[FUG-BR] RES: RES: RES: RES: ENC: Conectividade social - Existe solução?
Augusto Jobim Badaraco
ajobim em comnet.com.br
Sexta Outubro 19 18:43:56 BRST 2007
Marcio, você tem somente umip na WAN certo?
Tem que cuidar isso, pois se tiver mais de um ip poderá acontecer de
sair com ips diferentes.
Uma maneira para checar isso é
pfctl -s state
qquer coisa me avisa
-----Mensagem original-----
De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
nome de Marcio A. Sepp
Enviada em: sexta-feira, 19 de outubro de 2007 16:36
Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
Assunto: [FUG-BR] RES: RES: RES: ENC: Conectividade social - Existe
solução?
Oi Augusto,
Acho que vc entendeu perfeitamente o problema que estou enfrentando e
talvez
tenha tocado no ponto certo. Agendei para fazer testes hoje a noite com
o
cliente. Obrigado.
Vejam que eu não estou preocupado com o proxy. Eu apenas quero fazer o
nat
da interface externa, mascarando minha rede interna. Só isso e não está
funcionando.
Este mesmo firewall, se eu colocar num openbsd, funciona perfeitamente.
Um abraço a todos.
Att.
Márcio A. Sepp
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br
> [mailto:freebsd-bounces em fug.com.br] Em nome de Augusto Jobim Badaraco
> Enviada em: sexta-feira, 19 de outubro de 2007 14:59
> Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
> Assunto: [FUG-BR] RES: RES: ENC: Conectividade social -
> Existe solução?
>
> Vc tentou colocar assim:
> nat on $ext_if from $internal_net to any -> ($ext_if) static-port
>
>
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br
> [mailto:freebsd-bounces em fug.com.br] Em nome de Marcio A. Sepp
> Enviada em: sexta-feira, 19 de outubro de 2007 12:41
> Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
> Assunto: [FUG-BR] RES: ENC: Conectividade social - Existe solução?
>
>
> Oi Welington,
>
>
> Minha regra atual de nat é esta:
> nat on $ext_if from $internal_net to any -> ($ext_if)
>
> Onde internal_net é:
> internal_net="192.168.0.0/24"
>
> Me parece que a principal diferença da minha regra pra sua é:
>
> ... -> ($ext:0).
>
> A noite farei testes com estas regras conforme vc me passou.
>
>
> Segue abaixo o meu firewall:
> ########## 1) MACROS ##########
> ext_if="xl0"
> int_if="xl1"
>
> internal_net="192.168.0.0/24"
>
>
> ########## 3) OPTIONS ##########
> set skip on lo
>
> # Options: tune the behavior of pf, default values are given.
> set timeout { interval 10, frag 30 }
> set timeout { tcp.first 120, tcp.opening 30, tcp.established
> 86400 } set timeout { tcp.closing 900, tcp.finwait 45,
> tcp.closed 90 } set timeout { udp.first 60, udp.single 30,
> udp.multiple 60 } set timeout { icmp.first 20, icmp.error 10
> } set timeout { other.first 60, other.single 30,
> other.multiple 60 } set timeout { adaptive.start 0,
> adaptive.end 0 } set limit { states 10000, frags 5000 } #set
> loginterface none #set optimization normal set block-policy
> drop set require-order yes set fingerprints "/etc/pf.os"
>
> #set block-policy return
> set loginterface $ext_if
>
>
> ########## 4) NORMALIZATION ##########
> scrub in
>
> nat on $ext_if from $internal_net to any -> ($ext_if)
>
>
> no rdr on { lo0, lo1 } from any to any
> #no rdr on $int_if from any to { ($ext_if), ($int_if) }
>
>
> ########## 7) FILTERING ##########
>
> antispoof quick for { lo $int_if }
>
>
> pass in
> pass out
>
> pass in on $ext_if proto tcp to ($ext_if) port ssh keep state
>
> #pass in on $int_if from $int_if:network to any keep state
> #pass out on $int_if from any to $int_if:network keep state
> #pass out on $ext_if proto tcp all modulate state flags S/SA
> #pass out on $ext_if proto { udp } all keep state
>
>
>
> Att.
> Márcio A. Sepp
>
>
> > > > Estou enfrentando problemas com a conectividade social em um
> > > > servidor freebsd 6.2 com pf e sem passar pelo squid.
> > > >
> > > > Neste cliente usávamos o OpenBSD com tudo funcionando
> > perfeitamente.
> > > > O Open era versão 3.7, mas por motivos que não convem
> ao momento
> > > > mudamos para o FreeBSD 6.2. Após esta migração o
> sistema da caixa
> > > > deixou de funcionar.
> > > >
> > > > Antes de enviar este email para a lista fiz os seguintes passos:
> > > > - Li a grande maioria das respostas da lista sobre este
> assunto,
> > > > sendo que muitas tratavam do firewall ipf e outras
> mesmo falam do
> > > > squid, que eu sequer configurei para esta máquina
> passar por ele;
> > > > - Tentamos limpar todas as regras do pf.conf e apenas
> > adicionamos um
> > > > nat na interface externa com pass in all e pass out all e
> > também não
> > > > funcionou;
> > > >
> > > > Com isso, não sabemos mais para que lado recorrer (ou
> > correr), pois
> > > > o suporte da caixa consegue apenas auxiliar o usuário
> final e nós
> > > > ficamos completamente desamparados.
> > > >
> > > > Ainda fizemos os testes:
> > > > - Colocamos uma máquina openbsd com o mesmo firewall e
> > ela funcionou
> > > > perfeitamente;
> > > > - Colocamos as duas máquinas que tenho instalado a
> > "irritabilidade social"
> > > > (dica de nome que li no histórico da lista) ligadas
> > diretamente no
> > > > meu modem e também funcionou perfeitamente;
> > > >
> > > > Meu ambiente:
> > > > FreeBSD 6.2 - stable;
> > > > Pf (com apenas o nat e liberado tudo de saída e entrada); Squid
> > > > (para as demais máquinas da rede, exceto as que rodam o
> > > > conectividade);
> > > >
> > > >
> > > > Olhamos também este link, mas não evoluímos muito:
> > > > http://www.openbsd.org/faq/pf/pt/scrub.html
> > > >
> > > > O que podemos fazer? Alguém já passou por isso e
> > encontrou alguma solução?
> > > >
> > > >
> > > >
> > > >
> > > > Att.
> > > > Márcio A. Sepp
> > > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > Márcio,
> > Aqui uso esta regra abaixo,
> >
> > Os ips não podem fazer nada somente podem acessar
> conectividade socil
> >
> > # conectividade Social
> > nat on $ext_if from {10.0.0.7,10.0.0.8,10.0.0.9, 10.0.0.10} to
> > {200.201.174.0/24, 200.201.173.68} -> ($ext_if:0)
> >
> > --
> > Welington F.J
> > BSD User: 51392
> > IVOZ: 4668
> > MSN: welingtonfj em gmail.com
> > Drogas ? Pra que? Já Tenho Meu Windows!!
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
> __________ Informação do NOD32 IMON 2603 (20071019) __________
>
> Esta mensagem foi verificada pelo NOD32 sistema antivírus
> http://www.eset.com.br
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
__________ Informação do NOD32 IMON 2603 (20071019) __________
Esta mensagem foi verificada pelo NOD32 sistema antivírus
http://www.eset.com.br
Mais detalhes sobre a lista de discussão freebsd