[FUG-BR] RES: RES: RES: RES: RES: RES: RES: Firewall com pf no freeBSD 7

Cristiano Maynart Pereira cpereira em unisc.br
Terça Novembro 4 11:05:45 BRST 2008


 
Pede para o pessoal da Telefonica adicionar a rota para 10.10.0.0/16 apontando para 10.100.1.4

 

Cristiano Maynart


-----Mensagem original-----
De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em nome de Ricardo Augusto de Souza
Enviada em: terça-feira, 4 de novembro de 2008 10:44
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: [FUG-BR] RES: RES: RES: RES: RES: RES: Firewall com pf no freeBSD 7

No freeBSD sim.
O router não é administrado por mim. Vocês conhecem MPLS?
Contratamos isso da Telefônica e da Diveo.
Tenho umas 8 redes mpls aqui.
Neste caso ( 10.100.0.0/24 ) é administrada pela Diveo.

O router 10.100.1.1 esta todo configurado e funcionando.


-----Mensagem original-----
De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em nome de Cristiano Maynart Pereira Enviada em: terça-feira, 4 de novembro de 2008 09:39
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: [FUG-BR] RES: RES: RES: RES: RES: Firewall com pf no freeBSD 7

 


Em termos de roteamento, seria necessario:

No FreeBSD: adicionar rota para 10.100.0.0/24 apontando para 10.100.1.1

No Router: adicionar rota para 10.10.0.0/16 apontando para 10.100.1.4

Já possui estas rotas?

Sendo que a rede 10.100.0.0/24 deve ter como gateway default o "Router" (qual seria o outro IP do Router?)


 

Cristiano Maynart


-----Mensagem original-----
De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em nome de Ricardo Augusto de Souza Enviada em: terça-feira, 4 de novembro de 2008 10:16
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: [FUG-BR] RES: RES: RES: RES: Firewall com pf no freeBSD 7


| Internet |
	|
	|
 189.x.x.x	
	|
| FreeBSD |
	|
10.10.100.252/16 -------- | Rede local 10.10.0.0/16 |
10.100.1.4/26
	|
	|
10.100.1.1/26
	|
| Router   | -------------- 10.100.0.0/24
	|
 ?????????


O Router 10.100.1.1 esta funcionando.
A empresa toda esta ligada por ele.
Este roteador que liga a minha rede local 10.10.0.0/16 a rede MPLS.

Só falta eu conseguir acessar agora. E está tudo parando no router freebsd.




-----Mensagem original-----
De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em nome de Cristiano Maynart Pereira Enviada em: terça-feira, 4 de novembro de 2008 09:06
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: [FUG-BR] RES: RES: RES: Firewall com pf no freeBSD 7

 
Ricardo.

Tente desenhar sua rede, assim ficar mais facil de ajudar.

Até onde entendi, esta assim:


| Internet |
	|
	|
 200.x.x.x	
	|
| FreeBSD |
	|
10.10.100.252/16 -------- | Rede local 10.10.0.0/16 |
10.100.1.4/24
	|
	|
10.100.1.1/24
	|
| Router   | -------------- ????
	|
 ?????????


Onde esta ligada sua rede 10.100.1.0/24 ou seria 10.100.0.0/16?


Cristiano Maynart


-----Mensagem original-----
De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em nome de Ricardo Augusto de Souza Enviada em: terça-feira, 4 de novembro de 2008 09:37
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: [FUG-BR] RES: RES: Firewall com pf no freeBSD 7

Correto.

O FreeBSD esta com 2 placas de rede.
Uma com internet e a outra com ip local 10.10.100.252 e 10.100.1.4.
Eu adicionei a rota para a rede 10.100.0.0/24 pra sair pelo router 10.100.1.1 e tudo funciona beleza do FreeBSD.

A questão é: o q tenho que fazer para as maquinas q usam o freeBSD como gateway consigam acessar a minha rede 10.100.0.0/24 ?

Testei sem filtros no PF e nada.

FW2# cat pf.rules
ext_if = "bce0"

nat on $ext_if from 10.10.20.0/24 to any  tag INT_LAN -> ($ext_if) pass in all pass out all FW2#

Consigo sair pra internet + nada de pings na rede 10.100.0.0 ;((

No openBSD  só com isso os clientes conseguem acessar as maquinas q tem rota no openBSD.



-----Mensagem original-----
De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em nome de Paulo Henrique Enviada em: terça-feira, 4 de novembro de 2008 08:30
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: Re: [FUG-BR] RES: Firewall com pf no freeBSD 7

Pelo que entendi você está usando NAT, e uma dos problemas desse protocolo é que as maquinas que estão atrás do daemon nat não podem ser acessadas diretamentes, tem que trabalhar com forwards no gateway para a maquina em questão.
Uma coisa que notei o seu endereço de rede é 10.100.0.0/24 e seu gateway
10.100.1.1 no caso uma rede /24 mais com netmask diferente, o seu gateway Freebsd está navegando na internet, poderia pingar externo na rede.
Até mais espero ter ajudado.

2008/11/4 Ricardo Augusto de Souza <ricardo.souza at cmtsp.com.br>

> Não ta habilitado o ipfw.
>
> FW2# ipfw show
> ipfw: getsockopt(IP_FW_GET): Protocol not available FW2#
>
>
> -----Mensagem original-----
> De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em 
> nome de Willian Alves Enviada em: terça-feira, 4 de novembro de 2008
> 07:34
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] Firewall com pf no freeBSD 7
>
>    cara seguinte o ipfw e o filtro de pacote padrão do FreeBSD na 
> linha de comando da um ipfw show e verifica as regras de firewall por 
> padrao vem bloqueado tudo talvez seja por isso que nao esta funcionado 
> seu roteamento fica ai meu  cents.
>
>
> ----- Original Message -----
> From: "Márcio Luciano Donada" <mdonada at gmail.com>
> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)""
> <freebsd at fug.com.br>
> Sent: Monday, November 03, 2008 6:07 PM
> Subject: Re: [FUG-BR] Firewall com pf no freeBSD 7
>
>
> Ricardo Augusto de Souza escreveu:
> > FW2# cat rc.conf
> >
> > # -- sysinstall generated deltas -- # Fri Oct 31 08:57:07 2008 #
> > Created: Fri Oct 31 08:57:07 2008 # Enable network daemons for user 
> > convenience.
> > # Please make all changes to this file, not to /etc/defaults/rc.conf.
> > # This file now contains just the overrides from /etc/defaults/rc.conf.
> > ken_securelevel="1"
> > kern_securelevel_enable="YES"
> > pf_enable="YES"
> > defaultrouter="189.xxx.xxx.xxx"
> > gateway_enable="YES"
> > hostname="FW2.CMT"
> > ifconfig_bce0="inet 189.xxx.xxx.3  netmask 255.255.255.248"
> > ifconfig_bce1="inet 10.10.100.252  netmask 255.255.0.0"
> > inetd_enable="YES"
> > keymap="br275.cp850"
> > linux_enable="YES"
> > sshd_enable="YES"
> > FW2#
> >
> >
>
>
> > FW2# cat rc.local
> > #alias
> > ifconfig bce1 alias 10.100.1.4 netmask 255.255.255.192 up #rotas 
> > route add 10.100.0.0/24 10.100.1.1 FW2#
> >
> >
>
> Você pode colocar os alias de interface tudo no rc.conf, veja no [1].
> Você falou que recompilou seu kernel mas seu dmesg traz o kernel GENERIC:
>
> FreeBSD 7.0-RELEASE #0: Sun Feb 24 19:59:52 UTC 2008
>    root at logan.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC
>
>
>
> [1].
>
> http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/configtuning
> -virtual-hosts.html
>
> Abraço,
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



--
Atenciosamente Paulo Henrique.
"Obrigado não, que é do Diabo Capital. Agradecido, que é de bom saber"
"A unica forma de todos sentirem-se bem é adotanto o Regime Socialista, não teremos tudo que queremos, contudo não veremos mais o que não queremos."
"A real definição sobre deus se dá pelo fato do ser humano ser covarde o suficiente, colocando a culpa em algo que não existe para manter a conciência "limpa"".
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Mais detalhes sobre a lista de discussão freebsd