Re: [FUG-BR] PF + 3 Links
Verifica o daemon Routed... Apenas estou estudando... tenho um problema parecido em um cliente.. Espero que a dica seja util... Até mais.. -- Atenciosamente Paulo Henrique. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + 3 Links
Certo, vo dar uma pesquisada sobre esse Routed. Já substituindo a opção modulate state por keep state continuou mesma coisa. Será que não uma solução para esse problema, e vou ter que ficar fazendo redirecionamento de portas? Abraço. 2008/7/24 Paulo Henrique [EMAIL PROTECTED]: Verifica o daemon Routed... Apenas estou estudando... tenho um problema parecido em um cliente.. Espero que a dica seja util... Até mais.. -- Atenciosamente Paulo Henrique. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Robson Peripolli Rodrigues [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + 3 Links
2008/7/24 Robson Peripolli Rodrigues [EMAIL PROTECTED]: Certo, vo dar uma pesquisada sobre esse Routed. Já substituindo a opção modulate state por keep state continuou mesma coisa. Será que não uma solução para esse problema, e vou ter que ficar fazendo redirecionamento de portas? Problemas com bancos normalmente acontecem por utilização de IPs diferentes para uma mesma sessão da aplicação bancária. Duas dicas. 1- Verifica se o NAT não esta fazendo, para uma mesma interface usando aliases ou proxyarp, rotatividade de IPs. 2- Verifica se pacotes não iniciam a conexão em uma interface e depois saem por outra. Usa tcpdump nas três interfaces e verifica. Sobre suas regras: Vc não precisa colocar round-robin no route-to quando há apenas uma rota. É apenas por uma questão de simplicidade nas regras. Outra coisa, a mais importante que não havia percebido, falta keep state na suas regras de saída das interfaces WAN. Até e boa sorte -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF + 3 Links
Olá pessoal, quero ver se alguem pode me ajudar referente a gerenciar 3
links de 3 operadoras diferentes numa mesma maquina com PF. Meu cenario é o
seguinte, tenho 3 links e diversas subredes. Abaixo coloquei so tres como
exemplo, mas hoje as subredes que redireciono para os outros dois links que
não são as do gateway padrão da maquina, algumas paginas não abrem,
principalmente as de banco, sistemas dos governos ou paginas que usam alguma
outra porta. Sei que o certo seria fazer algum redirecionamento para sair
por esse link que esta atribuido o gateway da maquina mas eu precisava achar
uma solução mais concreta e definitiva. Precisava fazer eles sairem
totalmente por onde eu definir, sem redirecionamentos. Abaixo tem um exemplo
de como está meu firewall.
nat on $WAN from ativos_1 to any - WAN
nat on $WAN2 from ativos_2 to any - WAN2
nat on $WAN3 from ativos_3 to any - WAN3
pass in quick on $LAN route-to ($WAN3 $GW3 ) round-robin inet proto tcp from
10.13.0.0/16 to any flags S/SA modulate
pass in quick on $LAN route-to ($WAN3 $GW3 ) inet proto { udp, icmp } from
10.13.0.0/16 to any keep state
pass out on $WAN3 route-to ($WAN3 $GW3 ) from $WAN3 to any
pass in quick on $LAN route-to ($WAN2 $GW2) round-robin inet proto tcp from
10.12.0.0/16 to any flags S/SA modulate state
pass in quick on $LAN route-to ($WAN2 $GW2) inet proto { udp, icmp } from
10.12.0.0/16 to any keep state
pass out on $WAN2 route-to ($WAN2 $GW2) from $WAN2 to any
Se alguem tem alguma dica, ficarei muito grato, estou a tempos tentando
achar uma solução mas não consigo.
Obrigado.
--
Robson Peripolli Rodrigues
[EMAIL PROTECTED]
[EMAIL PROTECTED]
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + 3 Links
O firewall não consegue trabalhar a rota de pacotes que ele mesmo
cria, ou seja, syn-proxy, modulate state, pftpx, etc ..., vão sempre
sair pela rota padrão.
Experimente trocar o modulate state por keep state.
Abs
2008/7/23 Robson Peripolli Rodrigues [EMAIL PROTECTED]:
nat on $WAN from ativos_1 to any - WAN
nat on $WAN2 from ativos_2 to any - WAN2
nat on $WAN3 from ativos_3 to any - WAN3
pass in quick on $LAN route-to ($WAN3 $GW3 ) round-robin inet proto tcp from
10.13.0.0/16 to any flags S/SA modulate
pass in quick on $LAN route-to ($WAN3 $GW3 ) inet proto { udp, icmp } from
10.13.0.0/16 to any keep state
pass out on $WAN3 route-to ($WAN3 $GW3 ) from $WAN3 to any
pass in quick on $LAN route-to ($WAN2 $GW2) round-robin inet proto tcp from
10.12.0.0/16 to any flags S/SA modulate state
pass in quick on $LAN route-to ($WAN2 $GW2) inet proto { udp, icmp } from
10.12.0.0/16 to any keep state
pass out on $WAN2 route-to ($WAN2 $GW2) from $WAN2 to any
Se alguem tem alguma dica, ficarei muito grato, estou a tempos tentando
achar uma solução mas não consigo.
--
Aristeu Gil Alves Jr
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF+3 links adsl
Olá, Bom existe uma forma de se fazer isso, não vou detalhar muito para não fazer um copy past do autor do artigo :) http://stevenfettig.com/mythoughts/archives/000173.php Quem sabe não e possivel fazer isso com o trunk no OpenBSD? -- Rafael Floriano Sousa Sales Segurança da Informação Tompast IT Services e-mail: [EMAIL PROTECTED] +55-11-3207-2457 +55-11-8433-2281 Opa Rafael, No trunk a ideia eh um pouco diferente, voce não faz o balanceamento links (redes) diferentes, voce faz o balanceamento/failover _fisico_ da sua conexão. Voce não tem um IP por placa, voce tem um unico IP no trunk, porque na realidade voce tem uma unica rede onde seu gateway pode ser alcançado com dois (ou mais) meios fisicos diferentes (duas ethernets, duas wifi, uma wifi e uma ethernet ou qualquer outra configuração absurda que voce possa imaginar e o sistema suporte !). Quando todos (os links fisicos) estão funcionando, o uso do round-robin acaba agragando a banda dos links (links de diferentes capacidades podem criar problemas com o round-robin) e quando algum link falha o(s) outro(s) assume(m) completamente. Quem ja fez load balance nos ciscos da vida pode esperar o mesmo comportamento do trunk, embora em interfaces diferentes (V35 X Ethernet). Claro que se voce instalar uma placa WAN no OpenBSD, pronto... tchau (pra nunca mais) cisco... esta demorando pra isso aparecer no freebsd... abracos, luiz ___ freebsd mailing list freebsd@fug.com.br https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF+3 links adsl
eu consegui com dois :) mas fiz um gateway antes dos dsl, para nao ter que adivinhar os ips dos dsl. ( eu nao sei bulhufas de pf, so usei esse script com minimas alteracoes ). sim, nao sei se todos sabiam, mas o detalhe desse script eh voce adicionar uma rota para cada if. matheus --- Daniel Borges Quint�o [EMAIL PROTECTED] wrote: Boa noite a todos Pessoal, usando pf eu conseguiria realizar load balance + fail over de 3 links de internet (3 adsl) ? Seria usando o ex.: http://www.openbsd.org/faq/pf/pools.html#outgoing apenas adaptando para 3 interfaces ? Agrade�o toda ajuda. []'s Daniel Quint�o ___ freebsd mailing list freebsd@fug.com.br https://www.fug.com.br/mailman/listinfo/freebsd Throw off those chains of reason And your prison disappears. __ Do You Yahoo!? Tired of spam? Yahoo! Mail has the best spam protection around http://mail.yahoo.com ___ freebsd mailing list freebsd@fug.com.br https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF+3 links adsl
Olá, Bom existe uma forma de se fazer isso, não vou detalhar muito para não fazer um copy past do autor do artigo :) http://stevenfettig.com/mythoughts/archives/000173.php Quem sabe não e possivel fazer isso com o trunk no OpenBSD? -- Rafael Floriano Sousa Sales Segurança da Informação Tompast IT Services e-mail: [EMAIL PROTECTED] +55-11-3207-2457 +55-11-8433-2281 ___ freebsd mailing list freebsd@fug.com.br https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF+3 links adsl
Boa noite a todos Pessoal, usando pf eu conseguiria realizar load balance + fail over de 3 links de internet (3 adsl) ? Seria usando o ex.: http://www.openbsd.org/faq/pf/pools.html#outgoing apenas adaptando para 3 interfaces ? Agradeço toda ajuda. []'s Daniel Quintão ___ freebsd mailing list freebsd@fug.com.br https://www.fug.com.br/mailman/listinfo/freebsd
