Re: [FUG-BR] route to pfsense e freebsd
Em 15/12/2014, à(s) 22:54, Fabricio Lima lis...@fabriciolima.com.br escreveu: cenario complexo e especifico pacas… Ola fabricio obrigado pelo retorno , bem complexo mesmo vou respondendo abaixo de cada pergunta sua para ajudar . hehehe foi 80% claro... talvez com mais uma lida consiga entender -funcionava e parou? ou vc ta implementando e nao funcionou? Ele funcionava sim , parou em algum momento que não conseguimos perceber entao não sabemos se foi alterado algo ou não , porem foi restaurado backups antigos e nada de voltar a funcionar . -o pfsense tem 3 uplinks.. 3 provedores.. em bridge?.. seria entao 6 nics? se sao 3 nics pra provedores... a bridge é com quem? Exato tenho 6 NIC 3 para os provedores entrarem na bridge e 3 saindo para um switch LAN/WAN onde espeto todos meus equipamentos de camada externa e o BSD com a rede toda da empresa. -freebsd do outro lado.. q lado? o pfsense eh seu router... o freebas é o q de quem? pfsense é a bridge ele esta entre os routers e o switch de camada externa , o BSD esta ligado nesse switch de camada externa e atras do BSD todas as 20 redes , o BSD distribui DHCP, faz nat gateway e tudo mais . -o pfsense enxerga mas n faz match.. fazia em algum momento? se vc alterar a logica do match resolve? algo mais idiota tipo from any to any... so pra ver se passa a capturar.. depois vai evoluindo.. 'via rl0', from x Ja refiz ele do zero coloquei apenas 2 interface de uma operadora e foi ai que descobri o problema . Ele só faz Match quando os ips são da mesma faixa do default gateway do BSD ou seja quando tenho usar o route to ele não da match e joga para a default. Por exemplo a rede 192.168.111.1 sai pelo ip 200.240.224.3 para isso fiz um nat e um route to forcando ele sair por esse ip , o ip da wan do BSD é 200.240.224.2 o default gateway do bsd é o 200.240.224.1 , ai qualquer rede minha que tiver que sair pelo 200.240.224.x a bridge da match sem problemas . Ja quando tenho uma rede q tem que sair por outra companhia por exemplo 189.11.223.x onde apenas tenho um alias na WAN a bridge não da match e joga para a default , tenho a rede 192.168.120.1 que deveria sair por exemplo pelo ip 189.11.223.10 usando o route to , ela sai , a bridge captura na interface correta porem não da match . Tenho equipamentos de video conferencia ligados direto no SWITCH wan e estes dao match sem problemas pois não passam pelo BSD, somente o que vem do BSD com o route to esta dando isso . Estou achando que é algo no encapsulamento que não esta batendo não sei . tira bkp, e refaz as regras bem simples... pra ver se eh algum bug em sua logica. faz algo bem idiota tipo ... nhee, vc entendeu. 3 regras, 2 filas. desculpe encher o saco, mas se eu conseguir entender, muitos irão, e Que é isso hehe, muito obrigado pela disposição em fazer essas perguntas espero ter conseguido ser um pouco mais claro , como você mesmo falou o cenário é bem complexo , atras dessa bridge tenho video conferencia, ramais IP , email e outros serviços . poderão te ajudar.. :] [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb. Em 15 de dezembro de 2014 18:47, Deny Santos deny.san...@gmail.com escreveu: Boa tarde amigos, Estou com um problema em minha estrutura de rede onde tenho 1 bridge com pfsense e 3 link de internet chegando até ela e do outro lado tenho um freebsd 9.2 fazendo meu gateway de rede firewall e outros … Tenho mais de 20 redes aqui dentro distintas onde cada uma sai por um ip valido pelo freebsd o qual é capturado na bridge e adicionado a sua queue correta com seu shape limites e tudo mais . No freebsd uso o pf com nat para direcionar o ip interno para o publico daquela rede e depois um route to para direcionar para a rota correta, na minha interface WAN tenho todos os ips das redes que necessito acessar através de alias e esta interface esta ligada em um switch de camada externa onde tenho a bridge ligada . Porem todas os ips que nao fazem parte do gateway padrão do freebsd o pfsense captura e joga para a default , ele não da o match , ja os ips que fazem parte da mesma faixa do gw padrão do BSD saem cada um por sua fila correta. Verificando no pfsense bridge em cada interface eu consigo ver os pacotes passando corretamente porem ele não consegue capturar e jogar para a queue correta ocasionando um congestionamento na fila default . Alguém ja passou por isso ou teria alguma luz ? Não sei se fui bem claro na duvida Obrigado amigos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista:
Re: [FUG-BR] route to pfsense e freebsd
qndo vc fala 'nao faz match' vc se refere à fila qos ne? (se sim, n precisa responder, foi pergunta retorica) saca o q achei nos docs: To ensure proper delivery of local or VPN routed traffic, or other external traffic that must obey the system routing table, rules must be crafted to pass the traffic *without a gateway set*. An example: In *Firewall Rules*, on the *LAN Tab*, create this as the *topmost* rule, or at least above all other load balancing rules: valide q suas regras estao sem o gateway setado, e valide a ordem. ou inverta de como estiver ai! este é um bom ponto a brincar, q por tentativa e erro podemos chegar na solucao. se sua logica de match ta certa, seu prob é o gateway definido, ou ordem indevida. (alguma regra foi criada e ta bypassando antes do match) [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb. Em 16 de dezembro de 2014 09:25, Deny Santos deny.san...@gmail.com escreveu: Em 15/12/2014, à(s) 22:54, Fabricio Lima lis...@fabriciolima.com.br escreveu: cenario complexo e especifico pacas… Ola fabricio obrigado pelo retorno , bem complexo mesmo vou respondendo abaixo de cada pergunta sua para ajudar . hehehe foi 80% claro... talvez com mais uma lida consiga entender -funcionava e parou? ou vc ta implementando e nao funcionou? Ele funcionava sim , parou em algum momento que não conseguimos perceber entao não sabemos se foi alterado algo ou não , porem foi restaurado backups antigos e nada de voltar a funcionar . -o pfsense tem 3 uplinks.. 3 provedores.. em bridge?.. seria entao 6 nics? se sao 3 nics pra provedores... a bridge é com quem? Exato tenho 6 NIC 3 para os provedores entrarem na bridge e 3 saindo para um switch LAN/WAN onde espeto todos meus equipamentos de camada externa e o BSD com a rede toda da empresa. -freebsd do outro lado.. q lado? o pfsense eh seu router... o freebas é o q de quem? pfsense é a bridge ele esta entre os routers e o switch de camada externa , o BSD esta ligado nesse switch de camada externa e atras do BSD todas as 20 redes , o BSD distribui DHCP, faz nat gateway e tudo mais . -o pfsense enxerga mas n faz match.. fazia em algum momento? se vc alterar a logica do match resolve? algo mais idiota tipo from any to any... so pra ver se passa a capturar.. depois vai evoluindo.. 'via rl0', from x Ja refiz ele do zero coloquei apenas 2 interface de uma operadora e foi ai que descobri o problema . Ele só faz Match quando os ips são da mesma faixa do default gateway do BSD ou seja quando tenho usar o route to ele não da match e joga para a default. Por exemplo a rede 192.168.111.1 sai pelo ip 200.240.224.3 para isso fiz um nat e um route to forcando ele sair por esse ip , o ip da wan do BSD é 200.240.224.2 o default gateway do bsd é o 200.240.224.1 , ai qualquer rede minha que tiver que sair pelo 200.240.224.x a bridge da match sem problemas . Ja quando tenho uma rede q tem que sair por outra companhia por exemplo 189.11.223.x onde apenas tenho um alias na WAN a bridge não da match e joga para a default , tenho a rede 192.168.120.1 que deveria sair por exemplo pelo ip 189.11.223.10 usando o route to , ela sai , a bridge captura na interface correta porem não da match . Tenho equipamentos de video conferencia ligados direto no SWITCH wan e estes dao match sem problemas pois não passam pelo BSD, somente o que vem do BSD com o route to esta dando isso . Estou achando que é algo no encapsulamento que não esta batendo não sei . tira bkp, e refaz as regras bem simples... pra ver se eh algum bug em sua logica. faz algo bem idiota tipo ... nhee, vc entendeu. 3 regras, 2 filas. desculpe encher o saco, mas se eu conseguir entender, muitos irão, e Que é isso hehe, muito obrigado pela disposição em fazer essas perguntas espero ter conseguido ser um pouco mais claro , como você mesmo falou o cenário é bem complexo , atras dessa bridge tenho video conferencia, ramais IP , email e outros serviços . poderão te ajudar.. :] [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb. Em 15 de dezembro de 2014 18:47, Deny Santos deny.san...@gmail.com escreveu: Boa tarde amigos, Estou com um problema em minha estrutura de rede onde tenho 1 bridge com pfsense e 3 link de internet chegando até ela e do outro lado tenho um freebsd 9.2 fazendo meu gateway de rede firewall e outros … Tenho mais de 20 redes aqui dentro distintas onde cada uma sai por um ip valido pelo freebsd o qual é capturado na bridge e adicionado a sua queue correta com seu shape limites e tudo mais . No freebsd uso o pf com nat para direcionar o ip interno para o publico daquela rede e depois um route to para direcionar para a rota correta, na minha interface WAN tenho todos os ips das redes que necessito acessar através de alias e esta interface esta ligada em um switch de camada externa onde
[FUG-BR] Squid 3.4.9
Gente boa, me deparei com esta nova versão do squid, e antigamente eu direcionava o tráfego 443 pra ele, assim pegava os ratões, que tentavam acessar sites que não deviam, assim eu conseguia controlar a navegação, com a adição do endereço de proxy nas estações, mas agora nesta nova versão, mesmo direcionado, a navegação não ocorre, mesmo colocando o ip do proxy nos navegadores, alguém já passou por isto? Leandro Bernardi - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Squid 3.4.9
' Squid knows nothing about that connection and cannot block or proxy that traffic.' [1] 'You must have built with *--enable-ssl'* mas tem um roteiro q tem o procedimento completo em [2] alternativamente pode tentar algo ativando o CONNECT. 1-http://wiki.squid-cache.org/Features/HTTPS 2- http://ubuntuserverguide.com/2013/12/how-to-filter-https-traffic-with-squid-3-on-ubuntu-server-13-10.html [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb. Em 16 de dezembro de 2014 12:01, Lenardi Soluções - Leandro Bernardi lean...@lenardi.com.br escreveu: Gente boa, me deparei com esta nova versão do squid, e antigamente eu direcionava o tráfego 443 pra ele, assim pegava os ratões, que tentavam acessar sites que não deviam, assim eu conseguia controlar a navegação, com a adição do endereço de proxy nas estações, mas agora nesta nova versão, mesmo direcionado, a navegação não ocorre, mesmo colocando o ip do proxy nos navegadores, alguém já passou por isto? Leandro Bernardi - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
