[FUG-BR] Ajuda para liberacao de acesso externo no PF

Éderson Chimbida chimbida em gmail.com
Qua Jan 18 10:24:33 BRST 2006


Matheus, loga as conexões que vc está negando, com a opção "log",
assim fica mais facil de achar o erro !

Ex:

block log all

E depois você pode ver o trafego que está sendo negado !

# tcpdump -e -ttt -i pflog0


Em 18/01/06, irado em hotpop.com<irado em hotpop.com> escreveu:
>
> a única coisa que estou vendo - pelo menos de imediato, é que somente são
> permitidos os acessos, via ext_if, das portas relacionadas em tcp_services.
> Qualquer outra porta/serviço será rejeitada/o. O que, de certa forma, causa
> estranheza porque, se vc tem um servidor web - como aparenta, êle não será
> acessível de fora, uma vez que o serviço é 80 (www) ou 448 (https), as
> quais NÃO ESTÃO relacionadas. A porta 20 aparece em linha padrão do PF,
> conforme a "cartilha", então deve estar ok, bem como os redirecionamentos
> para o ftp-proxy (perguntar não ofende: vc ACRESCENTOU o ftp-proxy no
> inetd?.. e ativou o inetd em /etc/rc.conf?)
>
> eu costumo colocar - pra me garantir - uma clausula "reject log all on
> (interface)" ANTES de qualquer liberação que se siga, para essa interface.
> Com isso eu garanto o registro de tudo o que for rejeitado em cada uma das
> interfaces.
>
> seguindo o manual, dá uma olhada no que estiver sendo rejeitado com tcpdump
> na interface ipflog0 ou o mesmo tcpdump no /var/log/ipflog. No man pf e no
> man tcpdump vc tem como associa-lo a um arquivo ou a uma interface. No
> arquivo, vc lê o histórico anterior, na intrface ipftraf0 (acho que é o
> nome, veja com o ipconfig) vc tem o trânsito "on time".
>
> veja também "sysctl -s info" pra ver o que é que anda acontecendo (pacotes
> rejeitados, passantes, etc..). Nat também (sysctl -s nat) ou regras (sysctl
> -s r ).
>
> tudo serve para análise do pf. Dá trabalho, mas é bom, a gente aprende :)
>
> divirta-se.
>
> Original Message:
> -----------------
> From: matheus lamberti matheuslamberti em yahoo.com
> Subject: [FUG-BR] Ajuda para liberacao de acesso externo no PF
>
>
> > Mas qdo tento acessar de outro lugar (fora da empresa) nao consigo acesso.
>
>
>
>
> > ## definicao das interfaces de rede
> > i nt_if = "rl0"
> > ext_if = "vr0"
>
> > ## definicao dos servicos utilizados
> > tcp_services = "{ 22, 3389, 5000 }"
> > icmp_types = "echoreq"
>
> > ## permite que os servicos tcp funcionem
> > pass in on $ext_if inet proto tcp from any to ($ext_if) port
> > $tcp_services flags S/SA keep state
>
> > ## permite que a internet consiga acessar os servidores
> > pass in on $ext_if proto tcp from any to $srv_rdp port 3389 flags S/SA
> > synproxy state
> > pass in on $ext_if proto tcp from any to $srv_web port 22 flags S/SA
> > synproxy state
> > pass in on $ext_if proto tcp from any to $srv_web port 5000 flags S/SA
> > synproxy state
>
> > ## necessario para o funcionamento do ftp-proxy
> > pass in on $ext_if inet proto tcp from port 20 to ($ext_if) user proxy
> > flags S/SA keep state
>
> > ## permite apenas os tipos icmp especificados
> > pass in inet proto icmp all icmp-type $icmp_types keep state
>
> > ## permite total comunicacao na rede interna
> > pass in  on $int_if from $rede to any keep state
> > pass out on $int_if from any to $rede keep state
>
>
>
> --------------------------------------------------------------------
> mail2web - Check your email from the web at
> http://mail2web.com/ .



--
Éderson H. Chimbida

_______________________________________________
Freebsd mailing list
Freebsd em fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br




Mais detalhes sobre a lista de discussão freebsd