Primeiro, obrigado por responder, Welkson. O pf substitui $ext_if pelo IP da interface. Quando entre parentesis, o man pf da a seguinte explicação:
" When the interface name is surrounded by parentheses, the rule is automatically updated whenever the interface changes its address. The ruleset does not need to be reloaded." Quanto a sua sugestão, a regra de https e http já estão assim e não funcionou. A propósito meu pf.conf foi derivado deste site: http://kestas.kuliukas.com/pf.conf/ Voce sabe que versão do pf este meu free está usando? 8.1-PRERELEASE FreeBSD 8.1-PRERELEASE #1: Fri Jun 11 09:41:37 BRT 2010 abraços, -- Mario Lobo http://www.mallavoodoo.com.br FreeBSD since 2.2.8 [not Pro-Audio.... YET!!] (99% winfoes FREE) On Saturday 10 July 2010 13:20:33 Welkson Renny de Medeiros wrote: > Mário, > > A única coisa estranha que vi no seu rdr é esse "to ($ext_if)". > > Usando o exemplo do "Exchange": > > Está assim: > > # mail /owa > rdr on $ext_if inet proto tcp from any to ($ext_if) port smtp -> $exchange > port smtp > > Eu faria assim: > > > # mail /owa > rdr on $ext_if inet proto tcp from any to any port smtp -> $exchange port > smtp > > > Testa e nos diz o que aconteceu. > > Abraço, > > (desculpe o top-posting) > > > Ola pessoal. > > > > Eu sei que tem muita gente craque em pf por aqui. > > > > Eu fiz este pf.conf baseado nos muitos e muitos exemplos que consegui > > achar na net (inclusive aqui na lista) e adaptando para as minhas > > necessidades. > > > > Ele é meio longo por isso coloquei ele no final. > > > > Tudo Funciona!. VPN de fora pra dentro e vice-versa, SSH, roteamento, > > navegação, bloqueios, tudo ! > > > > O problema é que apenas o rdr do ssh (lo0) e o do ftp estão funcionando. > > Nenhum dos outros funciona ! > > > > Tentando acessar o servidor interno https por ex., eu vejo a seguinte > > saida de tcpdump -n -e -ttt -s 256 -i pflog0 : > > > > 00:00:00.000000 rule 21/0(match): pass in on sis0: 189.70.214.63.54429 > > > 172.16.3.135.443: Flags [S], seq 2411890221, win 65535, options [mss > > 1440,nop,wscale 4,sackOK,TS val 12824091 ecr 0], length 0 > > > > 00:00:00.000071 rule 27/0(match): pass out on dc0: 189.70.214.63.54429 > > > 172.16.3.135.443: Flags [S], seq 2411890221, win 65535, options [mss > > 1440,nop,wscale 4,sackOK,TS val 2357217445 ecr 0], length 0 > > > > e fica nisso !. Nenhum block aparece, a conexão não completa e o browser > > dá timeout. > > > > No entanto, fazendo via vpn, ela fecha rapidinho, e eu acesso o servidor > > direto por ela: > > > > > > 00:00:32.268808 rule 17/0(match): pass in on sis0: 189.70.214.63.55888 > > > x.y.z.w.1723: Flags [S] > > 00:00:00.133998 rule 0/0(match): pass out on lo0: 189.70.214.63.55888 > > > x.y.z.w.1723: Flags [S] > > 00:00:00.000047 rule 0/0(match): pass in on lo0: 189.70.214.63.55888 > > > x.y.z.w.1723: Flags [S] > > 00:00:00.416092 rule 87/0(match): pass out on sis0: x.y.z.w.9594 > > > 200.255.255.65.53: > > 00:00:00.020566 rule 16/0(match): pass in on sis0: 189.70.214.63 > > > x.y.z.w: GREv1, call 5504, seq 0, proto PPP (0x880b) > > 00:00:00.076102 rule 78/0(match): pass out on dc0: 172.16.3.150.25793 > > > 172.16.3.133.1812: RADIUS, Access Request > > 00:00:00.076784 rule 78/0(match): pass out on dc0: 172.16.3.150.28900 > > > 172.16.3.133.1813: RADIUS, Accounting Request > > > > # ja acessando pela vpn > > 00:00:07.015407 rule 1/0(match): pass in on tun0: 172.16.3.237.60733 > > > 172.16.3.135.443: Flags [S], seq 3902572411, win 65535, options [mss > > 1256,nop,wscale 4,sackOK,TS val 13013947 ecr 0], length 0 > > 00:00:00.000075 rule 27/0(match): pass out on dc0: 172.16.3.237.60733 > > > 172.16.3.135.443: Flags [S], > > > > > > E eu PRECISO acessar estes servicos de fora de todo jeito!. Já estou ha > > dias tentando e mexendo sem sucesso. > > > > Eu até pensei no IPFW mas eu já to acostumado com o pf e eu não saberia > > adaptar estas regras. Seria uma engenharia acima da minha capacidade. > > > > > > Agradeço de coração àqueles que puderem me ajudar. > > > > Abraços > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
