Re: [FUG-BR] Ifstated
Ricardo Augusto de Souza escreveu: Alguem ai tem algum exemplo pratico de troca de rotas. Estou tentando fazer um failover aqui usando ifstated e nao achei nenhum exemplo pratico sobre isso. Valeu - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Bom dia! http://www.fug.com.br/content/view/504/77/ Abraços - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: Gerenciar dois links
Estas regras foram retiradas de um Server em produção, espero que te ajude.
#RDR para um host interno através da 2 interface wan
rdr on $interface_speedy proto tcp from any to $interface_speedy port { 80,
5222, 5223, 9090, 9091, 5269, } - 10.10.1.10
#permite o pacote na segunda placa wan
pass in quick log on $interface_speedy proto tcp from any to 10.10.1.10 port
{ 5222, 5223, 9090, 9091, 5269, } flags S/SA keep state tag ROTA_1
#Saida de um host pela segunda placa wan
pass in quick on $interface_interna route-to {($interface_speedy
$gw_speedy)} proto tcp from 10.10.1.10 to any flags S/SA keep state
pass in quick on $interface_interna route-to {($interface_speedy
$gw_speedy)} proto { udp, icmp } from 10.10.1.10 to any keep state
#Tag para pacotes que venham da segunda interface externa com destino a
interface interna
pass out quick on $interface_interna reply-to ($interface_speedy $gw_speedy)
proto tcp tagged ROTA_1 flags S/SA keep state
pass out quick on $interface_interna reply-to ($interface_speedy $gw_speedy)
tagged ROTA_1 keep state
#E para que tudo acima funcione
pass out on $interface_externa route-to ($interface_speedy $gw_speedy) from
$interface_speedy to any
pass out on $interface_speedy route-to ($interface_externa $gw_externa) from
$interface_externa to any
Abraços,
Vagner Gonçalves (Slayer)
-Mensagem original-
De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome
de diego bulsing rodrigues
Enviada em: domingo, 2 de novembro de 2008 02:49
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: Re: [FUG-BR] Gerenciar dois links
Valeu pelo link, não tinha acompanhado a discursão pois sou novo na lista,
mas já tinha visto.
Segue abaixo uma parte do pf.conf, junto com o tcpdump das placas externas.
Se alguém tiver uma luz, por gentileza, serei grato, já que estou
perdendo noites de sono por causa disso.
defaultrouter=200.xx.xxx.xx
#pf.conf
ext_if=xl0
int_if=xl1
ext_if2=vr0
ext_ip=200.xx.xxx.xx
nat_ip=200.xx.xxx.xx
ext_ip2=10.10.10.2
ext_gw2=10.10.10.1
server=192.168.1.100
# NAT
nat on $ext_if from $int_if:network to any - $nat_ip
nat on $ext_if2 from $int_if:network to any - $ext_ip2
# RDR
rdr on $ext_if2 proto tcp from any to $ext_ip2 port 80 tag ROUTE1 -
$server port 89
rdr on $int_if from $int_if:network to $ext_if - $int_if
# LAN
pass out quick on $int_if to $int_if:network $tcpflags keep state
pass in quick on $int_if from $int_if:network to any $tcpflags keep state
# WAN
pass quick on $ext_if2
pass in quick on $ext_if2_if reply-to ($ext_if2 $ext_gw2) from \
$server to any keep state
pass out quick on $ext_if reply-to ($ext_if2 $ext_gw2) from \
$server to any tagged ROUTE1 keep state
pass out on $ext_if route-to $ext_if2 from $ext_if2 to any
block log
firewall# tcpdump -pni vr0
01:39:02.548117 IP 189.24.44.244.55722 10.10.10.2.80: S
1586601675:1586601675(0) win 65535 mss 1460,sackOK,eol
01:39:05.877330 IP 189.24.44.244.55722 10.10.10.2.80: S
1586601675:1586601675(0) win 65535 mss 1460,sackOK,eol
01:39:09.213199 IP 189.24.44.244.55722 10.10.10.2.80: S
1586601675:1586601675(0) win 65535 mss 1460,sackOK,eol
01:39:15.664414 IP 189.24.44.244.55722 10.10.10.2.80: S
1586601675:1586601675(0) win 65535 mss 1460,sackOK,eol
firewall# tcpdump -pni xl0
01:40:55.408132 IP 10.10.10.2.80 189.24.44.244.62060: S
4277088621:4277088621(0) ack 2084071544 win 16384
mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK
01:41:04.049022 IP 10.10.10.2.80 189.24.44.244.62060: S
4277088621:4277088621(0) ack 2084071544 win 16384
mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK
01:41:31.648221 IP 10.10.10.2.80 189.24.44.244.62293: S
62497568:62497568(0) ack 3116327218 win 16384
mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK
Desde já agradeço.
2008/11/1 Thiago Gomes [EMAIL PROTECTED]:
afinal essa discursão deste tema ficou como ??
http://www.fug.com.br/historico/html/freebsd/2008-10/msg00050.html
e qual é a configuração correta ??
2008/11/1 Wanderson Tinti [EMAIL PROTECTED]:
Achei: http://www.fug.com.br/historico/html/freebsd/2008-10/msg00050.html
2008/11/1 Wanderson Tinti [EMAIL PROTECTED]:
Não sei se você acompanhou uma discurção onde o reply-to foi muito
discutido, de uma olhada, talvez você consiga resolver seu problema.
Era algo como: dois links, uma nao acessível de fora.
Boa sorte.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] jabber
Jose Augusto escreveu: tem o www.openfire.com Flws Em 28/11/07, Suprema Informática Ltda - Leandro [EMAIL PROTECTED] escreveu: Gente boa, alguém sabe, ou até mesmo já trabalho com Servidor Jabber, se é possível, efetuar o controle dos contatos para cada usuário, e se é possível efetuar isto com contas de msn através do servidor JABBER. Leandro - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd O correto eh http://www.igniterealtime.org/projects/openfire/index.jsp sds. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSec modo transporte X modo tunel
Israel escreveu: Realmente o uso de Vpn é a melhor escolha para tornar segura sua rede ... nao use chaves WEP até 256 pois são facilmente quebradas ... para vpn use com chaves criptograficas, quanto maior o número mais seguro, porém um pouco mais lento ... no site da FUG tem um tutorial ensinando como usar o OpenVPN é tranquilo fazer a sua configuração e depois integrar a rede com máquinas windows ... se é que vai ser windows =) Olá Rafael, Pelo que eu li sobre o OpenVPN ele suporta apena uma conexão por porta, como são mais de 50 clientes fica meio complicado administrar isso. Tenho clientes com Windows 200 XP e Linux Sobre o ipsec qual modo seria melhor para esse caso trasporte ou tunel? Muito obrigado. Ola a todos ... Tenho Openvpn (http://openvpn.net/) rodando com 15 filiais e sem problema algum, e sem maiores difilcudades de configurar.pode usar sem medo.. Sds, Vagner Gonçalves (Slayer) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Do Open para o FreeBSD
Olá, tente...
pass in quick log on $ext_if proto tcp from any to 192.168.100.10 port 80 flags
S/SA keep state
pass in quick log on $ext_if proto udp from any to 192.168.100.10 port 80 keep
state
Sds,
Vagner Gonçalves (Slayer)
Marcio A. Sepp escreveu:
Att.
Márcio A. Sepp
ZYON TECNOLOGIA LTDA
(49) 3444-4591
(49) 8405-9215
-Mensagem original-
De: [EMAIL PROTECTED]
[mailto:[EMAIL PROTECTED] Em nome de Danilo Lara
Enviada em: terça-feira, 7 de agosto de 2007 16:07
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: Re: [FUG-BR] Do Open para o FreeBSD
On Tue, 2007-08-07 at 15:58 -0300, Marcio A. Sepp wrote:
Boa tarde,
A nossa empresa vem trabalhando a algum tempo com o OpenBSD e agora
estamos partindo para o FreeBSD.
Porém não estamos conseguindo fazer o firewall (pf)
funcionar como era
no OpenBSD.
A versão do FreeBSD é a 6.2. Segue abaixo o firewall para
vossa análise.
Agradeço se alguém puder me dar uma luz.
ext_if=xl0# replace with actual external interface
name i.e., dc0
int_if=xl1# replace with actual internal interface
name i.e., dc1
internal_net=192.168.100.0/24
scrub in all
nat on $ext_if from $internal_net to any - ($ext_if)
rdr pass on $ext_if proto { tcp, udp } from any to $ext_if
port www -
192.168.100.10 port 80
block in log on $ext_if
pass in on $int_if
pass in on $ext_if proto tcp from any to $ext_if port 22
keep state
pass out on $ext_if proto { tcp, udp } all keep state
pass out on $int_if
Quando starto o firewall, e de fora da empresa, tento dar
um telnet no
ip externo, na prota 80, o telnet demora e não conecta. Já
quando eu
baixo o firewall ou quando comento a linha do
redirecionamento, dá de
cara a
mensagem: Connection refused.
No comando: tcpdump -n -e -ttt -i pflog0 não gera log nenhum.
Sabem me indicar pq no FreeBSD o pf não funciona como no
Open? Quais
as diferenças do pf - Open para o pf - FreeBSD?
Att.
Márcio A. Sepp
Crie uma regra autorizando a passagem de pacotes na porta 80.
ex.: pass in on $ext_if proto tcp from any to $ext_if port 80
No histórico da lista tem uma discussão sobre isso,porque
parece que no openbsd quando você criar a regra de rdr ele já
autoriza por default,dá uma pesquisada que vai entender melhor.
t+
Tentei tanto com o comando:
Rdr pass (para redirecionar e já dar passagem), quanto com o comando
Rdr on ... (para somente redirecionar e abaixo coloquei a regra de
passagem.
Em ambos os casos não está conectando... Apenas demora... Demora... Dá a
impressão de que a conexão é estabelecida, mas não tem um retorno.
Segue abaixo os testes que fiz:
Tentei com a regra padrão que usamos no OpenBSD:
rdr pass on $ext_if proto { tcp, udp } from any to $ext_if port www -
192.168.100.10 port 80
Depois tentamos:
rdr on $ext_if proto { tcp, udp } from any to $ext_if port www -
192.168.100.10 port 80
E a passagem...
pass in quick on $ext_if proto tcp from any to $ext_if port 80 flags S/SA
modulate state
pass in quick on $ext_if proto udp from any to $ext_if port 80 keep state
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Verificar trafego nas filas
Fabiano (BiGu) escreveu: Opa Lista, mais uma vez sobre PF Gostaria de saber se existe alguma maneira de verificar o status das queues do PF... ou seja, quais sao os trafegos que estao passando pelas queues que foram definidas no pf.conf, o seu uso, etc... Eu ja criei as queues e atribui o trafego a elas, gostaria de checar se isso está realmente acontecendo ... Existe alguma maneira de monitorar isso? Abracos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Ola..!!! Tente ... pfctl -vv -sq Espero que ajude.. Sds, Vagner Gonçalves (Slayer) -- ++==++==++==++==++ || || ++ /++ || \ / /|| ++ \\' , / // Vagner Gonçalves (Slayer)++ || \\\//_/ //' Cel: +55-11-8175-1911 || ++\_-//' / //' Fleet*ID: 15*1245 ++ || \ /// //' || ++ / \\\` ++ ||/,)-^ _\` || ++(/ \\ / \\\ ++ || // //\\\|| ++((`VRV INFORMÁTICA S/C LTDA ++ || || ++==++==++==++==++ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
