[FUG-BR] RES: RES: RES: RES: RES: Firewall com pf no freeBSD 7
Ricardo Augusto de Souza
ricardo.souza em cmtsp.com.br
Terça Novembro 4 10:31:51 BRST 2008
Minhas regras no openBSD são mais complexas ( é meu fw de produção ) porem não há nenhuma regra especifica para liberar os pacotes pra esta rede.
Eu simplesmente coloco o ip do obsd como gw e consigo acesso a TODAS as maquinas que ele mesmo consegue.
-----Mensagem original-----
De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome de Cristina Fernandes Silva
Enviada em: terça-feira, 4 de novembro de 2008 09:28
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: Re: [FUG-BR] RES: RES: RES: RES: Firewall com pf no freeBSD 7
faz um diagrama.. é melhor para o a gente entender..
vc testou essas mesmas regras no OpenBSD ??
2008/11/4 Ricardo Augusto de Souza <ricardo.souza em cmtsp.com.br>:
>
> | Internet |
> |
> |
> 189.x.x.x
> |
> | FreeBSD |
> |
> 10.10.100.252/16 -------- | Rede local 10.10.0.0/16 |
> 10.100.1.4/26
> |
> |
> 10.100.1.1/26
> |
> | Router | -------------- 10.100.0.0/24
> |
> ?????????
>
>
> O Router 10.100.1.1 esta funcionando.
> A empresa toda esta ligada por ele.
> Este roteador que liga a minha rede local 10.10.0.0/16 a rede MPLS.
>
> Só falta eu conseguir acessar agora. E está tudo parando no router freebsd.
>
>
>
>
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome de Cristiano Maynart Pereira
> Enviada em: terça-feira, 4 de novembro de 2008 09:06
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: [FUG-BR] RES: RES: RES: Firewall com pf no freeBSD 7
>
>
> Ricardo.
>
> Tente desenhar sua rede, assim ficar mais facil de ajudar.
>
> Até onde entendi, esta assim:
>
>
> | Internet |
> |
> |
> 200.x.x.x
> |
> | FreeBSD |
> |
> 10.10.100.252/16 -------- | Rede local 10.10.0.0/16 |
> 10.100.1.4/24
> |
> |
> 10.100.1.1/24
> |
> | Router | -------------- ????
> |
> ?????????
>
>
> Onde esta ligada sua rede 10.100.1.0/24 ou seria 10.100.0.0/16?
>
>
> Cristiano Maynart
>
>
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome de Ricardo Augusto de Souza
> Enviada em: terça-feira, 4 de novembro de 2008 09:37
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: [FUG-BR] RES: RES: Firewall com pf no freeBSD 7
>
> Correto.
>
> O FreeBSD esta com 2 placas de rede.
> Uma com internet e a outra com ip local 10.10.100.252 e 10.100.1.4.
> Eu adicionei a rota para a rede 10.100.0.0/24 pra sair pelo router 10.100.1.1 e tudo funciona beleza do FreeBSD.
>
> A questão é: o q tenho que fazer para as maquinas q usam o freeBSD como gateway consigam acessar a minha rede 10.100.0.0/24 ?
>
> Testei sem filtros no PF e nada.
>
> FW2# cat pf.rules
> ext_if = "bce0"
>
> nat on $ext_if from 10.10.20.0/24 to any tag INT_LAN -> ($ext_if) pass in all pass out all FW2#
>
> Consigo sair pra internet + nada de pings na rede 10.100.0.0 ;((
>
> No openBSD só com isso os clientes conseguem acessar as maquinas q tem rota no openBSD.
>
>
>
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome de Paulo Henrique Enviada em: terça-feira, 4 de novembro de 2008 08:30
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] RES: Firewall com pf no freeBSD 7
>
> Pelo que entendi você está usando NAT, e uma dos problemas desse protocolo é que as maquinas que estão atrás do daemon nat não podem ser acessadas diretamentes, tem que trabalhar com forwards no gateway para a maquina em questão.
> Uma coisa que notei o seu endereço de rede é 10.100.0.0/24 e seu gateway
> 10.100.1.1 no caso uma rede /24 mais com netmask diferente, o seu gateway Freebsd está navegando na internet, poderia pingar externo na rede.
> Até mais espero ter ajudado.
>
> 2008/11/4 Ricardo Augusto de Souza <ricardo.souza em cmtsp.com.br>
>
>> Não ta habilitado o ipfw.
>>
>> FW2# ipfw show
>> ipfw: getsockopt(IP_FW_GET): Protocol not available FW2#
>>
>>
>> -----Mensagem original-----
>> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome
>> de Willian Alves
>> Enviada em: terça-feira, 4 de novembro de 2008 07:34
>> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>> Assunto: Re: [FUG-BR] Firewall com pf no freeBSD 7
>>
>> cara seguinte o ipfw e o filtro de pacote padrão do FreeBSD na linha de
>> comando da um ipfw show e verifica as regras de firewall por padrao vem
>> bloqueado tudo talvez seja por isso que nao esta funcionado seu roteamento
>> fica ai meu cents.
>>
>>
>> ----- Original Message -----
>> From: "Márcio Luciano Donada" <mdonada em gmail.com>
>> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)""
>> <freebsd em fug.com.br>
>> Sent: Monday, November 03, 2008 6:07 PM
>> Subject: Re: [FUG-BR] Firewall com pf no freeBSD 7
>>
>>
>> Ricardo Augusto de Souza escreveu:
>> > FW2# cat rc.conf
>> >
>> > # -- sysinstall generated deltas -- # Fri Oct 31 08:57:07 2008
>> > # Created: Fri Oct 31 08:57:07 2008
>> > # Enable network daemons for user convenience.
>> > # Please make all changes to this file, not to /etc/defaults/rc.conf.
>> > # This file now contains just the overrides from /etc/defaults/rc.conf.
>> > ken_securelevel="1"
>> > kern_securelevel_enable="YES"
>> > pf_enable="YES"
>> > defaultrouter="189.xxx.xxx.xxx"
>> > gateway_enable="YES"
>> > hostname="FW2.CMT"
>> > ifconfig_bce0="inet 189.xxx.xxx.3 netmask 255.255.255.248"
>> > ifconfig_bce1="inet 10.10.100.252 netmask 255.255.0.0"
>> > inetd_enable="YES"
>> > keymap="br275.cp850"
>> > linux_enable="YES"
>> > sshd_enable="YES"
>> > FW2#
>> >
>> >
>>
>>
>> > FW2# cat rc.local
>> > #alias
>> > ifconfig bce1 alias 10.100.1.4 netmask 255.255.255.192 up
>> > #rotas
>> > route add 10.100.0.0/24 10.100.1.1
>> > FW2#
>> >
>> >
>>
>> Você pode colocar os alias de interface tudo no rc.conf, veja no [1].
>> Você falou que recompilou seu kernel mas seu dmesg traz o kernel GENERIC:
>>
>> FreeBSD 7.0-RELEASE #0: Sun Feb 24 19:59:52 UTC 2008
>> root em logan.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC
>>
>>
>>
>> [1].
>>
>> http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/configtuning-virtual-hosts.html
>>
>> Abraço,
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>
> --
> Atenciosamente Paulo Henrique.
> "Obrigado não, que é do Diabo Capital. Agradecido, que é de bom saber"
> "A unica forma de todos sentirem-se bem é adotanto o Regime Socialista,
> não teremos tudo que queremos, contudo não veremos mais o que não queremos."
> "A real definição sobre deus se dá pelo fato do ser humano ser covarde o
> suficiente,
> colocando a culpa em algo que não existe para manter a conciência "limpa"".
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd