Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU)
A minha configuracao funcionou. Tanto UDP quanto TCP.
Estava tendo dificuldades porque esta redirecionado os pacotes para uma rede
DMZ.
Entao tambem tive que fazer uma regra reply-to na interface de acesso a DMZ.
ficou td +- assim :
route0=( $ext_if0 $router0 )
route1=( $ext_if1 $router1 )
rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag ROUTE0 -
$web_server
rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag ROUTE1 -
$web_server
pass in quick on $ext_if0 reply-to $route0 proto {tcp,udp} from any to $ext_ip0
keep state
pass in quick on $ext_if1 reply-to $route1 proto {tcp,udp} from any to $ext_ip1
keep state
#The reply-to option is similar to route-to, but routes packets that
#pass in the ***opposite*** direction (replies) to the specified inter-
#face.
pass out quick on $dmz_if reply-to $route0 from any to any tagged ROUTE0 keep
state
pass out quick on $dmz_if reply-to $route1 from any to any tagged ROUTE1 keep
state
pass out on $ext_if0 route-to $ext_if1 from $ext_if1 to any
pass out on $ext_if1 route-to $ext_if0 from $ext_if0 to any
basicamento o segredo estava na direcao da regra da interface dmz. na
configuracao anterior
anterior eu estava coloando pass in.
valeu ...!
- Mensagem original -
De: Alexandre Biancalana [EMAIL PROTECTED]
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Enviadas: Quarta-feira, 1 de Outubro de 2008 17:23:15 GMT -03:00 Argentina
Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote:
Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um
exemplo com udp, porque aqui não funciona nem a pau... =)
Coloca xxx nos ips em produção.
Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para
udp, e de 65517 para 1194
# tcp que funciona
pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to
any port 65517 keep state
# udp que NAO funciona
pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to
any port 1194 keep state
Manda seu pf.conf completo.
O que pode estar acontecendo é que o pf cria o estado pela ultima
regra que fizer o match ou seja, se você tem a regra com reply-to e
depois tem uma com o pass normal ele cria o estado pela ultima regra e
não funciona mesmo.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Wildes Miranda
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU)
veridico : http://www.openbsd.org/faq/pf/filter.html#udpstate PF simply keeps track of how long it has been since a matching packet has gone through. If the timeout is reached, the state is cleared. The timeout values can be set in the options section of the pf.conf file. set timeout option value Set various timeouts (in seconds). interval - seconds between purges of expired states and packet fragments. The default is 10 . frag - seconds before an unassembled fragment is expired. The default is 30 . src.track - seconds to keep a source tracking entry in memory after the last state expires. The default is 0 (zero). Acredito que opcao utilizada seja src.track ... - Mensagem original - De: Alexandre Biancalana [EMAIL PROTECTED] Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Enviadas: Quarta-feira, 1 de Outubro de 2008 15:21:06 GMT -03:00 Brasília Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Fala Wildes, blz? Estou usando a 7.0 RELEASE Vendo agora o man fiquei desanimado... veja: reply-to is useful only in rules that create state. Pelo que sei UDP não tem estados... acho que reply-to é só para TCP. Me corrijam se eu estiver errado. Por natureza o UDP não estabelece conexão com o destino, mas mesmo assim o pf cria um estado para este tipo de comunicação. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Wildes Miranda - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU)
- Mensagem original - De: Alexandre Biancalana [EMAIL PROTECTED] Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Enviadas: Quarta-feira, 1 de Outubro de 2008 15:16:31 GMT -03:00 Brasília Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Wildes Miranda de Oliveira [EMAIL PROTECTED] wrote: saudacoes ! Qual o versao do FreeBSD voce esta usando ? tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada nem com vela preta no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface pflog0 :S ... Funciona sim... utilizo desde o Free 6, a sua conf que deve ter algo errado a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? tipo tunN utilizadas por links PPP ?? Não vejo por que não funcionar Tambem nao. A regra e bem simples, mas, de qualquer forma, vou rever a configuracao, e postar os resultados para que os srs possam compartilhar ou me auxiliarem numa solucao. grato. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
