[FUG-BR] rdr do pf para conexão entrante apenas
Essa aqui é para os mais antigos no PF. :) Pessoal eu tenho essas regras abaixo por causa de uma central telefônica aqui interno. Sendo que acontece o seguinte: desse servidor freebsd se eu tento fazer um csup dos fontes não rola porque as portas geradas de saída estão acima de 1 por default: net.inet.ip.portrange.last: 65535 net.inet.ip.portrange.first: 1 Mudando as confs acima para começar em 1024 e a última ser funciona mas não queria fazer isso. Tudo ocorre porque a resposta para o csup está batendo nas regras abaixo e sendo redirecionadas para o servidor 192.168.8.252. Eu tenho como fazer as regras abaixo para somente novas conexões entrantes ? No Netfilter/IPTables por exemplo isso é padrão para novas conexões mas acredito que no PF também exista alguma maneira do retorno de uma conexão não caír nas regras de rdr. rdr on $ext_if proto udp from any to 10.255.0.12 port 1:65535 - 192.168.8.252 rdr on $ext_if proto tcp from any to 10.255.0.12 port 1:65535 - 192.168.8.252 Grande abraço à todos Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr do pf para conexão entrante apenas
Olá Gondim bom dia. Não seria melhor você criar uma regra especifica para as portas dos serviços do seu PABX? Eu sempre evito criar regras muito genéricas. Você pode determinar conexões entrantes, como no exemplo: pass in on tl0 proto tcp from any to any port 5000:5500 rdr-to 192.168.1.20 port 6000 Segue o link: http://www.openbsd.org/faq/pf/pt/rdr.html [3] Abs Gilliatt On Wed, 27 Jun 2012 10:25:38 -0300, Marcelo Gondim wrote: Essa aqui é para os mais antigos no PF. :) Pessoal eu tenho essas regras abaixo por causa de uma central telefônica aqui interno. Sendo que acontece o seguinte: desse servidor freebsd se eu tento fazer um csup dos fontes não rola porque as portas geradas de saída estão acima de 1 por default: net.inet.ip.portrange.last: 65535 net.inet.ip.portrange.first: 1 Mudando as confs acima para começar em 1024 e a última ser funciona mas não queria fazer isso. Tudo ocorre porque a resposta para o csup está batendo nas regras abaixo e sendo redirecionadas para o servidor 192.168.8.252. Eu tenho como fazer as regras abaixo para somente novas conexões entrantes ? No Netfilter/IPTables por exemplo isso é padrão para novas conexões mas acredito que no PF também exista alguma maneira do retorno de uma conexão não caír nas regras de rdr. rdr on $ext_if proto udp from any to 10.255.0.12 port 1:65535 - 192.168.8.252 rdr on $ext_if proto tcp from any to 10.255.0.12 port 1:65535 - 192.168.8.252 Grande abraço à todos Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ [1] Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd [2] Links: -- [1] http://www.fug.com.br/historico/html/freebsd/ [2] https://www.fug.com.br/mailman/listinfo/freebsd [3] http://www.openbsd.org/faq/pf/pt/rdr.html - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr do pf para conexão entrante apenas
Em 27/06/2012 11:21, gilli...@atriumsp.com.br escreveu: Olá Gondim bom dia. Não seria melhor você criar uma regra especifica para as portas dos serviços do seu PABX? Eu sempre evito criar regras muito genéricas. Você pode determinar conexões entrantes, como no exemplo: pass in on tl0 proto tcp from any to any port 5000:5500 rdr-to 192.168.1.20 port 6000 Pois é mas esse foi o range solicitado pelo técnico da Central por causa do VoIP que segundo ele na hora de transferir uma chamada ele gera uma porta desse range na comunicação. Também gostaria muito de especificar. ;) Mas mesmo especificando ainda existe o problema porque vamos dizer que por um acaso o destino resolva na hora do csup tentar usar a mesma porta pra saída da conexão, aí ainda sim o retorno cairia no rdr e nessa hora falharia a conexão. Queria realmente encontrar uma solução para conexões entrantes no rdr do PF. Isso se agrava porque nessa mesma máquina tem um proxy e devido à isso as chances de ser gerada uma porta de saída igual à do rdr é muito maior. Segue o link: http://www.openbsd.org/faq/pf/pt/rdr.html [3] Vou dar uma olhada nesse link. :) valeu. Abs Gilliatt On Wed, 27 Jun 2012 10:25:38 -0300, Marcelo Gondim wrote: Essa aqui é para os mais antigos no PF. :) Pessoal eu tenho essas regras abaixo por causa de uma central telefônica aqui interno. Sendo que acontece o seguinte: desse servidor freebsd se eu tento fazer um csup dos fontes não rola porque as portas geradas de saída estão acima de 1 por default: net.inet.ip.portrange.last: 65535 net.inet.ip.portrange.first: 1 Mudando as confs acima para começar em 1024 e a última ser funciona mas não queria fazer isso. Tudo ocorre porque a resposta para o csup está batendo nas regras abaixo e sendo redirecionadas para o servidor 192.168.8.252. Eu tenho como fazer as regras abaixo para somente novas conexões entrantes ? No Netfilter/IPTables por exemplo isso é padrão para novas conexões mas acredito que no PF também exista alguma maneira do retorno de uma conexão não caír nas regras de rdr. rdr on $ext_if proto udp from any to 10.255.0.12 port 1:65535 - 192.168.8.252 rdr on $ext_if proto tcp from any to 10.255.0.12 port 1:65535 - 192.168.8.252 Grande abraço à todos Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ [1] Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd [2] Links: -- [1] http://www.fug.com.br/historico/html/freebsd/ [2] https://www.fug.com.br/mailman/listinfo/freebsd [3] http://www.openbsd.org/faq/pf/pt/rdr.html - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr do pf para conexão entrante apenas
Em Qua, 2012-06-27 às 11:32 -0300, Marcelo Gondim escreveu: Em 27/06/2012 11:21, gilli...@atriumsp.com.br escreveu: Olá Gondim bom dia. Não seria melhor você criar uma regra especifica para as portas dos serviços do seu PABX? Eu sempre evito criar regras muito genéricas. Você pode determinar conexões entrantes, como no exemplo: pass in on tl0 proto tcp from any to any port 5000:5500 rdr-to 192.168.1.20 port 6000 Estranho porque o keep-state é padrão no pf desde do 6.x (se não me engano) e poderia sanar esse seu problema... mas de qualquer forma, porque não migra pra subversion ? é que o source do freebsd esta usando agora. http://www.freebsd.org/doc/en_US.ISO8859-1/articles/committers-guide/subversion-primer.html -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr do pf para conexão entrante apenas
Em 27/06/2012 11:52, Luiz Gustavo escreveu: Em Qua, 2012-06-27 às 11:32 -0300, Marcelo Gondim escreveu: Em 27/06/2012 11:21,gilli...@atriumsp.com.br escreveu: Olá Gondim bom dia. Não seria melhor você criar uma regra especifica para as portas dos serviços do seu PABX? Eu sempre evito criar regras muito genéricas. Você pode determinar conexões entrantes, como no exemplo: pass in on tl0 proto tcp from any to any port 5000:5500 rdr-to 192.168.1.20 port 6000 Estranho porque o keep-state é padrão no pf desde do 6.x (se não me engano) e poderia sanar esse seu problema... mas de qualquer forma, porque não migra pra subversion ? é que o source do freebsd esta usando agora. http://www.freebsd.org/doc/en_US.ISO8859-1/articles/committers-guide/subversion-primer.html opa Guga, Ainda caio no mesmo problema. Saca só vou dar nome aos bois pra você ter uma idéia: [ Central Tel. 192.168.8.252 ] - [ 192.168.8.253 Proxy 10.255.0.12 ] -- Internet Olhando agora para essa regra onde em0 é a interface com IP 10.255.0.12: rdr on em0 proto tcp from any to 10.255.0.12 port 1:65535 - 192.168.8.252 Com a regra acima qualquer conexão tcp no IP 10.255.0.12 porta dentro do range entre 1 e 65535 é redirecionado para a mesma porta no 192.168.8.252. Até aqui show de bola e funciona como esperado. Agora se estou no meu notebook atrás desse proxy tentando acessar os sites eu não consigo. Para funcionar preciso colocar a seguinte regra antes da de cima: no rdr on $ext_if proto tcp from any port 1024 to 10.255.0.12 Ficando assim: no rdr on em0 proto tcp from any port 1024 to 10.255.0.12 rdr on em0 proto tcp from any to 10.255.0.12 port 1:65535 - 192.168.8.252 Desse jeito o proxy funciona porque estou dizendo para não redirecionar pacotes cuja porta origem seja menor que 1024. Se eu removo a primeira regra babau a navegação. Só posso deduzir que seja por causa da nova regra da Central. Na minha concepção pacotes retornados de uma conexão feita pelo proxy não deveriam entrar nesse redirect. Estou correto? :) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr do pf para conexão entrante apenas
Consegui visualizar mais ou menos sua rede (eu acho). Acredito que você esteja certo, essas conexões voltando não deveriam entrar no rdr. Mas uma dúvida: não seria mais simples criar mais um IP nessa interface e fazer esse redirecionamento somente nesse novo IP e deixar o IP do proxy apenas para o serviço do proxy? Não digo nem por esse problema, pois quero saber por que ele está acontecendo, falo isso para evitar mais problemas futuros. -- Atenciosamente, Antônio Pessoa - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr do pf para conexão entrante apenas
Em 27/06/2012 21:05, Antônio Pessoa escreveu: Consegui visualizar mais ou menos sua rede (eu acho). Acredito que você esteja certo, essas conexões voltando não deveriam entrar no rdr. Mas uma dúvida: não seria mais simples criar mais um IP nessa interface e fazer esse redirecionamento somente nesse novo IP e deixar o IP do proxy apenas para o serviço do proxy? Não digo nem por esse problema, pois quero saber por que ele está acontecendo, falo isso para evitar mais problemas futuros. Opa Antonio, Sim com um IP só para o redirecionamento fica 100%. Mas realmente fico encucado com isso. Por isso que estou tentando descobrir do porque disso acontecer e se tem solução real. :) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd