[FUG-BR] RES: RES: RES: RES: RES: RES: Firewall com pf no freeBSD 7
Ricardo Augusto de Souza
ricardo.souza em cmtsp.com.br
Terça Novembro 4 10:41:49 BRST 2008
Será que é pq estou usando o ip 10.10.100.252 e o 10.100.1.4 na mesma placa?
No openBSD eu tenho 3 placas.
No free so estou usando 2.
Tcpdump -i bce1 |grep 10.10.20 mostra as tentativas de ping:
10:39:41.677007 IP 10.10.20.250 > atacado.cmtsp.com.br: ICMP echo request, id 512, seq 7424, length 40
10:39:41.677012 IP 10.10.20.250 > atacado.cmtsp.com.br: ICMP echo request, id 512, seq 7424, length 40
10:40:58.677654 IP 10.10.20.250 > atacado.cmtsp.com.br: ICMP echo request, id 512, seq 9216, length 40
10:40:58.677659 IP 10.10.20.250 > atacado.cmtsp.com.br: ICMP echo request, id 512, seq 9216, length 40
-----Mensagem original-----
De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome de Cristina Fernandes Silva
Enviada em: terça-feira, 4 de novembro de 2008 09:34
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: Re: [FUG-BR] RES: RES: RES: RES: RES: Firewall com pf no freeBSD 7
Creio que deve ser problemas de rotas, com um
diagrama seria ideal para entender..
ja usou um tcpdump ?
2008/11/4 Ricardo Augusto de Souza <ricardo.souza em cmtsp.com.br>:
> Minhas regras no openBSD são mais complexas ( é meu fw de produção ) porem não há nenhuma regra especifica para liberar os pacotes pra esta rede.
>
> Eu simplesmente coloco o ip do obsd como gw e consigo acesso a TODAS as maquinas que ele mesmo consegue.
>
>
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome de Cristina Fernandes Silva
> Enviada em: terça-feira, 4 de novembro de 2008 09:28
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] RES: RES: RES: RES: Firewall com pf no freeBSD 7
>
> faz um diagrama.. é melhor para o a gente entender..
> vc testou essas mesmas regras no OpenBSD ??
>
> 2008/11/4 Ricardo Augusto de Souza <ricardo.souza em cmtsp.com.br>:
>>
>> | Internet |
>> |
>> |
>> 189.x.x.x
>> |
>> | FreeBSD |
>> |
>> 10.10.100.252/16 -------- | Rede local 10.10.0.0/16 |
>> 10.100.1.4/26
>> |
>> |
>> 10.100.1.1/26
>> |
>> | Router | -------------- 10.100.0.0/24
>> |
>> ?????????
>>
>>
>> O Router 10.100.1.1 esta funcionando.
>> A empresa toda esta ligada por ele.
>> Este roteador que liga a minha rede local 10.10.0.0/16 a rede MPLS.
>>
>> Só falta eu conseguir acessar agora. E está tudo parando no router freebsd.
>>
>>
>>
>>
>> -----Mensagem original-----
>> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome de Cristiano Maynart Pereira
>> Enviada em: terça-feira, 4 de novembro de 2008 09:06
>> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>> Assunto: [FUG-BR] RES: RES: RES: Firewall com pf no freeBSD 7
>>
>>
>> Ricardo.
>>
>> Tente desenhar sua rede, assim ficar mais facil de ajudar.
>>
>> Até onde entendi, esta assim:
>>
>>
>> | Internet |
>> |
>> |
>> 200.x.x.x
>> |
>> | FreeBSD |
>> |
>> 10.10.100.252/16 -------- | Rede local 10.10.0.0/16 |
>> 10.100.1.4/24
>> |
>> |
>> 10.100.1.1/24
>> |
>> | Router | -------------- ????
>> |
>> ?????????
>>
>>
>> Onde esta ligada sua rede 10.100.1.0/24 ou seria 10.100.0.0/16?
>>
>>
>> Cristiano Maynart
>>
>>
>> -----Mensagem original-----
>> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome de Ricardo Augusto de Souza
>> Enviada em: terça-feira, 4 de novembro de 2008 09:37
>> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>> Assunto: [FUG-BR] RES: RES: Firewall com pf no freeBSD 7
>>
>> Correto.
>>
>> O FreeBSD esta com 2 placas de rede.
>> Uma com internet e a outra com ip local 10.10.100.252 e 10.100.1.4.
>> Eu adicionei a rota para a rede 10.100.0.0/24 pra sair pelo router 10.100.1.1 e tudo funciona beleza do FreeBSD.
>>
>> A questão é: o q tenho que fazer para as maquinas q usam o freeBSD como gateway consigam acessar a minha rede 10.100.0.0/24 ?
>>
>> Testei sem filtros no PF e nada.
