Re: [FUG-BR] PF - iniciante com Openbsd
Pessoal, alguem pode dar uma força na minha pergunta abaixo que fiz pro Luiz? From: debia...@hotmail.com To: freebsd@fug.com.br Date: Thu, 3 Jun 2010 23:42:55 +0300 Subject: Re: [FUG-BR] PF - iniciante com Openbsd Luiz, avançando então. Agora permitindo tambem que a rede interna navegue na internet seria necessario somente um pass out como na regra abaixo? int_interna = ste0 int_externa = ste1 rede_interna = 192.168.1.0/24 nat on $int_externa from $rede_interna to any - $int_externa block all pass in on $int_interna proto tcp from $rede_interna to any port 22 pass out on $int_externa proto tcp from $rede_interna to any port { 53 80 } Date: Thu, 3 Jun 2010 20:17:24 +0100 From: luizgust...@luizgustavo.pro.br To: freebsd@fug.com.br Subject: Re: [FUG-BR] PF - iniciante com Openbsd Isso mesmo.. por isso PF é bem fácil de interpretar... é exatamente aquilo que você programa, claro, em inglês :p só atente para os detalhes de in e out de cada interface, dependendo de onde você esteje olhando (WAN ou LAN), o conceito muda Em 3 de junho de 2010 20:00, christiano alves debia...@hotmail.com escreveu: Luiz, obrigado pela força aí. Então interpretando: pass in on $int_interna proto tcp from $rede_interna to any port 22 permite entrar na $int_interna proto tcp vindo da $rede_interna para qualquer destino na porta 22 seria isso? Date: Thu, 3 Jun 2010 02:02:37 +0100 From: luizgust...@luizgustavo.pro.br To: freebsd@fug.com.br Subject: Re: [FUG-BR] PF - iniciante com Openbsd Vamos lá pass in on $int_interna proto tcp from $rede_interna port 22 to $int_interna port 22 keep state Fazendo uma tradução literal da regra: deixe passar o que estiver entrando na $int_interna com protocolo tcp o que vier da $rede_interna para $int_interna na porta 22 mantendo estado Veja bem... você liberou sua rede vindo da porta 22 para a propria interface interna na porta 22... tá bem louco isso hein... Pelo o que eu entendi, você quer liberar que os usuarios da sua rede interna possa usar ssh para fora ?, se for isso, seria algo assim: pass in on $int_interna proto tcp from $rede_interna to any port 22 Keep state já é padrão no Freebsd, não é necessário especificar. Pelo o que eu pude enxergar no seu email, talvez você tenha que pegar melhor como funciona os direcionamentos com o pf (in e out). é isso ai ! abraços Em 3 de junho de 2010 01:52, christiano alves debia...@hotmail.com escreveu: Boa noite a todos, sou novo com a utilização do pf. Ja estive lendo sobre ele (http://www.openbsd.org/faq/pf/pt/index.html) mas ainda não consegui criar uma regra. Gostaria da ajuda de voces! Vou começar do básico, gostaria apenas de liberar ssh para meu server. Fiz assim: int_interna = ste0 int_externa = ste1 rede_interna = 192.168.1.0/24 block all pass in on $int_interna proto tcp from $rede_interna port 22 to $int_interna port 22 keep state Não deveria deixar eu acessar a int_interna via ssh? _ NINGUÉM PRECISA SABER O QUE VOCÊ ESTÁ COMPRANDO. LEIA MAIS SOBRE ESSE ASSUNTO AQUI. http://www.microsoft.com/brasil/windows/internet-explorer/features/browse-privately.aspx?tabid=1catid=1WT.mc_id=1590 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 2642-3799 / 7582-0594 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd _ O INTERNET EXPLORER 8 TE AJUDA A FICAR PROTEGIDO DE FRAUDES NA WEB. LEIA MAIS AQUI. http://www.microsoft.com/brasil/windows/internet-explorer/features/dicas.aspx?tabid=1catid=1WT.mc_id=1589 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 2642-3799 / 7582-0594 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista
Re: [FUG-BR] PF - iniciante com Openbsd
Em 3 de junho de 2010 17:42, christiano alves debia...@hotmail.comescreveu: Luiz, avançando então. Agora permitindo tambem que a rede interna navegue na internet seria necessario somente um pass out como na regra abaixo? int_interna = ste0 int_externa = ste1 rede_interna = 192.168.1.0/24 nat on $int_externa from $rede_interna to any - $int_externa block all pass in on $int_interna proto tcp from $rede_interna to any port 22 pass out on $int_externa proto tcp from $rede_interna to any port { 53 80 } Nesse caso vc deve estar atento por que liberou somente os pacotes com protocolo TCP, seria interessante liberar os pacotes UDP para ter acesso aos servidores DNS. Não sei se de fato vc quer sua primeira regra sendo de política restritiva, normalmente vc deve ter uma certa experiência para trabalhar com esse tipo de política. Nessas regras que vc citou acima tem algumas falhas. Vou tentar corrigi-las tentando adivinhar sua necessidade não não está clara pra mim. Segue: int_interna = ste0 int_externa = ste1 rede_interna = 192.168.1.0/24 nat on $int_externa from $rede_interna to any - ($int_externa) block all pass in on $int_interna proto tcp from $rede_interna to any port { 53 22 80 } pass in on $int_interna proto udp from $rede_interna to any port 53 pass out on $int_externa proto tcp from $rede_interna to any port { 53 80 } pass out on $int_externa proto udp from $rede_interna to any port 53 Essas regras devem liberar o acesso a porta 22 oo firewall, tráfego chegando na interface interna, e liberando as portas 80 (http) e 53 (dns) para acesso à Internet. Lembre-se que você deve liberar o tráfego na entrada da interface interna e na saída da interface externa para que a rede interna acesse a Internet. Isso é facilitado com a utilização de tags, mas creio que de início seja mais interessante vc não utiliza-las para ter uma melhor compreensão das regras de filtragem. Não esqueça dos parênteses no final da regra de NAT, nesse caso ($int_externa) é o IP da sua interface interna. Sem os parênteses esse macro indicaria apenas a interface de rede. Espero ter ajudado. Gabriel Fonseca - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - iniciante com Openbsd
Ao meu ver, a melhor maneira de aprender a usar o PF é ler o FAQ (o que você já está fazendo) e usar e abusar dos logs nos seus testes. Como diria um amigo: seja um pacote e faça seu caminho pela rede. Em 2 de junho de 2010 21:52, christiano alves debia...@hotmail.comescreveu: Boa noite a todos, sou novo com a utilização do pf. Ja estive lendo sobre ele ( http://www.openbsd.org/faq/pf/pt/index.html) mas ainda não consegui criar uma regra. Gostaria da ajuda de voces! -- Mauricio Bonani mailto:mbon...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - iniciante com Openbsd
Luiz, obrigado pela força aí. Então interpretando: pass in on $int_interna proto tcp from $rede_interna to any port 22 permite entrar na $int_interna proto tcp vindo da $rede_interna para qualquer destino na porta 22 seria isso? Date: Thu, 3 Jun 2010 02:02:37 +0100 From: luizgust...@luizgustavo.pro.br To: freebsd@fug.com.br Subject: Re: [FUG-BR] PF - iniciante com Openbsd Vamos lá pass in on $int_interna proto tcp from $rede_interna port 22 to $int_interna port 22 keep state Fazendo uma tradução literal da regra: deixe passar o que estiver entrando na $int_interna com protocolo tcp o que vier da $rede_interna para $int_interna na porta 22 mantendo estado Veja bem... você liberou sua rede vindo da porta 22 para a propria interface interna na porta 22... tá bem louco isso hein... Pelo o que eu entendi, você quer liberar que os usuarios da sua rede interna possa usar ssh para fora ?, se for isso, seria algo assim: pass in on $int_interna proto tcp from $rede_interna to any port 22 Keep state já é padrão no Freebsd, não é necessário especificar. Pelo o que eu pude enxergar no seu email, talvez você tenha que pegar melhor como funciona os direcionamentos com o pf (in e out). é isso ai ! abraços Em 3 de junho de 2010 01:52, christiano alves debia...@hotmail.com escreveu: Boa noite a todos, sou novo com a utilização do pf. Ja estive lendo sobre ele (http://www.openbsd.org/faq/pf/pt/index.html) mas ainda não consegui criar uma regra. Gostaria da ajuda de voces! Vou começar do básico, gostaria apenas de liberar ssh para meu server. Fiz assim: int_interna = ste0 int_externa = ste1 rede_interna = 192.168.1.0/24 block all pass in on $int_interna proto tcp from $rede_interna port 22 to $int_interna port 22 keep state Não deveria deixar eu acessar a int_interna via ssh? _ NINGUÉM PRECISA SABER O QUE VOCÊ ESTÁ COMPRANDO. LEIA MAIS SOBRE ESSE ASSUNTO AQUI. http://www.microsoft.com/brasil/windows/internet-explorer/features/browse-privately.aspx?tabid=1catid=1WT.mc_id=1590 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 2642-3799 / 7582-0594 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd _ O INTERNET EXPLORER 8 TE AJUDA A FICAR PROTEGIDO DE FRAUDES NA WEB. LEIA MAIS AQUI. http://www.microsoft.com/brasil/windows/internet-explorer/features/dicas.aspx?tabid=1catid=1WT.mc_id=1589 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - iniciante com Openbsd
Isso mesmo.. por isso PF é bem fácil de interpretar... é exatamente aquilo que você programa, claro, em inglês :p só atente para os detalhes de in e out de cada interface, dependendo de onde você esteje olhando (WAN ou LAN), o conceito muda Em 3 de junho de 2010 20:00, christiano alves debia...@hotmail.com escreveu: Luiz, obrigado pela força aí. Então interpretando: pass in on $int_interna proto tcp from $rede_interna to any port 22 permite entrar na $int_interna proto tcp vindo da $rede_interna para qualquer destino na porta 22 seria isso? Date: Thu, 3 Jun 2010 02:02:37 +0100 From: luizgust...@luizgustavo.pro.br To: freebsd@fug.com.br Subject: Re: [FUG-BR] PF - iniciante com Openbsd Vamos lá pass in on $int_interna proto tcp from $rede_interna port 22 to $int_interna port 22 keep state Fazendo uma tradução literal da regra: deixe passar o que estiver entrando na $int_interna com protocolo tcp o que vier da $rede_interna para $int_interna na porta 22 mantendo estado Veja bem... você liberou sua rede vindo da porta 22 para a propria interface interna na porta 22... tá bem louco isso hein... Pelo o que eu entendi, você quer liberar que os usuarios da sua rede interna possa usar ssh para fora ?, se for isso, seria algo assim: pass in on $int_interna proto tcp from $rede_interna to any port 22 Keep state já é padrão no Freebsd, não é necessário especificar. Pelo o que eu pude enxergar no seu email, talvez você tenha que pegar melhor como funciona os direcionamentos com o pf (in e out). é isso ai ! abraços Em 3 de junho de 2010 01:52, christiano alves debia...@hotmail.com escreveu: Boa noite a todos, sou novo com a utilização do pf. Ja estive lendo sobre ele (http://www.openbsd.org/faq/pf/pt/index.html) mas ainda não consegui criar uma regra. Gostaria da ajuda de voces! Vou começar do básico, gostaria apenas de liberar ssh para meu server. Fiz assim: int_interna = ste0 int_externa = ste1 rede_interna = 192.168.1.0/24 block all pass in on $int_interna proto tcp from $rede_interna port 22 to $int_interna port 22 keep state Não deveria deixar eu acessar a int_interna via ssh? _ NINGUÉM PRECISA SABER O QUE VOCÊ ESTÁ COMPRANDO. LEIA MAIS SOBRE ESSE ASSUNTO AQUI. http://www.microsoft.com/brasil/windows/internet-explorer/features/browse-privately.aspx?tabid=1catid=1WT.mc_id=1590 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 2642-3799 / 7582-0594 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd _ O INTERNET EXPLORER 8 TE AJUDA A FICAR PROTEGIDO DE FRAUDES NA WEB. LEIA MAIS AQUI. http://www.microsoft.com/brasil/windows/internet-explorer/features/dicas.aspx?tabid=1catid=1WT.mc_id=1589 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 2642-3799 / 7582-0594 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - iniciante com Openbsd
Luiz, avançando então. Agora permitindo tambem que a rede interna navegue na internet seria necessario somente um pass out como na regra abaixo? int_interna = ste0 int_externa = ste1 rede_interna = 192.168.1.0/24 nat on $int_externa from $rede_interna to any - $int_externa block all pass in on $int_interna proto tcp from $rede_interna to any port 22 pass out on $int_externa proto tcp from $rede_interna to any port { 53 80 } Date: Thu, 3 Jun 2010 20:17:24 +0100 From: luizgust...@luizgustavo.pro.br To: freebsd@fug.com.br Subject: Re: [FUG-BR] PF - iniciante com Openbsd Isso mesmo.. por isso PF é bem fácil de interpretar... é exatamente aquilo que você programa, claro, em inglês :p só atente para os detalhes de in e out de cada interface, dependendo de onde você esteje olhando (WAN ou LAN), o conceito muda Em 3 de junho de 2010 20:00, christiano alves debia...@hotmail.com escreveu: Luiz, obrigado pela força aí. Então interpretando: pass in on $int_interna proto tcp from $rede_interna to any port 22 permite entrar na $int_interna proto tcp vindo da $rede_interna para qualquer destino na porta 22 seria isso? Date: Thu, 3 Jun 2010 02:02:37 +0100 From: luizgust...@luizgustavo.pro.br To: freebsd@fug.com.br Subject: Re: [FUG-BR] PF - iniciante com Openbsd Vamos lá pass in on $int_interna proto tcp from $rede_interna port 22 to $int_interna port 22 keep state Fazendo uma tradução literal da regra: deixe passar o que estiver entrando na $int_interna com protocolo tcp o que vier da $rede_interna para $int_interna na porta 22 mantendo estado Veja bem... você liberou sua rede vindo da porta 22 para a propria interface interna na porta 22... tá bem louco isso hein... Pelo o que eu entendi, você quer liberar que os usuarios da sua rede interna possa usar ssh para fora ?, se for isso, seria algo assim: pass in on $int_interna proto tcp from $rede_interna to any port 22 Keep state já é padrão no Freebsd, não é necessário especificar. Pelo o que eu pude enxergar no seu email, talvez você tenha que pegar melhor como funciona os direcionamentos com o pf (in e out). é isso ai ! abraços Em 3 de junho de 2010 01:52, christiano alves debia...@hotmail.com escreveu: Boa noite a todos, sou novo com a utilização do pf. Ja estive lendo sobre ele (http://www.openbsd.org/faq/pf/pt/index.html) mas ainda não consegui criar uma regra. Gostaria da ajuda de voces! Vou começar do básico, gostaria apenas de liberar ssh para meu server. Fiz assim: int_interna = ste0 int_externa = ste1 rede_interna = 192.168.1.0/24 block all pass in on $int_interna proto tcp from $rede_interna port 22 to $int_interna port 22 keep state Não deveria deixar eu acessar a int_interna via ssh? _ NINGUÉM PRECISA SABER O QUE VOCÊ ESTÁ COMPRANDO. LEIA MAIS SOBRE ESSE ASSUNTO AQUI. http://www.microsoft.com/brasil/windows/internet-explorer/features/browse-privately.aspx?tabid=1catid=1WT.mc_id=1590 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 2642-3799 / 7582-0594 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd _ O INTERNET EXPLORER 8 TE AJUDA A FICAR PROTEGIDO DE FRAUDES NA WEB. LEIA MAIS AQUI. http://www.microsoft.com/brasil/windows/internet-explorer/features/dicas.aspx?tabid=1catid=1WT.mc_id=1589 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 2642-3799 / 7582-0594 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd _ ACESSE O MESSENGER DO SEU CELULAR AGORA MESMO. CLIQUE E VEJA AQUI UM PASSO A PASSO. http://celular.windowslive.com.br/messenger.asp?produto=Messengerutm_source=Live_Hotmailutm_medium=Taglineutm_content=ACESSEOMES83utm_campaign
[FUG-BR] PF - iniciante com Openbsd
Boa noite a todos, sou novo com a utilização do pf. Ja estive lendo sobre ele (http://www.openbsd.org/faq/pf/pt/index.html) mas ainda não consegui criar uma regra. Gostaria da ajuda de voces! Vou começar do básico, gostaria apenas de liberar ssh para meu server. Fiz assim: int_interna = ste0 int_externa = ste1 rede_interna = 192.168.1.0/24 block all pass in on $int_interna proto tcp from $rede_interna port 22 to $int_interna port 22 keep state Não deveria deixar eu acessar a int_interna via ssh? _ NINGUÉM PRECISA SABER O QUE VOCÊ ESTÁ COMPRANDO. LEIA MAIS SOBRE ESSE ASSUNTO AQUI. http://www.microsoft.com/brasil/windows/internet-explorer/features/browse-privately.aspx?tabid=1catid=1WT.mc_id=1590 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - iniciante com Openbsd
Vamos lá pass in on $int_interna proto tcp from $rede_interna port 22 to $int_interna port 22 keep state Fazendo uma tradução literal da regra: deixe passar o que estiver entrando na $int_interna com protocolo tcp o que vier da $rede_interna para $int_interna na porta 22 mantendo estado Veja bem... você liberou sua rede vindo da porta 22 para a propria interface interna na porta 22... tá bem louco isso hein... Pelo o que eu entendi, você quer liberar que os usuarios da sua rede interna possa usar ssh para fora ?, se for isso, seria algo assim: pass in on $int_interna proto tcp from $rede_interna to any port 22 Keep state já é padrão no Freebsd, não é necessário especificar. Pelo o que eu pude enxergar no seu email, talvez você tenha que pegar melhor como funciona os direcionamentos com o pf (in e out). é isso ai ! abraços Em 3 de junho de 2010 01:52, christiano alves debia...@hotmail.com escreveu: Boa noite a todos, sou novo com a utilização do pf. Ja estive lendo sobre ele (http://www.openbsd.org/faq/pf/pt/index.html) mas ainda não consegui criar uma regra. Gostaria da ajuda de voces! Vou começar do básico, gostaria apenas de liberar ssh para meu server. Fiz assim: int_interna = ste0 int_externa = ste1 rede_interna = 192.168.1.0/24 block all pass in on $int_interna proto tcp from $rede_interna port 22 to $int_interna port 22 keep state Não deveria deixar eu acessar a int_interna via ssh? _ NINGUÉM PRECISA SABER O QUE VOCÊ ESTÁ COMPRANDO. LEIA MAIS SOBRE ESSE ASSUNTO AQUI. http://www.microsoft.com/brasil/windows/internet-explorer/features/browse-privately.aspx?tabid=1catid=1WT.mc_id=1590 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 2642-3799 / 7582-0594 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd