[FUG-BR] PF em conexoes ADSL

Hutger Hauer hutger em gmail.com
Segunda Setembro 24 14:07:08 BRT 2007 

Aqui vai:

default:
        set device PPPoE:xl0
        set speed sync
        set mru 1492
        set mtu 1492
        set ctsrts off
        enable lqr
        set log phase tun
        add default HISADDR
        enable dns
        set timeout 60 300
        set lqrperiod 60

adsl:
        set authname 22222222 em provedor.com.br
        set authkey 22222222

Hutger

On 9/24/07, Fabiano (BiGu) <bigu em grupoheringer.com.br> wrote:
>
> Opa Hutger, nao as configuracoes do PF..
> sim a config do ppp pra conectar o ADSL hehehehe
>
> Abracos!!!!
>
>
> Hutger Hauer escreveu:
> > Fabiano,
> >
> > Eu não tenho como mandar o meu arquivo todo pois ele está todo
> documentado
> > com informações sensiveis das minhas redes, mas estou te mandando um
> resumo
> > baseado nas minhas regras:
> >
> > ext_if="tun0"
> > int_if="xl1"
> > dmz_if="xl2"
> > vpn_if="tun1"
> >
> > internal_net="192.168.15.0/24"
> > dmz_net="192.168.254.0/24"
> >
> > internal_ip="192.168.15.254"
> > wifi_ip="10.1.1.1"
> >
> > table <guardian> { $ext_if, 192.168.15.254, 192.168.254.254, 10.1.1.1 }
> >
> > scrub in all
> >
> > # Realizando Controle de Banda
> > altq on $dmz_if cbq bandwidth 768Kb queue { moa_in, eud_in, osc_in }
> > queue osc_in bandwidth 50% cbq(default borrow)
> > queue moa_in bandwidth 25% cbq(borrow)
> > queue eud_in bandwidth 25% cbq(borrow)
> >
> >
> > # NATeando pacotes
> > nat on $ext_if from $internal_net to any -> ($ext_if)
> > nat on $ext_if from $wifi_net to any -> ($ext_if)
> > nat on $ext_if from $vpn_net to any -> ($ext_if)
> >
> > block in all
> > pass out all keep state
> >
> > pass in quick on lo0 keep state
> >
> > # Liberando Acesso - SSH
> > pass in quick proto tcp from any to <guardian> port 22 keep state
> >
> > pass in quick on $int_if from $internal_net to any keep state
> >
> > -------------------------
> >
> > Espero ter ajudado.
> >
> > Hutger.
> >
> > On 9/24/07, Fabiano (BiGu) <bigu em grupoheringer.com.br> wrote:
> >
> >> Opa Hutger, beleza entao...eh que ainda nao coloquei pra funcionar, so
> >> estou me precavendo...
> >> voce poderia me mandar o seu arquivo de configuracao pra eu dar uma
> >> olhada se possivel?
> >>
> >> Obrigado!!!
> >>
> >> Fabiano Heringer
> >>
> >> Hutger Hauer escreveu:
> >>
> >>> Caro Fabiano,
> >>>
> >>> Tenho aqui 03 firewalls com FreeBSD 6.2, sendo 02 delas rodando com
> Link
> >>> ADSL a pelo menos 6 meses e até agora não tive problemas com as minhas
> >>> regras utilizando tun0. Ele nunca pegou outra interface que não fosse
> >>>
> >> essa,
> >>
> >>> mesmo quando eu precisava reconectar o meu firewall. Eu não sei se foi
> >>> coencidência, mas consultei outras pessoas e eles também nunca tiveram
> >>>
> >> esse
> >>
> >>> problema.
> >>>
> >>> Em relação ao script de conexão, no meu caso o próprio daemon do pppd
> >>> reconecta no caso de falha. Em várias situações, precisei reiniciar o
> >>>
> >> modem
> >>
> >>> ADSL e ele reconectou sem problemas (só o IP que mudava).
> >>>
> >>> Espero ter ajudado.
> >>>
> >>> Hutger
> >>>
> >>> On 9/24/07, Fabiano (BiGu) <bigu em grupoheringer.com.br> wrote:
> >>>
> >>>
> >>>> Gule # escreveu:
> >>>>
> >>>>
> >>>>> On 9/24/07, Fabiano (BiGu) <bigu em grupoheringer.com.br> wrote:
> >>>>>
> >>>>>
> >>>>>
> >>>>>> Ae pessoal, to usando o rp-pppoe pra conectar meu velox que ta
> ligado
> >>>>>> num FreeBSD ...
> >>>>>>
> >>>>>> Estou implementando um firewall com PF, mas minha duvida é a
> >>>>>>
> >> seguinte,
> >>
> >>>>>> as conexoes do rp-ppoe criam uma interface tunX , como que
> configuro
> >>>>>>
> >> no
> >>
> >>>>>> pf pra ele utilizar essa interface pra que eu poss fazer o
> firewall,
> >>>>>>
> >> ou
> >>
> >>>>>> coloco a interface fisica?
> >>>>>>  Sempre que a conexao possa vir cair,se ele nao achar disponivel a
> >>>>>>
> >> tun0
> >>
> >>>>>> por exemplo, ele vai tentar a tun1, e no meu pf.conf ta configurado
> >>>>>>
> >>>>>>
> >>>> tun0
> >>>>
> >>>>
> >>>>>> ...como faço pra lidar com isso?
> >>>>>>
> >>>>>> Abracos!!!
> >>>>>>
> >>>>>> Fabiano Heringer
> >>>>>> -------------------------
> >>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>> Amigo... você tem duas opções:
> >>>>>
> >>>>> 1 - Deixar sempre como tun0 mesmo;
> >>>>> 2 - Autenticar a conexão no próprio modem e usar a interface física
> no
> >>>>> PF (recomento esse).
> >>>>> -------------------------
> >>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>>
> >>>>> __________ NOD32 2546 (20070924) Information __________
> >>>>>
> >>>>> This message was checked by NOD32 antivirus system.
> >>>>> http://www.eset.com
> >>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>> Opa, beleza...o meu medo é caso a conexao caia, o tun0 ainda nao
> fique
> >>>> disponivel, ai acaba conectando com tun1 ...
> >>>> quanto a usar a interface fisica na sua segunda opcao, se eu "rotear"
> o
> >>>> modem, vou ficar com nat empilhado (nat do modem para o FreeBSD e do
> >>>>
> >> BSD
> >>
> >>>> para as maquinas da rede interna), fica um negocio meio tosco nao
> acha?
> >>>> hehehe
> >>>>
> >>>> Por falar nisso, alguem sabe algum script que teste a conexao e
> >>>> reconecte caso caia?
> >>>>
> >>>> Abracos
> >>>>
> >>>> -------------------------
> >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>
> >>>>
> >>>>
> >>> -------------------------
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>
> >>> __________ NOD32 2546 (20070924) Information __________
> >>>
> >>> This message was checked by NOD32 antivirus system.
> >>> http://www.eset.com
> >>>
> >>>
> >>>
> >>>
> >>>
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >>
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > __________ NOD32 2546 (20070924) Information __________
> >
> > This message was checked by NOD32 antivirus system.
> > http://www.eset.com
> >
> >
> >
> >
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Mais detalhes sobre a lista de discussão freebsd