[FUG-BR] RES: ENC: Conectividade social - Existe solução?
Marcio A. Sepp
marcio em zyontecnologia.com.br
Sexta Outubro 19 13:40:54 BRST 2007
Oi Welington,
Minha regra atual de nat é esta:
nat on $ext_if from $internal_net to any -> ($ext_if)
Onde internal_net é:
internal_net="192.168.0.0/24"
Me parece que a principal diferença da minha regra pra sua é:
... -> ($ext:0).
A noite farei testes com estas regras conforme vc me passou.
Segue abaixo o meu firewall:
########## 1) MACROS ##########
ext_if="xl0"
int_if="xl1"
internal_net="192.168.0.0/24"
########## 3) OPTIONS ##########
set skip on lo
# Options: tune the behavior of pf, default values are given.
set timeout { interval 10, frag 30 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 10000, frags 5000 }
#set loginterface none
#set optimization normal
set block-policy drop
set require-order yes
set fingerprints "/etc/pf.os"
#set block-policy return
set loginterface $ext_if
########## 4) NORMALIZATION ##########
scrub in
nat on $ext_if from $internal_net to any -> ($ext_if)
no rdr on { lo0, lo1 } from any to any
#no rdr on $int_if from any to { ($ext_if), ($int_if) }
########## 7) FILTERING ##########
antispoof quick for { lo $int_if }
pass in
pass out
pass in on $ext_if proto tcp to ($ext_if) port ssh keep state
#pass in on $int_if from $int_if:network to any keep state
#pass out on $int_if from any to $int_if:network keep state
#pass out on $ext_if proto tcp all modulate state flags S/SA
#pass out on $ext_if proto { udp } all keep state
Att.
Márcio A. Sepp
> > > Estou enfrentando problemas com a conectividade social em um
> > > servidor freebsd 6.2 com pf e sem passar pelo squid.
> > >
> > > Neste cliente usávamos o OpenBSD com tudo funcionando
> perfeitamente.
> > > O Open era versão 3.7, mas por motivos que não convem ao momento
> > > mudamos para o FreeBSD 6.2. Após esta migração o sistema da caixa
> > > deixou de funcionar.
> > >
> > > Antes de enviar este email para a lista fiz os seguintes passos:
> > > - Li a grande maioria das respostas da lista sobre este assunto,
> > > sendo que muitas tratavam do firewall ipf e outras mesmo falam do
> > > squid, que eu sequer configurei para esta máquina passar por ele;
> > > - Tentamos limpar todas as regras do pf.conf e apenas
> adicionamos um
> > > nat na interface externa com pass in all e pass out all e
> também não
> > > funcionou;
> > >
> > > Com isso, não sabemos mais para que lado recorrer (ou
> correr), pois
> > > o suporte da caixa consegue apenas auxiliar o usuário final e nós
> > > ficamos completamente desamparados.
> > >
> > > Ainda fizemos os testes:
> > > - Colocamos uma máquina openbsd com o mesmo firewall e
> ela funcionou
> > > perfeitamente;
> > > - Colocamos as duas máquinas que tenho instalado a
> "irritabilidade social"
> > > (dica de nome que li no histórico da lista) ligadas
> diretamente no
> > > meu modem e também funcionou perfeitamente;
> > >
> > > Meu ambiente:
> > > FreeBSD 6.2 - stable;
> > > Pf (com apenas o nat e liberado tudo de saída e entrada); Squid
> > > (para as demais máquinas da rede, exceto as que rodam o
> > > conectividade);
> > >
> > >
> > > Olhamos também este link, mas não evoluímos muito:
> > > http://www.openbsd.org/faq/pf/pt/scrub.html
> > >
> > > O que podemos fazer? Alguém já passou por isso e
> encontrou alguma solução?
> > >
> > >
> > >
> > >
> > > Att.
> > > Márcio A. Sepp
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> Márcio,
> Aqui uso esta regra abaixo,
>
> Os ips não podem fazer nada somente podem acessar conectividade socil
>
> # conectividade Social
> nat on $ext_if from {10.0.0.7,10.0.0.8,10.0.0.9, 10.0.0.10}
> to {200.201.174.0/24, 200.201.173.68} -> ($ext_if:0)
>
> --
> Welington F.J
> BSD User: 51392
> IVOZ: 4668
> MSN: welingtonfj em gmail.com
> Drogas ? Pra que? Já Tenho Meu Windows!!
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd