[FUG-BR] RES: [SPAM] RES: RES: RES: RES: ENC: Conectividade social - Existe solução?
Marcio A. Sepp
marcio em zyontecnologia.com.br
Sexta Outubro 19 18:00:23 BRST 2007
Tenho 03 ips na wan.
Vou mascarar para que a máquina que usa o conectividade social saia por um
único ip com a seguinte regra e depois posto o resultado.
nat on $ext_if from 192.168.0.252 to any -> <ip_de_saida>
Att.
Márcio A. Sepp
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br
> [mailto:freebsd-bounces em fug.com.br] Em nome de Augusto Jobim Badaraco
> Enviada em: sexta-feira, 19 de outubro de 2007 18:44
> Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
> Assunto: [SPAM] [FUG-BR] RES: RES: RES: RES: ENC:
> Conectividade social - Existe solução?
>
> Marcio, você tem somente umip na WAN certo?
> Tem que cuidar isso, pois se tiver mais de um ip poderá
> acontecer de sair com ips diferentes.
>
> Uma maneira para checar isso é
>
> pfctl -s state
>
>
> qquer coisa me avisa
>
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br
> [mailto:freebsd-bounces em fug.com.br] Em nome de Marcio A. Sepp
> Enviada em: sexta-feira, 19 de outubro de 2007 16:36
> Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
> Assunto: [FUG-BR] RES: RES: RES: ENC: Conectividade social -
> Existe solução?
>
>
> Oi Augusto,
>
>
> Acho que vc entendeu perfeitamente o problema que estou
> enfrentando e talvez tenha tocado no ponto certo. Agendei
> para fazer testes hoje a noite com o cliente. Obrigado.
>
> Vejam que eu não estou preocupado com o proxy. Eu apenas
> quero fazer o nat da interface externa, mascarando minha rede
> interna. Só isso e não está funcionando.
>
> Este mesmo firewall, se eu colocar num openbsd, funciona
> perfeitamente.
>
>
>
> Um abraço a todos.
>
>
> Att.
> Márcio A. Sepp
>
>
> > -----Mensagem original-----
> > De: freebsd-bounces em fug.com.br
> > [mailto:freebsd-bounces em fug.com.br] Em nome de Augusto
> Jobim Badaraco
> > Enviada em: sexta-feira, 19 de outubro de 2007 14:59
> > Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
> > Assunto: [FUG-BR] RES: RES: ENC: Conectividade social - Existe
> > solução?
> >
> > Vc tentou colocar assim:
> > nat on $ext_if from $internal_net to any -> ($ext_if) static-port
> >
> >
> > -----Mensagem original-----
> > De: freebsd-bounces em fug.com.br
> > [mailto:freebsd-bounces em fug.com.br] Em nome de Marcio A.
> Sepp Enviada
> > em: sexta-feira, 19 de outubro de 2007 12:41
> > Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
> > Assunto: [FUG-BR] RES: ENC: Conectividade social - Existe solução?
> >
> >
> > Oi Welington,
> >
> >
> > Minha regra atual de nat é esta:
> > nat on $ext_if from $internal_net to any -> ($ext_if)
> >
> > Onde internal_net é:
> > internal_net="192.168.0.0/24"
> >
> > Me parece que a principal diferença da minha regra pra sua é:
> >
> > ... -> ($ext:0).
> >
> > A noite farei testes com estas regras conforme vc me passou.
> >
> >
> > Segue abaixo o meu firewall:
> > ########## 1) MACROS ##########
> > ext_if="xl0"
> > int_if="xl1"
> >
> > internal_net="192.168.0.0/24"
> >
> >
> > ########## 3) OPTIONS ##########
> > set skip on lo
> >
> > # Options: tune the behavior of pf, default values are given.
> > set timeout { interval 10, frag 30 }
> > set timeout { tcp.first 120, tcp.opening 30,
> tcp.established 86400 }
> > set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 } set
> > timeout { udp.first 60, udp.single 30, udp.multiple 60 }
> set timeout {
> > icmp.first 20, icmp.error 10 } set timeout { other.first 60,
> > other.single 30, other.multiple 60 } set timeout {
> adaptive.start 0,
> > adaptive.end 0 } set limit { states 10000, frags 5000 } #set
> > loginterface none #set optimization normal set block-policy
> drop set
> > require-order yes set fingerprints "/etc/pf.os"
> >
> > #set block-policy return
> > set loginterface $ext_if
> >
> >
> > ########## 4) NORMALIZATION ########## scrub in
> >
> > nat on $ext_if from $internal_net to any -> ($ext_if)
> >
> >
> > no rdr on { lo0, lo1 } from any to any #no rdr on $int_if
> from any to
> > { ($ext_if), ($int_if) }
> >
> >
> > ########## 7) FILTERING ##########
> >
> > antispoof quick for { lo $int_if }
> >
> >
> > pass in
> > pass out
> >
> > pass in on $ext_if proto tcp to ($ext_if) port ssh keep state
> >
> > #pass in on $int_if from $int_if:network to any keep state
> #pass out
> > on $int_if from any to $int_if:network keep state #pass out
> on $ext_if
> > proto tcp all modulate state flags S/SA #pass out on
> $ext_if proto {
> > udp } all keep state
> >
> >
> >
> > Att.
> > Márcio A. Sepp
> >
> >
> > > > > Estou enfrentando problemas com a conectividade social em um
> > > > > servidor freebsd 6.2 com pf e sem passar pelo squid.
> > > > >
> > > > > Neste cliente usávamos o OpenBSD com tudo funcionando
> > > perfeitamente.
> > > > > O Open era versão 3.7, mas por motivos que não convem
> > ao momento
> > > > > mudamos para o FreeBSD 6.2. Após esta migração o
> > sistema da caixa
> > > > > deixou de funcionar.
> > > > >
> > > > > Antes de enviar este email para a lista fiz os
> seguintes passos:
> > > > > - Li a grande maioria das respostas da lista sobre este
> > assunto,
> > > > > sendo que muitas tratavam do firewall ipf e outras
> > mesmo falam do
> > > > > squid, que eu sequer configurei para esta máquina
> > passar por ele;
> > > > > - Tentamos limpar todas as regras do pf.conf e apenas
> > > adicionamos um
> > > > > nat na interface externa com pass in all e pass out all e
> > > também não
> > > > > funcionou;
> > > > >
> > > > > Com isso, não sabemos mais para que lado recorrer (ou
> > > correr), pois
> > > > > o suporte da caixa consegue apenas auxiliar o usuário
> > final e nós
> > > > > ficamos completamente desamparados.
> > > > >
> > > > > Ainda fizemos os testes:
> > > > > - Colocamos uma máquina openbsd com o mesmo firewall e
> > > ela funcionou
> > > > > perfeitamente;
> > > > > - Colocamos as duas máquinas que tenho instalado a
> > > "irritabilidade social"
> > > > > (dica de nome que li no histórico da lista) ligadas
> > > diretamente no
> > > > > meu modem e também funcionou perfeitamente;
> > > > >
> > > > > Meu ambiente:
> > > > > FreeBSD 6.2 - stable;
> > > > > Pf (com apenas o nat e liberado tudo de saída e
> entrada); Squid
> > > > > (para as demais máquinas da rede, exceto as que rodam o
> > > > > conectividade);
> > > > >
> > > > >
> > > > > Olhamos também este link, mas não evoluímos muito:
> > > > > http://www.openbsd.org/faq/pf/pt/scrub.html
> > > > >
> > > > > O que podemos fazer? Alguém já passou por isso e
> > > encontrou alguma solução?
> > > > >
> > > > >
> > > > >
> > > > >
> > > > > Att.
> > > > > Márcio A. Sepp
> > > > >
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > > Márcio,
> > > Aqui uso esta regra abaixo,
> > >
> > > Os ips não podem fazer nada somente podem acessar
> > conectividade socil
> > >
> > > # conectividade Social
> > > nat on $ext_if from {10.0.0.7,10.0.0.8,10.0.0.9, 10.0.0.10} to
> > > {200.201.174.0/24, 200.201.173.68} -> ($ext_if:0)
> > >
> > > --
> > > Welington F.J
> > > BSD User: 51392
> > > IVOZ: 4668
> > > MSN: welingtonfj em gmail.com
> > > Drogas ? Pra que? Já Tenho Meu Windows!!
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> >
> > __________ Informação do NOD32 IMON 2603 (20071019) __________
> >
> > Esta mensagem foi verificada pelo NOD32 sistema antivírus
> > http://www.eset.com.br
> >
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
> __________ Informação do NOD32 IMON 2603 (20071019) __________
>
> Esta mensagem foi verificada pelo NOD32 sistema antivírus
> http://www.eset.com.br
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd