[FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU)
Welkson Renny de Medeiros
welkson em focusautomacao.com.br
Quinta Outubro 2 11:36:34 BRT 2008
Com esse pass in você não está LIBERANDO TUDO?
Eu uso o pass in, mas especifico somente a porta que quero liberar.
Você testou a porta udp com que? openvpn? tcp eu sei que funfa, udp é que é
f...
welkson
----- Original Message -----
From: "Wildes Miranda de Oliveira" <gowmo em itecgyn.com.br>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Thursday, October 02, 2008 8:35 AM
Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI
NOVU)
A minha configuracao funcionou. Tanto UDP quanto TCP.
Estava tendo dificuldades porque esta redirecionado os pacotes para uma rede
DMZ.
Entao tambem tive que fazer uma regra reply-to na interface de acesso a DMZ.
ficou td +- assim :
route0="(" $ext_if0 $router0 ")"
route1="(" $ext_if1 $router1 ")"
rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag
ROUTE0 -> $web_server
rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag
ROUTE1 -> $web_server
pass in quick on $ext_if0 reply-to $route0 proto {tcp,udp} from any to
$ext_ip0 keep state
pass in quick on $ext_if1 reply-to $route1 proto {tcp,udp} from any to
$ext_ip1 keep state
#The reply-to option is similar to route-to, but routes packets that
#pass in the ***opposite*** direction (replies) to the specified inter-
#face.
pass out quick on $dmz_if reply-to $route0 from any to any tagged ROUTE0
keep state
pass out quick on $dmz_if reply-to $route1 from any to any tagged ROUTE1
keep state
pass out on $ext_if0 route-to $ext_if1 from $ext_if1 to any
pass out on $ext_if1 route-to $ext_if0 from $ext_if0 to any
basicamento o segredo estava na direcao da regra da interface dmz. na
configuracao anterior
anterior eu estava coloando "pass in".
valeu ...!
----- Mensagem original -----
De: "Alexandre Biancalana" <biancalana em gmail.com>
Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Enviadas: Quarta-feira, 1 de Outubro de 2008 17:23:15 GMT -03:00 Argentina
Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI
NOVU)
On 10/1/08, Welkson Renny de Medeiros <welkson em focusautomacao.com.br> wrote:
> Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um
> exemplo com udp, porque aqui não funciona nem a pau... =)
>
> Coloca xxx nos ips em produção.
>
> Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para
> udp, e de 65517 para 1194
>
> # tcp que funciona
>
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to
>
> any port 65517 keep state
>
> # udp que NAO funciona
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to
> any port 1194 keep state
>
Manda seu pf.conf completo.
O que pode estar acontecendo é que o pf cria o estado pela ultima
regra que fizer o match ou seja, se você tem a regra com reply-to e
depois tem uma com o pass normal ele cria o estado pela ultima regra e
não funciona mesmo.
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Wildes Miranda
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd