail.com Phone: (83) 8852-9418 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd --- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW
oxe, vc perguntou como redirecionar o trafego pelo ipfw, vc nao disse nada de squid ou outra coisa. Em 26 de janeiro de 2012 17:59, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: em teoria sim, basta um fwd... atente-se para que o seu squid esteja com o transparent devidamente configurado. a internet tem quilos de informações sobre isso. abraços * Bruno S. Ferreira (brsobre...@gmail.com) wrote: ue só isso Alessandro ?? Em 26 de janeiro de 2012 15:54, Alessandro de Souza Rocha etherlin...@gmail.com escreveu: ${fwcmd} add 64000 forward 200.0.0.10,3128 tcp from any to any dst-port 80 via vr0 Em 26 de janeiro de 2012 16:34, Bruno S. Ferreira brsobre...@gmail.com escreveu: Senhores, boa tardem estou estudando um servidor de cache com o BSD, porém, gostaria de todo trafego fosse redirecionado para a porta 3128 usando o ipfw. Alguém poderia me da uma luz nesse aspecto, obriogado -- Bruno S. Ferreira Graduated: System Information Course: Specialization Information Security Certification: - Cisco Certified Network Associate - CCNA -* *** Linux Professional Institute Certification - LPIC - IPV6 Silver Contact: Msn: sobreira_...@hotmail.com Phone: (83) 8852-9418 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Bruno S. Ferreira Graduated: System Information Course: Specialization Information Security Certification: - Cisco Certified Network Associate - CCNA -* *** Linux Professional Institute Certification - LPIC - IPV6 Silver Contact: Msn: sobreira_...@hotmail.com Phone: (83) 8852-9418 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd --- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW
Me admiro com a pergunta do Companheiro Bruno, quando a assinatura demostra as seguintes certificações !!! O cara sabe inglês Graduated: System Information ( O cara é graduado em Sistema de Informação ) Course: Specialization Information Security ( Está fazendo Especificação em Segurança da Informação ) Certification: - Cisco Certified Network Associate - CCNA ( Primeiro Certificação que me vem a cabeça para poder trabalhar com rede, obs eu não sou ). -* *** Linux Professional Institute Certification - LPIC ( Profissional certificado pela principal certificação linux ). - IPV6 Silver ( Já ta sacano Protocolo de Internet versão 6 ). Agora depois de ter tudo isso de certificação me faz uma pergunda, onde só no site fug.com.br deve ter pelo menos 5 artigos. Se usar a string de busca FreeBSD + Squid + Proxy transparente terá uma quantidade maior ainda de links. NO final só me resta dois pontos de vista. 1 - O cara é preguiçoso quanto a ler documentação ( o cara estudou muito para ter todas essas certificações ). 2 - O cara não deve ter todas essas certificações Foi mal mais não tem como não observar que determinadas perguntas não se justificam !!! Em 26 de janeiro de 2012 18:44, Alessandro de Souza Rocha etherlin...@gmail.com escreveu: oxe, vc perguntou como redirecionar o trafego pelo ipfw, vc nao disse nada de squid ou outra coisa. Em 26 de janeiro de 2012 17:59, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: em teoria sim, basta um fwd... atente-se para que o seu squid esteja com o transparent devidamente configurado. a internet tem quilos de informações sobre isso. abraços * Bruno S. Ferreira (brsobre...@gmail.com) wrote: ue só isso Alessandro ?? Em 26 de janeiro de 2012 15:54, Alessandro de Souza Rocha etherlin...@gmail.com escreveu: ${fwcmd} add 64000 forward 200.0.0.10,3128 tcp from any to any dst-port 80 via vr0 Em 26 de janeiro de 2012 16:34, Bruno S. Ferreira brsobre...@gmail.com escreveu: Senhores, boa tardem estou estudando um servidor de cache com o BSD, porém, gostaria de todo trafego fosse redirecionado para a porta 3128 usando o ipfw. Alguém poderia me da uma luz nesse aspecto, obriogado -- Bruno S. Ferreira Graduated: System Information Course: Specialization Information Security Certification: - Cisco Certified Network Associate - CCNA -* *** Linux Professional Institute Certification - LPIC - IPV6 Silver Contact: Msn: sobreira_...@hotmail.com Phone: (83) 8852-9418 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Bruno S. Ferreira Graduated: System Information Course: Specialization Information Security Certification: - Cisco Certified Network Associate - CCNA -* *** Linux Professional Institute Certification - LPIC - IPV6 Silver Contact: Msn: sobreira_...@hotmail.com Phone: (83) 8852-9418 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd --- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- :=)BattleMaster(=: Flamers /dev/null !!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista:
Re: [FUG-BR] Ipfw - Natd, de novo !!!
pra começar o nat from any to any... são nessas horas que o Irado faz falta... Em 12 de janeiro de 2012 10:35, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Pessoal, bom dia. Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue na internet. No ipfw a placa de rede em0 está ligada na internet, em1 está na rede interna. O Ipfw consegue acessar tudo, foi testado, ele está como Statefull. Segue a configuração relevante do IPFW: # ### Divert ### # ipfw add 010 divert natd ip from any to any via em0 # ### Permite acesso ### ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state Configuração do natd no rc.conf: natd_flags=-dynamic -m. Com a configuração acima a máquina não navega, agora se coloco a seguinte regra, funciona tudo. ipfw add 012 allow ip from any to any O que estou fazendo de errado ? Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Tiago N. Furbeta Cangere Online Provedor de Internet Ltda. Empresa de Telecomunicações Autorizada SCM/ANATEL tfurb...@cangere.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Em 12 de janeiro de 2012 10:52, Tiago Furbeta tfurb...@cangere.com.brescreveu: pra começar o nat from any to any... são nessas horas que o Irado faz falta... Em 12 de janeiro de 2012 10:35, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Pessoal, bom dia. Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue na internet. No ipfw a placa de rede em0 está ligada na internet, em1 está na rede interna. O Ipfw consegue acessar tudo, foi testado, ele está como Statefull. Segue a configuração relevante do IPFW: # ### Divert ### # ipfw add 010 divert natd ip from any to any via em0 # ### Permite acesso ### ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state Configuração do natd no rc.conf: natd_flags=-dynamic -m. Com a configuração acima a máquina não navega, agora se coloco a seguinte regra, funciona tudo. ipfw add 012 allow ip from any to any O que estou fazendo de errado ? Adiel dá uma sacada nesses materiais http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html http://www.freebsddiary.org/ipfw.php acho que vai lhe ajudar -- .:: Lucas Dias .:: Analista de Sistemas .:: OS3 Soluções em TI .:: (82) 8813-1494 / 8111-2288 .:: Antes de imprimir, veja se realmente é necessário!!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Lucas, já li e reli este material, fiz o curso da FreeBSD Brasil e estou com a apostila em mãos. -Original Message- From: Lucas Dias lucas...@gmail.com Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!! Date: Thu, 12 Jan 2012 11:07:47 -0300 Em 12 de janeiro de 2012 10:52, Tiago Furbeta tfurb...@cangere.com.brescreveu: pra começar o nat from any to any... são nessas horas que o Irado faz falta... Em 12 de janeiro de 2012 10:35, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Pessoal, bom dia. Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue na internet. No ipfw a placa de rede em0 está ligada na internet, em1 está na rede interna. O Ipfw consegue acessar tudo, foi testado, ele está como Statefull. Segue a configuração relevante do IPFW: # ### Divert ### # ipfw add 010 divert natd ip from any to any via em0 # ### Permite acesso ### ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state Configuração do natd no rc.conf: natd_flags=-dynamic -m. Com a configuração acima a máquina não navega, agora se coloco a seguinte regra, funciona tudo. ipfw add 012 allow ip from any to any O que estou fazendo de errado ? Adiel dá uma sacada nesses materiais http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html http://www.freebsddiary.org/ipfw.php acho que vai lhe ajudar -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Em 12/01/2012 10:35, Adiel de Lima Ribeiro escreveu: Pessoal, bom dia. Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue na internet. No ipfw a placa de rede em0 está ligada na internet, em1 está na rede interna. O Ipfw consegue acessar tudo, foi testado, ele está como Statefull. Segue a configuração relevante do IPFW: # ### Divert ### # ipfw add 010 divert natd ip from any to any via em0 # ### Permite acesso ### ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state Onde está a regra que libera acesso de dns 53/udp e 53/tcp? Se não resolver nome não acessa mesmo liberando o acesso da máquina. Configuração do natd no rc.conf: natd_flags=-dynamic -m. Com a configuração acima a máquina não navega, agora se coloco a seguinte regra, funciona tudo. ipfw add 012 allow ip from any to any O que estou fazendo de errado ? Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Em 12/01/2012 11:52, Tiago Furbeta escreveu: pra começar o nat from any to any... são nessas horas que o Irado faz falta... Pois é eu falei sobre isso mas não me deram ouvidos rsrsrsrs nat só se faz para endereços da RFC 1918: 192.168.0.0/16, 10.0.0.0/8 e 172.16.0.0/12 Em 12 de janeiro de 2012 10:35, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Pessoal, bom dia. Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue na internet. No ipfw a placa de rede em0 está ligada na internet, em1 está na rede interna. O Ipfw consegue acessar tudo, foi testado, ele está como Statefull. Segue a configuração relevante do IPFW: # ### Divert ### # ipfw add 010 divert natd ip from any to any via em0 # ### Permite acesso ### ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state Configuração do natd no rc.conf: natd_flags=-dynamic -m. Com a configuração acima a máquina não navega, agora se coloco a seguinte regra, funciona tudo. ipfw add 012 allow ip from any to any O que estou fazendo de errado ? Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Em 12/01/2012 12:41, Adiel de Lima Ribeiro escreveu: Lucas, já li e reli este material, fiz o curso da FreeBSD Brasil e estou com a apostila em mãos. Adiel no curso o Patrick não diz pra fazer nat de tudo não. :) Você copiou os scripts das aulas? -Original Message- From: Lucas Diaslucas...@gmail.com Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!! Date: Thu, 12 Jan 2012 11:07:47 -0300 Em 12 de janeiro de 2012 10:52, Tiago Furbetatfurb...@cangere.com.brescreveu: pra começar o nat from any to any... são nessas horas que o Irado faz falta... Em 12 de janeiro de 2012 10:35, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Pessoal, bom dia. Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue na internet. No ipfw a placa de rede em0 está ligada na internet, em1 está na rede interna. O Ipfw consegue acessar tudo, foi testado, ele está como Statefull. Segue a configuração relevante do IPFW: # ### Divert ### # ipfw add 010 divert natd ip from any to any via em0 # ### Permite acesso ### ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state Configuração do natd no rc.conf: natd_flags=-dynamic -m. Com a configuração acima a máquina não navega, agora se coloco a seguinte regra, funciona tudo. ipfw add 012 allow ip from any to any O que estou fazendo de errado ? Adiel dá uma sacada nesses materiais http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html http://www.freebsddiary.org/ipfw.php acho que vai lhe ajudar - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Adiel Então você deve estar esquecendo de algum detalhe. Reveja o que os colegas Marcelo Gondim e Luiz Gustavo falaram. Se for possível, e resolver seu problema, usa o pf, pois ele é cheio de recursos interessantes para NAT. Agora, se for questão de honra colocar pra funcionar o NAT com o IPFW, reveja com calma as regras e as ordens das mesmas Vale ressaltar que nat from any to any não é muito legal... entendo any, como 0.0.0.0/0, eu acredito que você quer fazer nat sua rede, algo como 192.168.10.0/24. Seja um pouco mais seletivo na criação das regras. Os Scripts do Patrick e a apostila do treinamento (que lembra a história do livro horrivel hehehe) estão com muito conteúdo que vão lhe ajudar. Abraços e espero ter ajudado... # flames /dev/null (by irado, o furioso com tudo) RIP Irado -- .:: Lucas Dias .:: Analista de Sistemas .:: OS3 Soluções em TI .:: (82) 8813-1494 / 8111-2288 .:: Antes de imprimir, veja se realmente é necessário!!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Não sei se é uma boa idéia, mas vou migrar pro PF, vou ter que aprender as regras, mas tudo bem, ele me parece melhor que o IPFW. O que vocês tem a me dizer ? -Original Message- From: Lucas Dias lucas...@gmail.com Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!! Date: Thu, 12 Jan 2012 13:06:35 -0300 Adiel Então você deve estar esquecendo de algum detalhe. Reveja o que os colegas Marcelo Gondim e Luiz Gustavo falaram. Se for possível, e resolver seu problema, usa o pf, pois ele é cheio de recursos interessantes para NAT. Agora, se for questão de honra colocar pra funcionar o NAT com o IPFW, reveja com calma as regras e as ordens das mesmas Vale ressaltar que nat from any to any não é muito legal... entendo any, como 0.0.0.0/0, eu acredito que você quer fazer nat sua rede, algo como 192.168.10.0/24. Seja um pouco mais seletivo na criação das regras. Os Scripts do Patrick e a apostila do treinamento (que lembra a história do livro horrivel hehehe) estão com muito conteúdo que vão lhe ajudar. Abraços e espero ter ajudado... # flames /dev/null (by irado, o furioso com tudo) RIP Irado -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Em 11/01/2012 20:20, Adiel de Lima Ribeiro escreveu: Obrigado a todos, com seus exemplos e lendo bastante consegui algum progresso, a pessoa que mais entendeu minha necessidade foi o Jean, foi de grande valia o exemplo dele, apenas tive que complementar minhas regras do IPFW e no rc.conf modificar o natd_flags de =-f /etc/natd.conf para -dynamic -m. No caso dessa lan de exemplo, o acesso a internet está funcionando com o exemplo do Jean, e se eu quizer publicar algum servidor dela na internet, como faço ? Oi Adiel? Bom, é uma porta de um servidor que você quer publicar? -Original Message- From: Jean Zanuzoj...@w3nt.com Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 17:42:58 -0300 Boa tarde, Nao acompanhei o assunto, e não li mensagens anteriores, mas como é um exemplo novo, segue um exemplo de regra que te atende. Em 11/01/2012 16:40, Adiel de Lima Ribeiro escreveu: Vou tentar ser mais prático, mudarei de exemplo. Vamos supor que tenho um servidor IPFW. em0 - interface externa, internet. em1 - interface interna, lan. Ipfw com política fechada. Quero fazer um nat da lan para a internet, para que a lan possa navegar, ou seja, porta 80. Quando coloco do jeito abaixo, funciona: ipfw add divert natd ip from any to any ipfw add allow ip from any to any Mas isso está permitindo tudo. Neste caso o nat libera tudo tratando a informação que está entrando e saindo da interface para qualquer porta e qualquer endereço. Quero restringir para que seja feito o nat apenas da lan, restrito a navegação na internet. Fiz assim, mas não funcionou: ipfw add divert natd tcp from {lan} to any 80 ipfw add allow tcp from {lan} to any 80 Vamos considerar que a informação que vem dos endereços da sua rede interna com destino a porta 80 precisa entrar no nat ipfw add divert natd tcp from {lan} to any 80 in via em1 Agora a informação quando volta da Internet precisa passar pelo nat para desfazer o mascaramento ipfw add divert natd tcp from any 80 to me in via em0 Caso seu servidor tenha um bloco de ips publicos alocado e voce configure no natd.conf um ip especifico (xxx.xxx.xxx.xxx) para usar neste nat, sendo e ele um alias na em0, então podemos utilizar outra regra no lugar da anterior para ser mais seletivo: ipfw add divert natd tcp from any 80 to xxx.xxx.xxx.xxx in via em0 O que estou fazendo de errado ? Agradeço a todas as sugestões e peço desculpas se não fui claro em minha dúvida. Obrigado. Att. Jean Zanuzo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Em 12/01/2012 14:32, Adiel de Lima Ribeiro escreveu: Não sei se é uma boa idéia, mas vou migrar pro PF, vou ter que aprender as regras, mas tudo bem, ele me parece melhor que o IPFW. O que vocês tem a me dizer ? Você precisaria aprender 2. rsrsrsrsr Não importa qual você vai usar o problema que está tendo parece mais de conceito sobre Firewalls que dá própria aplicação. Confesso que quando saí do Netfilter/IPTables e vi o ipfw e o pf quase pirei nas regras mas o que ajuda mesmo é o conceito, graças à ele hoje já tenho todos os meus Firewalls convertidos para pf e ipfw. Vou fazer algo que não deveria pois acertos e erros levam à aprendizagem e mais que tudo aumento da experiência. Como o Irado dizia... melhor ensinar à pescar que já dar o peixe pronto. Ps: gosto até de pescar mas limpar o peixe não é nada legal. ahahahahahah Fazer o que? Vou fazer o seguinte ambiente imaginário: Firewall com 2 interfaces de rede: em0 para a Internet e em1 para a rede Interna. Rede Interna: 192.168.0.0/24 estação Firewall == 192.168.0.2 === 192.168.0.1/24(em1) 10.0.0.1/24(em0) === INTERNET No seu Kernel compilado: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_FORWARD options IPFIREWALL_NAT options LIBALIAS options DUMMYNET options IPDIVERT No script de Firewall: ## #!/bin/sh fw=/sbin/ipfw ext_if=em0 int_if=em1 $fw disable one_pass $fw -f flush $fw zero $fw table all flush # Estacoes $fw table 1 add 192.168.0.2 $fw table 1 add 192.168.0.3 $fw table 1 add 192.168.0.4 $fw add allow all from any to any via lo0 $fw add deny all from 127.0.0.0/8 to any $fw add deny all from any to 127.0.0.0/8 $fw add deny all from any to any not antispoof # Redireciona para o natd $fw add divert 8668 ip from 192.168.0.0/24 to any out via $ext_if $fw add divert 8668 ip from any to me in via $ext_if # Permite IPs na table 2 o acesso à DNS externo $fw add allow udp from table(2) to any 53 keep-state $fw add allow tcp from table(2) to any 53 setup keep-state # Permite IPs para acesso web $fw add allow tcp from table(2) to any 80 setup keep-state $fw add allow tcp from me to any out setup keep-state $fw add allow all from me to any out keep-state $fw add 65534 deny all from any to any ### # natd.conf instance default interface em0 dynamic no same_ports yes use_sockets yes unregistered_only yes Bem esse é um script bem simples, tem que funcionar aí. Basta agora você adaptar para a sua realidade. Melhor não consigo fazer pra vc entender rsrsrsr -Original Message- From: Lucas Diaslucas...@gmail.com Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!! Date: Thu, 12 Jan 2012 13:06:35 -0300 Adiel Então você deve estar esquecendo de algum detalhe. Reveja o que os colegas Marcelo Gondim e Luiz Gustavo falaram. Se for possível, e resolver seu problema, usa o pf, pois ele é cheio de recursos interessantes para NAT. Agora, se for questão de honra colocar pra funcionar o NAT com o IPFW, reveja com calma as regras e as ordens das mesmas Vale ressaltar que nat from any to any não é muito legal... entendo any, como 0.0.0.0/0, eu acredito que você quer fazer nat sua rede, algo como 192.168.10.0/24. Seja um pouco mais seletivo na criação das regras. Os Scripts do Patrick e a apostila do treinamento (que lembra a história do livro horrivel hehehe) estão com muito conteúdo que vão lhe ajudar. Abraços e espero ter ajudado... # flames /dev/null (by irado, o furioso com tudo) RIP Irado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Em 12/01/2012 15:31, Marcelo Gondim escreveu: Em 12/01/2012 14:32, Adiel de Lima Ribeiro escreveu: Não sei se é uma boa idéia, mas vou migrar pro PF, vou ter que aprender as regras, mas tudo bem, ele me parece melhor que o IPFW. O que vocês tem a me dizer ? Você precisaria aprender 2. rsrsrsrsr Não importa qual você vai usar o problema que está tendo parece mais de conceito sobre Firewalls que dá própria aplicação. Confesso que quando saí do Netfilter/IPTables e vi o ipfw e o pf quase pirei nas regras mas o que ajuda mesmo é o conceito, graças à ele hoje já tenho todos os meus Firewalls convertidos para pf e ipfw. Vou fazer algo que não deveria pois acertos e erros levam à aprendizagem e mais que tudo aumento da experiência. Como o Irado dizia... melhor ensinar à pescar que já dar o peixe pronto. Ps: gosto até de pescar mas limpar o peixe não é nada legal. ahahahahahah Fazer o que? Vou fazer o seguinte ambiente imaginário: Firewall com 2 interfaces de rede: em0 para a Internet e em1 para a rede Interna. Rede Interna: 192.168.0.0/24 estação Firewall == 192.168.0.2=== 192.168.0.1/24(em1) 10.0.0.1/24(em0) === INTERNET No seu Kernel compilado: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_FORWARD options IPFIREWALL_NAT options LIBALIAS options DUMMYNET options IPDIVERT No script de Firewall: ## #!/bin/sh fw=/sbin/ipfw ext_if=em0 int_if=em1 $fw disable one_pass $fw -f flush $fw zero $fw table all flush # Estacoes $fw table 1 add 192.168.0.2 $fw table 1 add 192.168.0.3 $fw table 1 add 192.168.0.4 $fw add allow all from any to any via lo0 $fw add deny all from 127.0.0.0/8 to any $fw add deny all from any to 127.0.0.0/8 $fw add deny all from any to any not antispoof # Redireciona para o natd $fw add divert 8668 ip from 192.168.0.0/24 to any out via $ext_if $fw add divert 8668 ip from any to me in via $ext_if # Permite IPs na table 2 o acesso à DNS externo $fw add allow udp from table(2) to any 53 keep-state $fw add allow tcp from table(2) to any 53 setup keep-state Correção em tempo é table(1) # Permite IPs para acesso web $fw add allow tcp from table(2) to any 80 setup keep-state $fw add allow tcp from me to any out setup keep-state $fw add allow all from me to any out keep-state $fw add 65534 deny all from any to any ### # natd.conf instance default interface em0 dynamic no same_ports yes use_sockets yes unregistered_only yes Bem esse é um script bem simples, tem que funcionar aí. Basta agora você adaptar para a sua realidade. Melhor não consigo fazer pra vc entender rsrsrsr -Original Message- From: Lucas Diaslucas...@gmail.com Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!! Date: Thu, 12 Jan 2012 13:06:35 -0300 Adiel Então você deve estar esquecendo de algum detalhe. Reveja o que os colegas Marcelo Gondim e Luiz Gustavo falaram. Se for possível, e resolver seu problema, usa o pf, pois ele é cheio de recursos interessantes para NAT. Agora, se for questão de honra colocar pra funcionar o NAT com o IPFW, reveja com calma as regras e as ordens das mesmas Vale ressaltar que nat from any to any não é muito legal... entendo any, como 0.0.0.0/0, eu acredito que você quer fazer nat sua rede, algo como 192.168.10.0/24. Seja um pouco mais seletivo na criação das regras. Os Scripts do Patrick e a apostila do treinamento (que lembra a história do livro horrivel hehehe) estão com muito conteúdo que vão lhe ajudar. Abraços e espero ter ajudado... # flames /dev/null (by irado, o furioso com tudo) RIP Irado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Eu acho mais interessante fazer a coisa funcionar com ipfw e depois aprender também com PF, o conceito apreendido e em entendido em um vale para outro. :-) se tiver tempo aprende também com IPF, vai que aparece um Solaris prá administrar! hehehehhehe Em 12/01/2012 14:32, Adiel de Lima Ribeiro escreveu: Não sei se é uma boa idéia, mas vou migrar pro PF, vou ter que aprender as regras, mas tudo bem, ele me parece melhor que o IPFW. O que vocês tem a me dizer ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Ficou perfeito, mas isso eu já tinha feito, com relação ao conceito estou vindo do Iptables ... Acredito que o mundo BSD é melhor, principalmente para firewalls, eles são mais completos. Este conceito eu já tenho, mas comecei a mecher com Ipfw terça-feira 12/01/2012, rs. Agradeço a todos pela ajuda, vlw !! -Original Message- From: Marcelo Gondim gon...@bsdinfo.com.br Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!! Date: Thu, 12 Jan 2012 15:31:23 -0200 Em 12/01/2012 14:32, Adiel de Lima Ribeiro escreveu: Não sei se é uma boa idéia, mas vou migrar pro PF, vou ter que aprender as regras, mas tudo bem, ele me parece melhor que o IPFW. O que vocês tem a me dizer ? Você precisaria aprender 2. rsrsrsrsr Não importa qual você vai usar o problema que está tendo parece mais de conceito sobre Firewalls que dá própria aplicação. Confesso que quando saí do Netfilter/IPTables e vi o ipfw e o pf quase pirei nas regras mas o que ajuda mesmo é o conceito, graças à ele hoje já tenho todos os meus Firewalls convertidos para pf e ipfw. Vou fazer algo que não deveria pois acertos e erros levam à aprendizagem e mais que tudo aumento da experiência. Como o Irado dizia... melhor ensinar à pescar que já dar o peixe pronto. Ps: gosto até de pescar mas limpar o peixe não é nada legal. ahahahahahah Fazer o que? Vou fazer o seguinte ambiente imaginário: Firewall com 2 interfaces de rede: em0 para a Internet e em1 para a rede Interna. Rede Interna: 192.168.0.0/24 estação Firewall == 192.168.0.2 === 192.168.0.1/24(em1) 10.0.0.1/24(em0) === INTERNET No seu Kernel compilado: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_FORWARD options IPFIREWALL_NAT options LIBALIAS options DUMMYNET options IPDIVERT No script de Firewall: ## #!/bin/sh fw=/sbin/ipfw ext_if=em0 int_if=em1 $fw disable one_pass $fw -f flush $fw zero $fw table all flush # Estacoes $fw table 1 add 192.168.0.2 $fw table 1 add 192.168.0.3 $fw table 1 add 192.168.0.4 $fw add allow all from any to any via lo0 $fw add deny all from 127.0.0.0/8 to any $fw add deny all from any to 127.0.0.0/8 $fw add deny all from any to any not antispoof # Redireciona para o natd $fw add divert 8668 ip from 192.168.0.0/24 to any out via $ext_if $fw add divert 8668 ip from any to me in via $ext_if # Permite IPs na table 2 o acesso à DNS externo $fw add allow udp from table(2) to any 53 keep-state $fw add allow tcp from table(2) to any 53 setup keep-state # Permite IPs para acesso web $fw add allow tcp from table(2) to any 80 setup keep-state $fw add allow tcp from me to any out setup keep-state $fw add allow all from me to any out keep-state $fw add 65534 deny all from any to any ### # natd.conf instance default interface em0 dynamic no same_ports yes use_sockets yes unregistered_only yes Bem esse é um script bem simples, tem que funcionar aí. Basta agora você adaptar para a sua realidade. Melhor não consigo fazer pra vc entender rsrsrsr -Original Message- From: Lucas Diaslucas...@gmail.com Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!! Date: Thu, 12 Jan 2012 13:06:35 -0300 Adiel Então você deve estar esquecendo de algum detalhe. Reveja o que os colegas Marcelo Gondim e Luiz Gustavo falaram. Se for possível, e resolver seu problema, usa o pf, pois ele é cheio de recursos interessantes para NAT. Agora, se for questão de honra colocar pra funcionar o NAT com o IPFW, reveja com calma as regras e as ordens das mesmas Vale ressaltar que nat from any to any não é muito legal... entendo any, como 0.0.0.0/0, eu acredito que você quer fazer nat sua rede, algo como 192.168.10.0/24. Seja um pouco mais seletivo na criação das regras. Os Scripts do Patrick e a apostila do treinamento (que lembra a história do livro horrivel hehehe) estão com muito conteúdo que vão lhe ajudar. Abraços e espero ter ajudado... # flames /dev/null (by irado, o furioso com tudo) RIP Irado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
um detalhe importante que o pessoal que faz nat com ipfw acaba esquecendo: sysctl net.inet.ip.forwarding = 1 ou pode ser habilitando no rc.conf: gateway_enable=YES preste atenção nessa sysctl que tem que estar habilitada pra fazer nat. isso ta no man do natd: 2. Ensure that your machine is acting as a gateway. This can be done by specifying the line gateway_enable=YES in the /etc/rc.conf file or using the command sysctl net.inet.ip.forwarding=1 abraços Em Qui, 2012-01-12 às 16:33 -0200, Adiel de Lima Ribeiro escreveu: Ficou perfeito, mas isso eu já tinha feito, com relação ao conceito estou vindo do Iptables ... Acredito que o mundo BSD é melhor, principalmente para firewalls, eles são mais completos. Este conceito eu já tenho, mas comecei a mecher com Ipfw terça-feira 12/01/2012, rs. Agradeço a todos pela ajuda, vlw !! -Original Message- From: Marcelo Gondim gon...@bsdinfo.com.br Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!! Date: Thu, 12 Jan 2012 15:31:23 -0200 Em 12/01/2012 14:32, Adiel de Lima Ribeiro escreveu: Não sei se é uma boa idéia, mas vou migrar pro PF, vou ter que aprender as regras, mas tudo bem, ele me parece melhor que o IPFW. O que vocês tem a me dizer ? Você precisaria aprender 2. rsrsrsrsr Não importa qual você vai usar o problema que está tendo parece mais de conceito sobre Firewalls que dá própria aplicação. Confesso que quando saí do Netfilter/IPTables e vi o ipfw e o pf quase pirei nas regras mas o que ajuda mesmo é o conceito, graças à ele hoje já tenho todos os meus Firewalls convertidos para pf e ipfw. Vou fazer algo que não deveria pois acertos e erros levam à aprendizagem e mais que tudo aumento da experiência. Como o Irado dizia... melhor ensinar à pescar que já dar o peixe pronto. Ps: gosto até de pescar mas limpar o peixe não é nada legal. ahahahahahah Fazer o que? Vou fazer o seguinte ambiente imaginário: Firewall com 2 interfaces de rede: em0 para a Internet e em1 para a rede Interna. Rede Interna: 192.168.0.0/24 estação Firewall == 192.168.0.2 === 192.168.0.1/24(em1) 10.0.0.1/24(em0) === INTERNET No seu Kernel compilado: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_FORWARD options IPFIREWALL_NAT options LIBALIAS options DUMMYNET options IPDIVERT No script de Firewall: ## #!/bin/sh fw=/sbin/ipfw ext_if=em0 int_if=em1 $fw disable one_pass $fw -f flush $fw zero $fw table all flush # Estacoes $fw table 1 add 192.168.0.2 $fw table 1 add 192.168.0.3 $fw table 1 add 192.168.0.4 $fw add allow all from any to any via lo0 $fw add deny all from 127.0.0.0/8 to any $fw add deny all from any to 127.0.0.0/8 $fw add deny all from any to any not antispoof # Redireciona para o natd $fw add divert 8668 ip from 192.168.0.0/24 to any out via $ext_if $fw add divert 8668 ip from any to me in via $ext_if # Permite IPs na table 2 o acesso à DNS externo $fw add allow udp from table(2) to any 53 keep-state $fw add allow tcp from table(2) to any 53 setup keep-state # Permite IPs para acesso web $fw add allow tcp from table(2) to any 80 setup keep-state $fw add allow tcp from me to any out setup keep-state $fw add allow all from me to any out keep-state $fw add 65534 deny all from any to any ### # natd.conf instance default interface em0 dynamic no same_ports yes use_sockets yes unregistered_only yes Bem esse é um script bem simples, tem que funcionar aí. Basta agora você adaptar para a sua realidade. Melhor não consigo fazer pra vc entender rsrsrsr -Original Message- From: Lucas Diaslucas...@gmail.com Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!! Date: Thu, 12 Jan 2012 13:06:35 -0300 Adiel Então você deve estar esquecendo de algum detalhe. Reveja o que os colegas Marcelo Gondim e Luiz Gustavo falaram. Se for possível, e resolver seu problema, usa o pf, pois ele é cheio de recursos interessantes para NAT. Agora, se for questão de honra colocar pra funcionar o NAT com o IPFW, reveja com calma as regras e as ordens das mesmas Vale ressaltar que nat from any to any não é muito legal... entendo any, como 0.0.0.0/0, eu acredito que você quer fazer nat sua
Re: [FUG-BR] IPFW - natd.
Em 11/01/2012 13:51, Adiel de Lima Ribeiro escreveu: Senhores, boa tarde. Tenho um IPFW como firewall aqui em minha infraestrutura. Ele tem uma interface de rede ligada a internet com IP fixo, em0. Tenho uma interface de rede ligada a lan dos servidores, em1. Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf, quando crio as seguintes regras no meu firewall, o redirecionamento da lan dos servidores para a internet funciona, por exemplo, ping e consultas DNS. ipfw add 099 divert natd all from any to any ipfw add 100 allow all from any to any Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por exemplo: ipfw add 666 divert natd tcp from {servidor} to any 53 ipfw add 669 divert natd udp from {servidor} to any 53 ipfw add 667 allow tcp from {servidor} to any 53 ipfw add 668 allow udp from {servidor} to any 53 Se não houver, gostaria de saber se faço isso pelas flags do natd, gostaria de exemplos também de como fazer, pelo IPFW se houver como, e pelas flags do natd. Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar algum. Obrigado. Opa Adiel, Confesso que não entendi bem o que está acontecendo e o que você quer realmente fazer. Tenta explicar mais detalhadamente. Por exemplo no seu nat 099 você faz nat de tudo, eu faria nat apenas dos IPs internos para fora. Mas confesso que não entendi o que queres fazer. Também costumo usar o nat do pf com o filtro do ipfw, mas isso é uma opção minha porque acho o nat do pf muito tranquilo as regras. []´s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
sua necessidade é redirecionamento de portas (nat estatico) ou apenas mascarar a rede interna? não ficou claro... Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Senhores, boa tarde. Tenho um IPFW como firewall aqui em minha infraestrutura. Ele tem uma interface de rede ligada a internet com IP fixo, em0. Tenho uma interface de rede ligada a lan dos servidores, em1. Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf, quando crio as seguintes regras no meu firewall, o redirecionamento da lan dos servidores para a internet funciona, por exemplo, ping e consultas DNS. ipfw add 099 divert natd all from any to any ipfw add 100 allow all from any to any Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por exemplo: ipfw add 666 divert natd tcp from {servidor} to any 53 ipfw add 669 divert natd udp from {servidor} to any 53 ipfw add 667 allow tcp from {servidor} to any 53 ipfw add 668 allow udp from {servidor} to any 53 Se não houver, gostaria de saber se faço isso pelas flags do natd, gostaria de exemplos também de como fazer, pelo IPFW se houver como, e pelas flags do natd. Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar algum. Obrigado. -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Tiago N. Furbeta Cangere Online Provedor de Internet Ltda. Empresa de Telecomunicações Autorizada SCM/ANATEL tfurb...@cangere.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Marcelo, justamente isso. Quando faço o nat de tudo, funciona, mas quando resrtinjo o nat apenas a consultas DNS na internet, não funciona, como pode ver nas regras. Quero justamente uma regra do IPFW que consiga restringir o nat. Não sei se tal regra funciona apenas com o IPFW divert any to any e deve ser configurada nas flags do natd ou se consigo criar tal bloqueio no ipfw mesmo. Obrigado. -Original Message- From: Marcelo Gondim gon...@bsdinfo.com.br Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 14:48:21 -0200 Em 11/01/2012 13:51, Adiel de Lima Ribeiro escreveu: Senhores, boa tarde. Tenho um IPFW como firewall aqui em minha infraestrutura. Ele tem uma interface de rede ligada a internet com IP fixo, em0. Tenho uma interface de rede ligada a lan dos servidores, em1. Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf, quando crio as seguintes regras no meu firewall, o redirecionamento da lan dos servidores para a internet funciona, por exemplo, ping e consultas DNS. ipfw add 099 divert natd all from any to any ipfw add 100 allow all from any to any Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por exemplo: ipfw add 666 divert natd tcp from {servidor} to any 53 ipfw add 669 divert natd udp from {servidor} to any 53 ipfw add 667 allow tcp from {servidor} to any 53 ipfw add 668 allow udp from {servidor} to any 53 Se não houver, gostaria de saber se faço isso pelas flags do natd, gostaria de exemplos também de como fazer, pelo IPFW se houver como, e pelas flags do natd. Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar algum. Obrigado. Opa Adiel, Confesso que não entendi bem o que está acontecendo e o que você quer realmente fazer. Tenta explicar mais detalhadamente. Por exemplo no seu nat 099 você faz nat de tudo, eu faria nat apenas dos IPs internos para fora. Mas confesso que não entendi o que queres fazer. Também costumo usar o nat do pf com o filtro do ipfw, mas isso é uma opção minha porque acho o nat do pf muito tranquilo as regras. []´s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Marcelo, esqueci de dizer. Em teoria esta regra deveria permitir consultas DNS do meu servidor para a internet, mas não funciona, quando libero o nat total funciona. ipfw add 666 divert natd tcp from {servidor} to any 53 ipfw add 669 divert natd udp from {servidor} to any 53 ipfw add 667 allow tcp from {servidor} to any 53 ipfw add 668 allow udp from {servidor} to any 53 -Original Message- From: Marcelo Gondim gon...@bsdinfo.com.br Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 14:48:21 -0200 Em 11/01/2012 13:51, Adiel de Lima Ribeiro escreveu: Senhores, boa tarde. Tenho um IPFW como firewall aqui em minha infraestrutura. Ele tem uma interface de rede ligada a internet com IP fixo, em0. Tenho uma interface de rede ligada a lan dos servidores, em1. Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf, quando crio as seguintes regras no meu firewall, o redirecionamento da lan dos servidores para a internet funciona, por exemplo, ping e consultas DNS. ipfw add 099 divert natd all from any to any ipfw add 100 allow all from any to any Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por exemplo: ipfw add 666 divert natd tcp from {servidor} to any 53 ipfw add 669 divert natd udp from {servidor} to any 53 ipfw add 667 allow tcp from {servidor} to any 53 ipfw add 668 allow udp from {servidor} to any 53 Se não houver, gostaria de saber se faço isso pelas flags do natd, gostaria de exemplos também de como fazer, pelo IPFW se houver como, e pelas flags do natd. Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar algum. Obrigado. Opa Adiel, Confesso que não entendi bem o que está acontecendo e o que você quer realmente fazer. Tenta explicar mais detalhadamente. Por exemplo no seu nat 099 você faz nat de tudo, eu faria nat apenas dos IPs internos para fora. Mas confesso que não entendi o que queres fazer. Também costumo usar o nat do pf com o filtro do ipfw, mas isso é uma opção minha porque acho o nat do pf muito tranquilo as regras. []´s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Tiago, no caso mascarar consultas dns dos servidores para a internet. -Original Message- From: Tiago Furbeta tfurb...@cangere.com.br Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 15:28:38 -0200 sua necessidade é redirecionamento de portas (nat estatico) ou apenas mascarar a rede interna? não ficou claro... Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Senhores, boa tarde. Tenho um IPFW como firewall aqui em minha infraestrutura. Ele tem uma interface de rede ligada a internet com IP fixo, em0. Tenho uma interface de rede ligada a lan dos servidores, em1. Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf, quando crio as seguintes regras no meu firewall, o redirecionamento da lan dos servidores para a internet funciona, por exemplo, ping e consultas DNS. ipfw add 099 divert natd all from any to any ipfw add 100 allow all from any to any Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por exemplo: ipfw add 666 divert natd tcp from {servidor} to any 53 ipfw add 669 divert natd udp from {servidor} to any 53 ipfw add 667 allow tcp from {servidor} to any 53 ipfw add 668 allow udp from {servidor} to any 53 Se não houver, gostaria de saber se faço isso pelas flags do natd, gostaria de exemplos também de como fazer, pelo IPFW se houver como, e pelas flags do natd. Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar algum. Obrigado. -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Em 11/01/2012 15:31, Adiel de Lima Ribeiro escreveu: Marcelo, justamente isso. Quando faço o nat de tudo, funciona, mas quando resrtinjo o nat apenas a consultas DNS na internet, não funciona, como pode ver nas regras. Quero justamente uma regra do IPFW que consiga restringir o nat. Não sei se tal regra funciona apenas com o IPFW divert any to any e deve ser configurada nas flags do natd ou se consigo criar tal bloqueio no ipfw mesmo. Obrigado. Manda como está o seu natd.conf também. Mas vou te dar um exemplo: no seu script do ipfw ficaria assim como exemplo: ipfw add divert natd ip from 192.168.66.0/24 to any out via em0 ipfw add divert natd ip from any to me in via em0 No caso em0 é a interface externa que liga com a Internet. no natd.conf um exemplo seria: instance default interface em0 dynamic no same_ports yes use_sockets yes unregistered_only yes []´s Gondim -Original Message- From: Marcelo Gondimgon...@bsdinfo.com.br Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 14:48:21 -0200 Em 11/01/2012 13:51, Adiel de Lima Ribeiro escreveu: Senhores, boa tarde. Tenho um IPFW como firewall aqui em minha infraestrutura. Ele tem uma interface de rede ligada a internet com IP fixo, em0. Tenho uma interface de rede ligada a lan dos servidores, em1. Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf, quando crio as seguintes regras no meu firewall, o redirecionamento da lan dos servidores para a internet funciona, por exemplo, ping e consultas DNS. ipfw add 099 divert natd all from any to any ipfw add 100 allow all from any to any Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por exemplo: ipfw add 666 divert natd tcp from {servidor} to any 53 ipfw add 669 divert natd udp from {servidor} to any 53 ipfw add 667 allow tcp from {servidor} to any 53 ipfw add 668 allow udp from {servidor} to any 53 Se não houver, gostaria de saber se faço isso pelas flags do natd, gostaria de exemplos também de como fazer, pelo IPFW se houver como, e pelas flags do natd. Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar algum. Obrigado. Opa Adiel, Confesso que não entendi bem o que está acontecendo e o que você quer realmente fazer. Tenta explicar mais detalhadamente. Por exemplo no seu nat 099 você faz nat de tudo, eu faria nat apenas dos IPs internos para fora. Mas confesso que não entendi o que queres fazer. Também costumo usar o nat do pf com o filtro do ipfw, mas isso é uma opção minha porque acho o nat do pf muito tranquilo as regras. []´s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
você deseja fazer masquerade apenas para as consultas a servdores DNS externos realizadas pelos seus servidores? mais nada? Em 11 de janeiro de 2012 15:37, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Tiago, no caso mascarar consultas dns dos servidores para a internet. -Original Message- From: Tiago Furbeta tfurb...@cangere.com.br Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 15:28:38 -0200 sua necessidade é redirecionamento de portas (nat estatico) ou apenas mascarar a rede interna? não ficou claro... Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Senhores, boa tarde. Tenho um IPFW como firewall aqui em minha infraestrutura. Ele tem uma interface de rede ligada a internet com IP fixo, em0. Tenho uma interface de rede ligada a lan dos servidores, em1. Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf, quando crio as seguintes regras no meu firewall, o redirecionamento da lan dos servidores para a internet funciona, por exemplo, ping e consultas DNS. ipfw add 099 divert natd all from any to any ipfw add 100 allow all from any to any Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por exemplo: ipfw add 666 divert natd tcp from {servidor} to any 53 ipfw add 669 divert natd udp from {servidor} to any 53 ipfw add 667 allow tcp from {servidor} to any 53 ipfw add 668 allow udp from {servidor} to any 53 Se não houver, gostaria de saber se faço isso pelas flags do natd, gostaria de exemplos também de como fazer, pelo IPFW se houver como, e pelas flags do natd. Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar algum. Obrigado. -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Tiago N. Furbeta Cangere Online Provedor de Internet Ltda. Empresa de Telecomunicações Autorizada SCM/ANATEL tfurb...@cangere.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Sim, no caso é, pois entendendo como se faz isso parto para o resto da configuração. -Original Message- From: Tiago Furbeta tfurb...@cangere.com.br Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 16:04:21 -0200 você deseja fazer masquerade apenas para as consultas a servdores DNS externos realizadas pelos seus servidores? mais nada? Em 11 de janeiro de 2012 15:37, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Tiago, no caso mascarar consultas dns dos servidores para a internet. -Original Message- From: Tiago Furbeta tfurb...@cangere.com.br Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 15:28:38 -0200 sua necessidade é redirecionamento de portas (nat estatico) ou apenas mascarar a rede interna? não ficou claro... Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Senhores, boa tarde. Tenho um IPFW como firewall aqui em minha infraestrutura. Ele tem uma interface de rede ligada a internet com IP fixo, em0. Tenho uma interface de rede ligada a lan dos servidores, em1. Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf, quando crio as seguintes regras no meu firewall, o redirecionamento da lan dos servidores para a internet funciona, por exemplo, ping e consultas DNS. ipfw add 099 divert natd all from any to any ipfw add 100 allow all from any to any Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por exemplo: ipfw add 666 divert natd tcp from {servidor} to any 53 ipfw add 669 divert natd udp from {servidor} to any 53 ipfw add 667 allow tcp from {servidor} to any 53 ipfw add 668 allow udp from {servidor} to any 53 Se não houver, gostaria de saber se faço isso pelas flags do natd, gostaria de exemplos também de como fazer, pelo IPFW se houver como, e pelas flags do natd. Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar algum. Obrigado. -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Não seria... ipfw add 666 divert natd tcp from any to {servidor} 53 ipfw add 669 divert natd udp from any to {servidor} 53 ipfw add 667 allow tcp from any to {servidor} 53 ipfw add 668 allow udp from any to {servidor} 53 ? Wenderson Souza Em 11 de janeiro de 2012 15:09, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Sim, no caso é, pois entendendo como se faz isso parto para o resto da configuração. -Original Message- From: Tiago Furbeta tfurb...@cangere.com.br Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 16:04:21 -0200 você deseja fazer masquerade apenas para as consultas a servdores DNS externos realizadas pelos seus servidores? mais nada? Em 11 de janeiro de 2012 15:37, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Tiago, no caso mascarar consultas dns dos servidores para a internet. -Original Message- From: Tiago Furbeta tfurb...@cangere.com.br Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 15:28:38 -0200 sua necessidade é redirecionamento de portas (nat estatico) ou apenas mascarar a rede interna? não ficou claro... Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Senhores, boa tarde. Tenho um IPFW como firewall aqui em minha infraestrutura. Ele tem uma interface de rede ligada a internet com IP fixo, em0. Tenho uma interface de rede ligada a lan dos servidores, em1. Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf, quando crio as seguintes regras no meu firewall, o redirecionamento da lan dos servidores para a internet funciona, por exemplo, ping e consultas DNS. ipfw add 099 divert natd all from any to any ipfw add 100 allow all from any to any Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por exemplo: ipfw add 666 divert natd tcp from {servidor} to any 53 ipfw add 669 divert natd udp from {servidor} to any 53 ipfw add 667 allow tcp from {servidor} to any 53 ipfw add 668 allow udp from {servidor} to any 53 Se não houver, gostaria de saber se faço isso pelas flags do natd, gostaria de exemplos também de como fazer, pelo IPFW se houver como, e pelas flags do natd. Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar algum. Obrigado. -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Wenderson, não é publicação DNS, é nat de consulta DNS de meus servidores DNS para a internet. -Original Message- From: Wenderson Souza wendersonso...@gmail.com Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 15:15:17 -0300 Não seria... ipfw add 666 divert natd tcp from any to {servidor} 53 ipfw add 669 divert natd udp from any to {servidor} 53 ipfw add 667 allow tcp from any to {servidor} 53 ipfw add 668 allow udp from any to {servidor} 53 ? Wenderson Souza Em 11 de janeiro de 2012 15:09, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Sim, no caso é, pois entendendo como se faz isso parto para o resto da configuração. -Original Message- From: Tiago Furbeta tfurb...@cangere.com.br Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 16:04:21 -0200 você deseja fazer masquerade apenas para as consultas a servdores DNS externos realizadas pelos seus servidores? mais nada? Em 11 de janeiro de 2012 15:37, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Tiago, no caso mascarar consultas dns dos servidores para a internet. -Original Message- From: Tiago Furbeta tfurb...@cangere.com.br Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 15:28:38 -0200 sua necessidade é redirecionamento de portas (nat estatico) ou apenas mascarar a rede interna? não ficou claro... Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Senhores, boa tarde. Tenho um IPFW como firewall aqui em minha infraestrutura. Ele tem uma interface de rede ligada a internet com IP fixo, em0. Tenho uma interface de rede ligada a lan dos servidores, em1. Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf, quando crio as seguintes regras no meu firewall, o redirecionamento da lan dos servidores para a internet funciona, por exemplo, ping e consultas DNS. ipfw add 099 divert natd all from any to any ipfw add 100 allow all from any to any Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por exemplo: ipfw add 666 divert natd tcp from {servidor} to any 53 ipfw add 669 divert natd udp from {servidor} to any 53 ipfw add 667 allow tcp from {servidor} to any 53 ipfw add 668 allow udp from {servidor} to any 53 Se não houver, gostaria de saber se faço isso pelas flags do natd, gostaria de exemplos também de como fazer, pelo IPFW se houver como, e pelas flags do natd. Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar algum. Obrigado. -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Wenderson Souza Em 11 de janeiro de 2012 15:17, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Wenderson, não é publicação DNS, é nat de consulta DNS de meus servidores DNS para a internet. -Original Message- From: Wenderson Souza wendersonso...@gmail.com Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 15:15:17 -0300 Não seria... ipfw add 666 divert natd tcp from any to {servidor} 53 ipfw add 669 divert natd udp from any to {servidor} 53 ipfw add 667 allow tcp from any to {servidor} 53 ipfw add 668 allow udp from any to {servidor} 53 ? Wenderson Souza Em 11 de janeiro de 2012 15:09, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Sim, no caso é, pois entendendo como se faz isso parto para o resto da configuração. -Original Message- From: Tiago Furbeta tfurb...@cangere.com.br Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 16:04:21 -0200 você deseja fazer masquerade apenas para as consultas a servdores DNS externos realizadas pelos seus servidores? mais nada? Em 11 de janeiro de 2012 15:37, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Tiago, no caso mascarar consultas dns dos servidores para a internet. -Original Message- From: Tiago Furbeta tfurb...@cangere.com.br Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 15:28:38 -0200 sua necessidade é redirecionamento de portas (nat estatico) ou apenas mascarar a rede interna? não ficou claro... Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Senhores, boa tarde. Tenho um IPFW como firewall aqui em minha infraestrutura. Ele tem uma interface de rede ligada a internet com IP fixo, em0. Tenho uma interface de rede ligada a lan dos servidores, em1. Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf, quando crio as seguintes regras no meu firewall, o redirecionamento da lan dos servidores para a internet funciona, por exemplo, ping e consultas DNS. ipfw add 099 divert natd all from any to any ipfw add 100 allow all from any to any Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por exemplo: ipfw add 666 divert natd tcp from {servidor} to any 53 ipfw add 669 divert natd udp from {servidor} to any 53 ipfw add 667 allow tcp from {servidor} to any 53 ipfw add 668 allow udp from {servidor} to any 53 Se não houver, gostaria de saber se faço isso pelas flags do natd, gostaria de exemplos também de como fazer, pelo IPFW se houver como, e pelas flags do natd. Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar algum. Obrigado. -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Opa, Não seria mais fácil fazer um dirvert natd all from any to any, e depois as regras de allow e por fim deny? Acredito que vai economizar algumas dezenas de linhas de firewall assim... :-) Em 11/01/2012 16:15, Wenderson Souza escreveu: Não seria... ipfw add 666 divert natd tcp from any to {servidor} 53 ipfw add 669 divert natd udp from any to {servidor} 53 ipfw add 667 allow tcp from any to {servidor} 53 ipfw add 668 allow udp from any to {servidor} 53 ? Wenderson Souza - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
faça o nat normal para sua(s) rede(s) privada(s) e trate isso no firewall, regras de DMZ: nega tudo e libera o necessário... Em 11 de janeiro de 2012 16:17, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Wenderson, não é publicação DNS, é nat de consulta DNS de meus servidores DNS para a internet. -Original Message- From: Wenderson Souza wendersonso...@gmail.com Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 15:15:17 -0300 Não seria... ipfw add 666 divert natd tcp from any to {servidor} 53 ipfw add 669 divert natd udp from any to {servidor} 53 ipfw add 667 allow tcp from any to {servidor} 53 ipfw add 668 allow udp from any to {servidor} 53 ? Wenderson Souza Em 11 de janeiro de 2012 15:09, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Sim, no caso é, pois entendendo como se faz isso parto para o resto da configuração. -Original Message- From: Tiago Furbeta tfurb...@cangere.com.br Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 16:04:21 -0200 você deseja fazer masquerade apenas para as consultas a servdores DNS externos realizadas pelos seus servidores? mais nada? Em 11 de janeiro de 2012 15:37, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Tiago, no caso mascarar consultas dns dos servidores para a internet. -Original Message- From: Tiago Furbeta tfurb...@cangere.com.br Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 15:28:38 -0200 sua necessidade é redirecionamento de portas (nat estatico) ou apenas mascarar a rede interna? não ficou claro... Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Senhores, boa tarde. Tenho um IPFW como firewall aqui em minha infraestrutura. Ele tem uma interface de rede ligada a internet com IP fixo, em0. Tenho uma interface de rede ligada a lan dos servidores, em1. Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf, quando crio as seguintes regras no meu firewall, o redirecionamento da lan dos servidores para a internet funciona, por exemplo, ping e consultas DNS. ipfw add 099 divert natd all from any to any ipfw add 100 allow all from any to any Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por exemplo: ipfw add 666 divert natd tcp from {servidor} to any 53 ipfw add 669 divert natd udp from {servidor} to any 53 ipfw add 667 allow tcp from {servidor} to any 53 ipfw add 668 allow udp from {servidor} to any 53 Se não houver, gostaria de saber se faço isso pelas flags do natd, gostaria de exemplos também de como fazer, pelo IPFW se houver como, e pelas flags do natd. Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar algum. Obrigado. -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Tiago N. Furbeta Cangere Online Provedor de Internet Ltda. Empresa de Telecomunicações Autorizada SCM/ANATEL tfurb...@cangere.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Em 11 de janeiro de 2012 14:36, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Marcelo, esqueci de dizer. Em teoria esta regra deveria permitir consultas DNS do meu servidor para a internet, mas não funciona, quando libero o nat total funciona. ipfw add 666 divert natd tcp from {servidor} to any 53 ipfw add 669 divert natd udp from {servidor} to any 53 ipfw add 667 allow tcp from {servidor} to any 53 ipfw add 668 allow udp from {servidor} to any 53 Entendi, Na verdade o que está acontecendo é: Quando libara o NATd total, os clientes (LAN) conseguem acessar o DNS externo (creio eu). Quando bloqueia o NATd total, os clientes não conseguem, mas conseguem acessar local certo? Então verifique se o próprio servidor (local) tem acesso a internet, para isso deve liberar entrada para a sua porta 53, para poder o DNS Server poder consultar na internet. Tente algo como: ipfw add 667 permit all from any to me 53 in via em0 ipfw add 668 permit all from me 53 to any out via em0 Ou se quiser ser mais especifico, liberando apenas de 53 parar 53. ipfw add 667 permit all from any 53 to me 53 in via em0 ipfw add 668 permit all from me 53 to any 53 out via em0 Não sei se era essa dúvida. Sobre o NATd em si não posso ajudar muito, pois utilizo PF. Sem contar que ainda não sabemos como é seu firewall, se STATEFUL ou STATELESS. []'s Wenderson Souza - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Amigo já que você quer liberar apenas o nat para dns, configura o dnsmasq e vc não precisa nem de NAT para o dns. Pronto. Em 11/01/2012 16:40, Wenderson Souza escreveu: Em 11 de janeiro de 2012 14:36, Adiel de Lima Ribeiro adiel.netad...@gmail.com escreveu: Marcelo, esqueci de dizer. Em teoria esta regra deveria permitir consultas DNS do meu servidor para a internet, mas não funciona, quando libero o nat total funciona. ipfw add 666 divert natd tcp from {servidor} to any 53 ipfw add 669 divert natd udp from {servidor} to any 53 ipfw add 667 allow tcp from {servidor} to any 53 ipfw add 668 allow udp from {servidor} to any 53 Entendi, Na verdade o que está acontecendo é: Quando libara o NATd total, os clientes (LAN) conseguem acessar o DNS externo (creio eu). Quando bloqueia o NATd total, os clientes não conseguem, mas conseguem acessar local certo? Então verifique se o próprio servidor (local) tem acesso a internet, para isso deve liberar entrada para a sua porta 53, para poder o DNS Server poder consultar na internet. Tente algo como: ipfw add 667 permit all from any to me 53 in via em0 ipfw add 668 permit all from me 53 to any out via em0 Ou se quiser ser mais especifico, liberando apenas de 53 parar 53. ipfw add 667 permit all from any 53 to me 53 in via em0 ipfw add 668 permit all from me 53 to any 53 out via em0 Não sei se era essa dúvida. Sobre o NATd em si não posso ajudar muito, pois utilizo PF. Sem contar que ainda não sabemos como é seu firewall, se STATEFUL ou STATELESS. []'s Wenderson Souza - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Sim, seria. ipfw add divert natd ip from any to any - OK e depois ? ipfw add allow from {servidor} to any 53 ipfw add allow from any 53 to servidor Isso permitiria um nat da rede dos meus servidores para resolver nomes na internet ? -Original Message- From: Renato Frederick ren...@frederick.eti.br Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br To: freebsd@fug.com.br Subject: Re: [FUG-BR] IPFW - natd. Date: Wed, 11 Jan 2012 16:21:23 -0200 Opa, Não seria mais fácil fazer um dirvert natd all from any to any, e depois as regras de allow e por fim deny? Acredito que vai economizar algumas dezenas de linhas de firewall assim... :-) Em 11/01/2012 16:15, Wenderson Souza escreveu: Não seria... ipfw add 666 divert natd tcp from any to {servidor} 53 ipfw add 669 divert natd udp from any to {servidor} 53 ipfw add 667 allow tcp from any to {servidor} 53 ipfw add 668 allow udp from any to {servidor} 53 ? Wenderson Souza - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd