[FUG-BR] RES: RES: RES: RES: RES: RES: RES: Firewall com pf no freeBSD 7
Cristiano Maynart Pereira
cpereira em unisc.br
Terça Novembro 4 11:05:45 BRST 2008
Pede para o pessoal da Telefonica adicionar a rota para 10.10.0.0/16 apontando para 10.100.1.4
Cristiano Maynart
-----Mensagem original-----
De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em nome de Ricardo Augusto de Souza
Enviada em: terça-feira, 4 de novembro de 2008 10:44
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: [FUG-BR] RES: RES: RES: RES: RES: RES: Firewall com pf no freeBSD 7
No freeBSD sim.
O router não é administrado por mim. Vocês conhecem MPLS?
Contratamos isso da Telefônica e da Diveo.
Tenho umas 8 redes mpls aqui.
Neste caso ( 10.100.0.0/24 ) é administrada pela Diveo.
O router 10.100.1.1 esta todo configurado e funcionando.
-----Mensagem original-----
De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em nome de Cristiano Maynart Pereira Enviada em: terça-feira, 4 de novembro de 2008 09:39
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: [FUG-BR] RES: RES: RES: RES: RES: Firewall com pf no freeBSD 7
Em termos de roteamento, seria necessario:
No FreeBSD: adicionar rota para 10.100.0.0/24 apontando para 10.100.1.1
No Router: adicionar rota para 10.10.0.0/16 apontando para 10.100.1.4
Já possui estas rotas?
Sendo que a rede 10.100.0.0/24 deve ter como gateway default o "Router" (qual seria o outro IP do Router?)
Cristiano Maynart
-----Mensagem original-----
De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em nome de Ricardo Augusto de Souza Enviada em: terça-feira, 4 de novembro de 2008 10:16
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: [FUG-BR] RES: RES: RES: RES: Firewall com pf no freeBSD 7
| Internet |
|
|
189.x.x.x
|
| FreeBSD |
|
10.10.100.252/16 -------- | Rede local 10.10.0.0/16 |
10.100.1.4/26
|
|
10.100.1.1/26
|
| Router | -------------- 10.100.0.0/24
|
?????????
O Router 10.100.1.1 esta funcionando.
A empresa toda esta ligada por ele.
Este roteador que liga a minha rede local 10.10.0.0/16 a rede MPLS.
Só falta eu conseguir acessar agora. E está tudo parando no router freebsd.
-----Mensagem original-----
De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em nome de Cristiano Maynart Pereira Enviada em: terça-feira, 4 de novembro de 2008 09:06
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: [FUG-BR] RES: RES: RES: Firewall com pf no freeBSD 7
Ricardo.
Tente desenhar sua rede, assim ficar mais facil de ajudar.
Até onde entendi, esta assim:
| Internet |
|
|
200.x.x.x
|
| FreeBSD |
|
10.10.100.252/16 -------- | Rede local 10.10.0.0/16 |
10.100.1.4/24
|
|
10.100.1.1/24
|
| Router | -------------- ????
|
?????????
Onde esta ligada sua rede 10.100.1.0/24 ou seria 10.100.0.0/16?
Cristiano Maynart
-----Mensagem original-----
De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em nome de Ricardo Augusto de Souza Enviada em: terça-feira, 4 de novembro de 2008 09:37
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: [FUG-BR] RES: RES: Firewall com pf no freeBSD 7
Correto.
O FreeBSD esta com 2 placas de rede.
Uma com internet e a outra com ip local 10.10.100.252 e 10.100.1.4.
Eu adicionei a rota para a rede 10.100.0.0/24 pra sair pelo router 10.100.1.1 e tudo funciona beleza do FreeBSD.
A questão é: o q tenho que fazer para as maquinas q usam o freeBSD como gateway consigam acessar a minha rede 10.100.0.0/24 ?
Testei sem filtros no PF e nada.
FW2# cat pf.rules
ext_if = "bce0"
nat on $ext_if from 10.10.20.0/24 to any tag INT_LAN -> ($ext_if) pass in all pass out all FW2#
Consigo sair pra internet + nada de pings na rede 10.100.0.0 ;((
No openBSD só com isso os clientes conseguem acessar as maquinas q tem rota no openBSD.
-----Mensagem original-----
De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em nome de Paulo Henrique Enviada em: terça-feira, 4 de novembro de 2008 08:30
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: Re: [FUG-BR] RES: Firewall com pf no freeBSD 7
Pelo que entendi você está usando NAT, e uma dos problemas desse protocolo é que as maquinas que estão atrás do daemon nat não podem ser acessadas diretamentes, tem que trabalhar com forwards no gateway para a maquina em questão.
Uma coisa que notei o seu endereço de rede é 10.100.0.0/24 e seu gateway
10.100.1.1 no caso uma rede /24 mais com netmask diferente, o seu gateway Freebsd está navegando na internet, poderia pingar externo na rede.
Até mais espero ter ajudado.
2008/11/4 Ricardo Augusto de Souza <ricardo.souza at cmtsp.com.br>
> Não ta habilitado o ipfw.
>
> FW2# ipfw show
> ipfw: getsockopt(IP_FW_GET): Protocol not available FW2#
>
>
> -----Mensagem original-----
> De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em
> nome de Willian Alves Enviada em: terça-feira, 4 de novembro de 2008
> 07:34
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] Firewall com pf no freeBSD 7
>
> cara seguinte o ipfw e o filtro de pacote padrão do FreeBSD na
> linha de comando da um ipfw show e verifica as regras de firewall por
> padrao vem bloqueado tudo talvez seja por isso que nao esta funcionado
> seu roteamento fica ai meu cents.
>
>
> ----- Original Message -----
> From: "Márcio Luciano Donada" <mdonada at gmail.com>
> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)""
> <freebsd at fug.com.br>
> Sent: Monday, November 03, 2008 6:07 PM
> Subject: Re: [FUG-BR] Firewall com pf no freeBSD 7
>
>
> Ricardo Augusto de Souza escreveu:
> > FW2# cat rc.conf
> >
> > # -- sysinstall generated deltas -- # Fri Oct 31 08:57:07 2008 #
> > Created: Fri Oct 31 08:57:07 2008 # Enable network daemons for user
> > convenience.
> > # Please make all changes to this file, not to /etc/defaults/rc.conf.
> > # This file now contains just the overrides from /etc/defaults/rc.conf.
> > ken_securelevel="1"
> > kern_securelevel_enable="YES"
> > pf_enable="YES"
> > defaultrouter="189.xxx.xxx.xxx"
> > gateway_enable="YES"
> > hostname="FW2.CMT"
> > ifconfig_bce0="inet 189.xxx.xxx.3 netmask 255.255.255.248"
> > ifconfig_bce1="inet 10.10.100.252 netmask 255.255.0.0"
> > inetd_enable="YES"
> > keymap="br275.cp850"
> > linux_enable="YES"
> > sshd_enable="YES"
> > FW2#
> >
> >
>
>
> > FW2# cat rc.local
> > #alias
> > ifconfig bce1 alias 10.100.1.4 netmask 255.255.255.192 up #rotas
> > route add 10.100.0.0/24 10.100.1.1 FW2#
> >
> >
>
> Você pode colocar os alias de interface tudo no rc.conf, veja no [1].
> Você falou que recompilou seu kernel mas seu dmesg traz o kernel GENERIC:
>
> FreeBSD 7.0-RELEASE #0: Sun Feb 24 19:59:52 UTC 2008
> root at logan.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC
>
>
>
> [1].
>
> http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/configtuning
> -virtual-hosts.html
>
> Abraço,
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Atenciosamente Paulo Henrique.
"Obrigado não, que é do Diabo Capital. Agradecido, que é de bom saber"
"A unica forma de todos sentirem-se bem é adotanto o Regime Socialista, não teremos tudo que queremos, contudo não veremos mais o que não queremos."
"A real definição sobre deus se dá pelo fato do ser humano ser covarde o suficiente, colocando a culpa em algo que não existe para manter a conciência "limpa"".
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd