Re: [FUG-BR] Compilar squid no PFSense
Beleza, também posso fazer isso em um mesmo FreeBSD (versao e plataforma)? Vi algo sobre o pkg_create (criar binario), neste caso eu compilo o source normalmente, mas ao inves de dar uma make install eu usaria o pkg_create? Nao sei bem como funciona. Eu ja fiz isso muitas vezes no slackware...no free também é assim? Abracos Citando William David Armstrong - FUGBr fu...@biosystems.ath.cx: Baixa o pfsense developer instala e compila gerando os packages depois de gerar os pakages vc pode usar um scp ou sftp pra copiar os pakages pro seu alvo e usar o pkg_add. Fiz assim por muito tempo pra por o squid +squidguard juntos nas primeiras versões do pfsense -- - = - = - = - = - = - = - = - = - = - . Of course it runsWilliam David Armstrong |== Bio Systems Security Networking ' FreeBSD MSN / GT biosystems gmail . com http://biosystems.ath.cx:8080/ http://biosystems.broker.freenet6.net/ -- Em 24/06/2011, às 21:49, Danilo Egea daniloe...@yahoo.com.br escreveu: Compila ele em um FreeBSD de mesma versão e arquitetura e depois joga ele pra lá. O pfSense vem bem enxuto, sem os headers e tal... Abraço Enviado por Samsung Mobile Fabiano Carlos Heringer b...@grupoheringer.com.br escreveu: Pessoal, eh possivel compilar do source alguma aplicacao no pfsense? To tentando compilar o squid que tive que alterar um .c , mas nao compila...nao tem outro jeito? Da erro direto: # ./configure checking for a BSD-compatible install... /usr/bin/install -c checking whether build environment is sane... yes checking for a thread-safe mkdir -p... cfgaux/install-sh -c -d checking for gawk... no checking for mawk... no checking for nawk... nawk checking whether make sets $(MAKE)... make: not found no checking whether to enable maintainer-specific portions of Makefiles... no checking for gcc... gcc checking for C compiler default output file name... a.out checking whether the C compiler works... yes checking whether we are cross compiling... no checking for suffix of executables... checking for suffix of object files... o checking whether we are using the GNU C compiler... yes checking whether gcc accepts -g... yes checking for gcc option to accept ISO C89... unsupported checking for style of include used by make... make: not found make: not found none checking dependency style of gcc... make: not found make: not found make: not found make: not found none checking whether gcc and cc understand -c and -o together... yes checking build system type... i386-unknown-freebsd8.1 checking host system type... i386-unknown-freebsd8.1 checking for pkg-config... /usr/local/bin/pkg-config Store modules built: ufs Removal policies built: lru Auth scheme modules built: basic unlinkd enabled checking for egrep... -E: not found /usr/bin/egrep checking how to run the C preprocessor... /lib/cpp configure: error: C preprocessor /lib/cpp fails sanity check See `config.log' for more details. Abracos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd This message was sent using IMP, the Internet Messaging Program. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Criar DMZ no DATACM DM991CR
Pessoal, é meio off, mas se alguem ja teve o mesmo problema e conseguiu resolver.. Seguinte, tenho um circuito embratel que nao tem classe dedicada, por isso é necessário que o router faça o NAT, preciso dum firewall na minha rede, estou usando o pfsense, problema que o trafego chega so no router...preciso entao criar uma DMZ dentro do router apontando todo o trafego pro meu pfSense, alguem sabe como configurar essa DMZ nesse DATACOM? Ele é até bem parecido com o CLI do Cisco, mas muda muitos comandos. Um grande abraco This message was sent using IMP, the Internet Messaging Program. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Queue só controla upload
Opa, mas o mais estranho é que nessa regra o trafego está casando com
ela, o problema entao é com a queue que nao daria certo?
O que preciso fazer é o seguinte:
Tenho pacotes de determinadas acl marcados no squid com a opcao
tcp_outgoing_tos ...Preciso colocar esses pacotes que estao com esse
determinado ToS. Essa regra nao esta fazendo isso claro, mas em testes
ela nao controlou o download, ai me complicou !
Citando Nenhum_de_Nos math...@eternamente.info:
On Tue, November 9, 2010 13:40, Fabiano Carlos Heringer wrote:
Pessoal, tenho duas regras para fazer um determinado controle no meu
firewall, eh a seguinte:
pass in quick on $ext_if proto tcp from any port 80 to x.x.x.x no state
label _in_x_x_x_web_ queue q_web_in
pass out quick on $ext_if proto tcp from x.x.x.x to any port 80 no state
label _out_x_x_x_web_ queue q_web_out
Bom, as duas regras aparentemente estao funcioando ate porque as labels
que eu defini estao sendo contabilizados com o trafego q eu desejo...
O problema esta na queue, so entra na queue a segunda regra, a primeira
nao entra de jeito nenhum, mas o label contabiliza o trafego dessa regra
normalmente:
_in_201_65_221_web_ 696001 287473 371958699 287473 371958699 0 0
_out_201_65_221_web_ 309671 209064 20833789 750 271049 208314 20562740
Nao entendo porque nao entra nessa regra... ai neste caso, meu upload
esta sendo limitado pela minha queue q_web_out , mas o download nao
esta...
Minhas queues estao assim:
queue root_re0 on re0 bandwidth 2Mb priority 0 cbq( wrr root )
{q_all_in, q_web_in, q_web_out, q_streaming}
queue q_all_in on re0 bandwidth 1Mb priority 2 cbq( red ecn default )
queue q_web_in on re0 bandwidth 512Kb priority 6 cbq( red ecn )
queue q_web_out on re0 bandwidth 256Kb priority 7 cbq( red ecn )
queue q_streaming on re0 bandwidth 256Kb cbq( red ecn )
Estou utilizando nat na minha rede.
Alguma sugestao?
Fabiano
Fabiano,
você só controla o tráfego de saída (upload). para controlar o de entrada
(e por controlar leia-se modelar/perfilar - quem tem 100% de controle é o
roteador da outra ponta) você precisa de altq na outra interface
(normalmente a interna).
matheus
--
We will call you cygnus,
The God of balance you shall be
A: Because it messes up the order in which people normally read text.
Q: Why is top-posting such a bad thing?
http://en.wikipedia.org/wiki/Posting_style
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Configuracao de DNS Reverso no TinyDNS
Pessoal, andei dando uma lida na configuracao do tinydns, na verdade, ele esta funcionando legal aqui, o problema nao estou conseguindo configurar o dns reverso para meu bloco, tenho um servidor de email nesses ips, entao preciso do dns reverso..alguem pode me dar um help? dei uma lida na documentacao, mas fiquei confuso! Meu bloco de Ip é 201.65.221.168/29, na verdade existia um arquivo aqui com final .in-addr.arpa, mas deu um problema aqui e perdi esse arquivo, e nao sei qual o conteudo dele!!! se alguem puder me ajudar!! Abaixo o meu config do tinydns: # ## GRUPO HERINGER # # Recebe autoridade no dominio grupoheringer.com.br .grupoheringer.com.br:201.65.221.171:a .grupoheringer.com.br:201.65.221.172:b .168-175.221.65.201.in-addr.arpa:201.65.221.171:a.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa:201.65.221.172:b.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa::ns.embratel.net.br ^171.168-175.221.65.201.in-addr.arpa:a.ns.grupoheringer.com.br ^172.168-175.221.65.201.in-addr.arpa:b.ns.grupoheringer.com.br ^170.221.65.201.in-addr.arpa:gateway.grupoheringer.com.br ^171.221.65.201.in-addr.arpa:servidor.grupoheringer.com.br ^172.221.65.201.in-addr.arpa:asterisk.grupoheringer.com.br # A, CNAME, Alias, PTR, MX =gateway.grupoheringer.com.br:201.65.221.170 =asterisk.grupoheringer.com.br:201.65.221.172 =a.ns.grupoheringer.com.br:201.65.221.171 =b.ns.grupoheringer.com.br:201.65.221.172 +grupoheringer.com.br:201.65.221.170 +www.grupoheringer.com.br:201.65.221.171 +mail.grupoheringer.com.br:201.65.221.172 +ftp.grupoheringer.com.br:201.65.221.171 +webmail.grupoheringer.com.br:201.65.221.172 +painel.grupoheringer.com.br:201.65.221.172 @grupoheringer.com.br::asterisk.grupoheringer.com.br:10 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Configuracao de DNS Reverso no TinyDNS
pois eh, o meu ta assim: .grupoheringer.com.br:201.65.221.171:a .grupoheringer.com.br:201.65.221.172:b .168-175.221.65.201.in-addr.arpa:201.65.221.171:a.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa:201.65.221.172:b.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa::ns.embratel.net.br ^171.168-175.221.65.201.in-addr.arpa:a.ns.grupoheringer.com.br ^172.168-175.221.65.201.in-addr.arpa:b.ns.grupoheringer.com.br sendo que o bloco é 201.65.221.168/29 ja chequei num site que testa reverso e nada...existe algum tempo pra ele ser publicado ou isso eh instantaneo? Abracos Renato Frederick escreveu: Aqui faço assim: ##REVERSO EMBRATEL 0-63 .0-63.3.2.200.in-addr.arpa:200.2.3.X:a .0-63.3.2.200.in-addr.arpa:200.2.3.X:b ^1.0-63.3.2.200.in-addr.arpa:server1.dominio.com.br ^2.0-63.3.2.200.in-addr.arpa:server2.dominio.com.br Neste caso, é o reverso pra zona 200.2.3.0/26 (0 à 63). -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Fabiano (BiGu) Enviada em: sexta-feira, 22 de fevereiro de 2008 13:04 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: [FUG-BR] Configuracao de DNS Reverso no TinyDNS Pessoal, andei dando uma lida na configuracao do tinydns, na verdade, ele esta funcionando legal aqui, o problema nao estou conseguindo configurar o dns reverso para meu bloco, tenho um servidor de email nesses ips, entao preciso do dns reverso..alguem pode me dar um help? dei uma lida na documentacao, mas fiquei confuso! Meu bloco de Ip é 201.65.221.168/29, na verdade existia um arquivo aqui com final .in-addr.arpa, mas deu um problema aqui e perdi esse arquivo, e nao sei qual o conteudo dele!!! se alguem puder me ajudar!! Abaixo o meu config do tinydns: # ## GRUPO HERINGER # # Recebe autoridade no dominio grupoheringer.com.br .grupoheringer.com.br:201.65.221.171:a .grupoheringer.com.br:201.65.221.172:b .168-175.221.65.201.in- addr.arpa:201.65.221.171:a.ns.grupoheringer.com.br .168-175.221.65.201.in- addr.arpa:201.65.221.172:b.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa::ns.embratel.net.br ^171.168-175.221.65.201.in-addr.arpa:a.ns.grupoheringer.com.br ^172.168-175.221.65.201.in-addr.arpa:b.ns.grupoheringer.com.br ^170.221.65.201.in-addr.arpa:gateway.grupoheringer.com.br ^171.221.65.201.in-addr.arpa:servidor.grupoheringer.com.br ^172.221.65.201.in-addr.arpa:asterisk.grupoheringer.com.br # A, CNAME, Alias, PTR, MX =gateway.grupoheringer.com.br:201.65.221.170 =asterisk.grupoheringer.com.br:201.65.221.172 =a.ns.grupoheringer.com.br:201.65.221.171 =b.ns.grupoheringer.com.br:201.65.221.172 +grupoheringer.com.br:201.65.221.170 +www.grupoheringer.com.br:201.65.221.171 +mail.grupoheringer.com.br:201.65.221.172 +ftp.grupoheringer.com.br:201.65.221.171 +webmail.grupoheringer.com.br:201.65.221.172 +painel.grupoheringer.com.br:201.65.221.172 @grupoheringer.com.br::asterisk.grupoheringer.com.br:10 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: Configuracao de DNS Reverso no TinyDNS
sim sim, eu sei disso...so queria compartilhar com voces se a configuracao está correta, no axfrdns, configurei: :deny 200.255.125.214:allow,AXFR=grupoheringer.com.br/168-175.221.65.201.in-addr.arpa vou ligar la... Obrigado! Renato Frederick escreveu: Voce já ligou pra Embratel, solicitou o dns slave e falou prá eles que o IP que a zona será transferida é o associado ao nome ns.grupoheringer.com.br? Depois, você já permitou que o DNS slave da embratel(que na verdade vai ser o autoritativo, prá internet a fora), transfira a zona de você? Não esqueça que o tiny não permite transferência de zona, igual o named. Você tem que instalar o axfrdns para permitir que o IP da Embratel(200.255.125.214) transfira a zona 168-175.221.65.201.in-addr.arpa Depois disto feito você tem que ligar de novo lá e pedir que façam o teste de transferência, tudo estando OK em até 48h, após o refresh o reverso fica OK :) -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Fabiano (BiGu) Enviada em: sexta-feira, 22 de fevereiro de 2008 15:27 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: Configuracao de DNS Reverso no TinyDNS pois eh, o meu ta assim: .grupoheringer.com.br:201.65.221.171:a .grupoheringer.com.br:201.65.221.172:b .168-175.221.65.201.in- addr.arpa:201.65.221.171:a.ns.grupoheringer.com.br .168-175.221.65.201.in- addr.arpa:201.65.221.172:b.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa::ns.embratel.net.br ^171.168-175.221.65.201.in-addr.arpa:a.ns.grupoheringer.com.br ^172.168-175.221.65.201.in-addr.arpa:b.ns.grupoheringer.com.br sendo que o bloco é 201.65.221.168/29 ja chequei num site que testa reverso e nada...existe algum tempo pra ele ser publicado ou isso eh instantaneo? Abracos Renato Frederick escreveu: Aqui faço assim: ##REVERSO EMBRATEL 0-63 .0-63.3.2.200.in-addr.arpa:200.2.3.X:a .0-63.3.2.200.in-addr.arpa:200.2.3.X:b ^1.0-63.3.2.200.in-addr.arpa:server1.dominio.com.br ^2.0-63.3.2.200.in-addr.arpa:server2.dominio.com.br Neste caso, é o reverso pra zona 200.2.3.0/26 (0 à 63). -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Fabiano (BiGu) Enviada em: sexta-feira, 22 de fevereiro de 2008 13:04 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: [FUG-BR] Configuracao de DNS Reverso no TinyDNS Pessoal, andei dando uma lida na configuracao do tinydns, na verdade, ele esta funcionando legal aqui, o problema nao estou conseguindo configurar o dns reverso para meu bloco, tenho um servidor de email nesses ips, entao preciso do dns reverso..alguem pode me dar um help? dei uma lida na documentacao, mas fiquei confuso! Meu bloco de Ip é 201.65.221.168/29, na verdade existia um arquivo aqui com final .in-addr.arpa, mas deu um problema aqui e perdi esse arquivo, e nao sei qual o conteudo dele!!! se alguem puder me ajudar!! Abaixo o meu config do tinydns: # ## GRUPO HERINGER # # Recebe autoridade no dominio grupoheringer.com.br .grupoheringer.com.br:201.65.221.171:a .grupoheringer.com.br:201.65.221.172:b .168-175.221.65.201.in- addr.arpa:201.65.221.171:a.ns.grupoheringer.com.br .168-175.221.65.201.in- addr.arpa:201.65.221.172:b.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa::ns.embratel.net.br ^171.168-175.221.65.201.in-addr.arpa:a.ns.grupoheringer.com.br ^172.168-175.221.65.201.in-addr.arpa:b.ns.grupoheringer.com.br ^170.221.65.201.in-addr.arpa:gateway.grupoheringer.com.br ^171.221.65.201.in-addr.arpa:servidor.grupoheringer.com.br ^172.221.65.201.in-addr.arpa:asterisk.grupoheringer.com.br # A, CNAME, Alias, PTR, MX =gateway.grupoheringer.com.br:201.65.221.170 =asterisk.grupoheringer.com.br:201.65.221.172 =a.ns.grupoheringer.com.br:201.65.221.171 =b.ns.grupoheringer.com.br:201.65.221.172 +grupoheringer.com.br:201.65.221.170 +www.grupoheringer.com.br:201.65.221.171 +mail.grupoheringer.com.br:201.65.221.172 +ftp.grupoheringer.com.br:201.65.221.171 +webmail.grupoheringer.com.br:201.65.221.172 +painel.grupoheringer.com.br:201.65.221.172 @grupoheringer.com.br::asterisk.grupoheringer.com.br:10 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http
Re: [FUG-BR] RES: Dois blocos de IP em mesma Rede
Nenhum_de_Nos escreveu: On Wed, Feb 20, 2008 at 10:55 PM, Fabiano (BiGu) [EMAIL PROTECTED] wrote: Nenhum_de_Nos escreveu: me veio a cabeça usar binat. já que ele vai ter mesmo o FreeBSD com pf lá ... quem sabe num deixa as coisas mais simples e seguras ;) hauehuahe, binat? vou procurar sobre o assunto http://www.openbsd.org/faq/pf/nat.html#binat Opa, olhei aqui...acho que nao seria bem o meu caso! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Usar IP validos em redes distintas
Pessoal, eu de novo...resolvi abrir outro topico... Minha rede está assim (ja mudei tudo aqui) heehe: tenho um bloco 201.65.221.169/29 (miseros 6 ip´s validos) Mux da EMBRATEL (201.65.221.69) --- fxp1(201.65.221.170) - GW FREEBSD - fxp0 (10.0.0.1) --- Rede Interna Aparentemente muito simples, ja ta funcionando o nat pra rede interna, tudo na maravilha... Acontece que tenho algumas maquinas na rede interna que quero utilizar IP valido...e agora? como posso fazer? Abraços! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Usar IP validos em redes distintas
ScreenBlack escreveu: Fabiano (BiGu) wrote, On 02/21/08 19:27: Pessoal, eu de novo...resolvi abrir outro topico... Minha rede está assim (ja mudei tudo aqui) heehe: tenho um bloco 201.65.221.169/29 (miseros 6 ip´s validos) Mux da EMBRATEL (201.65.221.69) --- fxp1(201.65.221.170) - GW FREEBSD - fxp0 (10.0.0.1) --- Rede Interna Aparentemente muito simples, ja ta funcionando o nat pra rede interna, tudo na maravilha... Acontece que tenho algumas maquinas na rede interna que quero utilizar IP valido...e agora? como posso fazer? Abraços! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Basta usar o binat (1:1 mapping) binat on $internal_if from (ipinterno) to any - (ipexterno) Maiores informacoes (de maneira bem simples por sinal), voce encontrará em http://www.openbsd.org/faq/pf/nat.html Mas para fazer isso, esse IP válido deve estar setado como alias na sua interface de rede externa. Boa sorte - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd certo, ai na maquina configuro os ip´s falsos mesmo né? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Usar IP validos em redes distintas *RESOLVIDO*
Aeee, beleza cara..funcionou perfeitamente!! so um detalhe, ao inves da interface interna no binat on, so funcionou com o a interface externa.. maravilha Obrigado! Basta usar o binat (1:1 mapping) binat on $internal_if from (ipinterno) to any - (ipexterno) Maiores informacoes (de maneira bem simples por sinal), voce encontrará em http://www.openbsd.org/faq/pf/nat.html Mas para fazer isso, esse IP válido deve estar setado como alias na sua interface de rede externa. Boa sorte - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd certo, ai na maquina configuro os ip´s falsos mesmo né? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Dois blocos de IP em mesma Rede
Pois é, o problema que nao tenho acesso ao minimux... E como é esse esquema de proxy arp? porque nao perderia esses 4 ips ? Pois é, tao entregando 29, e o pior de tudo que eu tinha um link de 2Mb so dados e me entregaram 2 /25 ,agora tenho q sofrer com 1 /29... E ainda tenho outro problema, uso o tinydns para servidor de nomes, entao so ai ja gastaria 4 ip´s validos...ficando so com 2...mais um pro gateway ai ja se foi... Entao fiz o seguinte: REDE INTERNA - todos na rede 10.0.0.0/25 Gateway (FreeBSD), fxp0 10.0.0.1, fxp1 201.65.221.x , fazendo NAT para rede interna. DNS 1 - 10.0.1.1 (Para resolver nomes para a rede interna) , 201.65.x.x (Para o Dominio autoritario) DNS 2 - 10.0.1.2 (Para resolver nomes para a rede interna) , 201.65.x.x (Para o Dominio autoritario), nessa maquina também coloquei servidor de Email. Bom, minha idéia foi colocar clientes e servidores em redes separados, todos meu servers estao num switch separado da rede dos clientes. Bom, na rede interna nao consigo pingar nas rede dos servidores (10.0.1.X), isso eh bem obvio neh hehehehe, entao fiz um roteamento no GW da seguinte maneira: route add -host 10.0.1.1 201.65.221.x (ip valido que esta no DNS1) route add -host 10.0.1.2 201.65.221.x (ip valido que esta no DNS2) bom, acho que isso nao ta certo, porque quando uma estacao se conecta ao servidor IMAP (no caso 10.0.1.2) ele ta passando pelo NAT entao, no log do imap o IP que esta aparecendo eh o IP valido do Gateway Acho que fiz algo muito doido ai, queria a ajuda de vocês! Abraços! Abracos Renato Frederick escreveu: Logue no mux, crie uma subrede(no caso, você transformara a /29 em 2 redes /30), faça roteamento no mux(sintaxe dele é parecida com CLI, aliás em um zebra rodando lá), para entregar a 2a rede pelo seu freebsd. Como você tem pouco IP disponível, esta solução pode ser ruim para você, então você pode usar Proxy arp no freebsd e evitará a perda dos 4IP que a subrede traria. PS: no inicio a Embratel alocava 2 /26 para clientes com esta solução de minimux(um E1 com 1Mb de dados e 1MB pra voz - PABX em comodato..), depois caiu para /27, agora ta entregando /29? Hehehehehe... isto me lembra um produto da Telemar que existiu a uns 4 anos, que vendia um link de 64k(sem possibilidade de expansao) com /30 :-| Abraços -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Fabiano (BiGu) Enviada em: terça-feira, 19 de fevereiro de 2008 09:01 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: [FUG-BR] Dois blocos de IP em mesma Rede Ae pessoal, seguinte: Tenho um circuito embratel aqui com 8 Ip´s, ele ta vindo através de um minimux aqui da embratel, uma espécie de roteador que também chega um feixe E1, bom, minha intencao, utilizar algumas maquinas passanando por um gateway freebsd (usando NAT) e outras maquinas que estao no mesmo switch utilizando alguns dos IP´s validos da Embratel... Bem, pensei em ligar da seguinte maneira: Switch fxp0 --- fxp1 --- Mux Embratel onde fxp0 e fxp1 sao interfaces conectadas no gateway (FreeBSD) configurei o PF para NAT e tudo funcionou na rede de ips falsos... O problema eh nada rede de IP valido nao consigo enxergar o mux (que no caso dos ips validos seria meu gateway) que esta conectada na fxp1, pela fxp0, utilizando os ips validos...Creio que dessa maneira como coloquei nao funcionaria...existe uma maneira de resolver isso? pensei em ligar tudo no switch mas vai virar uma salada so hauehuhae... Abracos! Fabiano Heringer - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Dois blocos de IP em mesma Rede
Nenhum_de_Nos escreveu: me veio a cabeça usar binat. já que ele vai ter mesmo o FreeBSD com pf lá ... quem sabe num deixa as coisas mais simples e seguras ;) hauehuahe, binat? vou procurar sobre o assunto - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Dois blocos de IP em mesma Rede
Ae pessoal, seguinte: Tenho um circuito embratel aqui com 8 Ip´s, ele ta vindo através de um minimux aqui da embratel, uma espécie de roteador que também chega um feixe E1, bom, minha intencao, utilizar algumas maquinas passanando por um gateway freebsd (usando NAT) e outras maquinas que estao no mesmo switch utilizando alguns dos IP´s validos da Embratel... Bem, pensei em ligar da seguinte maneira: Switch fxp0 --- fxp1 --- Mux Embratel onde fxp0 e fxp1 sao interfaces conectadas no gateway (FreeBSD) configurei o PF para NAT e tudo funcionou na rede de ips falsos... O problema eh nada rede de IP valido nao consigo enxergar o mux (que no caso dos ips validos seria meu gateway) que esta conectada na fxp1, pela fxp0, utilizando os ips validos...Creio que dessa maneira como coloquei nao funcionaria...existe uma maneira de resolver isso? pensei em ligar tudo no switch mas vai virar uma salada so hauehuhae... Abracos! Fabiano Heringer - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Qmail + Procmail...
Ae pessoal, instalei um qmail e agora estou configurando o procmail como deliver... estou o usando o vpopmail para dominios virtuais, entao fiz o seguinte: no .qmail-default do vpopmail coloquei o seguinte comando: | preline procmail -p -m /etc/procmailrc |/usr/local/vpopmail/bin/vdelivermail '' bounce-no-mailbox no /etc/procmailrc tenho: VERBOSE=ON LOGFILE=/var/log/procmail.log VIRTUALHOME=`/usr/local/vpopmail/bin/vuserinfo -d [EMAIL PROTECTED] SAFECAT=/usr/local/bin/safecat DEFAULT=| MAILDIR=$VIRTUALHOME/Maildir SPAMDIR=$VIRTUALHOME/Maildir/.Spam SPAM_CREATE=`/usr/local/vpopmail/bin/spam.sh $VIRTUALHOME` :0w * ^X-Spam-Status: Yes | $SAFECAT $MAILDIR/tmp $SPAMDIR/new :0w bom, to usando o safecat por causa das contas maildir... isso ai ta funcionando perfeitamente, com as regras e tudo...ate coloquei outras regras pra testar... o que na verdade preciso fazer eh ele ler tambem regras de filtro por usuario, ou seja, as regras que estao no arquivo .procmailrc de cada user... Como faco isso? ja tentei de varias maneiras e nao consigo... Obrigado pela ajuda! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Courier-Imap e Regras de Mensagens
Opa Wellington, poderia me tirar uma duvida sobre o post abaixo...
Na verdade, ele está funcionando legal...mas parece que ele tem um
limite pras regras...
Chega num ponto q ele nao funciona mais, entao todas as mensagens que
nao incluem regras acima dessa caem nessa regra...
exemplo:
# de
if(/^From: [EMAIL PROTECTED]/)
{
xfilter /usr/local/bin/deliverquota $VHOME/Maildir/.Eduardok
exit
}
if(/^From: [EMAIL PROTECTED]/)
{
xfilter /usr/local/bin/deliverquota $VHOME/Maildir/.Sinafresp
exit
}
se vem a mensagem de [EMAIL PROTECTED] ele chega na caixa certa...
se vem mensagem de [EMAIL PROTECTED] também chega na caixa certa
mas se vem a mensagem de [EMAIL PROTECTED], ou seja, nao encaixa
em nenhuma das regras, ela chega na caixa referente a ultima regra,
nesse caso chega na .Sinafresp...
tenho 11 regras, se coloco 12...acontece esse problema...
alguma ideia?
Abracos
Welington F.J escreveu:
On Nov 17, 2007 12:31 PM, Fabiano (BiGu) [EMAIL PROTECTED] wrote:
Ola Pessoal, to rodando um qmail + courier-imap num FreeBSD, gostaria de
saber a possibilidade de criar regras de mensagens para as pastas IMAP,
ja que o Outlook nao aceita as pastas remotas, ja tentei convencer meu
chefe a mudar de cliente de email, mas nao tem quem faca, por isso
preciso de uma maneira de criar as regras diretamente no servidor, ouvir
falar de um tal de SIEVE, mas parece que so server pro cyrus-imap
...alguem sabe como posso fazer isso?
Ae Fabiano blz,
Bom você pode usar o maildrop para isso
Aqui faço da seguinte forma:
# coloque este codigo no maildroprc
`test -r $VHOME/.mailfilter`
if( $RETURNCODE == 0 )
{
log including $VHOME/.mailfilter
exception {
include $VHOME/.mailfilter
}
}
--arquivo .mailfilter
REFORMAIL=/usr/local/bin/reformail
import EXT;
import HOST;
import HOME;
import SENDER;
import RECIPIENT;
import EXTENSION;
#Assuntos
if(/^Subject:.*Template attack.*/)
{
xfilter /usr/local/bin/deliverquota $VHOME/Maildir/.Templateattack
exit
}
# Para
if(/^To: [EMAIL PROTECTED]/)
{
xfilter /usr/local/bin/deliverquota $VHOME/Maildir/.Sac
exit
}
if(/^To: [EMAIL PROTECTED]/)
{
xfilter /usr/local/bin/deliverquota $VHOME/Maildir/.Suporte
exit
}
# de
if(/^From: [EMAIL PROTECTED]/)
{
xfilter /usr/local/bin/deliverquota $VHOME/Maildir/.Eduardok
exit
}
if(/^From: [EMAIL PROTECTED]/)
{
xfilter /usr/local/bin/deliverquota $VHOME/Maildir/.Sinafresp
exit
}
Muito bom, fica tudo organizado estou quase abandonado meu outlook e
usar somente webmail =)
é isso espero que isso te ajude.
Att,
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Courier-Imap e Regras de Mensagens
Opa Welington, eh exatamente isso que quero vou testar agora e te falo...
so uma duvida, o .* significa qualquer coisa antes ou depois neh?
Por exemplo voce colocou .*Template Attack.* , qualquer coisa que vier
antes ou depois de template attack ele tambem pega eh isso?
Abracos
Welington F.J escreveu:
On Nov 17, 2007 12:31 PM, Fabiano (BiGu) [EMAIL PROTECTED] wrote:
Ola Pessoal, to rodando um qmail + courier-imap num FreeBSD, gostaria de
saber a possibilidade de criar regras de mensagens para as pastas IMAP,
ja que o Outlook nao aceita as pastas remotas, ja tentei convencer meu
chefe a mudar de cliente de email, mas nao tem quem faca, por isso
preciso de uma maneira de criar as regras diretamente no servidor, ouvir
falar de um tal de SIEVE, mas parece que so server pro cyrus-imap
...alguem sabe como posso fazer isso?
Ae Fabiano blz,
Bom você pode usar o maildrop para isso
Aqui faço da seguinte forma:
# coloque este codigo no maildroprc
`test -r $VHOME/.mailfilter`
if( $RETURNCODE == 0 )
{
log including $VHOME/.mailfilter
exception {
include $VHOME/.mailfilter
}
}
--arquivo .mailfilter
REFORMAIL=/usr/local/bin/reformail
import EXT;
import HOST;
import HOME;
import SENDER;
import RECIPIENT;
import EXTENSION;
#Assuntos
if(/^Subject:.*Template attack.*/)
{
xfilter /usr/local/bin/deliverquota $VHOME/Maildir/.Templateattack
exit
}
# Para
if(/^To: [EMAIL PROTECTED]/)
{
xfilter /usr/local/bin/deliverquota $VHOME/Maildir/.Sac
exit
}
if(/^To: [EMAIL PROTECTED]/)
{
xfilter /usr/local/bin/deliverquota $VHOME/Maildir/.Suporte
exit
}
# de
if(/^From: [EMAIL PROTECTED]/)
{
xfilter /usr/local/bin/deliverquota $VHOME/Maildir/.Eduardok
exit
}
if(/^From: [EMAIL PROTECTED]/)
{
xfilter /usr/local/bin/deliverquota $VHOME/Maildir/.Sinafresp
exit
}
Muito bom, fica tudo organizado estou quase abandonado meu outlook e
usar somente webmail =)
é isso espero que isso te ajude.
Att,
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Courier-Imap e Regras de Mensagens
Daniel Bristot de Oliveira escreveu: O que vc está usando para entregar as mensagens nas caixas de correio? uso maildrop... o comando pra entrega ta maildrop mailfilter, esse arquivo mailfilter tem algumas regras pra mover mensagens marcadas como Spam pelo spamassassin, creio que essas sintaxes de regra podem me ajudar, mas nao tenho nem ideia de como definir essas variaveis... Instalei o IMP, ele tem um filtro de mensagens (o Ingo), funciona exatamente como quero, mas pena que so funciona no proprio IMP, achei que as regras valessem para um cliente Outlook tambem... Abracos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] problemas com altq e pf
oi Matheus,
Bom, pelo que vi no seu exemplo com HTTP, voce quer controlar a banda
das requisicoes que seu clientes enviam para o HTTP no ip
192.168.254.100, bom...se for isso, a sua regra está errada, pois porta
80 é para o DESTINO e nao da ORIGEM, quando voce manda uma requisicao
http, a porta de origem é uma dinamica, enquanto que a porta de destino
é a 80...portanto sua regra deve ficar assim:
pass out on $ext_if inet proto tcp from any to 192.168.254.100 port 80
keep state queue (http)
Tenho um PF + ALTQ funcionando perfeitamente com VOIP aqui em 2 filiais,
em conexoes completamente diferentes, e ele prioriza muito bem com CBQ
Abracos
olá
sei que muitos já falaram no assunto, mas num achei ainda qual o
problema e já li um bocado de coisa :(
preciso controlar o tráfego voip de uma sede para 3 filiais. estas
filiais se conectam à matriz via frame relay. quero garantir a banda
do voip.
tentei fazer um experiencia com pf e controlar tráfego http, mas num
consigo. eu não consigo acertar a fila, a regra para o tráfego que eu
quero. defino duas filas e sempre cai na default
a regra é:
# cat regras.pf
ext_if=xl0
altq on $ext_if bandwidth 140Kb hfsc queue { http, outros }
queue http bandwidth 10% priority 7 hfsc
queue outros bandwidth 90% priority 0 hfsc (default)
pass out on $ext_if inet proto tcp from any port 80 to 192.168.254.100
keep state queue (http)
já testei com FreeBSD 7.0-BETA2 e com OpenBSD 4.2-current (quase 4.2 release)
mas sempre fica caindo na fila outros ...
sim, este sistema é um bridge que vai ser instalado, e o bridge está
funcando 100% (falo dele agora - o OpenBSD que tenho em casa para
testar)
se alguém puder me ajudar em como definir a regra para acertar
exatamente o tréfego que eu quero :)
já tentei usar flags S/SA, keep state, sem keep state, sem flags ...
sei que isso funciona, só não sei como colocar a regra que acerte
exatamente o tráfego que quero
obrigado,
matheus
--
We will call you cygnus,
The God of balance you shall be
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Mover mensagens marcadas como SPAM
Ae pessoal, tenho utilizado um qmail + clamav + maildrop + spamassassin num freebsd 6.2 ,o spamassassin ta rodando bacana, marcando as mensagens spam etc... O que to precisando é mover essas mensagens marcadas para uma pasta Spam criada na conta do usuario, uma vez vi um script que fazia isso, so que nao encontrei.. Alguem tem ideia de como fazer isso? Abracos!!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] desligar
Boa, no meu alem do monitor tive que colocar um mouse e teclado wireless modelo logitec top de linha... hauehuaheuhuaeha se eh pra descontrair!!! ThOLOko escreveu: O meu aconteceu isso tb... era o monitor VGA q tinha... AGora coloquei um LCD de 21 no servidor e resolveu meu problema... Gente... recorram a lista depois de alguma gota de suor derramada... Abraços! Em 05/10/07, Lucas Mocellin [EMAIL PROTECTED] escreveu: hahahaha eit, de útil acho difícil tirar algo de threads como essa, mas pelo menos descontrai o pessoal.. =) quanto ao seu problema amigo, verifica se o teclado está bem conectado atrás do pc(haha). Lucas. Em 05/10/07, Aristeu Gil Alves Jr [EMAIL PROTECTED] escreveu: Um bom assunto para uma nova thread: Título: Porque a senha não aparece? Estou com uma duvida tremenda. Começou a aparecer depois que mudei a senha pela primeira vez. Quando aparece, na inicialização, a palavra login, eu digito root. OK. Mas quando aparece password, eu digito minha senha e não aparece nada, nem os asteriscos! :( Acho que não vou mais conseguir fazer login. Devo reinstalar o servidor? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF em conexoes ADSL
Ae pessoal, to usando o rp-pppoe pra conectar meu velox que ta ligado num FreeBSD ... Estou implementando um firewall com PF, mas minha duvida é a seguinte, as conexoes do rp-ppoe criam uma interface tunX , como que configuro no pf pra ele utilizar essa interface pra que eu poss fazer o firewall, ou coloco a interface fisica? Sempre que a conexao possa vir cair,se ele nao achar disponivel a tun0 por exemplo, ele vai tentar a tun1, e no meu pf.conf ta configurado tun0 ...como faço pra lidar com isso? Abracos!!! Fabiano Heringer - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF em conexoes ADSL
Gule # escreveu: On 9/24/07, Fabiano (BiGu) [EMAIL PROTECTED] wrote: Ae pessoal, to usando o rp-pppoe pra conectar meu velox que ta ligado num FreeBSD ... Estou implementando um firewall com PF, mas minha duvida é a seguinte, as conexoes do rp-ppoe criam uma interface tunX , como que configuro no pf pra ele utilizar essa interface pra que eu poss fazer o firewall, ou coloco a interface fisica? Sempre que a conexao possa vir cair,se ele nao achar disponivel a tun0 por exemplo, ele vai tentar a tun1, e no meu pf.conf ta configurado tun0 ...como faço pra lidar com isso? Abracos!!! Fabiano Heringer - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Amigo... você tem duas opções: 1 - Deixar sempre como tun0 mesmo; 2 - Autenticar a conexão no próprio modem e usar a interface física no PF (recomento esse). - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ NOD32 2546 (20070924) Information __ This message was checked by NOD32 antivirus system. http://www.eset.com Opa, beleza...o meu medo é caso a conexao caia, o tun0 ainda nao fique disponivel, ai acaba conectando com tun1 ... quanto a usar a interface fisica na sua segunda opcao, se eu rotear o modem, vou ficar com nat empilhado (nat do modem para o FreeBSD e do BSD para as maquinas da rede interna), fica um negocio meio tosco nao acha? hehehe Por falar nisso, alguem sabe algum script que teste a conexao e reconecte caso caia? Abracos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF em conexoes ADSL
Opa Hutger, beleza entao...eh que ainda nao coloquei pra funcionar, so estou me precavendo... voce poderia me mandar o seu arquivo de configuracao pra eu dar uma olhada se possivel? Obrigado!!! Fabiano Heringer Hutger Hauer escreveu: Caro Fabiano, Tenho aqui 03 firewalls com FreeBSD 6.2, sendo 02 delas rodando com Link ADSL a pelo menos 6 meses e até agora não tive problemas com as minhas regras utilizando tun0. Ele nunca pegou outra interface que não fosse essa, mesmo quando eu precisava reconectar o meu firewall. Eu não sei se foi coencidência, mas consultei outras pessoas e eles também nunca tiveram esse problema. Em relação ao script de conexão, no meu caso o próprio daemon do pppd reconecta no caso de falha. Em várias situações, precisei reiniciar o modem ADSL e ele reconectou sem problemas (só o IP que mudava). Espero ter ajudado. Hutger On 9/24/07, Fabiano (BiGu) [EMAIL PROTECTED] wrote: Gule # escreveu: On 9/24/07, Fabiano (BiGu) [EMAIL PROTECTED] wrote: Ae pessoal, to usando o rp-pppoe pra conectar meu velox que ta ligado num FreeBSD ... Estou implementando um firewall com PF, mas minha duvida é a seguinte, as conexoes do rp-ppoe criam uma interface tunX , como que configuro no pf pra ele utilizar essa interface pra que eu poss fazer o firewall, ou coloco a interface fisica? Sempre que a conexao possa vir cair,se ele nao achar disponivel a tun0 por exemplo, ele vai tentar a tun1, e no meu pf.conf ta configurado tun0 ...como faço pra lidar com isso? Abracos!!! Fabiano Heringer - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Amigo... você tem duas opções: 1 - Deixar sempre como tun0 mesmo; 2 - Autenticar a conexão no próprio modem e usar a interface física no PF (recomento esse). - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ NOD32 2546 (20070924) Information __ This message was checked by NOD32 antivirus system. http://www.eset.com Opa, beleza...o meu medo é caso a conexao caia, o tun0 ainda nao fique disponivel, ai acaba conectando com tun1 ... quanto a usar a interface fisica na sua segunda opcao, se eu rotear o modem, vou ficar com nat empilhado (nat do modem para o FreeBSD e do BSD para as maquinas da rede interna), fica um negocio meio tosco nao acha? hehehe Por falar nisso, alguem sabe algum script que teste a conexao e reconecte caso caia? Abracos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ NOD32 2546 (20070924) Information __ This message was checked by NOD32 antivirus system. http://www.eset.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF em conexoes ADSL
Opa Hutger, nao as configuracoes do PF..
sim a config do ppp pra conectar o ADSL hehehehe
Abracos
Hutger Hauer escreveu:
Fabiano,
Eu não tenho como mandar o meu arquivo todo pois ele está todo documentado
com informações sensiveis das minhas redes, mas estou te mandando um resumo
baseado nas minhas regras:
ext_if=tun0
int_if=xl1
dmz_if=xl2
vpn_if=tun1
internal_net=192.168.15.0/24
dmz_net=192.168.254.0/24
internal_ip=192.168.15.254
wifi_ip=10.1.1.1
table guardian { $ext_if, 192.168.15.254, 192.168.254.254, 10.1.1.1 }
scrub in all
# Realizando Controle de Banda
altq on $dmz_if cbq bandwidth 768Kb queue { moa_in, eud_in, osc_in }
queue osc_in bandwidth 50% cbq(default borrow)
queue moa_in bandwidth 25% cbq(borrow)
queue eud_in bandwidth 25% cbq(borrow)
# NATeando pacotes
nat on $ext_if from $internal_net to any - ($ext_if)
nat on $ext_if from $wifi_net to any - ($ext_if)
nat on $ext_if from $vpn_net to any - ($ext_if)
block in all
pass out all keep state
pass in quick on lo0 keep state
# Liberando Acesso - SSH
pass in quick proto tcp from any to guardian port 22 keep state
pass in quick on $int_if from $internal_net to any keep state
-
Espero ter ajudado.
Hutger.
On 9/24/07, Fabiano (BiGu) [EMAIL PROTECTED] wrote:
Opa Hutger, beleza entao...eh que ainda nao coloquei pra funcionar, so
estou me precavendo...
voce poderia me mandar o seu arquivo de configuracao pra eu dar uma
olhada se possivel?
Obrigado!!!
Fabiano Heringer
Hutger Hauer escreveu:
Caro Fabiano,
Tenho aqui 03 firewalls com FreeBSD 6.2, sendo 02 delas rodando com Link
ADSL a pelo menos 6 meses e até agora não tive problemas com as minhas
regras utilizando tun0. Ele nunca pegou outra interface que não fosse
essa,
mesmo quando eu precisava reconectar o meu firewall. Eu não sei se foi
coencidência, mas consultei outras pessoas e eles também nunca tiveram
esse
problema.
Em relação ao script de conexão, no meu caso o próprio daemon do pppd
reconecta no caso de falha. Em várias situações, precisei reiniciar o
modem
ADSL e ele reconectou sem problemas (só o IP que mudava).
Espero ter ajudado.
Hutger
On 9/24/07, Fabiano (BiGu) [EMAIL PROTECTED] wrote:
Gule # escreveu:
On 9/24/07, Fabiano (BiGu) [EMAIL PROTECTED] wrote:
Ae pessoal, to usando o rp-pppoe pra conectar meu velox que ta ligado
num FreeBSD ...
Estou implementando um firewall com PF, mas minha duvida é a
seguinte,
as conexoes do rp-ppoe criam uma interface tunX , como que configuro
no
pf pra ele utilizar essa interface pra que eu poss fazer o firewall,
ou
coloco a interface fisica?
Sempre que a conexao possa vir cair,se ele nao achar disponivel a
tun0
por exemplo, ele vai tentar a tun1, e no meu pf.conf ta configurado
tun0
...como faço pra lidar com isso?
Abracos!!!
Fabiano Heringer
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Amigo... você tem duas opções:
1 - Deixar sempre como tun0 mesmo;
2 - Autenticar a conexão no próprio modem e usar a interface física no
PF (recomento esse).
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
__ NOD32 2546 (20070924) Information __
This message was checked by NOD32 antivirus system.
http://www.eset.com
Opa, beleza...o meu medo é caso a conexao caia, o tun0 ainda nao fique
disponivel, ai acaba conectando com tun1 ...
quanto a usar a interface fisica na sua segunda opcao, se eu rotear o
modem, vou ficar com nat empilhado (nat do modem para o FreeBSD e do
BSD
para as maquinas da rede interna), fica um negocio meio tosco nao acha?
hehehe
Por falar nisso, alguem sabe algum script que teste a conexao e
reconecte caso caia?
Abracos
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
__ NOD32 2546 (20070924) Information __
This message was checked by NOD32 antivirus system.
http://www.eset.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
__ NOD32 2546 (20070924) Information __
This message was checked
Re: [FUG-BR] arp_proxy
Verifique o router cisco, para ver se ele não tem um alias com IP da tua rede local(192.168.1.x).. Opa Klaus, nao tem...o ip dele é 172.16.1.X , nao tem nada de 192.168. Valeu - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] arp_proxy
Pessoal, alguem me da uma luz, to tendo esse erro direto: Sep 11 20:34:19 gateway kernel: arp_proxy: ignoring request from 0.0.0.0 via fxp0, expecting fxp1 Sep 11 20:34:38 gateway kernel: arp_proxy: ignoring request from 192.168.1.11 via fxp0, expecting fxp1 Sep 11 20:35:10 gateway last message repeated 40 times Sep 11 20:37:11 gateway last message repeated 86 times Sep 11 20:47:12 gateway last message repeated 427 times Sep 11 20:57:22 gateway last message repeated 437 times O que pode ser? ja tentei tudo quanto foi jeito... uso freebsd 6.2 Valeu! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] arp_proxy
Klaus Schneider escreveu: Em 11/09/07, Fabiano (BiGu) [EMAIL PROTECTED] escreveu: Pessoal, alguem me da uma luz, to tendo esse erro direto: Sep 11 20:34:19 gateway kernel: arp_proxy: ignoring request from 0.0.0.0 via fxp0, expecting fxp1 Sep 11 20:34:38 gateway kernel: arp_proxy: ignoring request from 192.168.1.11 via fxp0, expecting fxp1 Sep 11 20:35:10 gateway last message repeated 40 times Sep 11 20:37:11 gateway last message repeated 86 times Sep 11 20:47:12 gateway last message repeated 427 times Sep 11 20:57:22 gateway last message repeated 437 times O que pode ser? ja tentei tudo quanto foi jeito... uso freebsd 6.2 Valeu! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Velho, estas duas placas não estão conectadas na mesma rede lógica(mesmo switch)? De uma verificada no teu switch, ele pode ter perdido as configurações de VLAN e as tuas placas podem estar recebendo o mesmo pacote nas duas interfaces de rede... nao, uma esta ligada num roteador cisco, e a outra está no switch Valeu - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Demora na conexao SMTP (Qmail)
Ae pessoal... Tem um negocio estranho no meu qmail, desde quando instalei...ele demora pra caramba pra conectar no smtp...depois de conectado ele envia a mensagem rapidamente... Ja mexi em tudo que posso imaginar... no log do smtpd, aparece: @400046c923e70fb40adc tcpserver: status: 1/20 @400046c923e70fb41694 tcpserver: pid 9658 from 189.3.221.69 @400046c923e70fb41a7c tcpserver: ok 9658 0:189.3.xxx.x:25 :189.3.xxx.xx::1090 mais nada alguem tem ideia do que possa ser? Abracos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Erro pptpd
Ae galera, tenho o pptpd instalado aqui , e ta funcionando normal...sem problemas...acontece que no log sempre recebo uns erros ao conectar: Jul 30 21:17:59 gateway ppp[4453]: Warning: Local: bind: Address already in use Jul 30 21:17:59 gateway ppp[4453]: Warning: set server: Failed 2 Jul 30 21:18:03 gateway pptpd[4452]: CTRL: Ignored a SET LINK INFO packet with real ACCMs! Jul 30 21:18:03 gateway pptpd[4452]: GRE: read(fd=7,buffer=804d580,len=8196) from PTY failed: status = 0 error = No error Jul 30 21:18:03 gateway pptpd[4452]: CTRL: PTY read or GRE write failed (pty,gre)=(7,6) Jul 30 21:18:09 gateway ppp[4455]: Warning: Local: bind: Address already in use Jul 30 21:18:09 gateway ppp[4455]: Warning: set server: Failed 2 Jul 30 21:18:20 gateway ppp[4457]: Warning: Local: bind: Address already in use Jul 30 21:18:20 gateway ppp[4457]: Warning: set server: Failed 2 Jul 30 21:18:23 gateway pptpd[4456]: CTRL: Ignored a SET LINK INFO packet with real ACCMs! eh algo como se um ip ja estivesse sendo usado, mas o range de ips que esta configurado nenhum esta sendo usado... alguem tem ideia? Abracos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Qmail e Squirremail
Opa galera, sei que a lista nao eh sobre email, mas se alguem puder me dar uma ajuda, creio que estou errando alguma bobagem Tenho um servidor qmail, e webmail squirremail...usando IMAP... Verificar email esta funcionando beleza...O problema é enviar, tenho smtp autenticado...nas maquinas utilizando thunderbird, outlook etc, consigo enviar email sem problemas (autenticado), acontece que no squirremail da o erro: A acção requerida não foi executada: nome não permitido para a caixa de correio Resposta do servidor: 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1) Sei que é problema de relay...o squirremail ta na mesma maquina do qmail... ja fui em /etc/tcp.smtp 127.:allow,QS_SPAMASSASSIN=1,QMAILQUEUE=/var/qmail/bin/qmail-scanner-queue.pl 189.3.221.:allow,QS_SPAMASSASSIN=1,QMAILQUEUE=/var/qmail/bin/qmail-scanner-queue.pl :allow,QS_SPAMASSASSIN=1,QMAILQUEUE=/var/qmail/bin/qmail-scanner-queue.pl .grupoheringer.com.br:allow,QS_SPAMASSASSIN=1,QMAILQUEUE=/var/qmail/bin/qmail-scanner-queue.pl e nada... Alguem tem uma ideia que possa ser isso? Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Qmail e Squirremail
Opa Patrick, desculpe minha ignorancia, funcionou beleza... muito obrigado!!! Abracos Patrick Tracanelli escreveu: Fabiano (BiGu) wrote: Opa galera, sei que a lista nao eh sobre email, mas se alguem puder me dar uma ajuda, creio que estou errando alguma bobagem Tenho um servidor qmail, e webmail squirremail...usando IMAP... Verificar email esta funcionando beleza...O problema é enviar, tenho smtp autenticado...nas maquinas utilizando thunderbird, outlook etc, consigo enviar email sem problemas (autenticado), acontece que no squirremail da o erro: A acção requerida não foi executada: nome não permitido para a caixa de correio Resposta do servidor: 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1) Sei que é problema de relay...o squirremail ta na mesma maquina do qmail... ja fui em /etc/tcp.smtp 127.:allow,QS_SPAMASSASSIN=1,QMAILQUEUE=/var/qmail/bin/qmail-scanner-queue.pl 189.3.221.:allow,QS_SPAMASSASSIN=1,QMAILQUEUE=/var/qmail/bin/qmail-scanner-queue.pl :allow,QS_SPAMASSASSIN=1,QMAILQUEUE=/var/qmail/bin/qmail-scanner-queue.pl .grupoheringer.com.br:allow,QS_SPAMASSASSIN=1,QMAILQUEUE=/var/qmail/bin/qmail-scanner-queue.pl Entao, mas voce nao esta liberando RELAY estatico mesmo, em lugar nenhum. Outra coisa o squirrel esta configurado para fazer RELAY em 127.0.0.1 ou no IP da interface? (por nome por exemplo). Libere RELAY pra voce mesmo, voce nao esta fazendo nem na primeira regra. inclua RELAYCLIENT= no 127.:allow e coloque o squirrem pra usar 127.0.0.1 para SMTP. e nada... Alguem tem uma ideia que possa ser isso? Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ALTQ não controla banda
Pois eh, mas aqui nao funciona...nao sei o q estou fazendo errado...
Ja vasculhei o manual do PF de cabo a rabo...e estou fazendo a
configuracao exata como esta no manual...
Gilberto Villani Brito escreveu:
On 17/06/07, Fabiano (BiGu) [EMAIL PROTECTED] wrote:
Oi Galera,
Montei um ALTQ + PF aqui mas nao estou conseguindo controlar banda
de um IP
fiz o seguinte:
altq on fxp1 cbq bandwidth 2Mb queue { std, voip, email, rede }
queue std bandwidth 128Kb priority 0 \
cbq(default borrow)
queue voip bandwidth 512Kb priority 7 \
cbq(red ecn)
queue email bandwidth 128Kb priority 0 \
cbq(red ecn borrow)
queue rede bandwidth 512Kb priority 0 \
cbq(red ecn)
E coloquei essas regras
pass out quick proto { tcp icmp udp } from x.x.x.x to any \
queue rede
pass in quick proto { tcp udp icmp } from any to x.x.x.x \
queue rede
O problema que nao constrola a banda de jeito nenhum, esse ip utiliza
toda a banda disponível do link...
Quando rodo o pftop existe trafego nessas duas filas, q é exatamente
desse IP...mas ele nao segura a banda..
O que posso estar fazendo errado?
uso freebsd 6.2-RELEASE
Obrigado
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Funciona sim.
Verifique o histórico da lista que você vai encontrar um e-mail meu
com exemplos.
Abraços
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ALTQ não controla banda
Gilberto Villani Brito escreveu:
On 19/06/07, Fabiano (BiGu) [EMAIL PROTECTED] wrote:
Pois eh, mas aqui nao funciona...nao sei o q estou fazendo errado...
Ja vasculhei o manual do PF de cabo a rabo...e estou fazendo a
configuracao exata como esta no manual...
Gilberto Villani Brito escreveu:
On 17/06/07, Fabiano (BiGu) [EMAIL PROTECTED] wrote:
Oi Galera,
Montei um ALTQ + PF aqui mas nao estou conseguindo controlar banda
de um IP
fiz o seguinte:
altq on fxp1 cbq bandwidth 2Mb queue { std, voip, email, rede }
queue std bandwidth 128Kb priority 0 \
cbq(default borrow)
queue voip bandwidth 512Kb priority 7 \
cbq(red ecn)
queue email bandwidth 128Kb priority 0 \
cbq(red ecn borrow)
queue rede bandwidth 512Kb priority 0 \
cbq(red ecn)
E coloquei essas regras
pass out quick proto { tcp icmp udp } from x.x.x.x to any \
queue rede
pass in quick proto { tcp udp icmp } from any to x.x.x.x \
queue rede
O problema que nao constrola a banda de jeito nenhum, esse ip utiliza
toda a banda disponível do link...
Quando rodo o pftop existe trafego nessas duas filas, q é exatamente
desse IP...mas ele nao segura a banda..
O que posso estar fazendo errado?
uso freebsd 6.2-RELEASE
Obrigado
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Funciona sim.
Verifique o histórico da lista que você vai encontrar um e-mail meu
com exemplos.
Abraços
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Tente isso:
pass in (interface da rede interna) quick proto { tcp udp icmp } from
x.x.x.x to any queue rede
Abraços
opa, tentei isso ...sem sucesso tambem:
vou mandar todo meu pf.conf
ext_if=fxp1
int_if=fxp0
set optimization normal
set block-policy drop
set loginterface fxp1
set loginterface fxp0
set debug misc
set skip on lo0
scrub in all
scrub out all
altq on fxp1 cbq bandwidth 2Mb queue { std, voip, email, rede }
queue std bandwidth 128Kb priority 1 \
cbq(default)
queue voip bandwidth 512Kb priority 7 \
cbq(red ecn borrow)
queue email bandwidth 256Kb priority 2 \
cbq(red ecn borrow)
queue rede bandwidth 512Kb priority 1 \
cbq(red ecn)
rdr on $int_if proto tcp from $rede_1 to any port 80 - localhost port 3128
block in on fxp1
block out on fxp1
pass out quick proto { tcp udp icmp } from x.x.x.x to any \
queue rede
pass in quick proto { tcp udp icmp } from any to x.x.x.x \
queue rede
Se eu colocar a regra que o amigo citou acima, num consigo nem
navegar...e desse jeito ele nao controla banda...ou seja, nao segura a
conexao nos 512K
Já estou quase pirando e num consigo resolver isso..eheheh
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ALTQ não controla banda
pass in quick on $ext_if proto tcp from any to $voip flags S/SAU keep state
queue ivoip
# prio das portas voip sip: tcp
pass out quick on $int_if proto tcp from any to $redes port $port_voip flags
S/SAU keep state queue ivoip
pass in quick on $int_if proto tcp from $redes to any port $port_voip flags
S/SAU keep state queue evoip
pass out quick on $ext_if proto tcp from $redes to any port $port_voip flags
S/SAU keep state queue evoip
pass in quick on $ext_if proto tcp from any to $redes port $port_voip flags
S/SAU keep state queue ivoip
# Prioridade das portas voip
# prio das portas voip sip: udp
pass out quick on $int_if proto udp from any to $redes port $port_voip keep
state queue iserv
pass in quick on $int_if proto udp from $redes to any port $port_voip keep
state queue eserv
pass out quick on $ext_if proto udp from $redes to any port $port_voip keep
state queue eserv
pass in quick on $ext_if proto udp from any to $redes port $port_voip keep
state queue iserv
# portas udp de sip 506x
pass out quick on $int_if proto udp from any to $redes port $portudp_voip
keep state queue iserv
pass in quick on $int_if proto udp from $redes to any port $portudp_voip
keep state queue eserv
pass out quick on $ext_if proto udp from $redes to any port $portudp_voip
keep state queue eserv
pass in quick on $ext_if proto udp from any to $redes port $portudp_voip
keep state queue iserv
# portas h323
pass out quick on $int_if proto { tcp,udp } from any to $redes port
$port_h323 keep state queue iserv
pass in quick on $int_if proto {tcp,udp } from $redes to any port $port_h323
keep state queue eserv
pass out quick on $ext_if proto { tcp,udp } from $redes to any port
$port_h323 keep state queue eserv
pass in quick on $ext_if proto {tcp,udp } from any to $redes port $port_h323
keep state queue iserv
#portas dos nosso ssh
pass out quick on $int_if proto { tcp,udp } from any to any port $port_ssh
keep state queue iserv
pass in quick on $int_if proto {tcp,udp } from any port $port_ssh to any
keep state queue eserv
pass out quick on $ext_if proto { tcp,udp } from any port $port_ssh to any
keep state queue eserv
pass in quick on $ext_if proto {tcp,udp } from any to any port $port_ssh
keep state queue iserv
#libera o trafego de serviços +comuns
#int int +comuns
pass out quick on $int_if proto { tcp,udp } from any to $redes port
$port_serv keep state queue iserv
pass in quick on $int_if proto { tcp,udp } from $redes port $port_serv to
any keep state queue eserv
#int ext +comuns
pass out quick on $ext_if proto { tcp,udp } from $redes port $port_serv to
any keep state queue eserv
pass in quick on $ext_if proto { tcp,udp } from any to $redes port
$port_serv keep state queue iserv
## libera icmp
#icmp para interface interna
pass out quick on $int_if proto icmp from any to $redes queue iserv
pass in quick on $int_if proto icmp from $redes to any queue eserv
#icmp para interface externa
pass out quick on $ext_if proto icmp from $redes to any queue eserv
pass in quick on $ext_if proto icmp from any to $redes queue iserv
# libera todas portas para o resto do link que sobrar
pass out quick on $int_if from any to $redes queue irest
pass in quick on $int_if from $redes to any queue erest
pass out quick on $ext_if from $redes to any queue erest
pass in quick on $ext_if from any to $redes queue irest
- Original Message -
From: Fabiano (BiGu) [EMAIL PROTECTED]
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Sent: Tuesday, June 19, 2007 12:08 PM
Subject: Re: [FUG-BR] ALTQ não controla banda
Gilberto Villani Brito escreveu:
On 19/06/07, Fabiano (BiGu) [EMAIL PROTECTED] wrote:
Pois eh, mas aqui nao funciona...nao sei o q estou fazendo errado...
Ja vasculhei o manual do PF de cabo a rabo...e estou fazendo a
configuracao exata como esta no manual...
Gilberto Villani Brito escreveu:
On 17/06/07, Fabiano (BiGu) [EMAIL PROTECTED] wrote:
Oi Galera,
Montei um ALTQ + PF aqui mas nao estou conseguindo controlar banda
de um IP
fiz o seguinte:
altq on fxp1 cbq bandwidth 2Mb queue { std, voip, email, rede }
queue std bandwidth 128Kb priority 0 \
cbq(default borrow)
queue voip bandwidth 512Kb priority 7 \
cbq(red ecn)
queue email bandwidth 128Kb priority 0 \
cbq(red ecn borrow)
queue rede bandwidth 512Kb priority 0 \
cbq(red ecn)
E coloquei essas regras
pass out quick proto { tcp icmp udp } from x.x.x.x to any \
queue rede
pass in quick proto { tcp udp icmp } from any to x.x.x.x \
queue rede
O problema que nao constrola a banda de jeito nenhum, esse ip utiliza
toda a banda disponível do link...
Quando rodo o pftop existe trafego nessas duas filas, q é exatamente
desse IP...mas ele nao
Re: [FUG-BR] ALTQ não controla banda
entendo, mas eu quero q tanto interna quanto externa tenho os mesmos
criterios...entao nao tem problema...
Obrigado, funcionou beleza!
Renato Martins escreveu:
é isso mesmo para liberar coloque as regras bem em cima
e acho que vc tem que criar duas linhas memo nao assim 'altq on { fxp0
fxp1 }'
assim como vc vai separa oque é externa e interna ?
-
Original Message -
From: Fabiano (BiGu) [EMAIL PROTECTED]
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Sent: Tuesday, June 19, 2007 2:00 PM
Subject: Re: [FUG-BR] ALTQ não controla banda
Opa Renato...
funcionou bacana agora!!!
so acrescentei no altq on { fxp0 fxp1 } , como ja tinha as regras de
saida pra interfaces, ele ja funcionou
meu problema agora q o acesso do server ficou limitado também...
tentei colocar
pass quick from any to $me (meu server)
pass quick from $me to any
mas ele ainda continua limitando...pelo q entendi, se eu coloco colocar
uma regra e nao especificar nenhuma queue ele vai passar livre, por fora
do altq...
eh assim mesmo? caso nao seja, como faco pra ignorar o altq para certas
regras? tem alguns ips que preciso deixar liberado...
Obrigado
Renato Martins escreveu:
outra coisa altq so faz da saida da placa e nao do in
entao faça queue nas duas interfaces na interna e externa
esse é um exemplo:
# interfaces
ext_if=re0
int_if=re1
# configuracao de ips e portas
internal_net=10.0.0.0/24
external_addr=200.250.x.x
me={ 200.250.x.1, 10.x.x.2, 127.0.0.1 }
confiavel={ 200.250.x.x 10.0.0.0/24}
ns={ 200.250.x.9, 200.250.x.2 }
voip={ 200.250.x.4, 200.250.x.7 }
port_serv={ 20, 21, 22, 25, 53, 80, 81, 110, 143, 443, 8080 }
port_ssh=22
port_voip={ 5060 5063 }
port_h323={ 1718 1721 }
portudp_voip={5999 65000 }
port_drop={134 139, 445, 1025 1027, 444, 3456, 1234, 666 }
port_all={ 165535 }
redes={ 10.0.0.0/24, 200.250.x.x/24 }
# Options: tune the behavior of pf, default values are given.
set timeout { interval 10, frag 30 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 1, frags 5000 }
set loginterface none
set optimization normal
set block-policy drop
set require-order yes
set skip on lo
#set fingerprints /etc/pf.os
# Normalization: reassemble fragments and resolve or reduce traffic
ambiguities.
#scrub in all
# Queue out interface externa upload.
altq on $ext_if bandwidth 4Mb cbq qlimit 70 tbrsize 36864 queue { eresto,
evoip, eserv }
queue eresto bandwidth 800Kb priority 1 cbq (default borrow)
queue evoip bandwidth 1.2Mb priority 3 cbq(borrow)
queue eserv bandwidth 2.0Mb priority 2 cbq(borrow)
# Queue out interface interface download.
altq on $int_if bandwidth 4Mb cbq qlimit 70 tbrsize 36864 queue { iresto,
ivoip, iserv }
queue iresto bandwidth 800Kb priority 1 cbq (default borrow)
queue ivoip bandwidth 1.2Mb priority 3 cbq(borrow)
queue iserv bandwidth 2.0Mb priority 2 cbq(borrow)
# nat da rede cliente
nat on $ext_if from $internal_net to any - ($ext_if)
# rdr outgoing FTP requests to the ftp-proxy
rdr on $int_if proto tcp from any to any port ftp - 127.0.0.1 port 8021
## squid
#no rdr on $int_if proto tcp from 200.250.x.x to any port 80
rdr on $int_if proto tcp from 200.250.x.8 to any port 80 - 127.0.0.1 port
3128
# Filtering: the implicit first two rules are
block in all
block out all
# libera acesso receita
pass proto tcp from $redes to 161.148.0.0/16 keep state queue eserv
pass proto tcp from 161.148.0.0/16 to $redes keep state queue iserv
pass quick proto tcp from $redes to 161.148.0.0/16 port 3456 keep state
queue eserv
pass quick proto tcp from 161.148.0.0/16 port 3456 to $redes keep state
queue iserv
# block de spoof e brodcast vindos de fora da rede
block quick on $ext_if from { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16,
255.255.255.255/32 } to any
block quick on $ext_if from any to { 10.0.0.0/8, 172.16.0.0/12,
192.168.0.0/16, 255.255.255.255/32 }
# aceita trafego da rede para o local
pass in on lo from $redes to 127.0.0.1 keep state
# libera o acesso da rede para proxy
#pass quick proto {tcp,udp } from $redes to $me port 3128 keep state
#pass quick proto {tcp,udp } from $me to $redes keep state
# block portas spoofadas windows
block quick proto { tcp,udp } from any to any port $port_drop
# aceitar ssh somente dos confiaveis
pass in quick on $int_if proto { tcp,udp } from $confiavel to $me port
$port_ssh keep state
pass out quick on $int_if proto { tcp,udp } from $me port $port_ssh to
$confiavel keep state
# fecha ssh de outros que nao seja confiaveis
block in quick
[FUG-BR] ALTQ não controla banda
Oi Galera,
Montei um ALTQ + PF aqui mas nao estou conseguindo controlar banda
de um IP
fiz o seguinte:
altq on fxp1 cbq bandwidth 2Mb queue { std, voip, email, rede }
queue std bandwidth 128Kb priority 0 \
cbq(default borrow)
queue voip bandwidth 512Kb priority 7 \
cbq(red ecn)
queue email bandwidth 128Kb priority 0 \
cbq(red ecn borrow)
queue rede bandwidth 512Kb priority 0 \
cbq(red ecn)
E coloquei essas regras
pass out quick proto { tcp icmp udp } from x.x.x.x to any \
queue rede
pass in quick proto { tcp udp icmp } from any to x.x.x.x \
queue rede
O problema que nao constrola a banda de jeito nenhum, esse ip utiliza
toda a banda disponível do link...
Quando rodo o pftop existe trafego nessas duas filas, q é exatamente
desse IP...mas ele nao segura a banda..
O que posso estar fazendo errado?
uso freebsd 6.2-RELEASE
Obrigado
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Problema com controle no Squid
Galera, to tentando controlar banda de algumas extensoes de arquivo no squid... mas nao estou conseguindo, usei a seguinte regra: acl extensions url_regex -i .flv .rm .ram .mov .mpeg .mpg .qt .raw .exe .avi .wmv delay_pools 1 delay_class 1 1 delay_parameters 1 3000/3000 3000/3000 delay_access 1 allow extensions teoricamente, tudo que passasse pelo squid com essas extensoes deveria ser limitado certo? Nao está ocorrendo isso, alguem tem ideia o que pode ser? OBS: essas acls sao as primeiras do arquivo, portanto nao tem nenhum allow que possa estar atrapalhando esse individuo ai Aproveitando o assunto, se eu quisesse que varias acls passassem nesse controle, bastava eu acrescentar no delay_access o nome da regra? Exemplo, quero que todas essas extensoes sejam controladas, e quero também que TUDO que venho de IP X passasse também, bastaria eu criar: acl ip_X src x.x.x.x e : delay_access 1 allow ip_X extensions é assim? Obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Problema com controle no Squid
sim, ja fiz...mas quero colocar somente 8k/sec para essas extensoes, até onde eu sei o PF nao faz isso...ou faz? Abracos Alessandro de Souza Rocha escreveu: Em 15/05/07, Fabiano (BiGu)[EMAIL PROTECTED] escreveu: Galera, to tentando controlar banda de algumas extensoes de arquivo no squid... mas nao estou conseguindo, usei a seguinte regra: acl extensions url_regex -i .flv .rm .ram .mov .mpeg .mpg .qt .raw .exe .avi .wmv delay_pools 1 delay_class 1 1 delay_parameters 1 3000/3000 3000/3000 delay_access 1 allow extensions teoricamente, tudo que passasse pelo squid com essas extensoes deveria ser limitado certo? Nao está ocorrendo isso, alguem tem ideia o que pode ser? OBS: essas acls sao as primeiras do arquivo, portanto nao tem nenhum allow que possa estar atrapalhando esse individuo ai Aproveitando o assunto, se eu quisesse que varias acls passassem nesse controle, bastava eu acrescentar no delay_access o nome da regra? Exemplo, quero que todas essas extensoes sejam controladas, e quero também que TUDO que venho de IP X passasse também, bastaria eu criar: acl ip_X src x.x.x.x e : delay_access 1 allow ip_X extensions é assim? Obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd nao seria para vc mais interessante faz um qos da porta 3128 ou 80 ao inveis de sobrecarregar o squid com controle de banda. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Problema com controle no Squid
pois é, no meu caso eu ja tenho uma regra no PF forçando o squid a entrar no QoS, ja ta bacana... mas quero bloquear essas extensoes para uma velocidade diferente da que esta no PF... meu problema é um pouco diferente das outras empresas... Quem me dá mais dor de cabeça na Empresa nao sao os funcionarios , e sim o patrão... Na verdade, tem vários patroes...e um deles é um perturbardo em videos de pornografia e youtube...nao posso bloquear...mas posso colocar ele na linha ...e é isso que quero fazer com o Squid! hehehhe Abracos Alessandro de Souza Rocha escreveu: Em 15/05/07, Fabiano (BiGu)[EMAIL PROTECTED] escreveu: sim, ja fiz...mas quero colocar somente 8k/sec para essas extensoes, até onde eu sei o PF nao faz isso...ou faz? Abracos Alessandro de Souza Rocha escreveu: Em 15/05/07, Fabiano (BiGu)[EMAIL PROTECTED] escreveu: Galera, to tentando controlar banda de algumas extensoes de arquivo no squid... mas nao estou conseguindo, usei a seguinte regra: acl extensions url_regex -i .flv .rm .ram .mov .mpeg .mpg .qt .raw .exe .avi .wmv delay_pools 1 delay_class 1 1 delay_parameters 1 3000/3000 3000/3000 delay_access 1 allow extensions teoricamente, tudo que passasse pelo squid com essas extensoes deveria ser limitado certo? Nao está ocorrendo isso, alguem tem ideia o que pode ser? OBS: essas acls sao as primeiras do arquivo, portanto nao tem nenhum allow que possa estar atrapalhando esse individuo ai Aproveitando o assunto, se eu quisesse que varias acls passassem nesse controle, bastava eu acrescentar no delay_access o nome da regra? Exemplo, quero que todas essas extensoes sejam controladas, e quero também que TUDO que venho de IP X passasse também, bastaria eu criar: acl ip_X src x.x.x.x e : delay_access 1 allow ip_X extensions é assim? Obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd nao seria para vc mais interessante faz um qos da porta 3128 ou 80 ao inveis de sobrecarregar o squid com controle de banda. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd nao faz, so controle de banda mesmo por grupo ou ip. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Controle de Acesso
AS estacoes sao Windows? se for bloqueia 137 a 139 e 445 no PF...capaz de funcionar Marcel Souza Figueiredo escreveu: Olá pessoal! Estou montando um proxy com bsd para gerenciar uma rede de 96 computadores. Gostaria de fazer a seguranca com que nenhum dos 96 computadores acessacem uns aos outros, acessacem apenas o bsd. Por onde eu comecaria? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ NOD32 2256 (20070510) Information __ This message was checked by NOD32 antivirus system. http://www.eset.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Controle de Acesso
ops, esquece o que eu disse, na rede interna nao vai passar pelo bsd hehehe Fabiano (BiGu) escreveu: AS estacoes sao Windows? se for bloqueia 137 a 139 e 445 no PF...capaz de funcionar Marcel Souza Figueiredo escreveu: Olá pessoal! Estou montando um proxy com bsd para gerenciar uma rede de 96 computadores. Gostaria de fazer a seguranca com que nenhum dos 96 computadores acessacem uns aos outros, acessacem apenas o bsd. Por onde eu comecaria? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ NOD32 2256 (20070510) Information __ This message was checked by NOD32 antivirus system. http://www.eset.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ NOD32 2256 (20070510) Information __ This message was checked by NOD32 antivirus system. http://www.eset.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Duvida ALTQ
Galera, Me surgiu uma duvida referente aos queues no ALTQ... Seguinte, criei 3 filas...defini velocidades para cada, coloquei CBQ...até ai tudo bem... minha pergunta é o seguinte, a queue std, o trafego vai pra essa fila somente quando nao esta explicito na regra? Exemplo, se eu criar uma regra do tipo pass out proto tcp from ip_origem to ip_destino ou seja, sem espceificar nenhuma fila...ela vai entrar na std, ou vai ignorar todas as filas? Pelo meu entender, so entra na fila std o trafego que nao passa por NENHUMA regra do PF...é isso mesmo? Caso eu especifique uma regra mas sem definir uma queue pra ela, esse trafego passa full ou entra no std? Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Controle de acesso por mime_type Squid
Ae lista, Sei que nao eh uma lista especifica de squid, mas se alguem souber e poder compartilhar comigo A questao eh o seguinte, Quero controlar a banda pelo squid de alguns sites, mas baseados pelo mime-type, especialmente o youtube, tentei controlar pela extensao (.swf, .flv etc etc) mas sem sucesso.. Consegui BLOQUEAR por mime_type, utilizando o rep_mime_type e o http_reply_access ...funcionou bacana... mas o que preciso eh somente controlar a download desses videos, e nao bloquea-los... tentei utilizar o delay pools, mas nada... para BLOQUEAR consegui da seguinte maneira: acl youtube rep_mime_type application/x-shockwave-flash http_reply_access deny youtube tentei CONTROLAR dessa maneira, mas nao deu certo: acl youtube rep_mime_type application/x-shockwave-flash delay_pools 1 delay_class 1 1 delay_parameters 1 8000/8000 8000/8000 delay_access 1 allow youtube Alguem tem ideia de como fazer isso? Abracos... - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF + Bittorrent
Opa Lista... Nao sei se ja foi discutido aqui na lista (dei uma procurada no historico mas nao encontrei nada) Fiz umas regras no PF para testes, limitando o IP pela uma queue (limitei todas as portas para efeitos de teste) e nesse IP coloquei o BitTorrent pra funcionar... percebi o seguinte, no comeco ele consegue manter o torrent na linha, segurando a banda (fiz o teste pingando em um host, e ele se manteve um valor padrao, defini prioridade para o icmp) acontece q depois de algums minutos conectado o PF perde efeito...o ping vai pras alturas e o BitTorrent fica liberado... por acaso, experimentei um ping de dentro do gateway onde esta o PF e recebi varias mensagens: ping: sendto: No buffer space available Bom, pelo q entendi, acho que o Bittorrent estah criando tantas conexoes que o hardware da maquina nao ta aguentando gerenciar, ai o PF perde efeito... Minha pergunta, pode ser isso que estar acontecendo? Como posso entao limitar o numero de conexoes q cada host pode manter(ou seja, cada peer do torrent), e quais as portas que o Bittorrent usa para os downloads? sei que tem as portas 6881-6889, mas sao somente essas? Abracos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Verificar trafego nas filas
Opa Lista, mais uma vez sobre PF Gostaria de saber se existe alguma maneira de verificar o status das queues do PF... ou seja, quais sao os trafegos que estao passando pelas queues que foram definidas no pf.conf, o seu uso, etc... Eu ja criei as queues e atribui o trafego a elas, gostaria de checar se isso está realmente acontecendo ... Existe alguma maneira de monitorar isso? Abracos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Verificar trafego nas filas
opa mauricio, beleza, era isso mesmo que queria... obrigado! Mauricio Bonani escreveu: Dá uma olhada no pftop. Em 25/04/07, Fabiano (BiGu)[EMAIL PROTECTED] escreveu: Opa Lista, mais uma vez sobre PF Gostaria de saber se existe alguma maneira de verificar o status das queues do PF... ou seja, quais sao os trafegos que estao passando pelas queues que foram definidas no pf.conf, o seu uso, etc... Eu ja criei as queues e atribui o trafego a elas, gostaria de checar se isso está realmente acontecendo ... Existe alguma maneira de monitorar isso? Abracos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Verificar trafego nas filas
Ola..!!! Tente ... pfctl -vv -sq Espero que ajude.. Sds, Vagner Gonçalves (Slayer) oi vagner, funcionou beleza...era isso mesmo..so pra checar se tava passando trafego na fila... Valeu - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + Bittorrent
Alessandro de Souza Rocha escreveu: Em 25/04/07, Fabiano (BiGu)[EMAIL PROTECTED] escreveu: Opa Lista... Nao sei se ja foi discutido aqui na lista (dei uma procurada no historico mas nao encontrei nada) Fiz umas regras no PF para testes, limitando o IP pela uma queue (limitei todas as portas para efeitos de teste) e nesse IP coloquei o BitTorrent pra funcionar... percebi o seguinte, no comeco ele consegue manter o torrent na linha, segurando a banda (fiz o teste pingando em um host, e ele se manteve um valor padrao, defini prioridade para o icmp) acontece q depois de algums minutos conectado o PF perde efeito...o ping vai pras alturas e o BitTorrent fica liberado... por acaso, experimentei um ping de dentro do gateway onde esta o PF e recebi varias mensagens: ping: sendto: No buffer space available Bom, pelo q entendi, acho que o Bittorrent estah criando tantas conexoes que o hardware da maquina nao ta aguentando gerenciar, ai o PF perde efeito... Minha pergunta, pode ser isso que estar acontecendo? Como posso entao limitar o numero de conexoes q cada host pode manter(ou seja, cada peer do torrent), e quais as portas que o Bittorrent usa para os downloads? sei que tem as portas 6881-6889, mas sao somente essas? Abracos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd amigo eu tenho uma solucao melhor usando ipfw olha este exemplo ipfw add 5000 prob 0.6 drop tcp from not 192.168.0.250 to not 192.168.0.0/24,200.0.0.0/8,201.0.0.0/8 6881-6889 neste caso vc vai diminuir o trafego em 60% para as rede so o ip 192.168.0.250 vai ter o trafego todo para navegar no bittorrent mais vc pode limitar para a rede toda desta forma que eu uso e funciona. Noss, nem sei pra onde vai ipfw...eu estou utilizando PF... mas vou dar uma olhada na documentacao ver o q posso encontrar... Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Bloqueio de Portas + PF
Ae lista,
To com um negocio aqui que está me intrigando...
montei meu pf.conf com a politica de block in e block out
montei uma lista com algumas portas que irei liberar para uma
determinada rede:
rede_1 = x.x.x.x/x
portas={ 80 22 25 53 110 143 443 3128 3389 5000 5900 }
E fiz as seguinte regras:
$pass in quick log proto { tcp udp } from any to $rede_1 \
port $portas
$pass in quick log proto { tcp udp } from $rede_1 to any \
port $portas
$pass out quick log proto { tcp udp } from any to $rede_1 \
port $portas
$pass out quick log proto { tcp udp } from $rede_1 to any \
port $portas
Teoricamente, o trafego nessas portas para essa rede deveria passar...o
q nao está acontecendo...ele ta barrando no block (de acordo com o
pflog)...
Se eu tirar o port $portas da regra, ela passa a funcionar...mas
libera tudo...ja tentei colocar as portas diretas sem lista, so algumas
portas...e nada...
Alguma luz no fim do tunel? hehe
Abracos,
Fabiano Heringer
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Bloqueio de Portas + PF
Opa Cristiano, ja tentei dessas duas maneiras...e nada,
o log mostra exatamente o block da rule 0 ...
abaixo:
3. 001561 rule 0/0(match): block in on fxp1: 170.66.52.12.443
x.x.x.x.1924: S 2300128873:2300128873(0) ack 1883772933 win 49640 mss
1460,nop,nop,sackOK
6. 003653 rule 0/0(match): block in on fxp1: 170.66.52.12.443
x.x.x.x.1924: S 2350589401:2350589401(0) ack 1883772933 win 49640 mss
1460,nop,nop,sackOK
14. 032887 rule 0/0(match): block in on fxp1: 170.66.52.12.443
x.x.x.x.1925: S 2483462810:2483462810(0) ack 462237647 win 49640 mss
1460,nop,nop,sackOK
2. 986055 rule 0/0(match): block in on fxp1: 170.66.52.12.443
x.x.x.x.1925: S 2512858784:2512858784(0) ack 462237647 win 49640 mss
1460,nop,nop,sackOK
e o mais interessante as regras estao la, carregadinhas:
gateway# pfctl -s rules |grep https
pass in quick on fxp1 inet proto tcp from any to 189.3.221.0/26 port = https
pass in quick on fxp1 inet proto udp from any to 189.3.221.0/26 port = https
pass in quick on fxp1 inet proto tcp from 189.3.221.0/26 to any port = https
pass in quick on fxp1 inet proto udp from 189.3.221.0/26 to any port = https
pass out quick on fxp1 inet proto tcp from any to 189.3.221.0/26 port =
https
pass out quick on fxp1 inet proto udp from any to 189.3.221.0/26 port =
https
pass out quick on fxp1 inet proto tcp from 189.3.221.0/26 to any port =
https
pass out quick on fxp1 inet proto udp from 189.3.221.0/26 to any port =
https
Abracos
Cristiano Maynart Pereira escreveu:
Experimente colocar virgulas entre as portas:
portas={ 80, 22, 25 }
Ou entao colocar as portas direto na regra:
$pass in quick log proto { tcp udp } from any to $rede_1 port { 80, 22, 25 }
Se mandar os logs de bloqueio eh melhor.
_
Cristiano Maynart Pereira
-Original Message-
From: [EMAIL PROTECTED]
[mailto:[EMAIL PROTECTED] On Behalf Of Fabiano (BiGu)
Sent: terça-feira, 24 de abril de 2007 09:12
To: freebsd@fug.com.br
Subject: [FUG-BR] Bloqueio de Portas + PF
Ae lista,
To com um negocio aqui que está me intrigando...
montei meu pf.conf com a politica de block in e block out
montei uma lista com algumas portas que irei liberar para uma
determinada rede:
rede_1 = x.x.x.x/x
portas={ 80 22 25 53 110 143 443 3128 3389 5000 5900 }
E fiz as seguinte regras:
$pass in quick log proto { tcp udp } from any to $rede_1 \
port $portas
$pass in quick log proto { tcp udp } from $rede_1 to any \
port $portas
$pass out quick log proto { tcp udp } from any to $rede_1 \
port $portas
$pass out quick log proto { tcp udp } from $rede_1 to any \
port $portas
Teoricamente, o trafego nessas portas para essa rede deveria
passar...o q nao está acontecendo...ele ta barrando no
block (de acordo com o pflog)...
Se eu tirar o port $portas da regra, ela passa a
funcionar...mas libera tudo...ja tentei colocar as portas
diretas sem lista, so algumas portas...e nada...
Alguma luz no fim do tunel? hehe
Abracos,
Fabiano Heringer
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
__ NOD32 2214 (20070424) Information __
This message was checked by NOD32 antivirus system.
http://www.eset.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Bloqueio de Portas + PF
Opa Cristiano,
Valeu pela dica, funcionou beleza!!!
Cristiano Maynart Pereira escreveu:
Fabiano,
Adiciona o keep state ao final de cada regra de pass:
pass in quick log proto { tcp udp } from any to $rede_1 port $portas keep
state
Ou libera o retorno dos pacotes:
pass in quick log proto { tcp udp } from any port $portas to $rede_1 port
1024
Cristiano Maynart Pereira
-Original Message-
From: [EMAIL PROTECTED]
[mailto:[EMAIL PROTECTED] On Behalf Of Fabiano (BiGu)
Sent: terça-feira, 24 de abril de 2007 11:50
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Subject: Re: [FUG-BR] Bloqueio de Portas + PF
Opa Cristiano, ja tentei dessas duas maneiras...e nada,
o log mostra exatamente o block da rule 0 ...
abaixo:
3. 001561 rule 0/0(match): block in on fxp1: 170.66.52.12.443
x.x.x.x.1924: S 2300128873:2300128873(0) ack 1883772933 win
49640 mss 1460,nop,nop,sackOK 6. 003653 rule 0/0(match):
block in on fxp1: 170.66.52.12.443
x.x.x.x.1924: S 2350589401:2350589401(0) ack 1883772933 win
49640 mss 1460,nop,nop,sackOK 14. 032887 rule 0/0(match):
block in on fxp1: 170.66.52.12.443
x.x.x.x.1925: S 2483462810:2483462810(0) ack 462237647 win
49640 mss 1460,nop,nop,sackOK 2. 986055 rule 0/0(match):
block in on fxp1: 170.66.52.12.443
x.x.x.x.1925: S 2512858784:2512858784(0) ack 462237647 win
49640 mss 1460,nop,nop,sackOK
e o mais interessante as regras estao la, carregadinhas:
gateway# pfctl -s rules |grep https
pass in quick on fxp1 inet proto tcp from any to
189.3.221.0/26 port = https pass in quick on fxp1 inet proto
udp from any to 189.3.221.0/26 port = https pass in quick on
fxp1 inet proto tcp from 189.3.221.0/26 to any port = https
pass in quick on fxp1 inet proto udp from 189.3.221.0/26 to
any port = https pass out quick on fxp1 inet proto tcp from
any to 189.3.221.0/26 port = https pass out quick on fxp1
inet proto udp from any to 189.3.221.0/26 port = https pass
out quick on fxp1 inet proto tcp from 189.3.221.0/26 to any
port = https pass out quick on fxp1 inet proto udp from
189.3.221.0/26 to any port = https
Abracos
Cristiano Maynart Pereira escreveu:
Experimente colocar virgulas entre as portas:
portas={ 80, 22, 25 }
Ou entao colocar as portas direto na regra:
$pass in quick log proto { tcp udp } from any to $rede_1 port { 80,
22, 25 }
Se mandar os logs de bloqueio eh melhor.
_
Cristiano Maynart Pereira
-Original Message-
From: [EMAIL PROTECTED]
[mailto:[EMAIL PROTECTED] On Behalf Of Fabiano (BiGu)
Sent: terça-feira, 24 de abril de 2007 09:12
To: freebsd@fug.com.br
Subject: [FUG-BR] Bloqueio de Portas + PF
Ae lista,
To com um negocio aqui que está me intrigando...
montei meu pf.conf com a politica de block in e block out
montei uma lista com algumas portas que irei liberar para uma
determinada rede:
rede_1 = x.x.x.x/x
portas={ 80 22 25 53 110 143 443 3128 3389 5000 5900 }
E fiz as seguinte regras:
$pass in quick log proto { tcp udp } from any to $rede_1 \
port $portas
$pass in quick log proto { tcp udp } from $rede_1 to any \
port $portas
$pass out quick log proto { tcp udp } from any to $rede_1 \
port $portas
$pass out quick log proto { tcp udp } from $rede_1 to any \
port $portas
Teoricamente, o trafego nessas portas para essa rede deveria
passar...o q nao está acontecendo...ele ta barrando no block (de
acordo com o pflog)...
Se eu tirar o port $portas da regra, ela passa a funcionar...mas
libera tudo...ja tentei colocar as portas diretas sem lista, so
algumas portas...e nada...
Alguma luz no fim do tunel? hehe
Abracos,
Fabiano Heringer
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
__ NOD32 2214 (20070424) Information __
This message was checked by NOD32 antivirus system.
http://www.eset.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
__ NOD32 2215 (20070424) Information __
This message was checked by NOD32 antivirus system.
http://www.eset.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Bloqueio de Portas + PF
opa, entao teria so uma regra?
sempre me confundi com isso, mas essa sua explicacao abriu as portas, o
esquema eh o tal do keep state hehehe
bom, coloquei o keep state e funcionou blz...
so uma duvida:
no log abaixo apareceu dois blocks, dei uma olhada e eles sao bastante
semelhantes ao outros pass ...tem alguma situacao em especial nessa
conexao q nao percebi?
rule 128/0(match): pass out on fxp1: x.x.x.x.3139 170.66.52.12.443: S
3227806314:3227806314(0) win 16384 mss 1460,nop,nop,sackOK
rule 128/0(match): pass out on fxp1: x.x.x.x.3141 170.66.2.59.443: S
2462356084:2462356084(0) win 16384 mss 1460,nop,nop,sackOK
rule 128/0(match): pass out on fxp1: x.x.x.x.3143 170.66.2.59.443: S
1144136653:1144136653(0) win 16384 mss 1460,nop,nop,sackOK
rule 128/0(match): pass out on fxp1: x.x.x.x.3144 170.66.2.59.443: S
2454951909:2454951909(0) win 16384 mss 1460,nop,nop,sackOK
rule 128/0(match): pass out on fxp1: x.x.x.x.3145 170.66.1.60.443: S
2280419113:2280419113(0) win 16384 mss 1460,nop,nop,sackOK
rule 128/0(match): pass out on fxp1: x.x.x.x.3146 170.66.2.59.443: S
4109434905:4109434905(0) win 16384 mss 1460,nop,nop,sackOK
rule 128/0(match): pass out on fxp1: x.x.x.x.3147 170.66.2.59.443: S
1602477047:1602477047(0) win 16384 mss 1460,nop,nop,sackOK
rule 128/0(match): pass out on fxp1: x.x.x.x.3148 170.66.2.59.443: S
2279216012:2279216012(0) win 16384 mss 1460,nop,nop,sackOK
rule 128/0(match): pass out on fxp1: x.x.x.x.3149 170.66.2.59.443: S
1311173916:1311173916(0) win 16384 mss 1460,nop,nop,sackOK
rule 128/0(match): pass out on fxp1: x.x.x.x.3150 170.66.2.59.443: S
4083079116:4083079116(0) win 16384 mss 1460,nop,nop,sackOK
rule 128/0(match): pass out on fxp1: x.x.x.x.3151 170.66.2.59.443: S
3081647422:3081647422(0) win 16384 mss 1460,nop,nop,sackOK
rule 128/0(match): pass out on fxp1: x.x.x.x.3152 170.66.2.59.443: S
3317434135:3317434135(0) win 16384 mss 1460,nop,nop,sackOK
rule 128/0(match): pass out on fxp1: x.x.x.x.3153 170.66.2.59.443: S
3133294414:3133294414(0) win 16384 mss 1460,nop,nop,sackOK
rule 1/0(match): block out on fxp1: x.x.x.x.3126 170.66.1.60.443: R
3816619224:3816619224(0) win 0
Obrigado pela dica, vou corrigir meu firewall..achei que tinha que
liberar ida e volta...mas o keep state resolve o problema...
[]´s
c0re dumped escreveu:
O PF é um firewall statefull, em termos práticos significa que você
não precisa fazer uma regra pra ida E outra pra volta, bas adicionar
keep state ao final de cada regra.
Outra, você tem certeza que a aplicação só vai responder nessas portas
? De ambos os lados ? Por que é isso que suas regras dizem...
$pass in quick log proto { tcp udp } from any to $rede_1 \
port $portas
$pass in quick log proto { tcp udp } from $rede_1 to any \
port $portas
$pass out quick log proto { tcp udp } from any to $rede_1 \
port $portas
$pass out quick log proto { tcp udp } from $rede_1 to any \
port $portas
Perceba que você tem regras repetidas. Alguma razão especial ?
Simplificando estas regras:
1 - Supondo que quem vai iniciar a conexão são as suas maquinas:
O que está acontecendo é que
$pass quick log proto { tcp udp } from $rede_1 to any port $portas keep state
2 - Supondo que suas máquinas provêem o serviço a ser utilizado:
$pass quick log proto { tcp udp } from any to $rede_1 port $portas keep state
O keep state já cria uma tabela de estados pra cada conexão, prevendo
os valores e flags aceitáveis pra o pacote de reposta. Só isso basta.
[]'s
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Bloqueio de Portas + PF
bom, mas a dica que voce me deu no email posterior funcionou beleza...
acho que foi o fato de voce ter especificado somsnet pass quick log,
ou seja nao especificou a direcao, entao o PF considerou tanto in como
out...
como entao criei so uma regra (no caso da minha rede requisitar o servico)
pass quick logo proto tcp from rede to any
no meu servidor de email por exemplo, fiz nas duas direcoes, e
economizei duas regras em cada entao...
Valeu!
c0re dumped escreveu:
Ignore a parte que eu falo das regras repetidas. Não tinha percebido o
in e out em cada uma. Sorry.
Seus logs já dão a resposta do seu problema:
3. 001561 rule 0/0(match): block in on fxp1: 170.66.52.12.443
x.x.x.x.1924: S 2300128873:2300128873(0) ack 1883772933 win 49640 mss
1460,nop,nop,sackOK
Sua máquina x.x.x.x está usando a porta 1924 nesta conexão o que não
bate com suas regras de fireall que dizem :
$pass in quick log proto { tcp udp } from $rede_1 to any port $portas
$pass out quick log proto { tcp udp } from $rede_1 to any port $portas
pela definição da tua macro, a porta 1924 não está inclusa.
As outras tentativas tb são negadas, pelo mesmo motivo.
Desta forma, a única coisa que o firewall vai fazer é negar a conexão,
já que você usa politica de negar por padrao.
6. 003653 rule 0/0(match): block in on fxp1: 170.66.52.12.443
x.x.x.x.1924: S 2350589401:2350589401(0) ack 1883772933 win 49640 mss
1460,nop,nop,sackOK
14. 032887 rule 0/0(match): block in on fxp1: 170.66.52.12.443
x.x.x.x.1925: S 2483462810:2483462810(0) ack 462237647 win 49640 mss
1460,nop,nop,sackOK
2. 986055 rule 0/0(match): block in on fxp1: 170.66.52.12.443
x.x.x.x.1925: S 2512858784:2512858784(0) ack 462237647 win 49640 mss
1460,nop,nop,sackOK
[]'s
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
