Re: [FUG-BR] IPNAT vs Traceroute
Alguém da lista, teria o contato ou o local onde eu possa publicar essa dúvida para ser vista pelo pessoal de desenvolvimento da ferramenta? Ainda não estou confortável para colocá-lo em produção desta forma. On Mon, Jul 4, 2016 at 10:56 AM Márcio Elias wrote: > Bom dia. > > Sobre o traceroute em ICMP ou UDP, eu estava fazendo o teste pelo Windows, > que não tem essa opção (visão do cliente). > > Fiz o teste com a opção auto, deixei inclusive somente uma regra tcp/udp > auto, e uma para o resto, um /32 para outro /32 (2 linhas de configuração) > e não funcionou. > > Sobre o FTP ainda não ví, mais acredito que precisarei sim incluir essas > regras para que o mesmo funcione. > > Não coloquei em produção ainda por conta desse problema no traceroute, > constato via tcpdump que os pacotes ICMP Type 11 chegam na interface WAN do > servidor, mais não passam para a interface LAN, já os tipos 0 e 8 transitam > normalmente entre as interfaces. > > On Thu, Jun 30, 2016 at 4:05 PM Vinícius Zavam > wrote: > >> 2016-06-25 10:12 GMT-03:00, Márcio Elias : >> > Sim tem essa regra considerando todo o restando dos protocolos. >> > >> > O problema mesmo é que o bendito ICMT Type 11 não retorna a interface >> que >> > deveria >> > >> > Achei isso na documentação do Ipfilter/Ipnat do NetBSD. >> > >> > *ICMPIDMAP* >> >ICMP messages can be divided into two groups: "errors" and >> > "queries". >> >ICMP errors are generated as a response of another IP packet. IP >> > Filter >> >will take care that ICMP errors that are the response of a >> NAT-ed >> > IP >> >packet are handled properly. >> > >> > >> > Mais isso não é o que está acontecendo, a menos que eu precise de >> > alguma regra de filtragem no Ipfilter... >> > >> > >> > On Fri, Jun 24, 2016 at 6:17 PM Eduardo Schoedler >> > wrote: >> > >> >> Em 24 de junho de 2016 15:53, Otavio Augusto >> >> escreveu: >> >> > Em 24 de junho de 2016 15:33, Márcio Elias >> >> escreveu: >> >> >> Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT? >> >> >> >> >> >> Configurei um servidor com vários IP's públicos para atender a >> muitos >> >> >> clientes (uma espécie de CGNat para o ISP que trabalho). >> >> >> >> >> >> Setei um range de portas TCP/UDP para cada IP privado, para poder >> >> >> identificar usuários caso necessário e tudo funcionou muito bem, >> >> >> alias, >> >> >> quase tudo. >> >> >> >> >> >> Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 >> não >> >> >> retornam a interface com o IP privado atras do NAT, chegam na >> >> >> interface >> >> >> pública mais não são traduzidos corretamente. >> >> >> >> >> >> O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de >> um >> >> PC >> >> >> atras desse servidor de NAT eu vejo os hops até o servidor de nat, >> >> >> tenho >> >> >> timeout nos demais e finalmente recebo o retorno do último hop, já >> que >> >> esse >> >> >> não é um TTL Exceeded. >> >> >> >> >> >> Pode ser até maquiagem, uma vez que não reparei nenhum outro >> problema >> >> sério >> >> >> nesses tipos de conexões, mais gostaria muito de solucionar isso. >> >> >> >> >> >> Alguém usando algo parecido ou com algum knowhow sobre esse ambiente >> >> para >> >> >> dar um auxilio? >> >> >> - >> >> >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> >> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >> > >> >> > Quando vc setá um range de portas para cada ip invalido vc taz nat de >> >> > tcp e udp agora vc precisa de uma regra para icmp. >> >> > Coloque uma regra única de icmp para cada ip publico fazendo nat para >> >> > os ips que devem sair por este ip. >> >> >> >> Márcio, >> >> >> >> Além de TCP / UDP / ICMP, não esqueça o restante dos protocolos... ex: >> >> GRE, ESP, AH, L2TP, etc... >> >> Faça uma regra final considerando o NAT do restante todo. >> >> >> >> Att, >> >> >> >> >> >> -- >> >> Eduardo Schoedler >> >> chegastes a tentar usar o traceroute(8) com -I ? >> >> -I Use ICMP ECHO instead of UDP datagrams. (A synonym for "-P >> icmp"). >> >> por padrao, o traceroute(8) tambem usa UDP; portas altas. >> provavelmente nas saidas desses teus testes, ele poderia estar >> "saltando" com diferentes enderecos do pool que tu declarastes via >> IPNAT. nao? >> >> fez testes com "portmap tcp/udp auto"? a proposito, tuas conexoes de >> saida pra ftp estao a funcionar via IPNAT sem "proxy port"? >> >> [ ] ' s >> >> >> -- >> Vinícius Zavam >> keybase.io/egypcio/key.asc >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPNAT vs Traceroute
Bom dia. Sobre o traceroute em ICMP ou UDP, eu estava fazendo o teste pelo Windows, que não tem essa opção (visão do cliente). Fiz o teste com a opção auto, deixei inclusive somente uma regra tcp/udp auto, e uma para o resto, um /32 para outro /32 (2 linhas de configuração) e não funcionou. Sobre o FTP ainda não ví, mais acredito que precisarei sim incluir essas regras para que o mesmo funcione. Não coloquei em produção ainda por conta desse problema no traceroute, constato via tcpdump que os pacotes ICMP Type 11 chegam na interface WAN do servidor, mais não passam para a interface LAN, já os tipos 0 e 8 transitam normalmente entre as interfaces. On Thu, Jun 30, 2016 at 4:05 PM Vinícius Zavam wrote: > 2016-06-25 10:12 GMT-03:00, Márcio Elias : > > Sim tem essa regra considerando todo o restando dos protocolos. > > > > O problema mesmo é que o bendito ICMT Type 11 não retorna a interface que > > deveria > > > > Achei isso na documentação do Ipfilter/Ipnat do NetBSD. > > > > *ICMPIDMAP* > >ICMP messages can be divided into two groups: "errors" and > > "queries". > >ICMP errors are generated as a response of another IP packet. IP > > Filter > >will take care that ICMP errors that are the response of a > NAT-ed > > IP > >packet are handled properly. > > > > > > Mais isso não é o que está acontecendo, a menos que eu precise de > > alguma regra de filtragem no Ipfilter... > > > > > > On Fri, Jun 24, 2016 at 6:17 PM Eduardo Schoedler > > wrote: > > > >> Em 24 de junho de 2016 15:53, Otavio Augusto > >> escreveu: > >> > Em 24 de junho de 2016 15:33, Márcio Elias > >> escreveu: > >> >> Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT? > >> >> > >> >> Configurei um servidor com vários IP's públicos para atender a muitos > >> >> clientes (uma espécie de CGNat para o ISP que trabalho). > >> >> > >> >> Setei um range de portas TCP/UDP para cada IP privado, para poder > >> >> identificar usuários caso necessário e tudo funcionou muito bem, > >> >> alias, > >> >> quase tudo. > >> >> > >> >> Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não > >> >> retornam a interface com o IP privado atras do NAT, chegam na > >> >> interface > >> >> pública mais não são traduzidos corretamente. > >> >> > >> >> O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de > um > >> PC > >> >> atras desse servidor de NAT eu vejo os hops até o servidor de nat, > >> >> tenho > >> >> timeout nos demais e finalmente recebo o retorno do último hop, já > que > >> esse > >> >> não é um TTL Exceeded. > >> >> > >> >> Pode ser até maquiagem, uma vez que não reparei nenhum outro problema > >> sério > >> >> nesses tipos de conexões, mais gostaria muito de solucionar isso. > >> >> > >> >> Alguém usando algo parecido ou com algum knowhow sobre esse ambiente > >> para > >> >> dar um auxilio? > >> >> - > >> >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > > >> > Quando vc setá um range de portas para cada ip invalido vc taz nat de > >> > tcp e udp agora vc precisa de uma regra para icmp. > >> > Coloque uma regra única de icmp para cada ip publico fazendo nat para > >> > os ips que devem sair por este ip. > >> > >> Márcio, > >> > >> Além de TCP / UDP / ICMP, não esqueça o restante dos protocolos... ex: > >> GRE, ESP, AH, L2TP, etc... > >> Faça uma regra final considerando o NAT do restante todo. > >> > >> Att, > >> > >> > >> -- > >> Eduardo Schoedler > > chegastes a tentar usar o traceroute(8) com -I ? > > -I Use ICMP ECHO instead of UDP datagrams. (A synonym for "-P > icmp"). > > por padrao, o traceroute(8) tambem usa UDP; portas altas. > provavelmente nas saidas desses teus testes, ele poderia estar > "saltando" com diferentes enderecos do pool que tu declarastes via > IPNAT. nao? > > fez testes com "portmap tcp/udp auto"? a proposito, tuas conexoes de > saida pra ftp estao a funcionar via IPNAT sem "proxy port"? > > [ ] ' s > > > -- > Vinícius Zavam > keybase.io/egypcio/key.asc > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPNAT vs Traceroute
2016-06-25 10:12 GMT-03:00, Márcio Elias : > Sim tem essa regra considerando todo o restando dos protocolos. > > O problema mesmo é que o bendito ICMT Type 11 não retorna a interface que > deveria > > Achei isso na documentação do Ipfilter/Ipnat do NetBSD. > > *ICMPIDMAP* >ICMP messages can be divided into two groups: "errors" and > "queries". >ICMP errors are generated as a response of another IP packet. IP > Filter >will take care that ICMP errors that are the response of a NAT-ed > IP >packet are handled properly. > > > Mais isso não é o que está acontecendo, a menos que eu precise de > alguma regra de filtragem no Ipfilter... > > > On Fri, Jun 24, 2016 at 6:17 PM Eduardo Schoedler > wrote: > >> Em 24 de junho de 2016 15:53, Otavio Augusto >> escreveu: >> > Em 24 de junho de 2016 15:33, Márcio Elias >> escreveu: >> >> Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT? >> >> >> >> Configurei um servidor com vários IP's públicos para atender a muitos >> >> clientes (uma espécie de CGNat para o ISP que trabalho). >> >> >> >> Setei um range de portas TCP/UDP para cada IP privado, para poder >> >> identificar usuários caso necessário e tudo funcionou muito bem, >> >> alias, >> >> quase tudo. >> >> >> >> Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não >> >> retornam a interface com o IP privado atras do NAT, chegam na >> >> interface >> >> pública mais não são traduzidos corretamente. >> >> >> >> O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um >> PC >> >> atras desse servidor de NAT eu vejo os hops até o servidor de nat, >> >> tenho >> >> timeout nos demais e finalmente recebo o retorno do último hop, já que >> esse >> >> não é um TTL Exceeded. >> >> >> >> Pode ser até maquiagem, uma vez que não reparei nenhum outro problema >> sério >> >> nesses tipos de conexões, mais gostaria muito de solucionar isso. >> >> >> >> Alguém usando algo parecido ou com algum knowhow sobre esse ambiente >> para >> >> dar um auxilio? >> >> - >> >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > >> > Quando vc setá um range de portas para cada ip invalido vc taz nat de >> > tcp e udp agora vc precisa de uma regra para icmp. >> > Coloque uma regra única de icmp para cada ip publico fazendo nat para >> > os ips que devem sair por este ip. >> >> Márcio, >> >> Além de TCP / UDP / ICMP, não esqueça o restante dos protocolos... ex: >> GRE, ESP, AH, L2TP, etc... >> Faça uma regra final considerando o NAT do restante todo. >> >> Att, >> >> >> -- >> Eduardo Schoedler chegastes a tentar usar o traceroute(8) com -I ? -I Use ICMP ECHO instead of UDP datagrams. (A synonym for "-P icmp"). por padrao, o traceroute(8) tambem usa UDP; portas altas. provavelmente nas saidas desses teus testes, ele poderia estar "saltando" com diferentes enderecos do pool que tu declarastes via IPNAT. nao? fez testes com "portmap tcp/udp auto"? a proposito, tuas conexoes de saida pra ftp estao a funcionar via IPNAT sem "proxy port"? [ ] ' s -- Vinícius Zavam keybase.io/egypcio/key.asc - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPNAT vs Traceroute
Sim tem essa regra considerando todo o restando dos protocolos. O problema mesmo é que o bendito ICMT Type 11 não retorna a interface que deveria Achei isso na documentação do Ipfilter/Ipnat do NetBSD. *ICMPIDMAP* ICMP messages can be divided into two groups: "errors" and "queries". ICMP errors are generated as a response of another IP packet. IP Filter will take care that ICMP errors that are the response of a NAT-ed IP packet are handled properly. Mais isso não é o que está acontecendo, a menos que eu precise de alguma regra de filtragem no Ipfilter... On Fri, Jun 24, 2016 at 6:17 PM Eduardo Schoedler wrote: > Em 24 de junho de 2016 15:53, Otavio Augusto > escreveu: > > Em 24 de junho de 2016 15:33, Márcio Elias > escreveu: > >> Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT? > >> > >> Configurei um servidor com vários IP's públicos para atender a muitos > >> clientes (uma espécie de CGNat para o ISP que trabalho). > >> > >> Setei um range de portas TCP/UDP para cada IP privado, para poder > >> identificar usuários caso necessário e tudo funcionou muito bem, alias, > >> quase tudo. > >> > >> Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não > >> retornam a interface com o IP privado atras do NAT, chegam na interface > >> pública mais não são traduzidos corretamente. > >> > >> O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um > PC > >> atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho > >> timeout nos demais e finalmente recebo o retorno do último hop, já que > esse > >> não é um TTL Exceeded. > >> > >> Pode ser até maquiagem, uma vez que não reparei nenhum outro problema > sério > >> nesses tipos de conexões, mais gostaria muito de solucionar isso. > >> > >> Alguém usando algo parecido ou com algum knowhow sobre esse ambiente > para > >> dar um auxilio? > >> - > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > Quando vc setá um range de portas para cada ip invalido vc taz nat de > > tcp e udp agora vc precisa de uma regra para icmp. > > Coloque uma regra única de icmp para cada ip publico fazendo nat para > > os ips que devem sair por este ip. > > Márcio, > > Além de TCP / UDP / ICMP, não esqueça o restante dos protocolos... ex: > GRE, ESP, AH, L2TP, etc... > Faça uma regra final considerando o NAT do restante todo. > > Att, > > > -- > Eduardo Schoedler > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPNAT vs Traceroute
Em 24 de junho de 2016 15:53, Otavio Augusto escreveu: > Em 24 de junho de 2016 15:33, Márcio Elias escreveu: >> Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT? >> >> Configurei um servidor com vários IP's públicos para atender a muitos >> clientes (uma espécie de CGNat para o ISP que trabalho). >> >> Setei um range de portas TCP/UDP para cada IP privado, para poder >> identificar usuários caso necessário e tudo funcionou muito bem, alias, >> quase tudo. >> >> Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não >> retornam a interface com o IP privado atras do NAT, chegam na interface >> pública mais não são traduzidos corretamente. >> >> O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC >> atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho >> timeout nos demais e finalmente recebo o retorno do último hop, já que esse >> não é um TTL Exceeded. >> >> Pode ser até maquiagem, uma vez que não reparei nenhum outro problema sério >> nesses tipos de conexões, mais gostaria muito de solucionar isso. >> >> Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para >> dar um auxilio? >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > Quando vc setá um range de portas para cada ip invalido vc taz nat de > tcp e udp agora vc precisa de uma regra para icmp. > Coloque uma regra única de icmp para cada ip publico fazendo nat para > os ips que devem sair por este ip. Márcio, Além de TCP / UDP / ICMP, não esqueça o restante dos protocolos... ex: GRE, ESP, AH, L2TP, etc... Faça uma regra final considerando o NAT do restante todo. Att, -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPNAT vs Traceroute
Fiz, mais ainda assim não alterou o resultado final!!! On Fri, Jun 24, 2016 at 5:27 PM Otavio Augusto wrote: > Em 24 de junho de 2016 17:17, Márcio Elias > escreveu: > > Então, eu faço assim: > > > > map INTF ip-privado -> ip-publico portmap tcp/udp 2000:5000 > > map INTF ip-privado -> ip-publico > > > > Desta forma ele faz o map na primeira regra para TCP/UDP usando o range > de > > portas, e demais protocolos na regra abaixo. > > > > Já tentei reescrever a segunda regra acrescentando o protocolo ICMP e > > utilizando uma terceira regra para o restante, mais o resultado é o > mesmo! > > > > On Fri, Jun 24, 2016 at 3:53 PM Otavio Augusto > wrote: > > > >> Em 24 de junho de 2016 15:33, Márcio Elias > >> escreveu: > >> > Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT? > >> > > >> > Configurei um servidor com vários IP's públicos para atender a muitos > >> > clientes (uma espécie de CGNat para o ISP que trabalho). > >> > > >> > Setei um range de portas TCP/UDP para cada IP privado, para poder > >> > identificar usuários caso necessário e tudo funcionou muito bem, > alias, > >> > quase tudo. > >> > > >> > Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não > >> > retornam a interface com o IP privado atras do NAT, chegam na > interface > >> > pública mais não são traduzidos corretamente. > >> > > >> > O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de > um PC > >> > atras desse servidor de NAT eu vejo os hops até o servidor de nat, > tenho > >> > timeout nos demais e finalmente recebo o retorno do último hop, já que > >> esse > >> > não é um TTL Exceeded. > >> > > >> > Pode ser até maquiagem, uma vez que não reparei nenhum outro problema > >> sério > >> > nesses tipos de conexões, mais gostaria muito de solucionar isso. > >> > > >> > Alguém usando algo parecido ou com algum knowhow sobre esse ambiente > para > >> > dar um auxilio? > >> > - > >> > Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > >> Quando vc setá um range de portas para cada ip invalido vc taz nat de > >> tcp e udp agora vc precisa de uma regra para icmp. > >> Coloque uma regra única de icmp para cada ip publico fazendo nat para > >> os ips que devem sair por este ip. > >> > >> -- > >> Otavio Augusto > >> - > >> Consultor de TI > >> Citius Tecnologia > >> 31 37761866 > >> 31 88651242 > >> http://www.citiustecnologia.com.br > >> - > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > Esperimenta colcoarr estes ips validos em uma interface loopback . > -- > Otavio Augusto > - > Consultor de TI > Citius Tecnologia > 31 37761866 > 31 88651242 > http://www.citiustecnologia.com.br > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPNAT vs Traceroute
Em 24 de junho de 2016 17:17, Márcio Elias escreveu: > Então, eu faço assim: > > map INTF ip-privado -> ip-publico portmap tcp/udp 2000:5000 > map INTF ip-privado -> ip-publico > > Desta forma ele faz o map na primeira regra para TCP/UDP usando o range de > portas, e demais protocolos na regra abaixo. > > Já tentei reescrever a segunda regra acrescentando o protocolo ICMP e > utilizando uma terceira regra para o restante, mais o resultado é o mesmo! > > On Fri, Jun 24, 2016 at 3:53 PM Otavio Augusto wrote: > >> Em 24 de junho de 2016 15:33, Márcio Elias >> escreveu: >> > Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT? >> > >> > Configurei um servidor com vários IP's públicos para atender a muitos >> > clientes (uma espécie de CGNat para o ISP que trabalho). >> > >> > Setei um range de portas TCP/UDP para cada IP privado, para poder >> > identificar usuários caso necessário e tudo funcionou muito bem, alias, >> > quase tudo. >> > >> > Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não >> > retornam a interface com o IP privado atras do NAT, chegam na interface >> > pública mais não são traduzidos corretamente. >> > >> > O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC >> > atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho >> > timeout nos demais e finalmente recebo o retorno do último hop, já que >> esse >> > não é um TTL Exceeded. >> > >> > Pode ser até maquiagem, uma vez que não reparei nenhum outro problema >> sério >> > nesses tipos de conexões, mais gostaria muito de solucionar isso. >> > >> > Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para >> > dar um auxilio? >> > - >> > Histórico: http://www.fug.com.br/historico/html/freebsd/ >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >> Quando vc setá um range de portas para cada ip invalido vc taz nat de >> tcp e udp agora vc precisa de uma regra para icmp. >> Coloque uma regra única de icmp para cada ip publico fazendo nat para >> os ips que devem sair por este ip. >> >> -- >> Otavio Augusto >> - >> Consultor de TI >> Citius Tecnologia >> 31 37761866 >> 31 88651242 >> http://www.citiustecnologia.com.br >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Esperimenta colcoarr estes ips validos em uma interface loopback . -- Otavio Augusto - Consultor de TI Citius Tecnologia 31 37761866 31 88651242 http://www.citiustecnologia.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPNAT vs Traceroute
Então, eu faço assim: map INTF ip-privado -> ip-publico portmap tcp/udp 2000:5000 map INTF ip-privado -> ip-publico Desta forma ele faz o map na primeira regra para TCP/UDP usando o range de portas, e demais protocolos na regra abaixo. Já tentei reescrever a segunda regra acrescentando o protocolo ICMP e utilizando uma terceira regra para o restante, mais o resultado é o mesmo! On Fri, Jun 24, 2016 at 3:53 PM Otavio Augusto wrote: > Em 24 de junho de 2016 15:33, Márcio Elias > escreveu: > > Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT? > > > > Configurei um servidor com vários IP's públicos para atender a muitos > > clientes (uma espécie de CGNat para o ISP que trabalho). > > > > Setei um range de portas TCP/UDP para cada IP privado, para poder > > identificar usuários caso necessário e tudo funcionou muito bem, alias, > > quase tudo. > > > > Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não > > retornam a interface com o IP privado atras do NAT, chegam na interface > > pública mais não são traduzidos corretamente. > > > > O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC > > atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho > > timeout nos demais e finalmente recebo o retorno do último hop, já que > esse > > não é um TTL Exceeded. > > > > Pode ser até maquiagem, uma vez que não reparei nenhum outro problema > sério > > nesses tipos de conexões, mais gostaria muito de solucionar isso. > > > > Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para > > dar um auxilio? > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > Quando vc setá um range de portas para cada ip invalido vc taz nat de > tcp e udp agora vc precisa de uma regra para icmp. > Coloque uma regra única de icmp para cada ip publico fazendo nat para > os ips que devem sair por este ip. > > -- > Otavio Augusto > - > Consultor de TI > Citius Tecnologia > 31 37761866 > 31 88651242 > http://www.citiustecnologia.com.br > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPNAT vs Traceroute
Então, eu faço assim: map INTF ip-privado -> ip-publico portmap tcp/udp 2000:5000 map INTF ip-privado -> ip-publico Desta forma ele faz o map na primeira regra para TCP/UDP usando o range de portas, e demais protocolos na regra abaixo. Já tentei reescrever a segunda regra acrescentando o protocolo ICMP e utilizando uma terceira regra para o restante, mais o resultado é o mesmo! On Fri, Jun 24, 2016 at 3:53 PM Otavio Augusto wrote: > Em 24 de junho de 2016 15:33, Márcio Elias > escreveu: > > Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT? > > > > Configurei um servidor com vários IP's públicos para atender a muitos > > clientes (uma espécie de CGNat para o ISP que trabalho). > > > > Setei um range de portas TCP/UDP para cada IP privado, para poder > > identificar usuários caso necessário e tudo funcionou muito bem, alias, > > quase tudo. > > > > Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não > > retornam a interface com o IP privado atras do NAT, chegam na interface > > pública mais não são traduzidos corretamente. > > > > O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC > > atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho > > timeout nos demais e finalmente recebo o retorno do último hop, já que > esse > > não é um TTL Exceeded. > > > > Pode ser até maquiagem, uma vez que não reparei nenhum outro problema > sério > > nesses tipos de conexões, mais gostaria muito de solucionar isso. > > > > Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para > > dar um auxilio? > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > Quando vc setá um range de portas para cada ip invalido vc taz nat de > tcp e udp agora vc precisa de uma regra para icmp. > Coloque uma regra única de icmp para cada ip publico fazendo nat para > os ips que devem sair por este ip. > > -- > Otavio Augusto > - > Consultor de TI > Citius Tecnologia > 31 37761866 > 31 88651242 > http://www.citiustecnologia.com.br > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPNAT vs Traceroute
Em 24 de junho de 2016 15:33, Márcio Elias escreveu: > Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT? > > Configurei um servidor com vários IP's públicos para atender a muitos > clientes (uma espécie de CGNat para o ISP que trabalho). > > Setei um range de portas TCP/UDP para cada IP privado, para poder > identificar usuários caso necessário e tudo funcionou muito bem, alias, > quase tudo. > > Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não > retornam a interface com o IP privado atras do NAT, chegam na interface > pública mais não são traduzidos corretamente. > > O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC > atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho > timeout nos demais e finalmente recebo o retorno do último hop, já que esse > não é um TTL Exceeded. > > Pode ser até maquiagem, uma vez que não reparei nenhum outro problema sério > nesses tipos de conexões, mais gostaria muito de solucionar isso. > > Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para > dar um auxilio? > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Quando vc setá um range de portas para cada ip invalido vc taz nat de tcp e udp agora vc precisa de uma regra para icmp. Coloque uma regra única de icmp para cada ip publico fazendo nat para os ips que devem sair por este ip. -- Otavio Augusto - Consultor de TI Citius Tecnologia 31 37761866 31 88651242 http://www.citiustecnologia.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipnat e FTP Passivo e Ativo
Em Wed, 17 Sep 2008 14:34:19 -0300 "Breno" <[EMAIL PROTECTED]>, conhecido consumidor de drogas (BigMac's com Coke) escreveu: > Tenho em minha rede um firewall em FreeBSD configurado com o > Ipfilter, gostaria de saber de vcs quais as configurações que devo > inserir no meu ipnat.rules me parece que não existe essa condição de opção, mas também, pelo que me lembre, isso seria indiferente para o servidor - aliás, como mencionado. De qualquer forma, um tutorial que usei lá pelos tempos das caravelas pode ajudar vc a lembrar de alguma coisa: http://freebsd.peon.net/tutorials/21/ me parece bem completinho, embora (claro) levemente antigo. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free se o país é democrático, por que razão sou obrigado a votar? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPNAT tuning
Olá pessoal, Estava com o mesmo problema: chegava em 3 conexoes o servidor refugava com alguns timeouts e outras coisas estranhas Abaixo o trecho e codigo que modifiquei em /usr/src/sys/contrib/ipfilter/netinet/ip_nat.h: # ifdef LARGE_NAT # define NAT_TABLE_MAX 18 # else # define NAT_TABLE_MAX 10/* estava 3 */ # endif #endif #ifndef NAT_TABLE_SZ # ifdef LARGE_NAT # define NAT_TABLE_SZ16383/* Estava a metade */ # else # define NAT_TABLE_SZ2047 # endif #endif #ifndef APR_LABELLEN #define APR_LABELLEN16 #endif #define NAT_HW_CKSUM0x8000 Espero que ajude. sds, Paulo Coimbra IPZERO Informática > > Pessoal, > >Tenho encontrado alguns problemas com NAT em relação a grandes > quantidades de nat da minha rede. Principalmente com autenticação com > MSN aparentemente de trás do mesmo ip válido. >Na minha rede tenho em torno de 2000 máquinas onde faço uma média de > 1 IP valido por cada 50 estações usando um exemplo assim: > > map xl0 192.168.10.0/24 -> 200.200.200.132/32 proxy port ftp ftp/tcp > map xl0 192.168.10.0/24 -> 200.200.200.132/32 portmap tcp/udp auto > map xl0 192.168.10.0/24 -> 200.200.200.132/32 > > > server01# ipnat -s > mapped in 86375104out 91318147 > added 7872766 expired 0 > no memory 0 bad nat 4169 > inuse 21239 > rules 163 > wilds 0 > server01# > > > Eu já habilitei o LARGE_NAT no > /usr/src/sys/contrib/ipfilter/netinet/ip_nat.h > > > #define LARGE_NAT /* define this if you're setting up a > system to NAT > * LARGE numbers of networks/hosts - i.e. in the > * hundreds or thousands. In such a case, you > should > * also change the RDR_SIZE and NAT_SIZE below > to more > * appropriate sizes. The figures below were > used for > * a setup with 1000-2000 networks to NAT. > > > Passando de undef para define. Melhorou muito o desempenho : > > server01# ipf -T list > fr_flagsmin 0 max 0x current 0 > fr_active min 0 max 0 current 0 > fr_control_forwarding min 0 max 0x1 current 0 > fr_update_ipid min 0 max 0x1 current 0 > fr_chksrc min 0 max 0x1 current 0 > fr_minttl min 0 max 0x1 current 4 > fr_icmpminfragmtu min 0 max 0x1 current 68 > fr_pass min 0 max 0x current 134217730 > fr_tcpidletimeout min 0x1 max 0x7fff current 864000 > fr_tcpclosewait min 0x1 max 0x7fff current 480 > fr_tcplastack min 0x1 max 0x7fff current 480 > fr_tcptimeout min 0x1 max 0x7fff current 480 > fr_tcpclosedmin 0x1 max 0x7fff current 120 > fr_tcphalfclosedmin 0x1 max 0x7fff current 14400 > fr_udptimeout min 0x1 max 0x7fff current 240 > fr_udpacktimeoutmin 0x1 max 0x7fff current 24 > fr_icmptimeout min 0x1 max 0x7fff current 120 > fr_icmpacktimeout min 0x1 max 0x7fff current 12 > fr_iptimeoutmin 0x1 max 0x7fff current 120 > fr_statemax min 0x1 max 0x7fff current 4013 > fr_statesizemin 0x1 max 0x7fff current 5737 > fr_state_lock min 0 max 0x1 current 0 > fr_state_maxbucket min 0x1 max 0x7fff current 26 > fr_state_maxbucket_resetmin 0 max 0x1 current 1 > ipstate_logging min 0 max 0x1 current 0 > fr_nat_lock min 0 max 0x1 current 0 > ipf_nattable_sz min 0x1 max 0x7fff current 16383 > ipf_nattable_maxmin 0x1 max 0x7fff current 18 > ipf_natrules_sz min 0x1 max 0x7fff current 2047 > ipf_rdrrules_sz min 0x1 max 0x7fff current 2047 > ipf_hostmap_sz min 0x1 max 0x7fff current 8191 > fr_nat_maxbucketmin 0x1 max 0x7fff current 28 > fr_nat_maxbucket_reset min 0 max 0x1 current 1 > nat_logging min 0 max 0x1 current 0 > fr_defnatagemin 0x1 max 0x7fff current 1200 > fr_defnatipage min 0x1 max 0x7fff current 120 > fr_defnaticmpagemin 0x1 max 0x7fff current 6 > ipfr_size min 0x1 max 0x7fff current 257 > fr_ipfrttl min 0x1 max 0x7fff current 120 > ippr_ftp_debug min 0 max 0xa current 0 > server01# > > > > Mas ainda encontro esse problema do MSN. Alguem sabe mais algum truque > aprofundado? > > > -- > .:Abraços:. > > <<< Jonatas M. Victor >>> > [EMAIL PROTECTED] > UIN: 138431258 > MSN: [EMAIL PROTECTED] > BSD User: BSD051240 > Linux User: #278922 > http://www.vetorial.net > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPNAT tuning
Em Mon, 21 May 2007 14:36:07 -0300 "Jonatas M. Victor" <[EMAIL PROTECTED]> escreveu: > O problema que quando chega em torno de 4 regras de NAT eu > começo a ter problemas de autenticação no MSN e alguns timeouts para > páginas e problemas aleatório isso APARENTA ser falta de memória (nada a ver com amnésia), uma vez que 4 é um número RESPEITABILÍSSIMO. O que diz o seu "top", nessas ocasiões? flames > /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Tudo o que Existe egressa do Ser e regressa ao Ser. O Ser é o Insondável Tao. Das profundezas do Ser nascem todos os seres que existem. O Ser, porém, é o abismo do Não-Existir. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPNAT tuning
O problema que quando chega em torno de 4 regras de NAT eu começo a ter problemas de autenticação no MSN e alguns timeouts para páginas e problemas aleatórios que eu ainda nao consegui isolar mas sempre que executo um ipnat -CFf /etc/ipnat.rules tudo volta ao normal. Abraços, -- .:Abraços:. <<< Jonatas M. Victor >>> [EMAIL PROTECTED] UIN: 138431258 MSN: [EMAIL PROTECTED] BSD User: BSD051240 Linux User: #278922 http://www.vetorial.net - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPNAT tuning
Em Sat, 19 May 2007 11:28:20 -0300 "Jonatas M. Victor" <[EMAIL PROTECTED]> escreveu: > Mas ainda encontro esse problema do MSN. Alguem sabe mais algum > truque aprofundado? ainda não entendi QUAL É, efetivamente, o problema. Acho que perdi algo :( flames > /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Tudo o que Existe egressa do Ser e regressa ao Ser. O Ser é o Insondável Tao. Das profundezas do Ser nascem todos os seres que existem. O Ser, porém, é o abismo do Não-Existir. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPNAT
tenta assim dentro do seu rc.conf ipnat_enable="YES" ipnat_program="/sbin/ipnat -CF -f" ipnat_rules="/etc/ipnat.rules" e dentro do arquivo ipnat.rules map rl2 10.10.1.1/25 -> 200.xxx.xxx.109/32 proxy port ftp ftp/tcp map rl2 10.10.1.1/25 -> 200.xxx.xxx.109/32 portmap tcp/udp auto map rl2 10.10.1.1/25 -> 200.xxx.xxx.109/32 map rl2 10.10.1.129/25 -> 200.xxx.xxx.109/32 proxy port ftp ftp/tcp map rl2 10.10.1.129/25 -> 200.xxx.xxx.109/32 portmap tcp/udp auto map rl2 10.10.1.129/25 -> 200.xxx.xxx.109/32 deve funcionar !!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipnat - conectividade social + proxy transparente
Consegui resolver o problema, seguindo a dica do nosso companheiro Daniel S. Garcia: Meu arquivo ipnat.rules ficou assim: map rl1 from 192.168.0.0/24 to 200.201.174.0/24 -> $ipvalido map rl1 from 192.168.0.0/24 to 200.201.173.0/24 -> $ipvalido rdr rl0 from 192.168.0.0/24 to 0/0 port = 80 -> 192.168.0.254 port 3128 map rl1 192.168.0.0/24 -> $ipvalido Observe que a caixa esta com outra rede, a 200.201.173.0/24. Obrigado a Todos, Paulo Coimbra > bem, tive deste problema em um cliente, me falaram do firewall, e o > mais engracado q tinham 2 micros na rede a baixo do firewall e um > funcionava e o outro nao, cheguei a deixar o firewall todo aberto, e > continuavam falando q havia uma trava no firewall, solucao: backup do > windows , disco de boot, format , e msjv, ai funfo q foi uma blzinha. > > uma boa dica eh abrir o firewall pra cmt.caixa.gov.br. > > att, > Tiago Ribeiro. > > Em 07/02/06, Reginaldo Filippus<[EMAIL PROTECTED]> escreveu: >> Aqui tbm, soh conseguir resolver liberando os ips da caixa, com muito >> tcpdump para achar os ips. >> >> Mesmo assim, pode dar problemas, o sistema delas nao estar >> funcionando, e ainda por cima, o Java tem que ser o da Microsoft, o da >> Sun nao rola! >> >> []'s >> >> On 2/7/06, Márcio Luciano Donada <[EMAIL PROTECTED]> wrote: >> > -BEGIN PGP SIGNED MESSAGE- >> > Hash: SHA1 >> > >> > Daniel S. Garcia wrote: >> > > Sim, >> > > >> > > Faça uma regra no seu firewall (antes da regrado do proxy >> > > transparente) liberando os ips da caixa... >> > > >> > > >> > Bom dia, >> > Para resolvermos o problema aqui na empresa, peguei todos os possíveis >> > IPs que o sistema tenta acessar e na regra anterior ao proxy liberamos >> > os IP's para acessos aos hosts internos que necessitam utilizar esse >> > "sistema" que é um caos juntamento com o serviço de suporte. >> > >> > []'s >> > >> > - -- >> > Márcio Luciano Donada >> > T.I. Aurora Alimentos - Chapecó(SC) >> > Cooperativa Central Oeste Catarinense >> > mdonada at auroraalimentos dot com dot br >> > -BEGIN PGP SIGNATURE- >> > Version: GnuPG v1.4.2 (FreeBSD) >> > >> > iD8DBQFD6KF+yJq2hZEymxcRAknBAJwKaX2Wc9nZsbVD7ofQt5XRDukTjQCdGsuL >> > Ml6cGVbZEzIJ6+0vpsCqNNI> > =nD9s >> > -END PGP SIGNATURE- >> > >> > ___ >> > freebsd mailing list >> > freebsd@fug.com.br >> > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br >> > >> ___ >> freebsd mailing list >> freebsd@fug.com.br >> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br >> > ___ > freebsd mailing list > freebsd@fug.com.br > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br > ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] ipnat - conectividade social + proxy transparente
bem, tive deste problema em um cliente, me falaram do firewall, e o mais engracado q tinham 2 micros na rede a baixo do firewall e um funcionava e o outro nao, cheguei a deixar o firewall todo aberto, e continuavam falando q havia uma trava no firewall, solucao: backup do windows , disco de boot, format , e msjv, ai funfo q foi uma blzinha. uma boa dica eh abrir o firewall pra cmt.caixa.gov.br. att, Tiago Ribeiro. Em 07/02/06, Reginaldo Filippus<[EMAIL PROTECTED]> escreveu: > Aqui tbm, soh conseguir resolver liberando os ips da caixa, com muito > tcpdump para achar os ips. > > Mesmo assim, pode dar problemas, o sistema delas nao estar > funcionando, e ainda por cima, o Java tem que ser o da Microsoft, o da > Sun nao rola! > > []'s > > On 2/7/06, Márcio Luciano Donada <[EMAIL PROTECTED]> wrote: > > -BEGIN PGP SIGNED MESSAGE- > > Hash: SHA1 > > > > Daniel S. Garcia wrote: > > > Sim, > > > > > > Faça uma regra no seu firewall (antes da regrado do proxy > > > transparente) liberando os ips da caixa... > > > > > > > > Bom dia, > > Para resolvermos o problema aqui na empresa, peguei todos os possíveis > > IPs que o sistema tenta acessar e na regra anterior ao proxy liberamos > > os IP's para acessos aos hosts internos que necessitam utilizar esse > > "sistema" que é um caos juntamento com o serviço de suporte. > > > > []'s > > > > - -- > > Márcio Luciano Donada > > T.I. Aurora Alimentos - Chapecó(SC) > > Cooperativa Central Oeste Catarinense > > mdonada at auroraalimentos dot com dot br > > -BEGIN PGP SIGNATURE- > > Version: GnuPG v1.4.2 (FreeBSD) > > > > iD8DBQFD6KF+yJq2hZEymxcRAknBAJwKaX2Wc9nZsbVD7ofQt5XRDukTjQCdGsuL > > Ml6cGVbZEzIJ6+0vpsCqNNI= > > =nD9s > > -END PGP SIGNATURE- > > > > ___ > > freebsd mailing list > > freebsd@fug.com.br > > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br > > > ___ > freebsd mailing list > freebsd@fug.com.br > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br > ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] ipnat - conectividade social + proxy transparente
Aqui tbm, soh conseguir resolver liberando os ips da caixa, com muito tcpdump para achar os ips. Mesmo assim, pode dar problemas, o sistema delas nao estar funcionando, e ainda por cima, o Java tem que ser o da Microsoft, o da Sun nao rola! []'s On 2/7/06, Márcio Luciano Donada <[EMAIL PROTECTED]> wrote: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Daniel S. Garcia wrote: > > Sim, > > > > Faça uma regra no seu firewall (antes da regrado do proxy > > transparente) liberando os ips da caixa... > > > > > Bom dia, > Para resolvermos o problema aqui na empresa, peguei todos os possíveis > IPs que o sistema tenta acessar e na regra anterior ao proxy liberamos > os IP's para acessos aos hosts internos que necessitam utilizar esse > "sistema" que é um caos juntamento com o serviço de suporte. > > []'s > > - -- > Márcio Luciano Donada > T.I. Aurora Alimentos - Chapecó(SC) > Cooperativa Central Oeste Catarinense > mdonada at auroraalimentos dot com dot br > -BEGIN PGP SIGNATURE- > Version: GnuPG v1.4.2 (FreeBSD) > > iD8DBQFD6KF+yJq2hZEymxcRAknBAJwKaX2Wc9nZsbVD7ofQt5XRDukTjQCdGsuL > Ml6cGVbZEzIJ6+0vpsCqNNI= > =nD9s > -END PGP SIGNATURE- > > ___ > freebsd mailing list > freebsd@fug.com.br > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br > ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] ipnat - conectividade social + proxy transparente
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Daniel S. Garcia wrote: > Sim, > > Faça uma regra no seu firewall (antes da regrado do proxy > transparente) liberando os ips da caixa... > > Bom dia, Para resolvermos o problema aqui na empresa, peguei todos os possíveis IPs que o sistema tenta acessar e na regra anterior ao proxy liberamos os IP's para acessos aos hosts internos que necessitam utilizar esse "sistema" que é um caos juntamento com o serviço de suporte. []'s - -- Márcio Luciano Donada T.I. Aurora Alimentos - Chapecó(SC) Cooperativa Central Oeste Catarinense mdonada at auroraalimentos dot com dot br -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.2 (FreeBSD) iD8DBQFD6KF+yJq2hZEymxcRAknBAJwKaX2Wc9nZsbVD7ofQt5XRDukTjQCdGsuL Ml6cGVbZEzIJ6+0vpsCqNNI= =nD9s -END PGP SIGNATURE- ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] ipnat - conectividade social + proxy transparente
Sim, Faça uma regra no seu firewall (antes da regrado do proxy transparente) liberando os ips da caixa... Falow - Original Message - From: "Paulo Coimbra" <[EMAIL PROTECTED]> To: Sent: Tuesday, February 07, 2006 9:20 AM Subject: [FUG-BR] ipnat - conectividade social + proxy transparente > Tem alguma outra forma? > > sds, > > Paulo Coimbra ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] ipnat - conectividade social + proxy transparente
# ja tentei esssa regra no FreeBSD 5.4 e 6 RELEASE e nada... Será q tem
diferença do openbsd pro freebsd no ipnat?
rdr on $int_if inet proto tcp from {$int_if:network} to !
$conecsocialcaixa port www -> 127.0.0.1 port 3128
> Turma,
>
>
> O Serviço de Conectividade Social da CEF é uma "meleca".
>
> O Suporte Técnico da CEF é pior ainda.
>
> Ao longo de 2 meses, eu mantive contato com eles, que me pediam inúmeras
> revisões no meu navegador e em regras de firewall, falando da necessidade
> de
> abertura de portas e permissões...
>
> Acredito que não exista "PIOR" solução de serviço online disponível na
> Internet mundial.
>
> A solução é simples e não requer nenhuma regra que a Caixa tenha
> publicado.
> O "Conectividade 'In'Social", não funciona com proxy, seja transparente ou
> não.
>
> Fiz uma regra simples, excluindo o tráfego da estação "X" do proxy,
> fazendo-a navegar diretamente na internet, não passando-a pelo proxy.
>
> Se alguém souber uma maneira diferente de resolver isso, avise-nos, pois
> deixar uma estação navegar sem as regras de conteúdo, muitas vezes é uma
> péssima solução.
>
> E vai um recado ao pessoal da Caixa. Sigam o exemplo de Itaú, Bradesco
> e
> outros Bancos, fazendo soluções melhores e que funcionam em regimes de
> proxy.
>
>
> Abraços.
>
> Anderson.
>
> PS: -Desculpem o desabafo.
>
> - Original Message -
> From: "Paulo Coimbra" <[EMAIL PROTECTED]>
> To:
> Sent: Tuesday, February 07, 2006 8:20 AM
> Subject: [FUG-BR] ipnat - conectividade social + proxy transparente
>
>
>> Bom dia turma,
>>
>> Ja tentei de varias formas criar uma regra de rdr para a conectividade
>> social. Minha regra no ipnat.rules esta assim:
>>
>> # proxy transparente
>> rdr rl0 from 192.168.0.0/24 to 0/0 port = 80 -> 192.168.0.254 port 3128
>> # nat
>> map rl1 192.168.0.0/24 -> $ip_externo
>>
>> na regra de rdr, ja tentei o seguinte:
>> rdr rl0 from 192.168.0.0/24 to ! $rede_Caixa port = 80 -> 192.168.0.254
>> port 3128
>>
>> mas da erro: syntax error error at "!", line 1
>>
>> sem espaco entre o ! e a $rede_Caixa, da o mesmo erro.
>> usando 'not' no lugar do ! da o mesmo erro.
>>
>> Tem alguma outra forma?
>>
>> sds,
>>
>> Paulo Coimbra
>>
>>
>> ___
>> freebsd mailing list
>> freebsd@fug.com.br
>> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
> ___
> freebsd mailing list
> freebsd@fug.com.br
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] ipnat - conectividade social + proxy transparente
Anderson Watanabe wrote: > Turma, > > > O Serviço de Conectividade Social da CEF é uma "meleca". > > O Suporte Técnico da CEF é pior ainda. > > Ao longo de 2 meses, eu mantive contato com eles, que me pediam inúmeras > revisões no meu navegador e em regras de firewall, falando da necessidade de > abertura de portas e permissões... > > Acredito que não exista "PIOR" solução de serviço online disponível na > Internet mundial. > > A solução é simples e não requer nenhuma regra que a Caixa tenha publicado. > O "Conectividade 'In'Social", não funciona com proxy, seja transparente ou > não. > > Fiz uma regra simples, excluindo o tráfego da estação "X" do proxy, > fazendo-a navegar diretamente na internet, não passando-a pelo proxy. > > Se alguém souber uma maneira diferente de resolver isso, avise-nos, pois > deixar uma estação navegar sem as regras de conteúdo, muitas vezes é uma > péssima solução. > > E vai um recado ao pessoal da Caixa. Sigam o exemplo de Itaú, Bradesco e > outros Bancos, fazendo soluções melhores e que funcionam em regimes de > proxy. > > > Abraços. > > Anderson. > > PS: -Desculpem o desabafo. Outra dica: mesmo liberando tudo algumas vezes o sistema não funcionava. O cliente reclamava que funcionou uma vez e depois parou. Como sei que meu firewall não usa drogas desconfio da própria aplicação. Fazendo o trabalho do técnico da Caixa, fiz testes com várias máquinas virtuais e vi que você tem que instalar a MVM (da Microsoft) ou dificilmente funciona. E nada de fazer perguntas muito profundas para o técnico da Caixa caso ele vá até o cliente e você esteja lá. É perda de tempo, na minha experiência. Lógico que pode variar.. mas no geral é péssimo. -- Giovanni P. Tirloni http://blog.tirloni.org ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] ipnat - conectividade social + proxy transparente
On Tue, 2006-02-07 at 10:34 -0300, Anderson Watanabe wrote: > Se alguém souber uma maneira diferente de resolver isso, avise-nos, pois > deixar uma estação navegar sem as regras de conteúdo, muitas vezes é uma > péssima solução. Talvez isso ajude: http://linuxrapido.org/modules.php?name=Sections&op=viewarticle&artid=90 -- Tiago Cruz http://linuxrapido.org Linux User #282636 "The box said: Requires MS Windows or better, so I installed Linux" ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] ipnat - conectividade social + proxy transparente
Turma, O Serviço de Conectividade Social da CEF é uma "meleca". O Suporte Técnico da CEF é pior ainda. Ao longo de 2 meses, eu mantive contato com eles, que me pediam inúmeras revisões no meu navegador e em regras de firewall, falando da necessidade de abertura de portas e permissões... Acredito que não exista "PIOR" solução de serviço online disponível na Internet mundial. A solução é simples e não requer nenhuma regra que a Caixa tenha publicado. O "Conectividade 'In'Social", não funciona com proxy, seja transparente ou não. Fiz uma regra simples, excluindo o tráfego da estação "X" do proxy, fazendo-a navegar diretamente na internet, não passando-a pelo proxy. Se alguém souber uma maneira diferente de resolver isso, avise-nos, pois deixar uma estação navegar sem as regras de conteúdo, muitas vezes é uma péssima solução. E vai um recado ao pessoal da Caixa. Sigam o exemplo de Itaú, Bradesco e outros Bancos, fazendo soluções melhores e que funcionam em regimes de proxy. Abraços. Anderson. PS: -Desculpem o desabafo. - Original Message - From: "Paulo Coimbra" <[EMAIL PROTECTED]> To: Sent: Tuesday, February 07, 2006 8:20 AM Subject: [FUG-BR] ipnat - conectividade social + proxy transparente > Bom dia turma, > > Ja tentei de varias formas criar uma regra de rdr para a conectividade > social. Minha regra no ipnat.rules esta assim: > > # proxy transparente > rdr rl0 from 192.168.0.0/24 to 0/0 port = 80 -> 192.168.0.254 port 3128 > # nat > map rl1 192.168.0.0/24 -> $ip_externo > > na regra de rdr, ja tentei o seguinte: > rdr rl0 from 192.168.0.0/24 to ! $rede_Caixa port = 80 -> 192.168.0.254 > port 3128 > > mas da erro: syntax error error at "!", line 1 > > sem espaco entre o ! e a $rede_Caixa, da o mesmo erro. > usando 'not' no lugar do ! da o mesmo erro. > > Tem alguma outra forma? > > sds, > > Paulo Coimbra > > > ___ > freebsd mailing list > freebsd@fug.com.br > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] ipnat x natd
Realmente, perdoem-me o equivoco, ipnat eh kernealizado mesmo, em teoria seria mais rapido que o natd. On 7/4/05, Gustavo De Nardin <[EMAIL PROTECTED]> wrote: > On 04/07/05, Rodrigo Graeff <[EMAIL PROTECTED]> wrote: > > ambos tem o mesmo problema pois sao daemons, e significa que se tu > > tiveres que alterar algo, devera reinicializar o processo deles afim > > ipnat é do kernel. > > -- > (nil) > > ___ > Freebsd mailing list > Freebsd@fug.com.br > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > -- Rodrigo Graeff delphus ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] ipnat x natd
On 04/07/05, Rodrigo Graeff <[EMAIL PROTECTED]> wrote: > ambos tem o mesmo problema pois sao daemons, e significa que se tu > tiveres que alterar algo, devera reinicializar o processo deles afim ipnat é do kernel. -- (nil) ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] ipnat x natd
Comparativo ? Acho que nao ha um comparativo legal que te aponte o melhor, pois o melhor sempre vai ser aquele que atender suas demandas, dentre os dois eu iria preferir o natd por ser mais completo, porem ambos tem o mesmo problema pois sao daemons, e significa que se tu tiveres que alterar algo, devera reinicializar o processo deles afim de aplicar a modificacao e, dependendo das regras do firewall ipfw/ipfilter tu pode vir a isolar teu servidor se nao fizer com atencao (na real, brincar de firewall remotamente sempre poder ser arriscado se nao souber o que esta fazendo), mas se trantando de daemons a coisa ficar um pouco pior, dentre todas as solucoes que vi em freebsd, hoje adotei o PF (packet filter) que eh muito mais completo e facil de gerenciar. Boa sorte, On 6/30/05, Ari Arantes Filho <[EMAIL PROTECTED]> wrote: > Pessoal, > > Alguém tem algum comparativo entre ipnat e natd? Prós e contra? > > No histórico até faz referência a uma mensagem do antigo histórico > (www4), mas não está mais disponível. > > Obrigado, > > Ari > ___ > Freebsd mailing list > Freebsd@fug.com.br > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > -- Rodrigo Graeff delphus ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
