[FUG-BR] Politica de roteamento com PF

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Sábado Dezembro 1 09:39:38 BRST 2007 

Bom dia Danilo!

Acho que nesse caso o melhor seria usar route-to...

Tenho dois links aqui, um ADSL, e outro Jetcom (embratel)...

Tudo sai pelo ADSL, exceto VOIP e emails que vão via jetcom...

Veja como ficou:

ext_if (adsl)
ext_if2 (jetcom)

# VoIP NovaPhone via JETCOM
pass in quick on $int_if route-to ($ext_if2 189.3.15.1) proto {tcp, udp } 
from 192.168.0.252 port { 5060, 16384 >< 16482 } to any
pass out quick on $int_if from any to 192.168.0.252

o ip 189.3.15.1 é o default gateway do jetcom... ip 192.168.0.252 é o ata.

agora a saída de email:

# Envio de emails via JETCOM

table <jetcom_email> { 192.168.0.0/24, 192.168.3.0/24, 192.168.2.0/24, 
192.168.1.0/24 }

pass in quick on $int_if route-to ($ext_if2 189.3.15.1) proto { tcp, udp } 
from <jetcom_email> to any port { 465, 587, 25 } keep state

Acompanho tudo via iftop e funfa direitinho.

Abraço,

-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br



                      Powered by ....

                                           (__)
                                        \\\'',)
                                          \/  \ ^
                                          .\._/_)

                                      www.FreeBSD.org




----- Original Message ----- 
From: "Danilo Egea" <daniloegea em yahoo.com.br>
To: "Lista Brasileira de Discussão sobre FreeBSD" <freebsd em fug.com.br>
Sent: Friday, November 30, 2007 10:40 PM
Subject: Re: [FUG-BR] Politica de roteamento com PF


mas entao funciona somente com NAT ?

tipo

link1 = "xl0"
link2 = "xl1"

table <ADSL1> persist file "/srv/firewall/ADSL1"
table <ADSL2> persist file "/srv/firewall/ADSL2"

nat on $link1 from <ADSL1> to any -> ($link1:0)
nat on $link2 from <ADSL1> to any -> ($link2:0)

bom, sera que com isso os pacotes nao continuariam
saindo somente pela rota padrao ?

--- Bruno Torres Viana <btviana em gmail.com> escreveu:

> Não tenho tanta intimidade com o PF assim, mas eu
> testaria algo assim. Acho
> que outros colegas poderiam comentar..
>
> #Placa de rede Interna
> int_if  = "dc0"
>
> #Placa de rede Externa
> ext_if1 = "fxp0"
> ext_if2 = "fxp1"
>
> #Grupos de IP
> table <ADSL1> { 192.168.0.1, 192.168.0.2,
> xxx.xxx.xxx.xxx }
> table <ADSL2> { 192.168.0.100, 192.168.0.1001,
> xxx.xxx.xxx}
>
> #  faz nat em ambas as interfaces da internet
> nat on $ext_if1 from $ADSL1 to any -> ($ext_if1)
> nat on $ext_if1 from $ADSL2 to any -> ($ext_if2)
>
> #  default deny
> block in  from any to any
> block out from any to any
>
> #  passa todo tráfego de saída na interface interna
> pass out on $int_if from any to { $ADSL1, $ADSL2 }
>
> #  aceita (quick) quaisquer pacotes destinados ao
> próprio gateway
> pass in quick on $int_if from { $ADSL1, $ADSL2 } to
> $int_if
>
> #  regras gerais "pass out" para as interfaces
> externas
> pass out on $ext_if1 proto tcp from any to any flags
> S/SA modulate state
> pass out on $ext_if1 proto { udp, icmp } from any to
> any keep state
> pass out on $ext_if2 proto tcp from any to any flags
> S/SA modulate state
> pass out on $ext_if2 proto { udp, icmp } from any to
> any keep state
>
> Mas se puder postar alguma coisa ai, é bom que
> aprendemos...
>
> Em 30/11/07, Danilo Egea <daniloegea em yahoo.com.br>
> escreveu:
> >
> > hummm, cara, vou testar isso amanha mesmo e posto
> o
> > resultado depois.
> >
> > muito obrigado pela ajuda...
> >
> > --- Bruno Torres Viana <btviana em gmail.com>
> escreveu:
> >
> > > Vai usar quase da mesma forma, olha este
> tutorial do
> > > PF, vc cria um grupo
> > > por tabela e manda aquele grupo sair por um
> > > interface só... eu teria que
> > > pesquisar para te passar o comando exato.
> > > []´s
> > >
> > > Em 30/11/07, Danilo Egea
> <daniloegea em yahoo.com.br>
> > > escreveu:
> > > >
> > > > entao, mas eu precisava que um grupo de
> maquinas
> > > > SEMPRE saisse SOMENTE por um link, e outro
> grupo
> > > de
> > > > maquina SOMENTE por outro. e nao
> balanceamento...
> > > >
> > > > obrigado pela ajuda
> > > >
> > > > --- Bruno Torres Viana <btviana em gmail.com>
> > > escreveu:
> > > >
> > > > > Danile,
> > > > >
> > > > >           Estava procurando a mesma coisa
> hoje,
> > > olhe
> > > > > este site:
> > > > > http://www.openbsd.org/faq/pf/pt/pools.html
> e no
> > > > > próprio site da FUG tem um
> > > > > artigo sobre balanceamento.
> > > > >
> > > > > []´s
> > > > >
> > > > > Em 30/11/07, Danilo Egea
> > > <daniloegea em yahoo.com.br>
> > > > > escreveu:
> > > > > >
> > > > > > Salve galera...
> > > > > >
> > > > > > seguinte, tenho o seguinte cenario:
> > > > > >
> > > > > >                 |-----> ADSL1
> > > > > > LAN -->  SERVIDOR
> > > > > >                 |-----> ADSL2
> > > > > >
> > > > > > preciso que alguns hosts da rede saiam
> pela
> > > ADSL1
> > > > > e
> > > > > > outros pela ADSL2
> > > > > >
> > > > > > eh possivel resolver este problema apenas
> com
> > > PF?
> > > > > digo
> > > > > > sem precisar utilizar ipfw+natd.
> > > > > >
> > > > > > Muito Obrigado !
> > > > > >
> > > > > >
> > > > > >       Abra sua conta no Yahoo! Mail, o
> único
> > > sem
> > > > > limite de espaço para
> > > > > > armazenamento!
> > > > > > http://br.mail.yahoo.com/
> > > > > > -------------------------
> > > > > > Histórico:
> > > > >
> http://www.fug.com.br/historico/html/freebsd/
> > > > > > Sair da lista:
> > > > >
> https://www.fug.com.br/mailman/listinfo/freebsd
> > > > > >
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > -------------------------------
> > > > > Profº Bruno Torres Viana
> > > > > Espc. Criptografia e Segurança de Redes
> > > > > Cel: (73) 8113-7836
> > > > >
> > > > >
> > > > > Todos nós somos ignorantes, porém em
> assuntos
> > > > > diferentes. Não seja ignorante
> > > > > por opção!
> > > > > -------------------------
> > > > > Histórico:
> > > > >
> http://www.fug.com.br/historico/html/freebsd/
> > > > > Sair da lista:
> > > > >
> https://www.fug.com.br/mailman/listinfo/freebsd
> > > > >
> > > >
> > > >
> > > > daniloegea em yahoo.com.br
> > > > Skype -> daniloegea
> > > > Blog-> http://daniloegea.wordpress.com
> > > >
> > > >
> > > >       Abra sua conta no Yahoo! Mail, o único
> sem
> > > limite de espaço para
> > > > armazenamento!
> > > > http://br.mail.yahoo.com/
> > > > -------------------------
> > > > Histórico:
> > > http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista:
> > > https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > >
> > >
> > >
> > > --
> > > -------------------------------
> > > Profº Bruno Torres Viana
> > > Espc. Criptografia e Segurança de Redes
> > > Cel: (73) 8113-7836
> > >
> > >
> > > Todos nós somos ignorantes, porém em assuntos
> > > diferentes. Não seja ignorante
> > > por opção!
> > > -------------------------
> > > Histórico:
> > > http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista:
> > > https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> >
> > daniloegea em yahoo.com.br
> > Skype -> daniloegea
>
=== message truncated ===


daniloegea em yahoo.com.br
Skype -> daniloegea
Blog-> http://daniloegea.wordpress.com


      Abra sua conta no Yahoo! Mail, o único sem limite de espaço para 
armazenamento!
http://br.mail.yahoo.com/
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd