[FUG-BR] PF em conexoes ADSL
Hutger Hauer
hutger em gmail.com
Segunda Setembro 24 13:40:02 BRT 2007
Fabiano,
Eu não tenho como mandar o meu arquivo todo pois ele está todo documentado
com informações sensiveis das minhas redes, mas estou te mandando um resumo
baseado nas minhas regras:
ext_if="tun0"
int_if="xl1"
dmz_if="xl2"
vpn_if="tun1"
internal_net="192.168.15.0/24"
dmz_net="192.168.254.0/24"
internal_ip="192.168.15.254"
wifi_ip="10.1.1.1"
table <guardian> { $ext_if, 192.168.15.254, 192.168.254.254, 10.1.1.1 }
scrub in all
# Realizando Controle de Banda
altq on $dmz_if cbq bandwidth 768Kb queue { moa_in, eud_in, osc_in }
queue osc_in bandwidth 50% cbq(default borrow)
queue moa_in bandwidth 25% cbq(borrow)
queue eud_in bandwidth 25% cbq(borrow)
# NATeando pacotes
nat on $ext_if from $internal_net to any -> ($ext_if)
nat on $ext_if from $wifi_net to any -> ($ext_if)
nat on $ext_if from $vpn_net to any -> ($ext_if)
block in all
pass out all keep state
pass in quick on lo0 keep state
# Liberando Acesso - SSH
pass in quick proto tcp from any to <guardian> port 22 keep state
pass in quick on $int_if from $internal_net to any keep state
-------------------------
Espero ter ajudado.
Hutger.
On 9/24/07, Fabiano (BiGu) <bigu em grupoheringer.com.br> wrote:
>
> Opa Hutger, beleza entao...eh que ainda nao coloquei pra funcionar, so
> estou me precavendo...
> voce poderia me mandar o seu arquivo de configuracao pra eu dar uma
> olhada se possivel?
>
> Obrigado!!!
>
> Fabiano Heringer
>
> Hutger Hauer escreveu:
> > Caro Fabiano,
> >
> > Tenho aqui 03 firewalls com FreeBSD 6.2, sendo 02 delas rodando com Link
> > ADSL a pelo menos 6 meses e até agora não tive problemas com as minhas
> > regras utilizando tun0. Ele nunca pegou outra interface que não fosse
> essa,
> > mesmo quando eu precisava reconectar o meu firewall. Eu não sei se foi
> > coencidência, mas consultei outras pessoas e eles também nunca tiveram
> esse
> > problema.
> >
> > Em relação ao script de conexão, no meu caso o próprio daemon do pppd
> > reconecta no caso de falha. Em várias situações, precisei reiniciar o
> modem
> > ADSL e ele reconectou sem problemas (só o IP que mudava).
> >
> > Espero ter ajudado.
> >
> > Hutger
> >
> > On 9/24/07, Fabiano (BiGu) <bigu em grupoheringer.com.br> wrote:
> >
> >> Gule # escreveu:
> >>
> >>> On 9/24/07, Fabiano (BiGu) <bigu em grupoheringer.com.br> wrote:
> >>>
> >>>
> >>>> Ae pessoal, to usando o rp-pppoe pra conectar meu velox que ta ligado
> >>>> num FreeBSD ...
> >>>>
> >>>> Estou implementando um firewall com PF, mas minha duvida é a
> seguinte,
> >>>> as conexoes do rp-ppoe criam uma interface tunX , como que configuro
> no
> >>>> pf pra ele utilizar essa interface pra que eu poss fazer o firewall,
> ou
> >>>> coloco a interface fisica?
> >>>> Sempre que a conexao possa vir cair,se ele nao achar disponivel a
> tun0
> >>>> por exemplo, ele vai tentar a tun1, e no meu pf.conf ta configurado
> >>>>
> >> tun0
> >>
> >>>> ...como faço pra lidar com isso?
> >>>>
> >>>> Abracos!!!
> >>>>
> >>>> Fabiano Heringer
> >>>> -------------------------
> >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>
> >>>>
> >>>>
> >>> Amigo... você tem duas opções:
> >>>
> >>> 1 - Deixar sempre como tun0 mesmo;
> >>> 2 - Autenticar a conexão no próprio modem e usar a interface física no
> >>> PF (recomento esse).
> >>> -------------------------
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>
> >>> __________ NOD32 2546 (20070924) Information __________
> >>>
> >>> This message was checked by NOD32 antivirus system.
> >>> http://www.eset.com
> >>>
> >>>
> >>>
> >> Opa, beleza...o meu medo é caso a conexao caia, o tun0 ainda nao fique
> >> disponivel, ai acaba conectando com tun1 ...
> >> quanto a usar a interface fisica na sua segunda opcao, se eu "rotear" o
> >> modem, vou ficar com nat empilhado (nat do modem para o FreeBSD e do
> BSD
> >> para as maquinas da rede interna), fica um negocio meio tosco nao acha?
> >> hehehe
> >>
> >> Por falar nisso, alguem sabe algum script que teste a conexao e
> >> reconecte caso caia?
> >>
> >> Abracos
> >>
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >>
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > __________ NOD32 2546 (20070924) Information __________
> >
> > This message was checked by NOD32 antivirus system.
> > http://www.eset.com
> >
> >
> >
> >
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd