Re: [FreeBSD] Freebsd + PF
tekrar merhabalar, kurallarımın en başında belirtmiş olduğum block in log-all all block out log-all all pass in quick on lo0 all pass out quick on lo0 all bu satırlarından sonra iç ağdaki kullanıcılarıma fw belli portlara ulaşma izini verdim pass in quick on $int_if proto tcp from $lan_net to any port { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state daha sonra fw nin dış modemlere bakan interfacelerinede çıkış izini verdim pass out on $ext_if proto {tcp,udp} from $fwips to any keep state pass out on $ext_if2 proto {tcp,udp} from $fwips to any keep state iç ağdaki kullanıcılarım fw üzerinde izin verdiğim portlara bağlanabiliyorlar problem yok ama izin vermeme rağmen dışarıdaki bir mail serverada bağlanabiliyorlar. bunu nasıl engelleyebilirim. - Original Message --pass in quick on $int_if proto tcp from $lan_net to any port { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state From: vys To: freebsd@lists.enderunix.org Sent: Wednesday, April 16, 2008 8:55 AM Subject: Re: [FreeBSD] Freebsd + PF Huzeyfe hocam bu değerli bilgiler için teşekkür ederim sağlıçakla kalın - Original Message - From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 9:34 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, 1-3)ext_if uzerinden paketleri cikis ipleri ext_if2 olacak sekilde natliyorum ve bu paketleri IF2 olarak isaretliyorum, sonra filtreleme kisminda IF2 seklinde isaretlenmis paketleri diger arabirime gonderiyorum. 2) ext_if:0 daki :0 o arabirime ait ilk ip adresi manasina geliyor. Kendi sistemimde ext_if uzerinde birden fazla ip adresi oldugu icin ilk ip adresini kullanmam icin o sekilde belirtmem gerekiyor J From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 8:36 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Hocam Tekrar Mrb, Kurallarımı sizin söylediğiniz şekilde düzenledim ve sistem şuan çalışıyor.Fakat göndermiş olduğunuz kurallarda anlamadığım kısımlar var bunları açıklamız mümkünmü acaba. konuyu daha iyi kavrama açısından. 1. nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) burdaki smtp veya pop3 tag IF2 satırıyla ne yapmak istiyoruz tag IF2 nedir. 2.pass in quick log on $ext_if2 reply-to($ext_if2 $ext_gw2) proto tcp from any to $ext_if2:0 port 80 keep state satırındaki $ext_if2:0 ne anlama geliyor 3.pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state burda $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state ne yapmak istiyoruz. huzeyfe hocam inşallah çok fazla rahatsız etmemiyorumdur. Saygılar.. - Original Message - nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 7:13 PM Subject: RE: [FreeBSD] Freebsd + PF Selamlar, SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna bakarak cogaltabilirsiniz. pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp from any to $ext_if0:0 port 25 keep state Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde bulabilirsiniz. -- From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 7:06 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Huzeyfe Hocam Merhabalar, Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz mümkünmü acaba. kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam. saygılar - Original Message - From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 5:53 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to kullanmaniz gerekiyor. Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun
Re: [FreeBSD] Freebsd + PF
merhabalar bu konu pf ile ama ipfw... benim sistemim freebsd 7.0 sistem üzerinde dhcp squid squidguard çalışmakta makinalar.ip alıp browsere proxy tanıtmak koşuluyla int çkış yapabiliyorlar ama.. ping yada başka bir portu kullanan bir program çalıştıklarında int yokmuş gibi davranıyor halbuki ipfw de allow from ant to any kuralı geçerli ne yapmam lazım.
RE: [FreeBSD] Freebsd + PF
Merhabalar, Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to kullanmaniz gerekiyor. Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering kurallari yazmayi deneyin. (II. hattan SMTP isteklerinin cikmasi icin) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state (OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok) Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek hat dusunulerek yazilmis kurallar gibi gozukuyor. En basitinden ; pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz, isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve round-robin kullanmayin. _ From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 1:03 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Freebsd + PF Arkadaslar Merhaba, daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir kaç durumu sizlerle paylasmak istedim. bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda. simdi benim yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla mail sunucumun mailleri gönderirken ve mailleri alirken adsl1 üzerinden haberlessin,kullanicilariminda internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin istiyorum. buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum birincisi disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor loglarda ise pass olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2 üzerinden hiçbir problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba gözden kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki gibidir. ### # Macros ### lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 } int_if = bge0 ext_if = vr0 ext_if2 = vr1 ext_gw1 = 192.168.100.213 (Proxy için) ext_gw2 = 192.168.110.25 (Mail Trafigi için) fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26} ## #Tanimlar ## table msn persist file /usr/local/etc/fw/msn table ftp persist file /usr/local/etc/fw/ftp ### # Set Optimizations ### set limit { frags 3, states 25000 } set loginterface $ext_if scrub in all ## #Nat Kurallari ## nat on $ext_if from $lan_net to any - ($ext_if) nat on $ext_if2 from $lan_net to any - ($ext_if2) rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080 ## #Kurallar ## block in log-all all block out log-all all pass in quick on lo0 all pass out quick on lo0 all ## #Route-to ## pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state pass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep state ## #Port Bazli Routing ## pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) proto tcp from $fwips to any port 25 keep state pass out quick on $ext_if2 proto tcp from $fwips to any port 25 keep state pass in quick log on $int_if route-to ($ext_if2 $ext_gw2) proto tcp from $lan_net to any port 25 keep state ## # Firewalla izin veriliyor ç?k??lar ## pass out quick on $ext_if proto {tcp,udp} from $fwips to any keep state pass out quick on $ext_if2 proto {tcp,udp} from $fwips to any keep state ## #Lan_net ten Firewalla izin verilen Portlar ## pass in quick on $int_if proto tcp from $lan_net to any port { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state pass in quick on $int_if proto tcp from msn to any port = 1863 flags S/SA keep state pass in quick on $int_if proto tcp from ftp to any port = 21 flags S/SA keep state pass in quick on
Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam Merhabalar, Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz mümkünmü acaba. kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam. saygılar - Original Message - From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 5:53 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to kullanmaniz gerekiyor. Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering kurallari yazmayi deneyin. (II. hattan SMTP isteklerinin cikmasi icin) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state (OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok) Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek hat dusunulerek yazilmis kurallar gibi gozukuyor. En basitinden ; pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz, isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve round-robin kullanmayin. -- From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 1:03 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Freebsd + PF Arkadaslar Merhaba, daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir kaç durumu sizlerle paylasmak istedim. bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda. simdi benim yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla mail sunucumun mailleri gönderirken ve mailleri alirken adsl1 üzerinden haberlessin,kullanicilariminda internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin istiyorum. buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum birincisi disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor loglarda ise pass olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2 üzerinden hiçbir problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba gözden kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki gibidir. ### # Macros ### lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 } int_if = bge0 ext_if = vr0 ext_if2 = vr1 ext_gw1 = 192.168.100.213 (Proxy için) ext_gw2 = 192.168.110.25 (Mail Trafigi için) fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26} ## #Tanimlar ## table msn persist file /usr/local/etc/fw/msn table ftp persist file /usr/local/etc/fw/ftp ### # Set Optimizations ### set limit { frags 3, states 25000 } set loginterface $ext_if scrub in all ## #Nat Kurallari ## nat on $ext_if from $lan_net to any - ($ext_if) nat on $ext_if2 from $lan_net to any - ($ext_if2) rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080 ## #Kurallar ## block in log-all all block out log-all all pass in quick on lo0 all pass out quick on lo0 all ## #Route-to ## pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state pass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep state ## #Port Bazli Routing ## pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) proto tcp from $fwips to any port 25 keep state pass out quick on $ext_if2 proto tcp from $fwips to any port 25 keep
RE: [FreeBSD] Freebsd + PF
Selamlar, SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna bakarak cogaltabilirsiniz. pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp from any to $ext_if0:0 port 25 keep state Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde bulabilirsiniz. _ From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 7:06 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Huzeyfe Hocam Merhabalar, Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz mümkünmü acaba. kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam. saygılar - Original Message - From: Huzeyfe mailto:[EMAIL PROTECTED] ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 5:53 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to kullanmaniz gerekiyor. Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering kurallari yazmayi deneyin. (II. hattan SMTP isteklerinin cikmasi icin) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state (OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok) Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek hat dusunulerek yazilmis kurallar gibi gozukuyor. En basitinden ; pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz, isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve round-robin kullanmayin. _ From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 1:03 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Freebsd + PF Arkadaslar Merhaba, daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir kaç durumu sizlerle paylasmak istedim. bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda. simdi benim yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla mail sunucumun mailleri gönderirken ve mailleri alirken adsl1 üzerinden haberlessin,kullanicilariminda internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin istiyorum. buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum birincisi disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor loglarda ise pass olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2 üzerinden hiçbir problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba gözden kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki gibidir. ### # Macros ### lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 } int_if = bge0 ext_if = vr0 ext_if2 = vr1 ext_gw1 = 192.168.100.213 (Proxy için) ext_gw2 = 192.168.110.25 (Mail Trafigi için) fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26} ## #Tanimlar ## table msn persist file /usr/local/etc/fw/msn table ftp persist file /usr/local/etc/fw/ftp ### # Set Optimizations ### set limit { frags 3, states 25000 } set loginterface $ext_if scrub in all ## #Nat Kurallari ## nat on $ext_if from $lan_net to any - ($ext_if) nat on $ext_if2 from $lan_net to any - ($ext_if2) rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080 ## #Kurallar ## block in log-all all block out log-all all pass in quick on lo0 all pass out quick on lo0 all ## #Route-to ## pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state pass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep state
Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam, yardımlarınız için çok teşekkür ederim şuan için söylediğiniz şekilde kurallar çalışıyor. şuan için gördüğüm tek sıkıntı server üzerinden başka bir makinenin mail sunucusuna telnet le bağlandığımda ehlo deyince 1-2 dakikalık bekleme yapıyor ama dışarıdan kendi sunucuma bağlandığımda bir problem yok gayet hızlı içeriden dışarı çıkmaya çalıştığımda bir yavaşlama var acaba nedendir. loglara baktığımda bir engellemede yok. Saygılar - Original Message - From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 7:13 PM Subject: RE: [FreeBSD] Freebsd + PF Selamlar, SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna bakarak cogaltabilirsiniz. pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp from any to $ext_if0:0 port 25 keep state Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde bulabilirsiniz. -- From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 7:06 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Huzeyfe Hocam Merhabalar, Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz mümkünmü acaba. kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam. saygılar - Original Message - From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 5:53 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to kullanmaniz gerekiyor. Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering kurallari yazmayi deneyin. (II. hattan SMTP isteklerinin cikmasi icin) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state (OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok) Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek hat dusunulerek yazilmis kurallar gibi gozukuyor. En basitinden ; pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz, isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve round-robin kullanmayin. From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 1:03 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Freebsd + PF Arkadaslar Merhaba, daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir kaç durumu sizlerle paylasmak istedim. bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda. simdi benim yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla mail sunucumun mailleri gönderirken ve mailleri alirken adsl1 üzerinden haberlessin,kullanicilariminda internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin istiyorum. buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum birincisi disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor loglarda ise pass olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2 üzerinden hiçbir problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba gözden kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki gibidir. ### # Macros ### lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 } int_if = bge0 ext_if = vr0 ext_if2 = vr1 ext_gw1 = 192.168.100.213 (Proxy için) ext_gw2 = 192.168.110.25 (Mail Trafigi için) fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26} ## #Tanimlar ## table msn persist file /usr/local/etc/fw/msn table ftp persist file /usr/local/etc/fw/ftp ### # Set
Re: [FreeBSD] Freebsd + PF
Hocam Tekrar Mrb, Kurallarımı sizin söylediğiniz şekilde düzenledim ve sistem şuan çalışıyor.Fakat göndermiş olduğunuz kurallarda anlamadığım kısımlar var bunları açıklamız mümkünmü acaba. konuyu daha iyi kavrama açısından. 1. nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) burdaki smtp veya pop3 tag IF2 satırıyla ne yapmak istiyoruz tag IF2 nedir. 2.pass in quick log on $ext_if2 reply-to($ext_if2 $ext_gw2) proto tcp from any to $ext_if2:0 port 80 keep state satırındaki $ext_if2:0 ne anlama geliyor 3.pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state burda $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state ne yapmak istiyoruz. huzeyfe hocam inşallah çok fazla rahatsız etmemiyorumdur. Saygılar.. - Original Message - nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 7:13 PM Subject: RE: [FreeBSD] Freebsd + PF Selamlar, SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna bakarak cogaltabilirsiniz. pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp from any to $ext_if0:0 port 25 keep state Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde bulabilirsiniz. -- From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 7:06 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Huzeyfe Hocam Merhabalar, Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz mümkünmü acaba. kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam. saygılar - Original Message - From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 5:53 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to kullanmaniz gerekiyor. Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering kurallari yazmayi deneyin. (II. hattan SMTP isteklerinin cikmasi icin) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state (OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok) Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek hat dusunulerek yazilmis kurallar gibi gozukuyor. En basitinden ; pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz, isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve round-robin kullanmayin. From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 1:03 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Freebsd + PF Arkadaslar Merhaba, daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir kaç durumu sizlerle paylasmak istedim. bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda. simdi benim yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla mail sunucumun mailleri gönderirken ve mailleri alirken adsl1 üzerinden haberlessin,kullanicilariminda internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin istiyorum. buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum birincisi disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor loglarda ise pass olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2 üzerinden hiçbir problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba gözden kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki gibidir. ### # Macros ### lan_net
RE: [FreeBSD] Freebsd + PF
Merhabalar, 1-3)ext_if uzerinden paketleri cikis ipleri ext_if2 olacak sekilde natliyorum ve bu paketleri IF2 olarak isaretliyorum, sonra filtreleme kisminda IF2 seklinde isaretlenmis paketleri diger arabirime gonderiyorum. 2) ext_if:0 daki :0 o arabirime ait ilk ip adresi manasina geliyor. Kendi sistemimde ext_if uzerinde birden fazla ip adresi oldugu icin ilk ip adresini kullanmam icin o sekilde belirtmem gerekiyor :-) _ From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 8:36 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Hocam Tekrar Mrb, Kurallarımı sizin söylediğiniz şekilde düzenledim ve sistem şuan çalışıyor.Fakat göndermiş olduğunuz kurallarda anlamadığım kısımlar var bunları açıklamız mümkünmü acaba. konuyu daha iyi kavrama açısından. 1. nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) burdaki smtp veya pop3 tag IF2 satırıyla ne yapmak istiyoruz tag IF2 nedir. 2.pass in quick log on $ext_if2 reply-to($ext_if2 $ext_gw2) proto tcp from any to $ext_if2:0 port 80 keep state satırındaki $ext_if2:0 ne anlama geliyor 3.pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state burda $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state ne yapmak istiyoruz. huzeyfe hocam inşallah çok fazla rahatsız etmemiyorumdur. Saygılar.. - Original Message - nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) From: Huzeyfe mailto:[EMAIL PROTECTED] ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 7:13 PM Subject: RE: [FreeBSD] Freebsd + PF Selamlar, SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna bakarak cogaltabilirsiniz. pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp from any to $ext_if0:0 port 25 keep state Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde bulabilirsiniz. _ From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 7:06 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Huzeyfe Hocam Merhabalar, Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz mümkünmü acaba. kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam. saygılar - Original Message - From: Huzeyfe mailto:[EMAIL PROTECTED] ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 5:53 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to kullanmaniz gerekiyor. Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering kurallari yazmayi deneyin. (II. hattan SMTP isteklerinin cikmasi icin) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state (OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok) Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek hat dusunulerek yazilmis kurallar gibi gozukuyor. En basitinden ; pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz, isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve round-robin kullanmayin. _ From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 1:03 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Freebsd + PF Arkadaslar Merhaba, daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir kaç durumu sizlerle paylasmak istedim. bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda. simdi benim yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla mail sunucumun mailleri gönderirken ve mailleri alirken adsl1 üzerinden haberlessin,kullanicilariminda internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin istiyorum. buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum birincisi disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor loglarda ise pass olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2 üzerinden hiçbir problem yok adsl1 üzerinden 25,110 sunucuya
Re: [FreeBSD] Freebsd + PF
Huzeyfe hocam bu değerli bilgiler için teşekkür ederim sağlıçakla kalın - Original Message - From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 9:34 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, 1-3)ext_if uzerinden paketleri cikis ipleri ext_if2 olacak sekilde natliyorum ve bu paketleri IF2 olarak isaretliyorum, sonra filtreleme kisminda IF2 seklinde isaretlenmis paketleri diger arabirime gonderiyorum. 2) ext_if:0 daki :0 o arabirime ait ilk ip adresi manasina geliyor. Kendi sistemimde ext_if uzerinde birden fazla ip adresi oldugu icin ilk ip adresini kullanmam icin o sekilde belirtmem gerekiyor J -- From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 8:36 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Hocam Tekrar Mrb, Kurallarımı sizin söylediğiniz şekilde düzenledim ve sistem şuan çalışıyor.Fakat göndermiş olduğunuz kurallarda anlamadığım kısımlar var bunları açıklamız mümkünmü acaba. konuyu daha iyi kavrama açısından. 1. nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) burdaki smtp veya pop3 tag IF2 satırıyla ne yapmak istiyoruz tag IF2 nedir. 2.pass in quick log on $ext_if2 reply-to($ext_if2 $ext_gw2) proto tcp from any to $ext_if2:0 port 80 keep state satırındaki $ext_if2:0 ne anlama geliyor 3.pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state burda $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state ne yapmak istiyoruz. huzeyfe hocam inşallah çok fazla rahatsız etmemiyorumdur. Saygılar.. - Original Message - nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 7:13 PM Subject: RE: [FreeBSD] Freebsd + PF Selamlar, SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna bakarak cogaltabilirsiniz. pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp from any to $ext_if0:0 port 25 keep state Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde bulabilirsiniz. From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 7:06 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Huzeyfe Hocam Merhabalar, Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz mümkünmü acaba. kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam. saygılar - Original Message - From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 5:53 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to kullanmaniz gerekiyor. Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering kurallari yazmayi deneyin. (II. hattan SMTP isteklerinin cikmasi icin) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state (OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok) Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek hat dusunulerek yazilmis kurallar gibi gozukuyor. En basitinden ; pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz, isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve round-robin kullanmayin. -- From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 1:03 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Freebsd + PF
Re: [FreeBSD] FreeBSD + PF + 2'li internet cikisi + loglar?
merhabalar, Sunucularimiz internet cikislarini yeniden duzenlemek icin FreeBSD uzerinde PF+Squid+DansGuardian kurulumu yapmak istiyoruz. iyi bir tercih olmus. * Skype, gmail, hotmail, yahoo-mail gibi servislerin talebi geldiginde PF ile mi yonlendirilir, yoksa Squid ile mi? Ya da yonlendirilebilir mi? Dogrudan arabirim yonlendirmesi olacagi icin gercekleyen bir ornek bulamadim. Gelen trafigin yahoo/hotmail vs ye gittigini nasil belirleyeceginize bagli olarak degisir. port ya da IP tabanli bir yonlendirmeyi PF ile rahatlikla yapabilirsiniz. * Ozel hizmetleri ayri arabirime yonlendiremez isem, AltQ ile onceliklendirebilir miyim? hem yonlendirebilirsiniz hem de altq ile onceliklendirebilirsiniz. * PF+Squid+DG calisan bir sistemde her basamakta loglama ve istatistik beklenecektir haliyle. SARG, RRDTool, Calamaris gibi araclarin hepsi beraber kullanilabilir mi, yoksa sadece birini secmek zorunda mi kalacagiz? icerik filtreleme icin sarg yeter, Pf loglarini analiz icin de /rrdtools++ , hatchet gibi bir arac kullanabilirsiniz. On 12/4/06, Volkan Evrin [EMAIL PROTECTED] wrote: Merhaba, -- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html --- - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] FreeBSD + PF + 2'li internet cikisi + loglar?
Huzeyfe Onal wrote: PF ile mi yonlendirilir, yoksa Squid ile mi? Ya da yonlendirilebilir mi? Dogrudan arabirim yonlendirmesi olacagi icin gercekleyen bir ornek bulamadim. * Skype, gmail, hotmail, yahoo-mail gibi servislerin talebi geldiginde Gelen trafigin yahoo/hotmail vs ye gittigini nasil belirleyeceginize bagli olarak degisir. port ya da IP tabanli bir yonlendirmeyi PF ile rahatlikla yapabilirsiniz. Aslinda bunu nasil belirleyecegimi tam cozemedim. PF ustunde inceledigim tum belgeler genel olarak IP'ler ve portlar uzerinden yonlendirmeleri ve kural kumelerini tanimlamaya donuktu. Yani bir kullanici kullandigi internet gezginine gmail.google.com ya da mail.yahoo.com vs. yazdigi zaman onu ikinci arabirime yonlendirmenin yolunu bulamadim. Bunun gibi web uzerinden hizmet veren adreslerin de sabit bir IP'leri var midir, belki onu arastirabilirim. Skype'ta da benzer bir sekilde, kisitlamaya donuk bazi denemeler gordum, Skype bos gordugu tum portlardan sirayla tarama yaptigindan tam sonuc bulunamadigini okudum, ama yonlendirmeye donuk ornekler bulamadim. tesekkurler, volkan evrin * Ozel hizmetleri ayri arabirime yonlendiremez isem, AltQ ile onceliklendirebilir miyim? hem yonlendirebilirsiniz hem de altq ile onceliklendirebilirsiniz. * PF+Squid+DG calisan bir sistemde her basamakta loglama ve istatistik beklenecektir haliyle. SARG, RRDTool, Calamaris gibi araclarin hepsi beraber kullanilabilir mi, yoksa sadece birini secmek zorunda mi kalacagiz? icerik filtreleme icin sarg yeter, Pf loglarini analiz icin de /rrdtools++ , hatchet gibi bir arac kullanabilirsiniz. On 12/4/06, Volkan Evrin [EMAIL PROTECTED] wrote: Merhaba, - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] freebsd pf
Merhaba,#1.Adsl Uzerinden Gelisler kismindaki pass out quick on $ext_if proto { udp, icmp } from $ext_if to any keep statekuralina tcp protokolunu de eklerseniz 1.baglantiya SSH yapabilirsiniz.pass out quick on $ext_if proto { tcp, udp, icmp } from $ext_if to any keep stateolmali kural..Ic agdan gelisler icin herhangibir kural yok. Asagidaki kurali eklersenz problem kalmayacaktir.pass in quick log on $int_if proto tcp from $lan_net to any port { 22, 25, 80, 110 } flags S/SA keep stateEk not: Kurallarinizdaki #Localden Firewall Gelisler kismi islevsiz gozukuyor. On 11/4/06, Veysi Gümüs [EMAIL PROTECTED] wrote: merhaba, kural tablomu soylediginiz yola gore yeniden duzenledim.disaridan 2.adsl uzerinden firewall makinaya 25,80,110 portlar acmistim problem olmadan ulasabiliyorum.fakat 1. adsl uzerinden ssh port acik olmasina ragmen ulasamiyorum.2.bir sorun ise kural taplosunu yukledigimde local makinelerden firewall makinesine ulasamiyorum 22 25 110 80 portlari kural tablosunda acmis durumdayim vermis oldugum rahatsizlik tan dolayida ozur dilerim.kural tablosunu en son halini tekrar asagiya yazdim saygilar. Macros###lan_net = { 10.0.0.0/24, 10.0.2.0/24 , 10.0.3.0/24, 10.0.4.0/24 }int_if = bge0ext_if = vr0ext_if2 = vr1ext_gw1 = 192.168.100.213ext_gw2 = 192.168.110.25 ###Tanımlar##table msn persist file /usr/local/etc/fw/msntable kamera persist file /usr/local/etc/fw/kameratable ftp persist file /usr/local/etc/fw/ftptable sigorta persist file /usr/local/etc/fw/sigortatable banka persist file /usr/local/etc/fw/banka Set Optimizations###set limit { frags 3, states 25000 }set loginterface $ext_ifscrub in all ###Nat Kuralları##nat on $ext_if from $lan_net to any - ($ext_if)nat on $ext_if2 from $lan_net to any - ($ext_if2)rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080 ###Firewall Kuralları##block in allblock out allpass in on $int_if route-to \ { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \ proto tcp from $lan_net to any flags S/SA modulate state pass in on $int_if route-to \ { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \ proto { udp, icmp } from $lan_net to any keep state ###1.Adsl Uzerinden Gelisler##pass in quick log on $ext_if proto tcp from any to any port = 22 flags S/SApass out quick on $ext_if proto { udp, icmp } from $ext_if to any keep statepass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep state ###2.Adsl Uzerinden Gelisler##pass in quick log on $ext_if2 proto tcp from any to any port {25,80,110} flags S/SApass out quick on $ext_if2 proto { udp, icmp } from $ext_if2 to any keep statepass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state ###Localden Firewall Gelisler##pass out quick log on $int_if proto tcp from msn to any port = 1863 flags S/SApass out quick log on $int_if proto tcp from kamera to any port = 18082 flags S/SApass out quick log on $int_if proto tcp from sigorta to any port = 12173 flags S/SApass out quick log on $int_if proto tcp from banka to any port = 443 flags S/SApass out quick log on $int_if proto tcp from ftp to any port = 21 flags S/SApass out quick log on $int_if proto tcp from any to any port { 22, 25, 80, 110 } flags S/SA - Original Message - From: Huzeyfe Onal To: freebsd@lists.enderunix.org Sent: Friday, November 03, 2006 6:42 PM Subject: Re: [FreeBSD] freebsd pf merhabalar,yazdiklarim sadece sizin yazdiklariniza cevap niteliginde oldugu icin konu tam anlasilmamis olabilir.Kisaca kural tablonuza baktigimizda ;disaridan ext_if2'e gelen smtp isteklerini kabul ediyorsunuz, buna cevap donecek paketler ici kural tablosuna bakalim; pass out quick on $ext_if proto { udp, icmp } from any to any keep statepass out quick on $ext_if2 proto { udp, icmp } from any to any keep statepass in quick log on $ext_if2 proto tcp from any to any port {25,80,110} flags S/SApass out quick log on $ext_if2 proto tcp from any to any port {25,80,110}flags S/SApass in quick log on $ext_if proto tcp from any to any port = 22 flags S/SApass out on $ext_if route-to ($ext_if2 $ext_gw2)from $ext_if2 to any pass
Re: [FreeBSD] freebsd pf
Huzeyfe mrb, yapmis oldugunuz yardimlardan dolayi tesekkur ederim.vermis oldugunuz bilgiler sayesinde suan firewall calisiyor.cok tesekkur ederim. Saygilar Veysi Gumus - Original Message - From: Huzeyfe Onal To: freebsd@lists.enderunix.org Sent: Saturday, November 04, 2006 11:00 AM Subject: Re: [FreeBSD] freebsd pf Merhaba,#1.Adsl Uzerinden Gelisler kismindaki pass out quick on $ext_if proto { udp, icmp } from $ext_if to any keep statekuralina tcp protokolunu de eklerseniz 1.baglantiya SSH yapabilirsiniz.pass out quick on $ext_if proto { tcp, udp, icmp } from $ext_if to any keep stateolmali kural..Ic agdan gelisler icin herhangibir kural yok. Asagidaki kurali eklersenz problem kalmayacaktir.pass in quick log on $int_if proto tcp from $lan_net to any port { 22, 25, 80, 110 } flags S/SA keep stateEk not: Kurallarinizdaki #Localden Firewall Gelisler kismi islevsiz gozukuyor. On 11/4/06, Veysi Gümüs [EMAIL PROTECTED] wrote: merhaba, kural tablomu soylediginiz yola gore yeniden duzenledim.disaridan 2.adsl uzerinden firewall makinaya 25,80,110 portlar acmistim problem olmadan ulasabiliyorum.fakat 1. adsl uzerinden ssh port acik olmasina ragmen ulasamiyorum.2.bir sorun ise kural taplosunu yukledigimde local makinelerden firewall makinesine ulasamiyorum 22 25 110 80 portlari kural tablosunda acmis durumdayim vermis oldugum rahatsizlik tan dolayida ozur dilerim.kural tablosunu en son halini tekrar asagiya yazdim saygilar. Macros###lan_net = "{ 10.0.0.0/24, 10.0.2.0/24 , 10.0.3.0/24, 10.0.4.0/24 }"int_if = "bge0"ext_if = "vr0"ext_if2 = "vr1"ext_gw1 = "192.168.100.213"ext_gw2 = " 192.168.110.25" ###Tanımlar##table msn persist file "/usr/local/etc/fw/msn"table kamera persist file "/usr/local/etc/fw/kamera"table ftp persist file "/usr/local/etc/fw/ftp"table sigorta persist file "/usr/local/etc/fw/sigorta"table banka persist file "/usr/local/etc/fw/banka" Set Optimizations###set limit { frags 3, states 25000 }set loginterface $ext_ifscrub in all ###Nat Kuralları##nat on $ext_if from $lan_net to any - ($ext_if)nat on $ext_if2 from $lan_net to any - ($ext_if2)rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080 ###Firewall Kuralları##block in allblock out allpass in on $int_if route-to \ { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \ proto tcp from $lan_net to any flags S/SA modulate state pass in on $int_if route-to \ { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \ proto { udp, icmp } from $lan_net to any keep state ###1.Adsl Uzerinden Gelisler##pass in quick log on $ext_if proto tcp from any to any port = 22 flags S/SApass out quick on $ext_if proto { udp, icmp } from $ext_if to any keep statepass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep state ###2.Adsl Uzerinden Gelisler##pass in quick log on $ext_if2 proto tcp from any to any port {25,80,110} flags S/SApass out quick on $ext_if2 proto { udp, icmp } from $ext_if2 to any keep statepass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state ###Localden Firewall Gelisler##pass out quick log on $int_if proto tcp from msn to any port = 1863 flags S/SApass out quick log on $int_if proto tcp from kamera to any port = 18082 flags S/SApass out quick log on $int_if proto tcp from sigorta to any port = 12173 flags S/SApass out quick log on $int_if proto tcp from banka to any port = 443 flags S/SApass out quick log on $int_if proto tcp from ftp to any port = 21 flags S/SApass out quick log on $int_if proto tcp from any to any port { 22, 25, 80, 110 } flags S/SA - Original Message - From: Huzeyfe Onal To: freebsd@lists
Re: [FreeBSD] freebsd pf
merhaba,sunucular icin yonlendirme(rdr) kuraliniz yok. smtp, pop, www servisler firewall uzerinde mi calisiyor? Yok firewall uzerinde calismiyorsa bu sunucular icin RDR kurallari yazmalisiniz.ek olarak yazdiginiz pass inquick on $int_if all kurali ondan sonra $int_if 'e gelecek tum kurallarin islevsiz kalmasini sagliyor. On 11/3/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: Huzeyfe bey mrb,söylediginiz sekilde kurallari duzenledim fakat bu sefer makineye ping cekebiliyorum ama 22 25 110 80 portlari acmama ragmen server aulasamiyorum uygalamis oldugum kurallari tekrar asagiya yaziyorum.saygilarveysi gumus### # Macros###lan_net = 10.0.0.0/24lan2_net = 10.0.2.0/24lan3_net = 10.0.3.0/24lan4_net = 10.0.4.0/24int_if = bge0ext_if = vr0ext_if2 = vr1ext_gw1 = 192.168.100.213ext_gw2 = 192.168.110.25###Tanımlar## table msn persist file /usr/local/etc/fw/msntable kamera persist file /usr/local/etc/fw/kameratable ftp persist file /usr/local/etc/fw/ftptable sigorta persist file /usr/local/etc/fw/sigorta table banka persist file /usr/local/etc/fw/banka Set Optimizations###set limit { frags 3, states 25000 } set loginterface $ext_ifscrub in all###Nat Kuralları##nat on $ext_if from $lan_net to any - ($ext_if) nat on $ext_if from $lan2_net to any - ($ext_if)nat on $ext_if from $lan3_net to any - ($ext_if)nat on $ext_if from $lan4_net to any - ($ext_if)nat on $ext_if2 from $lan_net to any - ($ext_if2) nat on $ext_if2 from $lan2_net to any - ($ext_if2)nat on $ext_if2 from $lan3_net to any - ($ext_if2)nat on $ext_if2 from $lan4_net to any - ($ext_if2)rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080###Firewall Kuralları##block in allblock out allpass inquick on lo0 all pass out quick on lo0 allpass inquick on $int_if allpass in on $int_if route-to \{ ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \proto tcp from $lan_net to any flags S/SA modulate state pass in on $int_if route-to \{ ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \proto { udp, icmp } from $lan_net to any keep statepass out quick on $int_if proto { udp, icmp } from any to any keep state pass out quick on $ext_if proto { udp, icmp } from any to any keep statepass out quick on $ext_if2 proto { udp, icmp } from any to any keep statepass out quick log on $int_if proto tcp from msn to any port = 1863 flags S/SApass out quick log on $int_if proto tcp from kamera to any port = 18082flags S/SApass out quick log on $int_if proto tcp from sigorta to any port = 12173flags S/SApass out quick log on $int_if proto tcp from banka to any port = 443 flags S/SApass out quick log on $int_if proto tcp from ftp to any port = 21 flagsS/SApass out quick log on $int_if proto tcp from any to any port{22,25,80,110} flags S/SApass in quick log on $ext_if2 proto tcp from any to any port {25,80,110} flags S/SApass out quick log on $ext_if2 proto tcp from any to any port {25,80,110}flags S/SApass in quick log on $ext_if proto tcp from any to any port = 22 flags S/SApass out on $ext_ifroute-to ($ext_if2 $ext_gw2)from $ext_if2 to any pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any-Cikmak icin, e-mail: [EMAIL PROTECTED]Liste arsivi: http://lists.enderunix.orgTurkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php -- Huzeyfe ÖNALEnderUnix Core Team Member[EMAIL PROTECTED] http://www.enderunix.org/huzeyfe+90 505 5260064---
Re: [FreeBSD] freebsd pf
Merhabalar,bahsettigim kural ic agdaki IP adresleri icin gecerli idi...Disaridan erisilememe problemi paketlerin diger hattan donmeye calismasindan kaynaklaniyor olabilir.Mesela disaridan ext2_if'ye gelen smtp paketleri geriye donerken default GWden gitmeye calisiyor, eger default GW ext2_if degilse calismamasi normal. Calismasi icin ext1_if'den gitmeye calisan cevaplari ext2_if'e yonlendirilmesi lazim. pass out quick on $ext_ifroute-to ($ext_if2 $ext_gw2)from $ext_if2 port 25 to any keep stateek olarak bu kural ailesi istediginiz isleri yapmak icin yeterli degil. Bastan olusturup adim adim yazmaniz daha iyi olur. On 11/3/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: evet smtp,pop,web,proxy firewall makine üzerinde çalışmakta ondan dolayırdr kuralı eklemedim söylediğiniz gibipass inquick on $int_if all kurallını iptal edip tekrar denedim fakatyinede ulaşamadım.saygılar- Cikmak icin, e-mail: [EMAIL PROTECTED]Liste arsivi: http://lists.enderunix.orgTurkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php-- Huzeyfe ÖNALEnderUnix Core Team Member [EMAIL PROTECTED]http://www.enderunix.org/huzeyfe+90 505 5260064---
Re: [FreeBSD] freebsd pf
Huzeyfe bey mrb, öncelikle yardimlariniz için tesekur ederim. freebsd ve pf'ye yeni başladigim için anlatmaya çalistiginiz olayı biraz daha detaylı anlatmanız mümkünmü ? kural dosyasinda bahsetmis oldugumuz kurallar yazili oldugu halde calismiyor pass out on $ext_if route-to ($ext_if2 $ext_gw2)from $ext_if2 to anypass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any saygilar... - Original Message - From: Huzeyfe Onal To: freebsd@lists.enderunix.org Sent: Friday, November 03, 2006 2:54 PM Subject: Re: [FreeBSD] freebsd pf Merhabalar,bahsettigim kural ic agdaki IP adresleri icin gecerli idi...Disaridan erisilememe problemi paketlerin diger hattan donmeye calismasindan kaynaklaniyor olabilir.Mesela disaridan ext2_if'ye gelen smtp paketleri geriye donerken default GWden gitmeye calisiyor, eger default GW ext2_if degilse calismamasi normal. Calismasi icin ext1_if'den gitmeye calisan cevaplari ext2_if'e yonlendirilmesi lazim. pass out quick on $ext_ifroute-to ($ext_if2 $ext_gw2)from $ext_if2 port 25 to any keep stateek olarak bu kural ailesi istediginiz isleri yapmak icin yeterli degil. Bastan olusturup adim adim yazmaniz daha iyi olur. On 11/3/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: evet smtp,pop,web,proxy firewall makine üzerinde çalışmakta ondan dolayırdr kuralı eklemedim söylediğiniz gibipass inquick on $int_if all kurallını iptal edip tekrar denedim fakatyinede ulaşamadım.saygılar-Cikmak icin, e-mail: [EMAIL PROTECTED]Liste arsivi: http://lists.enderunix.orgTurkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php-- Huzeyfe ÖNALEnderUnix Core Team Member[EMAIL PROTECTED]http://www.enderunix.org/huzeyfe+90 505 5260064---
Re: [FreeBSD] freebsd pf
merhabalar,yazdiklarim sadece sizin yazdiklariniza cevap niteliginde oldugu icin konu tam anlasilmamis olabilir.Kisaca kural tablonuza baktigimizda ;disaridan ext_if2'e gelen smtp isteklerini kabul ediyorsunuz, buna cevap donecek paketler ici kural tablosuna bakalim; pass out quick on $ext_if proto { udp, icmp } from any to any keep statepass out quick on $ext_if2 proto { udp, icmp } from any to any keep statepass in quick log on $ext_if2 proto tcp from any to any port {25,80,110} flags S/SApass out quick log on $ext_if2 proto tcp from any to any port {25,80,110}flags S/SApass in quick log on $ext_if proto tcp from any to any port = 22 flags S/SApass out on $ext_if route-to ($ext_if2 $ext_gw2)from $ext_if2 to any pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to anyen ustteki kurada quick kelimesi kullandginiz icin alttaki out kurallarina bakilmiyor ve paketler diger arabirimden cikmaya calisiyor. Bunu netlestirmek icin tcpdump -i ext_if2(arabirim adi neyse) -tttnn tcp port 25 komutunu calistirirsiniz ve disaridan bir yerden baglanti kurmaya calisirsiniz gelen paketleri burada goruyor olmalisiniz. ayni komutu diger arabirim icin calistirirsaniz paketlerin o arabirimden cikmaya calistiklarini da goreblirsiniz. asagida yazdigim kurallar sadece 2. hattan gelen baglantilarin ayni hattan donmesi icin. Buna gore diger kurallar yazarsinizpass in quick log on $ext_if2 proto tcp from any to any port {25,80,110}flags S/SA pass out quick on $ext_if2 proto { udp, icmp } from $ext_if2 to any keep statepass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state On 11/3/06, Veysi Gümüs [EMAIL PROTECTED] wrote: Huzeyfe bey mrb, öncelikle yardimlariniz için tesekur ederim. freebsd ve pf'ye yeni başladigim için anlatmaya çalistiginiz olayı biraz daha detaylı anlatmanız mümkünmü ? kural dosyasinda bahsetmis oldugumuz kurallar yazili oldugu halde calismiyor pass out on $ext_if route-to ($ext_if2 $ext_gw2)from $ext_if2 to anypass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any saygilar... - Original Message - From: Huzeyfe Onal To: freebsd@lists.enderunix.org Sent: Friday, November 03, 2006 2:54 PM Subject: Re: [FreeBSD] freebsd pf Merhabalar,bahsettigim kural ic agdaki IP adresleri icin gecerli idi...Disaridan erisilememe problemi paketlerin diger hattan donmeye calismasindan kaynaklaniyor olabilir.Mesela disaridan ext2_if'ye gelen smtp paketleri geriye donerken default GWden gitmeye calisiyor, eger default GW ext2_if degilse calismamasi normal. Calismasi icin ext1_if'den gitmeye calisan cevaplari ext2_if'e yonlendirilmesi lazim. pass out quick on $ext_ifroute-to ($ext_if2 $ext_gw2)from $ext_if2 port 25 to any keep stateek olarak bu kural ailesi istediginiz isleri yapmak icin yeterli degil. Bastan olusturup adim adim yazmaniz daha iyi olur. On 11/3/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: evet smtp,pop,web,proxy firewall makine üzerinde çalışmakta ondan dolayırdr kuralı eklemedim söylediğiniz gibipass inquick on $int_if all kurallını iptal edip tekrar denedim fakatyinede ulaşamadım.saygılar-Cikmak icin, e-mail: [EMAIL PROTECTED]Liste arsivi: http://lists.enderunix.orgTurkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php -- Huzeyfe ÖNALEnderUnix Core Team Member[EMAIL PROTECTED] http://www.enderunix.org/huzeyfe+90 505 5260064--- -- Huzeyfe ÖNALEnderUnix Core Team Member[EMAIL PROTECTED]http://www.enderunix.org/huzeyfe +90 505 5260064---