[FUG-BR] Politica de roteamento com PF [RESOLVIDO]

Danilo Egea daniloegea em yahoo.com.br
Sábado Dezembro 1 15:25:08 BRST 2007 

salve senhores, implementei hoje de manha essa divisao
de link e adivinhem soh ? funciona certinho.

foi mais ou menos o que conversamos mesmo:

table <GRUPOA> persist file                           
  "/srv/firewall/divisao/GRUPOA"
table <GRUPOB> persist file
"/srv/firewall/divisao/GRUPOB"

nat on $GVT_IF from <GRUPOA> to any -> ($GVT_IF:0)
nat on $BRT_IF from <GRUPOB> to any -> ($BRT_IF:0)

pass out quick on $GVT_IF route-to ($GVT_IF
192.168.254.254) from <GRUPOA> keep state
pass in quick on $INT_IF route-to ($GVT_IF
192.168.254.254) from <GRUPOA> keep state

pass out quick on $BRT_IF route-to ($BRT_IF
192.168.1.254) from <GRUPOB> keep state
pass in quick on $INT_IF route-to ($BRT_IF
192.168.1.254) from <GRUPOB> keep state

este link tbm ajudou
http://lists.freebsd.org/pipermail/freebsd-pf/2005-December/001722.html

obrigado a todos vcs...



--- Danilo Egea <daniloegea at yahoo.com.br> escreveu:

> mas entao funciona somente com NAT ?
> 
> tipo
> 
> link1 = "xl0"
> link2 = "xl1"
> 
> table <ADSL1> persist file "/srv/firewall/ADSL1"
> table <ADSL2> persist file "/srv/firewall/ADSL2"
> 
> nat on $link1 from <ADSL1> to any -> ($link1:0)
> nat on $link2 from <ADSL1> to any -> ($link2:0)
> 
> bom, sera que com isso os pacotes nao continuariam
> saindo somente pela rota padrao ?
> 
> --- Bruno Torres Viana <btviana at gmail.com> escreveu:
> 
> > Não tenho tanta intimidade com o PF assim, mas eu
> > testaria algo assim. Acho
> > que outros colegas poderiam comentar..
> > 
> > #Placa de rede Interna
> > int_if  = "dc0"
> > 
> > #Placa de rede Externa
> > ext_if1 = "fxp0"
> > ext_if2 = "fxp1"
> > 
> > #Grupos de IP
> > table <ADSL1> { 192.168.0.1, 192.168.0.2,
> > xxx.xxx.xxx.xxx }
> > table <ADSL2> { 192.168.0.100, 192.168.0.1001,
> > xxx.xxx.xxx}
> > 
> > #  faz nat em ambas as interfaces da internet
> > nat on $ext_if1 from $ADSL1 to any -> ($ext_if1)
> > nat on $ext_if1 from $ADSL2 to any -> ($ext_if2)
> > 
> > #  default deny
> > block in  from any to any
> > block out from any to any
> > 
> > #  passa todo tráfego de saída na interface
> interna
> > pass out on $int_if from any to { $ADSL1, $ADSL2 }
> > 
> > #  aceita (quick) quaisquer pacotes destinados ao
> > próprio gateway
> > pass in quick on $int_if from { $ADSL1, $ADSL2 }
> to
> > $int_if
> > 
> > #  regras gerais "pass out" para as interfaces
> > externas
> > pass out on $ext_if1 proto tcp from any to any
> flags
> > S/SA modulate state
> > pass out on $ext_if1 proto { udp, icmp } from any
> to
> > any keep state
> > pass out on $ext_if2 proto tcp from any to any
> flags
> > S/SA modulate state
> > pass out on $ext_if2 proto { udp, icmp } from any
> to
> > any keep state
> > 
> > Mas se puder postar alguma coisa ai, é bom que
> > aprendemos...
> > 
> > Em 30/11/07, Danilo Egea <daniloegea at yahoo.com.br>
> > escreveu:
> > >
> > > hummm, cara, vou testar isso amanha mesmo e
> posto
> > o
> > > resultado depois.
> > >
> > > muito obrigado pela ajuda...
> > >
> > > --- Bruno Torres Viana <btviana at gmail.com>
> > escreveu:
> > >
> > > > Vai usar quase da mesma forma, olha este
> > tutorial do
> > > > PF, vc cria um grupo
> > > > por tabela e manda aquele grupo sair por um
> > > > interface só... eu teria que
> > > > pesquisar para te passar o comando exato.
> > > > []´s
> > > >
> > > > Em 30/11/07, Danilo Egea
> > <daniloegea at yahoo.com.br>
> > > > escreveu:
> > > > >
> > > > > entao, mas eu precisava que um grupo de
> > maquinas
> > > > > SEMPRE saisse SOMENTE por um link, e outro
> > grupo
> > > > de
> > > > > maquina SOMENTE por outro. e nao
> > balanceamento...
> > > > >
> > > > > obrigado pela ajuda
> > > > >
> > > > > --- Bruno Torres Viana <btviana at gmail.com>
> > > > escreveu:
> > > > >
> > > > > > Danile,
> > > > > >
> > > > > >           Estava procurando a mesma coisa
> > hoje,
> > > > olhe
> > > > > > este site:
> > > > > >
> http://www.openbsd.org/faq/pf/pt/pools.html
> > e no
> > > > > > próprio site da FUG tem um
> > > > > > artigo sobre balanceamento.
> > > > > >
> > > > > > []´s
> > > > > >
> > > > > > Em 30/11/07, Danilo Egea
> > > > <daniloegea at yahoo.com.br>
> > > > > > escreveu:
> > > > > > >
> > > > > > > Salve galera...
> > > > > > >
> > > > > > > seguinte, tenho o seguinte cenario:
> > > > > > >
> > > > > > >                 |-----> ADSL1
> > > > > > > LAN -->  SERVIDOR
> > > > > > >                 |-----> ADSL2
> > > > > > >
> > > > > > > preciso que alguns hosts da rede saiam
> > pela
> > > > ADSL1
> > > > > > e
> > > > > > > outros pela ADSL2
> > > > > > >
> > > > > > > eh possivel resolver este problema
> apenas
> > com
> > > > PF?
> > > > > > digo
> > > > > > > sem precisar utilizar ipfw+natd.
> > > > > > >
> > > > > > > Muito Obrigado !
> > > > > > >
> > > > > > >
> > > > > > >       Abra sua conta no Yahoo! Mail, o
> > único
> > > > sem
> > > > > > limite de espaço para
> > > > > > > armazenamento!
> > > > > > > http://br.mail.yahoo.com/
> > > > > > > -------------------------
> > > > > > > Histórico:
> > > > > >
> > http://www.fug.com.br/historico/html/freebsd/
> > > > > > > Sair da lista:
> > > > > >
> > https://www.fug.com.br/mailman/listinfo/freebsd
> > > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > --
> > > > > > -------------------------------
> > > > > > Profº Bruno Torres Viana
> > > > > > Espc. Criptografia e Segurança de Redes
> > > > > > Cel: (73) 8113-7836
> > > > > >
> > > > > >
> > > > > > Todos nós somos ignorantes, porém em
> > assuntos
> > > > > > diferentes. Não seja ignorante
> > > > > > por opção!
> > > > > > -------------------------
> > > > > > Histórico:
> > > > > >
> > http://www.fug.com.br/historico/html/freebsd/
> > > > > > Sair da lista:
> > > > > >
> > https://www.fug.com.br/mailman/listinfo/freebsd
> > > > > >
> > > > >
> > > > >
> > > > > daniloegea at yahoo.com.br
> > > > > Skype -> daniloegea
> > > > > Blog-> http://daniloegea.wordpress.com
> > > > >
> > > > >
> > > > >       Abra sua conta no Yahoo! Mail, o único
> > sem
> > > > limite de espaço para
> > > > > armazenamento!
> > > > > http://br.mail.yahoo.com/
> > > > > -------------------------
> > > > > Histórico:
> 
=== message truncated ===


daniloegea at yahoo.com.br
Skype -> daniloegea
Blog-> http://daniloegea.wordpress.com


      Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento!
http://br.mail.yahoo.com/

Mais detalhes sobre a lista de discussão freebsd