>>
>> FW2# cat pf.rules
>> ext_if = "bce0"
>>
>> nat on $ext_if from 10.10.20.0/24 to any tag INT_LAN -> ($ext_if) pass in all pass out all FW2#
>>
>> Consigo sair pra internet + nada de pings na rede 10.100.0.0 ;((
>>
>> No openBSD só com isso os clientes conseguem acessar as maquinas q tem rota no openBSD.
>>
>>
>>
>> -----Mensagem original-----
>> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome de Paulo Henrique Enviada em: terça-feira, 4 de novembro de 2008 08:30
>> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>> Assunto: Re: [FUG-BR] RES: Firewall com pf no freeBSD 7
>>
>> Pelo que entendi você está usando NAT, e uma dos problemas desse protocolo é que as maquinas que estão atrás do daemon nat não podem ser acessadas diretamentes, tem que trabalhar com forwards no gateway para a maquina em questão.
>> Uma coisa que notei o seu endereço de rede é 10.100.0.0/24 e seu gateway
>> 10.100.1.1 no caso uma rede /24 mais com netmask diferente, o seu gateway Freebsd está navegando na internet, poderia pingar externo na rede.
>> Até mais espero ter ajudado.
>>
>> 2008/11/4 Ricardo Augusto de Souza <ricardo.souza em cmtsp.com.br>
>>
>>> Não ta habilitado o ipfw.
>>>
>>> FW2# ipfw show
>>> ipfw: getsockopt(IP_FW_GET): Protocol not available FW2#
>>>
>>>
>>> -----Mensagem original-----
>>> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome
>>> de Willian Alves
>>> Enviada em: terça-feira, 4 de novembro de 2008 07:34
>>> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>>> Assunto: Re: [FUG-BR] Firewall com pf no freeBSD 7
>>>
>>> cara seguinte o ipfw e o filtro de pacote padrão do FreeBSD na linha de
>>> comando da um ipfw show e verifica as regras de firewall por padrao vem
>>> bloqueado tudo talvez seja por isso que nao esta funcionado seu roteamento
>>> fica ai meu cents.
>>>
>>>
>>> ----- Original Message -----
>>> From: "Márcio Luciano Donada" <mdonada em gmail.com>
>>> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)""
>>> <freebsd em fug.com.br>
>>> Sent: Monday, November 03, 2008 6:07 PM
>>> Subject: Re: [FUG-BR] Firewall com pf no freeBSD 7
>>>
>>>
>>> Ricardo Augusto de Souza escreveu:
>>> > FW2# cat rc.conf
>>> >
>>> > # -- sysinstall generated deltas -- # Fri Oct 31 08:57:07 2008
>>> > # Created: Fri Oct 31 08:57:07 2008
>>> > # Enable network daemons for user convenience.
>>> > # Please make all changes to this file, not to /etc/defaults/rc.conf.
>>> > # This file now contains just the overrides from /etc/defaults/rc.conf.
>>> > ken_securelevel="1"
>>> > kern_securelevel_enable="YES"
>>> > pf_enable="YES"
>>> > defaultrouter="189.xxx.xxx.xxx"
>>> > gateway_enable="YES"
>>> > hostname="FW2.CMT"
>>> > ifconfig_bce0="inet 189.xxx.xxx.3 netmask 255.255.255.248"
>>> > ifconfig_bce1="inet 10.10.100.252 netmask 255.255.0.0"
>>> > inetd_enable="YES"
>>> > keymap="br275.cp850"
>>> > linux_enable="YES"
>>> > sshd_enable="YES"
>>> > FW2#
>>> >
>>> >
>>>
>>>
>>> > FW2# cat rc.local
>>> > #alias
>>> > ifconfig bce1 alias 10.100.1.4 netmask 255.255.255.192 up
>>> > #rotas
>>> > route add 10.100.0.0/24 10.100.1.1
>>> > FW2#
>>> >
>>> >
>>>
>>> Você pode colocar os alias de interface tudo no rc.conf, veja no [1].
>>> Você falou que recompilou seu kernel mas seu dmesg traz o kernel GENERIC:
>>>
>>> FreeBSD 7.0-RELEASE #0: Sun Feb 24 19:59:52 UTC 2008
>>> root em logan.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC
>>>
>>>
>>>
>>> [1].
>>>
>>> http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/configtuning-virtual-hosts.html
>>>
>>> Abraço,
>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>>
>>
>> --
>> Atenciosamente Paulo Henrique.
>> "Obrigado não, que é do Diabo Capital. Agradecido, que é de bom saber"
>> "A unica forma de todos sentirem-se bem é adotanto o Regime Socialista,
>> não teremos tudo que queremos, contudo não veremos mais o que não queremos."
>> "A real definição sobre deus se dá pelo fato do ser humano ser covarde o
>> suficiente,
>> colocando a culpa em algo que não existe para manter a conciência "limpa"".
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd