subject:"\[FUG\-BR\] RDR"

Re: [FUG-BR] rdr do pf para conexão entrante apenas

2012-06-27 Por tôpico Marcelo Gondim

Em 27/06/2012 21:05, Antônio Pessoa escreveu:
> Consegui visualizar mais ou menos sua rede (eu acho). Acredito que
> você esteja certo, essas conexões voltando não deveriam entrar no rdr.
> Mas uma dúvida: não seria mais simples criar mais um IP nessa
> interface e fazer esse redirecionamento somente nesse novo IP e deixar
> o IP do proxy apenas para o serviço do proxy? Não digo nem por esse
> problema, pois quero saber por que ele está acontecendo, falo isso
> para evitar mais problemas futuros.
>
Opa Antonio,

Sim com um IP só para o redirecionamento fica 100%. Mas realmente fico 
encucado com isso.
Por isso que estou tentando descobrir do porque disso acontecer e se tem 
solução real.  :)

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] rdr do pf para conexão entrante apenas

2012-06-27 Por tôpico Antônio Pessoa

Consegui visualizar mais ou menos sua rede (eu acho). Acredito que
você esteja certo, essas conexões voltando não deveriam entrar no rdr.
Mas uma dúvida: não seria mais simples criar mais um IP nessa
interface e fazer esse redirecionamento somente nesse novo IP e deixar
o IP do proxy apenas para o serviço do proxy? Não digo nem por esse
problema, pois quero saber por que ele está acontecendo, falo isso
para evitar mais problemas futuros.

-- 
Atenciosamente,

Antônio Pessoa
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] rdr do pf para conexão entrante apenas

2012-06-27 Por tôpico Marcelo Gondim

Em 27/06/2012 11:52, Luiz Gustavo escreveu:
> Em Qua, 2012-06-27 às 11:32 -0300, Marcelo Gondim escreveu:
>> Em 27/06/2012 11:21,gilli...@atriumsp.com.br  escreveu:
>>> 
>>>
>>> Olá Gondim bom dia.
>>>
>>> Não seria melhor você criar uma regra
>>> especifica para as portas dos serviços do seu PABX?
>>>
>>> Eu sempre evito
>>> criar regras muito genéricas.
>>>
>>> Você pode determinar conexões entrantes,
>>> como no exemplo:
>>>
>>> pass in on tl0 proto tcp from any to any port
>>> 5000:5500 rdr-to 192.168.1.20 port 6000
> Estranho porque o keep-state é padrão no pf desde do 6.x (se não me
> engano) e poderia sanar esse seu problema...
>
> mas de qualquer forma, porque não migra pra subversion ? é que o source
> do freebsd esta usando agora.
>
> http://www.freebsd.org/doc/en_US.ISO8859-1/articles/committers-guide/subversion-primer.html
>
>
opa Guga,

Ainda caio no mesmo problema. Saca só vou dar nome aos bois pra você ter 
uma idéia:


[ Central Tel. 192.168.8.252 ] <-> [ 192.168.8.253 Proxy 10.255.0.12 
] <--> Internet

Olhando agora para essa regra onde em0 é a interface com IP 10.255.0.12:

rdr on em0 proto tcp from any to 10.255.0.12 port 1:65535 -> 
192.168.8.252

Com a regra acima qualquer conexão tcp no IP 10.255.0.12 porta dentro do 
range entre 1 e 65535 é redirecionado para a mesma porta no 
192.168.8.252. Até aqui show de bola e funciona como esperado. Agora se 
estou no meu notebook atrás desse proxy tentando acessar os sites eu não 
consigo. Para funcionar preciso colocar a seguinte regra antes da de cima:

no rdr on $ext_if proto tcp from any port < 1024 to 10.255.0.12

Ficando assim:

no rdr on em0 proto tcp from any port < 1024 to 10.255.0.12
rdr on em0 proto tcp from any to 10.255.0.12 port 1:65535 -> 
192.168.8.252

Desse jeito o proxy funciona porque estou dizendo para não redirecionar 
pacotes cuja porta origem seja menor que 1024. Se eu removo a primeira 
regra babau a navegação. Só posso deduzir que seja por causa da nova 
regra da Central.
Na minha concepção pacotes retornados de uma conexão feita pelo proxy 
não deveriam entrar nesse redirect. Estou correto?  :)

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] rdr do pf para conexão entrante apenas

2012-06-27 Por tôpico Luiz Gustavo

Em Qua, 2012-06-27 às 11:32 -0300, Marcelo Gondim escreveu:
> Em 27/06/2012 11:21, gilli...@atriumsp.com.br escreveu:
> >
> >
> > Olá Gondim bom dia.
> >
> > Não seria melhor você criar uma regra
> > especifica para as portas dos serviços do seu PABX?
> >
> > Eu sempre evito
> > criar regras muito genéricas.
> >
> > Você pode determinar conexões entrantes,
> > como no exemplo:
> >
> > pass in on tl0 proto tcp from any to any port
> > 5000:5500 rdr-to 192.168.1.20 port 6000
> 

Estranho porque o keep-state é padrão no pf desde do 6.x (se não me
engano) e poderia sanar esse seu problema...

mas de qualquer forma, porque não migra pra subversion ? é que o source
do freebsd esta usando agora.

http://www.freebsd.org/doc/en_US.ISO8859-1/articles/committers-guide/subversion-primer.html


-- 
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: cont...@mundounix.com.br
Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
Blog: http://www.luizgustavo.pro.br

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] rdr do pf para conexão entrante apenas

2012-06-27 Por tôpico Marcelo Gondim

Em 27/06/2012 11:21, gilli...@atriumsp.com.br escreveu:
>
>
> Olá Gondim bom dia.
>
> Não seria melhor você criar uma regra
> especifica para as portas dos serviços do seu PABX?
>
> Eu sempre evito
> criar regras muito genéricas.
>
> Você pode determinar conexões entrantes,
> como no exemplo:
>
> pass in on tl0 proto tcp from any to any port
> 5000:5500 rdr-to 192.168.1.20 port 6000

Pois é mas esse foi o range solicitado pelo técnico da Central por causa 
do VoIP que segundo ele na hora de transferir uma chamada ele gera uma 
porta desse range na comunicação.
Também gostaria muito de especificar.  ;)

Mas mesmo especificando ainda existe o problema porque vamos dizer que 
por um acaso o destino resolva na hora do csup tentar usar a mesma porta 
pra saída da conexão, aí ainda sim o retorno cairia  no rdr e nessa hora 
falharia a conexão. Queria realmente encontrar uma solução para conexões 
entrantes no rdr do PF.
Isso se agrava porque nessa mesma máquina tem um proxy e devido à isso 
as chances de ser gerada uma porta de saída igual à do rdr é muito maior.

>
> Segue o link:
> http://www.openbsd.org/faq/pf/pt/rdr.html [3]

Vou dar uma olhada nesse link. :)  valeu.

>
> Abs
>
> Gilliatt
>
> On
> Wed, 27 Jun 2012 10:25:38 -0300, Marcelo Gondim wrote:
>
>> Essa aqui é
> para os mais antigos no PF. :)
>> Pessoal eu tenho essas regras abaixo
> por causa de uma central telefônica
>> aqui interno. Sendo que acontece
> o seguinte: desse servidor freebsd se
>> eu tento fazer um csup dos
> fontes não rola porque as portas geradas de
>> saída estão acima de
> 1 por default:
>> net.inet.ip.portrange.last: 65535
>>
> net.inet.ip.portrange.first: 1
>> Mudando as confs acima para
> começar em 1024 e a última ser  funciona
>> mas não queria fazer
> isso. Tudo ocorre porque a resposta para o csup
>> está batendo nas
> regras abaixo e sendo redirecionadas para o servidor
>> 192.168.8.252.
> Eu tenho como fazer as regras abaixo para somente novas
>> conexões
> entrantes ? No Netfilter/IPTables por exemplo isso é padrão
>> para
> novas conexões mas acredito que no PF também exista alguma maneira
>> do
> retorno de uma conexão não caír nas regras de rdr.
>> rdr on $ext_if
> proto udp from any to 10.255.0.12 port 1:65535 ->
>> 192.168.8.252
>>
> rdr on $ext_if proto tcp from any to 10.255.0.12 port 1:65535 ->
> 192.168.8.252
>> Grande abraço à todos
>>
>> Gondim
>>
> -
>> Histórico:
> http://www.fug.com.br/historico/html/freebsd/ [1]
>> Sair da lista:
> https://www.fug.com.br/mailman/listinfo/freebsd [2]
>
>   
>
>
> Links:
> --
> [1] http://www.fug.com.br/historico/html/freebsd/
> [2]
> https://www.fug.com.br/mailman/listinfo/freebsd
> [3]
> http://www.openbsd.org/faq/pf/pt/rdr.html
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] rdr do pf para conexão entrante apenas

2012-06-27 Por tôpico gilliatt

  

Olá Gondim bom dia. 

Não seria melhor você criar uma regra
especifica para as portas dos serviços do seu PABX? 

Eu sempre evito
criar regras muito genéricas. 

Você pode determinar conexões entrantes,
como no exemplo:  

pass in on tl0 proto tcp from any to any port
5000:5500 rdr-to 192.168.1.20 port 6000 

Segue o link:
http://www.openbsd.org/faq/pf/pt/rdr.html [3] 

Abs 

Gilliatt  

On
Wed, 27 Jun 2012 10:25:38 -0300, Marcelo Gondim wrote: 

> Essa aqui é
para os mais antigos no PF. :)
> 
> Pessoal eu tenho essas regras abaixo
por causa de uma central telefônica 
> aqui interno. Sendo que acontece
o seguinte: desse servidor freebsd se 
> eu tento fazer um csup dos
fontes não rola porque as portas geradas de 
> saída estão acima de
1 por default:
> 
> net.inet.ip.portrange.last: 65535
>
net.inet.ip.portrange.first: 1
> 
> Mudando as confs acima para
começar em 1024 e a última ser  funciona 
> mas não queria fazer
isso. Tudo ocorre porque a resposta para o csup 
> está batendo nas
regras abaixo e sendo redirecionadas para o servidor 
> 192.168.8.252.
Eu tenho como fazer as regras abaixo para somente novas 
> conexões
entrantes ? No Netfilter/IPTables por exemplo isso é padrão 
> para
novas conexões mas acredito que no PF também exista alguma maneira 
> do
retorno de uma conexão não caír nas regras de rdr.
> 
> rdr on $ext_if
proto udp from any to 10.255.0.12 port 1:65535 -> 
> 192.168.8.252
>
rdr on $ext_if proto tcp from any to 10.255.0.12 port 1:65535 -> 
>
192.168.8.252
> 
> Grande abraço à todos
> 
> Gondim
>
-
> Histórico:
http://www.fug.com.br/historico/html/freebsd/ [1]
> Sair da lista:
https://www.fug.com.br/mailman/listinfo/freebsd [2]

 


Links:
--
[1] http://www.fug.com.br/historico/html/freebsd/
[2]
https://www.fug.com.br/mailman/listinfo/freebsd
[3]
http://www.openbsd.org/faq/pf/pt/rdr.html
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] rdr do pf para conexão entrante apenas

2012-06-27 Por tôpico Marcelo Gondim

Essa aqui é para os mais antigos no PF.  :)

Pessoal eu tenho essas regras abaixo por causa de uma central telefônica 
aqui interno. Sendo que acontece o seguinte: desse servidor freebsd se 
eu tento fazer um csup dos fontes não rola porque as portas geradas de 
saída estão acima de 1 por default:

net.inet.ip.portrange.last: 65535
net.inet.ip.portrange.first: 1

Mudando as confs acima para começar em 1024 e a última ser  funciona 
mas não queria fazer isso. Tudo ocorre porque a resposta para o csup 
está batendo nas regras abaixo e sendo redirecionadas para o servidor 
192.168.8.252. Eu tenho como fazer as regras abaixo para somente novas 
conexões entrantes ? No Netfilter/IPTables por exemplo isso é padrão 
para novas conexões mas acredito que no PF também exista alguma maneira 
do retorno de uma conexão não caír nas regras de rdr.

rdr on $ext_if proto udp from any to 10.255.0.12 port 1:65535 -> 
192.168.8.252
rdr on $ext_if proto tcp from any to 10.255.0.12 port 1:65535 -> 
192.168.8.252

Grande abraço à todos

Gondim
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RDR porta específica com PF (RESOLVID O)

2010-10-08 Por tôpico Enio Marconcini # www.Enio.Pro.Br

2010/10/8 Renato Botelho 

> 2010/10/8 Enio Marconcini # www.Enio.Pro.Br :
> > pessoal, na rede eu já tenho um rdr pra redirecionar o fluxo da porta
> 3050
> > para o banco de dados
> >
> > porém agora uma outra aplicação, tambem usando a porta 3050, só que esta
> > deve conectar em outro servidor,
> >
> > então, no cliente eu configurei, a porta 3051, quando esta chega ao fw,
> era
> > pra ser redirecionada a porta 3050 deste outro servidor
> >
> > uma regra assim de PF
> >
> > # rdr´s e nat
> > rdr on $nic inet proto tcp from  to any port 3050 tag BANCO1 ->
> > $ip_srv_1
> > (essa já funciona)
> >
> > rdr on $nic inet proto tcp from  to any port 3051 tag BANCO2 ->
> > $ip_srv_2 port 3050
> > (essa não vai)
>
> Experimente colocar um parametro pass nessa regra
>
> rdr pass on $nic inet proto tcp from  to any port 3051 ->
> $ip_srv_2 port 3050
>
> Dessa maneira você não precisa do tag e nem das regras abaixo
>
> > # filter rules
> > pass quick tagged BANCO1 flags S/SA
> > pass quick tagged BANCO2 flags S/SA
>
> --
> Renato Botelho
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


Renatão, resolvido, bastou uma relida naqueles emails com uma conversação
que tivemos onde você me explicou sobre roteamento, lembra?

rastreei o erro aqui com um simples traceroute

pois o servidor com o banco, não conhece a rede dos clientes, mas o gw dos
clientes conhece o ip do banco

quando a conexão chegava, a partir do gw dos clientes, direto ao banco, este
mandava para o seu gw, o outro, então já deu pra imaginar

abraços

-- 
ENIO RODRIGO MARCONCINI
gtalk: eni...@gmail.com
skype: eniorm
msn: /dev/null

.: FreeBSD -:- OpenBSD -:-Slackware Linux :.
Have trouble with Windows - reboot!
Have trouble with Unix - be root!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RDR porta específica com PF

2010-10-08 Por tôpico Enio Marconcini # www.Enio.Pro.Br

2010/10/8 Renato Botelho 

> 2010/10/8 Enio Marconcini # www.Enio.Pro.Br :
> > pessoal, na rede eu já tenho um rdr pra redirecionar o fluxo da porta
> 3050
> > para o banco de dados
> >
> > porém agora uma outra aplicação, tambem usando a porta 3050, só que esta
> > deve conectar em outro servidor,
> >
> > então, no cliente eu configurei, a porta 3051, quando esta chega ao fw,
> era
> > pra ser redirecionada a porta 3050 deste outro servidor
> >
> > uma regra assim de PF
> >
> > # rdr´s e nat
> > rdr on $nic inet proto tcp from  to any port 3050 tag BANCO1 ->
> > $ip_srv_1
> > (essa já funciona)
> >
> > rdr on $nic inet proto tcp from  to any port 3051 tag BANCO2 ->
> > $ip_srv_2 port 3050
> > (essa não vai)
>
> Experimente colocar um parametro pass nessa regra
>
> rdr pass on $nic inet proto tcp from  to any port 3051 ->
> $ip_srv_2 port 3050
>
> Dessa maneira você não precisa do tag e nem das regras abaixo
>
> > # filter rules
> > pass quick tagged BANCO1 flags S/SA
> > pass quick tagged BANCO2 flags S/SA
>
> --
> Renato Botelho
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


Renatão, fiz isso, eu geralmente uso o tag, pra poder aplicar os flags, mas
segui como voce mencionou, fica na mesma

problema no programa não é, pois na rede local onde eu nao preciso
redirecionar nada, funciona...

só pra especificar. o gateway onde recebe o trafego dessa rede, possui
um ip na mesma rede onde está esse banco de dados, eu até consigo pingar
direto de uma rede para outra, e do servidor de banco, eu pingo também o
cliente...

então eu tenho uma topologia mais ou menos assim


gw principal
||-- primeiro srv banco
|
|switch|
|
|
|--- segundo srv banco
|
|--- gw secundario
   |- rede clientes onde tenho o rdr para o primeiro banco
   nessa rede eu tento fazer outro rdr para o segundo
srv banco


-- 
ENIO RODRIGO MARCONCINI
gtalk: eni...@gmail.com
skype: eniorm
msn: /dev/null

.: FreeBSD -:- OpenBSD -:-Slackware Linux :.
Have trouble with Windows - reboot!
Have trouble with Unix - be root!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RDR porta específica com PF

2010-10-08 Por tôpico Renato Botelho

2010/10/8 Enio Marconcini # www.Enio.Pro.Br :
> pessoal, na rede eu já tenho um rdr pra redirecionar o fluxo da porta 3050
> para o banco de dados
>
> porém agora uma outra aplicação, tambem usando a porta 3050, só que esta
> deve conectar em outro servidor,
>
> então, no cliente eu configurei, a porta 3051, quando esta chega ao fw, era
> pra ser redirecionada a porta 3050 deste outro servidor
>
> uma regra assim de PF
>
> # rdr´s e nat
> rdr on $nic inet proto tcp from  to any port 3050 tag BANCO1 ->
> $ip_srv_1
> (essa já funciona)
>
> rdr on $nic inet proto tcp from  to any port 3051 tag BANCO2 ->
> $ip_srv_2 port 3050
> (essa não vai)

Experimente colocar um parametro pass nessa regra

rdr pass on $nic inet proto tcp from  to any port 3051 ->
$ip_srv_2 port 3050

Dessa maneira você não precisa do tag e nem das regras abaixo

> # filter rules
> pass quick tagged BANCO1 flags S/SA
> pass quick tagged BANCO2 flags S/SA

-- 
Renato Botelho
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RDR porta específica com PF

2010-10-08 Por tôpico Enio Marconcini # www.Enio.Pro.Br

2010/10/8 Enio Marconcini # www.Enio.Pro.Br 

> pessoal, na rede eu já tenho um rdr pra redirecionar o fluxo da porta 3050
> para o banco de dados
>
> porém agora uma outra aplicação, tambem usando a porta 3050, só que esta
> deve conectar em outro servidor,
>
> então, no cliente eu configurei, a porta 3051, quando esta chega ao fw, era
> pra ser redirecionada a porta 3050 deste outro servidor
>
> uma regra assim de PF
>
> # rdr´s e nat
> rdr on $nic inet proto tcp from  to any port 3050 tag BANCO1 ->
> $ip_srv_1
> (essa já funciona)
>
> rdr on $nic inet proto tcp from  to any port 3051 tag BANCO2 ->
> $ip_srv_2 port 3050
> (essa não vai)
>
> # filter rules
> pass quick tagged BANCO1 flags S/SA
> pass quick tagged BANCO2 flags S/SA
>
> no pass, acrescentei o log(all) pra rastrear com tcpdump, mas não apareceu
> nada.
>
> FreeBSD 7.3-Stable
>
> --
> ENIO RODRIGO MARCONCINI
> gtalk: eni...@gmail.com
> skype: eniorm
> msn: /dev/null
>
> .: FreeBSD -:- OpenBSD -:-Slackware Linux :.
> Have trouble with Windows - reboot!
> Have trouble with Unix - be root!
>



complementando, o log(all) aparece sim

00 rule 6/0(match): pass in on xl1: 10.10.3.148.1224 > 192.168.0.9.3050:
[|tcp]
26 rule 6/0(match): pass out on xl0: 10.10.3.148.1224 >
192.168.0.9.3050: [|tcp]
000163 rule 6/0(match): pass in on xl0: 192.168.0.9.3050 > 10.10.3.148.1224:
[|tcp]
08 rule 6/0(match): pass out on xl1: 10.10.3.129.3051 >
10.10.3.148.1224: [|tcp]
001219 rule 6/0(match): pass in on xl1: 10.10.3.148.1224 > 192.168.0.9.3050:
[|tcp]
06 rule 6/0(match): pass out on xl0: 10.10.3.148.1224 >
192.168.0.9.3050: [|tcp]
000336 rule 6/0(match): pass in on xl1: 10.10.3.148.1224 > 192.168.0.9.3050:
[|tcp]
06 rule 6/0(match): pass out on xl0: 10.10.3.148.1224 >
192.168.0.9.3050:  tcp 128 [bad hdr length 0 - too short, < 20]
2. 986598 rule 6/0(match): pass in on xl1: 10.10.3.148.1224 >
192.168.0.9.3050: [|tcp]
12 rule 6/0(match): pass out on xl0: 10.10.3.148.1224 >
192.168.0.9.3050: [|tcp]
6. 015711 rule 6/0(match): pass in on xl1: 10.10.3.148.1224 >
192.168.0.9.3050: [|tcp]
12 rule 6/0(match): pass out on xl0: 10.10.3.148.1224 >
192.168.0.9.3050: [|tcp]
12. 031578 rule 6/0(match): pass in on xl1: 10.10.3.148.1224 >
192.168.0.9.3050: [|tcp]
13 rule 6/0(match): pass out on xl0: 10.10.3.148.1224 >
192.168.0.9.3050: [|tcp]
12. 031531 rule 6/0(match): pass in on xl1: 10.10.3.148.1224 >
192.168.0.9.3050: [|tcp]
12 rule 6/0(match): pass out on xl0: 10.10.3.148.1224 >
192.168.0.9.3050: [|tcp]

confiro pelo netstat -an tanto no gw como no servidor com o banco, aparece
as conexões mas o programa não abre

-- 
ENIO RODRIGO MARCONCINI
gtalk: eni...@gmail.com
skype: eniorm
msn: /dev/null

.: FreeBSD -:- OpenBSD -:-Slackware Linux :.
Have trouble with Windows - reboot!
Have trouble with Unix - be root!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] RDR porta específica com PF

2010-10-08 Por tôpico Enio Marconcini # www.Enio.Pro.Br

pessoal, na rede eu já tenho um rdr pra redirecionar o fluxo da porta 3050
para o banco de dados

porém agora uma outra aplicação, tambem usando a porta 3050, só que esta
deve conectar em outro servidor,

então, no cliente eu configurei, a porta 3051, quando esta chega ao fw, era
pra ser redirecionada a porta 3050 deste outro servidor

uma regra assim de PF

# rdr´s e nat
rdr on $nic inet proto tcp from  to any port 3050 tag BANCO1 ->
$ip_srv_1
(essa já funciona)

rdr on $nic inet proto tcp from  to any port 3051 tag BANCO2 ->
$ip_srv_2 port 3050
(essa não vai)

# filter rules
pass quick tagged BANCO1 flags S/SA
pass quick tagged BANCO2 flags S/SA

no pass, acrescentei o log(all) pra rastrear com tcpdump, mas não apareceu
nada.

FreeBSD 7.3-Stable

-- 
ENIO RODRIGO MARCONCINI
gtalk: eni...@gmail.com
skype: eniorm
msn: /dev/null

.: FreeBSD -:- OpenBSD -:-Slackware Linux :.
Have trouble with Windows - reboot!
Have trouble with Unix - be root!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] rdr no pf

2007-07-23 Por tôpico Lincon Peretto

Funcionou,o problema tava no gatewayvalew pela ajuda...

[]'s

Em 23/07/07, Welkson Renny de Medeiros<[EMAIL PROTECTED]> escreveu:
> Aqui também uso sistemas de câmera e com acesso pela web... Geovision...
> tive o mesmo problema com o rdr... mas no meu caso é porque a máquina da
> câmera não estava com o gateway setado para o freebsd... quando coloquei o
> gateway a máquina funcionou... bem estranho já que a máquina da câmera e o
> freebsd estão na mesma rede... mas vi que só funciona nessas condições...
> até com outros programas, como os de acesso remoto (vnc/radmin).
>
> As regras estão realmente corretas... no meu não tem esse round-robin...
>
> # Geovision (MultPoint)
> rdr on sis0 proto tcp from any to any port 81 -> \
>192.168.0.111
> rdr on sis0 proto tcp from any to any port 4550 -> \
>192.168.0.111
> rdr on sis0 proto tcp from any to any port 5550 -> \
>192.168.0.111
>
>
> Sem mais,
>
>
> --
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> [EMAIL PROTECTED]
>
>
>
>   Powered by 
>
>(__)
> \\\'',)
>   \/  \ ^
>   .\._/_)
>
>   www.FreeBSD.org
>
>
>
> - Original Message -
> From: "Lutieri G." <[EMAIL PROTECTED]>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> 
> Sent: Monday, July 23, 2007 7:59 AM
> Subject: Re: [FUG-BR] rdr no pf
>
>
> parecem estar certas as regras de rdr. qual o problema!?
>
> Em 22/07/07, Thiago J. Ruiz<[EMAIL PROTECTED]> escreveu:
> > http://www.openbsd.org/faq/pf/index.html
> >
> > []´z
> >
> >
> > Em 21/07/07, Lincon Peretto<[EMAIL PROTECTED]> escreveu:
> > > Boa noite a todos,
> > >
> > > Sou novo no FreeBSD e gostaria de uma ajuda com o seguinte
> > > problematenho um firewall em PF e preciso liberar acesso externo
> > > para algumas câmeras que tenho na empresa. Dentro da minha rede local
> > > está funcionando perfeitamente e para isso me conecto através de um
> > > programa que veio com o equipamento.
> > >
> > > Ele utiliza o IP 192.168.1.100 e as seguintes portas 5000 e 5001.
> > >
> > > Olhei o histórico da lista e acrescentei o seguinte no meu pf.conf
> > >
> > > rdr on $ETH_EXT proto tcp from any to any port 5000 -> 192.168.1.100
> > > rdr on $ETH_EXT proto tcp from any to any port 5001 -> 192.168.1.100
> > > round-robin sticky-address
> > >
> > > Se alguém puder me ajudar serei muito grato...
> > >
> > > []'s
> > > -
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> >
> > --
> > Thiago J. Ruiz
> > http://thiagoruiz.blogspot.com
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
> --
> Att.
> Lutieri G. B.
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] rdr no pf

2007-07-23 Por tôpico Welkson Renny de Medeiros

Aqui também uso sistemas de câmera e com acesso pela web... Geovision... 
tive o mesmo problema com o rdr... mas no meu caso é porque a máquina da 
câmera não estava com o gateway setado para o freebsd... quando coloquei o 
gateway a máquina funcionou... bem estranho já que a máquina da câmera e o 
freebsd estão na mesma rede... mas vi que só funciona nessas condições... 
até com outros programas, como os de acesso remoto (vnc/radmin).

As regras estão realmente corretas... no meu não tem esse round-robin...

# Geovision (MultPoint)
rdr on sis0 proto tcp from any to any port 81 -> \
   192.168.0.111
rdr on sis0 proto tcp from any to any port 4550 -> \
   192.168.0.111
rdr on sis0 proto tcp from any to any port 5550 -> \
   192.168.0.111


Sem mais,


-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
[EMAIL PROTECTED]



  Powered by 

   (__)
\\\'',)
  \/  \ ^
  .\._/_)

  www.FreeBSD.org



- Original Message - 
From: "Lutieri G." <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Monday, July 23, 2007 7:59 AM
Subject: Re: [FUG-BR] rdr no pf


parecem estar certas as regras de rdr. qual o problema!?

Em 22/07/07, Thiago J. Ruiz<[EMAIL PROTECTED]> escreveu:
> http://www.openbsd.org/faq/pf/index.html
>
> []´z
>
>
> Em 21/07/07, Lincon Peretto<[EMAIL PROTECTED]> escreveu:
> > Boa noite a todos,
> >
> > Sou novo no FreeBSD e gostaria de uma ajuda com o seguinte
> > problematenho um firewall em PF e preciso liberar acesso externo
> > para algumas câmeras que tenho na empresa. Dentro da minha rede local
> > está funcionando perfeitamente e para isso me conecto através de um
> > programa que veio com o equipamento.
> >
> > Ele utiliza o IP 192.168.1.100 e as seguintes portas 5000 e 5001.
> >
> > Olhei o histórico da lista e acrescentei o seguinte no meu pf.conf
> >
> > rdr on $ETH_EXT proto tcp from any to any port 5000 -> 192.168.1.100
> > rdr on $ETH_EXT proto tcp from any to any port 5001 -> 192.168.1.100
> > round-robin sticky-address
> >
> > Se alguém puder me ajudar serei muito grato...
> >
> > []'s
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
> --
> Thiago J. Ruiz
> http://thiagoruiz.blogspot.com
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


-- 
Att.
Lutieri G. B.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] rdr no pf

2007-07-23 Por tôpico Lutieri G.

parecem estar certas as regras de rdr. qual o problema!?

Em 22/07/07, Thiago J. Ruiz<[EMAIL PROTECTED]> escreveu:
> http://www.openbsd.org/faq/pf/index.html
>
> []´z
>
>
> Em 21/07/07, Lincon Peretto<[EMAIL PROTECTED]> escreveu:
> > Boa noite a todos,
> >
> > Sou novo no FreeBSD e gostaria de uma ajuda com o seguinte
> > problematenho um firewall em PF e preciso liberar acesso externo
> > para algumas câmeras que tenho na empresa. Dentro da minha rede local
> > está funcionando perfeitamente e para isso me conecto através de um
> > programa que veio com o equipamento.
> >
> > Ele utiliza o IP 192.168.1.100 e as seguintes portas 5000 e 5001.
> >
> > Olhei o histórico da lista e acrescentei o seguinte no meu pf.conf
> >
> > rdr on $ETH_EXT proto tcp from any to any port 5000 -> 192.168.1.100
> > rdr on $ETH_EXT proto tcp from any to any port 5001 -> 192.168.1.100
> > round-robin sticky-address
> >
> > Se alguém puder me ajudar serei muito grato...
> >
> > []'s
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
> --
> Thiago J. Ruiz
> http://thiagoruiz.blogspot.com
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


-- 
Att.
Lutieri G. B.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] rdr no pf

2007-07-22 Por tôpico Thiago J. Ruiz

http://www.openbsd.org/faq/pf/index.html

[]´z


Em 21/07/07, Lincon Peretto<[EMAIL PROTECTED]> escreveu:
> Boa noite a todos,
>
> Sou novo no FreeBSD e gostaria de uma ajuda com o seguinte
> problematenho um firewall em PF e preciso liberar acesso externo
> para algumas câmeras que tenho na empresa. Dentro da minha rede local
> está funcionando perfeitamente e para isso me conecto através de um
> programa que veio com o equipamento.
>
> Ele utiliza o IP 192.168.1.100 e as seguintes portas 5000 e 5001.
>
> Olhei o histórico da lista e acrescentei o seguinte no meu pf.conf
>
> rdr on $ETH_EXT proto tcp from any to any port 5000 -> 192.168.1.100
> rdr on $ETH_EXT proto tcp from any to any port 5001 -> 192.168.1.100
> round-robin sticky-address
>
> Se alguém puder me ajudar serei muito grato...
>
> []'s
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


-- 
Thiago J. Ruiz
http://thiagoruiz.blogspot.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] rdr no pf

2007-07-21 Por tôpico Lincon Peretto

Boa noite a todos,

Sou novo no FreeBSD e gostaria de uma ajuda com o seguinte
problematenho um firewall em PF e preciso liberar acesso externo
para algumas câmeras que tenho na empresa. Dentro da minha rede local
está funcionando perfeitamente e para isso me conecto através de um
programa que veio com o equipamento.

Ele utiliza o IP 192.168.1.100 e as seguintes portas 5000 e 5001.

Olhei o histórico da lista e acrescentei o seguinte no meu pf.conf

rdr on $ETH_EXT proto tcp from any to any port 5000 -> 192.168.1.100
rdr on $ETH_EXT proto tcp from any to any port 5001 -> 192.168.1.100
round-robin sticky-address

Se alguém puder me ajudar serei muito grato...

[]'s
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RDR no PF

2007-06-27 Por tôpico Joao Victor da Costa

Amigos,
 o ftp como todos sabem (ou deveriam) não funciona bem atrás de nat.
Será necessario configurar o ftp-proxy na porta 21 da maquina de
firewall e mais os anchors on-the-fly.

Neste caso, o firewall deve redirecionar tráfego para o servidor FTP
além de não bloquear as portas necessárias. Para conseguir isto,
voltamos para o ftp-proxy(8).

O ftp-proxy(8) pode rodar em um modo que faz com que ele redirecione
todas as conexões FTP para um servidor FTP específico. Basicamente
configuramos o proxy para escutar na porta 21 no firewall e
redirecionamos todas as conexões de volta para o servidor.
Edite o /etc/rc.conf e adicione o seguinte:
inetd_enable="YES"
inetd_flags="-wW -C 60"
Aqui ativamos o servidor inetd. Agora precisamos
incializa-lo :
/etc/rc.d/inetd start   

  Edite o arquivo /etc/inetd.conf e adicione ao final do arquivo a seguinte 
linha :
ftp stream  tcp nowait  root/usr/libexec/ftp-proxy
ftp-proxy -R 10.10.10.1:21 -a 192.168.0.1
Aqui 10.10.10.1 é o endereço IP do atual servidor FTP, 21 é a porta para
onde queremos que o ftp-proxy(8) redirecione as conexões e 192.168.0.1 é
o endereço no firewall para o proxy (endereço externo).

Agora para as regras pf.conf:

ext_ip = "192.168.0.1"
ftp_ip = "10.10.10.1"

nat-anchor "ftp-proxy/*"
nat on $ext_if inet from $int_if -> ($ext_if)
rdr-anchor "ftp-proxy/*"

pass in on $ext_if inet proto tcp to $ext_ip port 21 \
flags S/SA keep state
pass out on $int_if inet proto tcp to $ftp_ip port 21 \
user proxy flags S/SA keep state
anchor "ftp-proxy/*"

Aqui nós permitimos a conexão para a porta 21 na interface externa bem
como a conexão de saída correspondente para o servidor FTP. O üser
proxy" na regra de saída garante que apenas as conexões iniciadas pelo
ftp-proxy(8) sejam permitidas.

Note que se você quer rodar o ftp-proxy(8) para proteger um servidor FTP
bem como permitir clientes fazer FTP para fora do firewall, duas
instâncias do ftp-proxy serão necessarias.

Referencia: http://www.openbsd.org/faq/pf/pt/ftp.html

[]'s.

On Wed, 2007-06-27 at 10:51 +, Alessandro de Souza Rocha wrote:
> Em 26/06/07, Lutieri G.<[EMAIL PROTECTED]> escreveu:
> > Eu já encontrei o problema era a máquina com o serviço de ftp que
> > estava com o default gateway errado. Mas já testei e não funciona rdr
> > PASS. até há algum tempo havíamos discutido isso na lista.
> >
> >
> > obrigado a todos!
> >
> > Em 26/06/07, Thiago J. Ruiz<[EMAIL PROTECTED]> escreveu:
> > > experimenta
> > >
> > > rdr pass on .
> > >
> > > gera mantem o estado automaticamente liberando a inda e a vinda da conexao
> > >
> > >
> > > (Se eu estiver falando groselha me corrijam), mas pra mim funciona em
> > > vários servidores.
> > >
> > > abraço
> > >
> > > Em 26/06/07, Lutieri G.<[EMAIL PROTECTED]> escreveu:
> > > > To montando um firewall e está assim:
> > > >
> > > > srv# pfctl -sn
> > > > No ALTQ support in kernel
> > > > ALTQ related functions disabled
> > > > nat pass on em1 inet all -> 201.xx.xx.161
> > > > rdr on em1 inet proto tcp from any to 201.xx.xx.161 port = ftp ->
> > > > 172.16.4.2 port 21
> > > > srv#
> > > >
> > > >
> > > > srv# pfctl -sr
> > > > No ALTQ support in kernel
> > > > ALTQ related functions disabled
> > > > pass in all keep state
> > > > pass out all keep state
> > > > pass in on em0 inet proto tcp from  to 172.16.4.240 port
> > > > = ssh keep state
> > > > srv#
> > > >
> > > > Empaquei aqui. Olha a situação:
> > > >
> > > >
> > > > eu estou na máquina 201.xx.x.5(uma máquina na internet) tentando
> > > > acessar o firewall(201.xx.xx.161) que deveria redirecionar a conexao
> > > > ftp para 172.16.4.2.
> > > >
> > > > Não vai de jeito nenhum ... cheguei a liberar tudo pra ver se funciona 
> > > > e nada.
> > > > Li nos histórico da lista mas não encontrei a solução, não pro meu caso.
> > > >
> > > > O mais interessantes é que as regras estão passado pelos filtros. Pois
> > > > quando eu vou na estação quem tá rodando o ftp(172.16.4.2) e rodo o
> > > > tcpdump eu vejo pacotes vindos do IP remoto de onde eu tento acessar.
> > > >
> > > > local# tcpdump -n host 201.xx.x.5
> > > >
> > > > 13:52:13.368172 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> > > > 1550150509:1550150509(0) ack 2596759555 win 5792  > > > 1460,sackOK,timestamp 10779497[|tcp]>
> > > >
> > > > 13:52:16.348249 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> > > > 1550150509:1550150509(0) ack 2596759555 win 5792  > > > 1460,sackOK,timestamp 10779795[|tcp]>
> > > >
> > > > 13:52:17.361694 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> > > > 1550150509:1550150509(0) ack 2596759555 win 5792  > > > 1460,sack

Re: [FUG-BR] RDR no PF

2007-06-27 Por tôpico Alessandro de Souza Rocha

Em 26/06/07, Lutieri G.<[EMAIL PROTECTED]> escreveu:
> Eu já encontrei o problema era a máquina com o serviço de ftp que
> estava com o default gateway errado. Mas já testei e não funciona rdr
> PASS. até há algum tempo havíamos discutido isso na lista.
>
>
> obrigado a todos!
>
> Em 26/06/07, Thiago J. Ruiz<[EMAIL PROTECTED]> escreveu:
> > experimenta
> >
> > rdr pass on .
> >
> > gera mantem o estado automaticamente liberando a inda e a vinda da conexao
> >
> >
> > (Se eu estiver falando groselha me corrijam), mas pra mim funciona em
> > vários servidores.
> >
> > abraço
> >
> > Em 26/06/07, Lutieri G.<[EMAIL PROTECTED]> escreveu:
> > > To montando um firewall e está assim:
> > >
> > > srv# pfctl -sn
> > > No ALTQ support in kernel
> > > ALTQ related functions disabled
> > > nat pass on em1 inet all -> 201.xx.xx.161
> > > rdr on em1 inet proto tcp from any to 201.xx.xx.161 port = ftp ->
> > > 172.16.4.2 port 21
> > > srv#
> > >
> > >
> > > srv# pfctl -sr
> > > No ALTQ support in kernel
> > > ALTQ related functions disabled
> > > pass in all keep state
> > > pass out all keep state
> > > pass in on em0 inet proto tcp from  to 172.16.4.240 port
> > > = ssh keep state
> > > srv#
> > >
> > > Empaquei aqui. Olha a situação:
> > >
> > >
> > > eu estou na máquina 201.xx.x.5(uma máquina na internet) tentando
> > > acessar o firewall(201.xx.xx.161) que deveria redirecionar a conexao
> > > ftp para 172.16.4.2.
> > >
> > > Não vai de jeito nenhum ... cheguei a liberar tudo pra ver se funciona e 
> > > nada.
> > > Li nos histórico da lista mas não encontrei a solução, não pro meu caso.
> > >
> > > O mais interessantes é que as regras estão passado pelos filtros. Pois
> > > quando eu vou na estação quem tá rodando o ftp(172.16.4.2) e rodo o
> > > tcpdump eu vejo pacotes vindos do IP remoto de onde eu tento acessar.
> > >
> > > local# tcpdump -n host 201.xx.x.5
> > >
> > > 13:52:13.368172 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> > > 1550150509:1550150509(0) ack 2596759555 win 5792  > > 1460,sackOK,timestamp 10779497[|tcp]>
> > >
> > > 13:52:16.348249 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> > > 1550150509:1550150509(0) ack 2596759555 win 5792  > > 1460,sackOK,timestamp 10779795[|tcp]>
> > >
> > > 13:52:17.361694 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> > > 1550150509:1550150509(0) ack 2596759555 win 5792  > > 1460,sackOK,timestamp 10779897[|tcp]>
> > >
> > > 13:52:23.361246 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> > > 1550150509:1550150509(0) ack 2596759555 win 5792  > > 1460,sackOK,timestamp 10780497[|tcp]>
> > >
> > > 13:52:35.560319 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> > > 1550150509:1550150509(0) ack 2596759555 win 5792  > > 1460,sackOK,timestamp 10781717[|tcp]>
> > >
> > > 13:52:59.558496 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> > > 1550150509:1550150509(0) ack 2596759555 win 5792  > > 1460,sackOK,timestamp 10784117[|tcp]>
> > >
> > >
> > > Porém me parece, talvez eu esteja errado(tomara que sim), que a
> > > estação 172.16.4.2 está enviando pacotes SYN para a máquina remota
> > > 201.xx.x.5. e mais estranho que eu num vejo os pacotes vindo da
> > > máquina externa só indo para ela.
> > >
> > > Alguma sugestão?
> > >
> > > É incrível mas tem meia dúzia de linhas e não funciona... por favor se
> > > alguém puder ajudar fico grato.
> > >
> > > --
> > > Att.
> > > Lutieri G. B.
> > > -
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> >
> > --
> > Thiago J. Ruiz
> > http://thiagoruiz.blogspot.com
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
> --
> Att.
> Lutieri G. B.
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

da uma olhda aki ver se servi

rdr on $ext_if proto tcp from  200.221.2.0/24 to any port 80 ->  192.168.0.0/24
rdr on $ext_if proto tcp from  200.221.5.0/24 to any port 80 ->  192.168.0.0/24
rdr on $ext_if proto tcp from 200.221.8.0/24 to any port 80 ->  192.168.0.0/24
rdr on $ext_if proto tcp from  200.221.5.0/24 to any port 80 ->  192.168.0.0/24
rdr on $ext_if proto tcp from 200.221.8.0/24 to any port 80 ->  192.168.0.0/2
rdr on $int_if proto tcp from any to any port 80 -> 192.168.0.252 port 3128
rdr on $ext_if proto tcp from any to any port 6300 -> 192.168.0.250
rdr on $ext_if proto tcp from any to any port 3389 -> 192.168.0.250
nat on $ext_if from $int_if:network to any -> ($ext_if)
rdr on $ext_if proto tcp from any to any port 6300 -> 192.168.0.250 \
round-robin sticky-address
-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RDR no PF

2007-06-26 Por tôpico Lutieri G.

Eu já encontrei o problema era a máquina com o serviço de ftp que
estava com o default gateway errado. Mas já testei e não funciona rdr
PASS. até há algum tempo havíamos discutido isso na lista.


obrigado a todos!

Em 26/06/07, Thiago J. Ruiz<[EMAIL PROTECTED]> escreveu:
> experimenta
>
> rdr pass on .
>
> gera mantem o estado automaticamente liberando a inda e a vinda da conexao
>
>
> (Se eu estiver falando groselha me corrijam), mas pra mim funciona em
> vários servidores.
>
> abraço
>
> Em 26/06/07, Lutieri G.<[EMAIL PROTECTED]> escreveu:
> > To montando um firewall e está assim:
> >
> > srv# pfctl -sn
> > No ALTQ support in kernel
> > ALTQ related functions disabled
> > nat pass on em1 inet all -> 201.xx.xx.161
> > rdr on em1 inet proto tcp from any to 201.xx.xx.161 port = ftp ->
> > 172.16.4.2 port 21
> > srv#
> >
> >
> > srv# pfctl -sr
> > No ALTQ support in kernel
> > ALTQ related functions disabled
> > pass in all keep state
> > pass out all keep state
> > pass in on em0 inet proto tcp from  to 172.16.4.240 port
> > = ssh keep state
> > srv#
> >
> > Empaquei aqui. Olha a situação:
> >
> >
> > eu estou na máquina 201.xx.x.5(uma máquina na internet) tentando
> > acessar o firewall(201.xx.xx.161) que deveria redirecionar a conexao
> > ftp para 172.16.4.2.
> >
> > Não vai de jeito nenhum ... cheguei a liberar tudo pra ver se funciona e 
> > nada.
> > Li nos histórico da lista mas não encontrei a solução, não pro meu caso.
> >
> > O mais interessantes é que as regras estão passado pelos filtros. Pois
> > quando eu vou na estação quem tá rodando o ftp(172.16.4.2) e rodo o
> > tcpdump eu vejo pacotes vindos do IP remoto de onde eu tento acessar.
> >
> > local# tcpdump -n host 201.xx.x.5
> >
> > 13:52:13.368172 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> > 1550150509:1550150509(0) ack 2596759555 win 5792  > 1460,sackOK,timestamp 10779497[|tcp]>
> >
> > 13:52:16.348249 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> > 1550150509:1550150509(0) ack 2596759555 win 5792  > 1460,sackOK,timestamp 10779795[|tcp]>
> >
> > 13:52:17.361694 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> > 1550150509:1550150509(0) ack 2596759555 win 5792  > 1460,sackOK,timestamp 10779897[|tcp]>
> >
> > 13:52:23.361246 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> > 1550150509:1550150509(0) ack 2596759555 win 5792  > 1460,sackOK,timestamp 10780497[|tcp]>
> >
> > 13:52:35.560319 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> > 1550150509:1550150509(0) ack 2596759555 win 5792  > 1460,sackOK,timestamp 10781717[|tcp]>
> >
> > 13:52:59.558496 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> > 1550150509:1550150509(0) ack 2596759555 win 5792  > 1460,sackOK,timestamp 10784117[|tcp]>
> >
> >
> > Porém me parece, talvez eu esteja errado(tomara que sim), que a
> > estação 172.16.4.2 está enviando pacotes SYN para a máquina remota
> > 201.xx.x.5. e mais estranho que eu num vejo os pacotes vindo da
> > máquina externa só indo para ela.
> >
> > Alguma sugestão?
> >
> > É incrível mas tem meia dúzia de linhas e não funciona... por favor se
> > alguém puder ajudar fico grato.
> >
> > --
> > Att.
> > Lutieri G. B.
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
> --
> Thiago J. Ruiz
> http://thiagoruiz.blogspot.com
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


-- 
Att.
Lutieri G. B.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RDR no PF

2007-06-26 Por tôpico Thiago J. Ruiz

experimenta

rdr pass on .

gera mantem o estado automaticamente liberando a inda e a vinda da conexao


(Se eu estiver falando groselha me corrijam), mas pra mim funciona em
vários servidores.

abraço

Em 26/06/07, Lutieri G.<[EMAIL PROTECTED]> escreveu:
> To montando um firewall e está assim:
>
> srv# pfctl -sn
> No ALTQ support in kernel
> ALTQ related functions disabled
> nat pass on em1 inet all -> 201.xx.xx.161
> rdr on em1 inet proto tcp from any to 201.xx.xx.161 port = ftp ->
> 172.16.4.2 port 21
> srv#
>
>
> srv# pfctl -sr
> No ALTQ support in kernel
> ALTQ related functions disabled
> pass in all keep state
> pass out all keep state
> pass in on em0 inet proto tcp from  to 172.16.4.240 port
> = ssh keep state
> srv#
>
> Empaquei aqui. Olha a situação:
>
>
> eu estou na máquina 201.xx.x.5(uma máquina na internet) tentando
> acessar o firewall(201.xx.xx.161) que deveria redirecionar a conexao
> ftp para 172.16.4.2.
>
> Não vai de jeito nenhum ... cheguei a liberar tudo pra ver se funciona e nada.
> Li nos histórico da lista mas não encontrei a solução, não pro meu caso.
>
> O mais interessantes é que as regras estão passado pelos filtros. Pois
> quando eu vou na estação quem tá rodando o ftp(172.16.4.2) e rodo o
> tcpdump eu vejo pacotes vindos do IP remoto de onde eu tento acessar.
>
> local# tcpdump -n host 201.xx.x.5
>
> 13:52:13.368172 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> 1550150509:1550150509(0) ack 2596759555 win 5792  1460,sackOK,timestamp 10779497[|tcp]>
>
> 13:52:16.348249 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> 1550150509:1550150509(0) ack 2596759555 win 5792  1460,sackOK,timestamp 10779795[|tcp]>
>
> 13:52:17.361694 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> 1550150509:1550150509(0) ack 2596759555 win 5792  1460,sackOK,timestamp 10779897[|tcp]>
>
> 13:52:23.361246 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> 1550150509:1550150509(0) ack 2596759555 win 5792  1460,sackOK,timestamp 10780497[|tcp]>
>
> 13:52:35.560319 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> 1550150509:1550150509(0) ack 2596759555 win 5792  1460,sackOK,timestamp 10781717[|tcp]>
>
> 13:52:59.558496 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> 1550150509:1550150509(0) ack 2596759555 win 5792  1460,sackOK,timestamp 10784117[|tcp]>
>
>
> Porém me parece, talvez eu esteja errado(tomara que sim), que a
> estação 172.16.4.2 está enviando pacotes SYN para a máquina remota
> 201.xx.x.5. e mais estranho que eu num vejo os pacotes vindo da
> máquina externa só indo para ela.
>
> Alguma sugestão?
>
> É incrível mas tem meia dúzia de linhas e não funciona... por favor se
> alguém puder ajudar fico grato.
>
> --
> Att.
> Lutieri G. B.
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


-- 
Thiago J. Ruiz
http://thiagoruiz.blogspot.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] RDR no PF

2007-06-26 Por tôpico Lutieri G.

To montando um firewall e está assim:

srv# pfctl -sn
No ALTQ support in kernel
ALTQ related functions disabled
nat pass on em1 inet all -> 201.xx.xx.161
rdr on em1 inet proto tcp from any to 201.xx.xx.161 port = ftp ->
172.16.4.2 port 21
srv#


srv# pfctl -sr
No ALTQ support in kernel
ALTQ related functions disabled
pass in all keep state
pass out all keep state
pass in on em0 inet proto tcp from  to 172.16.4.240 port
= ssh keep state
srv#

Empaquei aqui. Olha a situação:


eu estou na máquina 201.xx.x.5(uma máquina na internet) tentando
acessar o firewall(201.xx.xx.161) que deveria redirecionar a conexao
ftp para 172.16.4.2.

Não vai de jeito nenhum ... cheguei a liberar tudo pra ver se funciona e nada.
Li nos histórico da lista mas não encontrei a solução, não pro meu caso.

O mais interessantes é que as regras estão passado pelos filtros. Pois
quando eu vou na estação quem tá rodando o ftp(172.16.4.2) e rodo o
tcpdump eu vejo pacotes vindos do IP remoto de onde eu tento acessar.

local# tcpdump -n host 201.xx.x.5

13:52:13.368172 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
1550150509:1550150509(0) ack 2596759555 win 5792 

13:52:16.348249 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
1550150509:1550150509(0) ack 2596759555 win 5792 

13:52:17.361694 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
1550150509:1550150509(0) ack 2596759555 win 5792 

13:52:23.361246 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
1550150509:1550150509(0) ack 2596759555 win 5792 

13:52:35.560319 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
1550150509:1550150509(0) ack 2596759555 win 5792 

13:52:59.558496 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
1550150509:1550150509(0) ack 2596759555 win 5792 


Porém me parece, talvez eu esteja errado(tomara que sim), que a
estação 172.16.4.2 está enviando pacotes SYN para a máquina remota
201.xx.x.5. e mais estranho que eu num vejo os pacotes vindo da
máquina externa só indo para ela.

Alguma sugestão?

É incrível mas tem meia dúzia de linhas e não funciona... por favor se
alguém puder ajudar fico grato.

-- 
Att.
Lutieri G. B.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RDR de GRE com IPNAT.

2006-11-24 Por tôpico c0re dumped

O GRE não trabalha com a noçao de porta, existente em TCP ou UDP, uma
vez que ele é um protocolo usado para encapsulamento de protocolos.

Além disso você vai ter problemas quando o teu servidor VPN, que
aparentemente está com endereço privado, enviar pacotes pra fora pois
o GRE não funciona com NAT (embora deveria, conforme rfc's 1701 e
1702).

Coloque seu servidor VPN na DMZ e libere os procolos GRE (inbound e
outboun) e tcp (inbound) na porta 1723 (keep state, se possível,
modulate-state).

Só por cusriosidade, está usando PPTP com VPN da Microsoft ?



[]'s


-- 

No stupid signatures here.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] RDR de GRE com IPNAT.

2006-11-23 Por tôpico Jonatas M. Victor


  Srs,

Eu tentei fazer esse RDR conforme achei no histórico várias vezes. 
Preciso redirecionar uma conexão vpn/gre que está rodando sobre um 
windows da internet para a minha rede interna. Eu uso uma dupla um pouco 
diferente. Utilizo ipfw para firewal e ipnat para NAT. Eu tentei as 
seguintes regras:

1º Tentativa:

rdr xl0 200.200.200.10/32 port 1723 -> 192.168.0.5 port 1723 tcp
rdr xl0 200.200.200.10/32 port 1723 -> 192.168.0.5 port 1723 gre

  Não funcionou.

2º Tentantiva:

rdr xl0 200.200.200.10/32 port 1723 -> 192.168.0.5 port 1723 tcp
rdr xl0 0.0.0.0/0 gre -> 192.168.0.5 gre

  E muitas outras combinações e até agora nada. Eu vejo tráfego chegando 
na placa de rede externa mas não vejo passar para a rede interna.
  Uso tb 2 links nesses servidor fazendo source routing no ipfw, mas nem 
nisso o pacote passa.

  Alguem tem algum caminho que eu possa seguir?





-- 
.:Abraços:.

<<< Jonatas M. Victor >>>
[EMAIL PROTECTED]
UIN: 138431258
MSN: [EMAIL PROTECTED]
BSD   User: BSD051240
Linux User: #278922
http://www.vetorial.net
-
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RDR com Packet Filter

2006-10-13 Por tôpico Rafael - Gmail

Você está com razão, eu resolvi com essa regra :

pass out on $int_if proto tcp from any to  port 3389 modulate 
state

Funcionou na hora !

Muito obrigado a todos mais uma vez ... e se fui ignorante em alguma 
questão... me desculpem, pois o PF é diferente no tratamento, leia-se 
"leitura" das regras e ainda estou me acustumando, hehe ...
Abraços ...

- Original Message - 
From: "Nenhum _de_Nos" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Wednesday, October 11, 2006 6:03 PM
Subject: Re: [FUG-BR] RDR com Packet Filter


On 10/11/06, Rafael - Gmail <[EMAIL PROTECTED]> wrote:
> Ops, comigo não funfou :( !
>
> - Original Message -
> From: "Leo Getz" <[EMAIL PROTECTED]>
> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)""
> 
> Sent: Wednesday, October 11, 2006 1:28 PM
> Subject: Re: [FUG-BR] RDR com Packet Filter
>
>
> Rafael - Gmail escreveu:
> > Pessoal,
> > Percebi que isso só ocorre o Redirecionamento depois que eu comento a
> > minha
> > regra de BLOCK ALL, ou seja, pelo que entendi ... o meu problema é 
> > quando
> > eu
> > "caio" nas regras de Filtragem.
> > Agradeço muito a todas as respostas, testei TODAS as sugestões postadas
> > por
> > vocês, uma a uma e depois as 3 juntas e TODAS elas deram certo.
> > Me desculpem pois o erro foi meu, entretanto não pretendo deixar ACCEPT
> > ALL
> > no meu server, então estarei "arrumando" as minhas regras de Filtro.
> > Muito obrigado mesmo pelas respostas.
> >
> >
> >
> Coloca
>
> rdr pass on $ext_if proto tcp from any to any port 4862 -> 192.168.71.250
>
> o Detalhe do *pass*, não faz passar pelas regras do firewall!
>
> Valeu.

minha ideia eh a da volta, como ele trataria a volta ? vc precisa de
uma regra que a permita, uma deixando conexoes de fora passarem nesta
porta e o famoso keep-state se vc nao quiser fazer a volta genérica :)

-- 
We will call you cygnus,
The God of balance you shall be
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RDR com Packet Filter

2006-10-11 Por tôpico Thiago J. Ruiz

2006/10/11, Nenhum _de_Nos <[EMAIL PROTECTED]>:
> On 10/11/06, Rafael - Gmail <[EMAIL PROTECTED]> wrote:
> > Ops, comigo não funfou :( !

eae Rafael, só não vai funfar se vc colocar no block a flag "quick"

tipo:

block in quick log all

dae nada entra e nada sai!
hehe

... quem sabe né hehe

abraço bom feriado a todos!


-- 
Thiago J. Ruiz
http://thiagoruiz.blogspot.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RDR com Packet Filter

2006-10-11 Por tôpico Nenhum _de_Nos

On 10/11/06, Rafael - Gmail <[EMAIL PROTECTED]> wrote:
> Ops, comigo não funfou :( !
>
> - Original Message -
> From: "Leo Getz" <[EMAIL PROTECTED]>
> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)""
> 
> Sent: Wednesday, October 11, 2006 1:28 PM
> Subject: Re: [FUG-BR] RDR com Packet Filter
>
>
> Rafael - Gmail escreveu:
> > Pessoal,
> > Percebi que isso só ocorre o Redirecionamento depois que eu comento a
> > minha
> > regra de BLOCK ALL, ou seja, pelo que entendi ... o meu problema é quando
> > eu
> > "caio" nas regras de Filtragem.
> > Agradeço muito a todas as respostas, testei TODAS as sugestões postadas
> > por
> > vocês, uma a uma e depois as 3 juntas e TODAS elas deram certo.
> > Me desculpem pois o erro foi meu, entretanto não pretendo deixar ACCEPT
> > ALL
> > no meu server, então estarei "arrumando" as minhas regras de Filtro.
> > Muito obrigado mesmo pelas respostas.
> >
> >
> >
> Coloca
>
> rdr pass on $ext_if proto tcp from any to any port 4862 -> 192.168.71.250
>
> o Detalhe do *pass*, não faz passar pelas regras do firewall!
>
> Valeu.

minha ideia eh a da volta, como ele trataria a volta ? vc precisa de
uma regra que a permita, uma deixando conexoes de fora passarem nesta
porta e o famoso keep-state se vc nao quiser fazer a volta genérica :)

-- 
We will call you cygnus,
The God of balance you shall be
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RDR com Packet Filter

2006-10-11 Por tôpico Rafael - Gmail

Ops, comigo não funfou :( !

- Original Message - 
From: "Leo Getz" <[EMAIL PROTECTED]>
To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" 

Sent: Wednesday, October 11, 2006 1:28 PM
Subject: Re: [FUG-BR] RDR com Packet Filter


Rafael - Gmail escreveu:
> Pessoal,
> Percebi que isso só ocorre o Redirecionamento depois que eu comento a 
> minha
> regra de BLOCK ALL, ou seja, pelo que entendi ... o meu problema é quando 
> eu
> "caio" nas regras de Filtragem.
> Agradeço muito a todas as respostas, testei TODAS as sugestões postadas 
> por
> vocês, uma a uma e depois as 3 juntas e TODAS elas deram certo.
> Me desculpem pois o erro foi meu, entretanto não pretendo deixar ACCEPT 
> ALL
> no meu server, então estarei "arrumando" as minhas regras de Filtro.
> Muito obrigado mesmo pelas respostas.
>
>
>
Coloca

rdr pass on $ext_if proto tcp from any to any port 4862 -> 192.168.71.250

o Detalhe do *pass*, não faz passar pelas regras do firewall!

Valeu.

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RDR com Packet Filter

2006-10-11 Por tôpico Rafael - Gmail

Show !
Eu tinha lido sobre o PASS mesmo no manual do PF, sendo que nem me recordava 
... mais uma vez obrigado !!!

- Original Message - 
From: "Leo Getz" <[EMAIL PROTECTED]>
To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" 

Sent: Wednesday, October 11, 2006 1:28 PM
Subject: Re: [FUG-BR] RDR com Packet Filter


Rafael - Gmail escreveu:
> Pessoal,
> Percebi que isso só ocorre o Redirecionamento depois que eu comento a 
> minha
> regra de BLOCK ALL, ou seja, pelo que entendi ... o meu problema é quando 
> eu
> "caio" nas regras de Filtragem.
> Agradeço muito a todas as respostas, testei TODAS as sugestões postadas 
> por
> vocês, uma a uma e depois as 3 juntas e TODAS elas deram certo.
> Me desculpem pois o erro foi meu, entretanto não pretendo deixar ACCEPT 
> ALL
> no meu server, então estarei "arrumando" as minhas regras de Filtro.
> Muito obrigado mesmo pelas respostas.
>
>
>
Coloca

rdr pass on $ext_if proto tcp from any to any port 4862 -> 192.168.71.250

o Detalhe do *pass*, não faz passar pelas regras do firewall!

Valeu.

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RDR com Packet Filter

2006-10-11 Por tôpico Leo Getz

Rafael - Gmail escreveu:
> Pessoal,
> Percebi que isso só ocorre o Redirecionamento depois que eu comento a minha 
> regra de BLOCK ALL, ou seja, pelo que entendi ... o meu problema é quando eu 
> "caio" nas regras de Filtragem.
> Agradeço muito a todas as respostas, testei TODAS as sugestões postadas por 
> vocês, uma a uma e depois as 3 juntas e TODAS elas deram certo.
> Me desculpem pois o erro foi meu, entretanto não pretendo deixar ACCEPT ALL 
> no meu server, então estarei "arrumando" as minhas regras de Filtro.
> Muito obrigado mesmo pelas respostas.
>
>   
>   
Coloca

rdr pass on $ext_if proto tcp from any to any port 4862 -> 192.168.71.250

o Detalhe do *pass*, não faz passar pelas regras do firewall!

Valeu.

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RDR com Packet Filter

2006-10-11 Por tôpico Rafael - Gmail

Pessoal,
Percebi que isso só ocorre o Redirecionamento depois que eu comento a minha 
regra de BLOCK ALL, ou seja, pelo que entendi ... o meu problema é quando eu 
"caio" nas regras de Filtragem.
Agradeço muito a todas as respostas, testei TODAS as sugestões postadas por 
vocês, uma a uma e depois as 3 juntas e TODAS elas deram certo.
Me desculpem pois o erro foi meu, entretanto não pretendo deixar ACCEPT ALL 
no meu server, então estarei "arrumando" as minhas regras de Filtro.
Muito obrigado mesmo pelas respostas.

- Original Message - 
From: "Felipe Neuwald" <[EMAIL PROTECTED]>
To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" 

Sent: Wednesday, October 11, 2006 11:59 AM
Subject: Re: [FUG-BR] RDR com Packet Filter


Rafael, bom dia.

Eu faço rdr assim e funciona:

rdr on $if_wan proto tcp from any to $turbofone port 443 -> $turbofone
port 22

PS: a regra rdr está antes da regra de NAT.

Abs,

Felipe.

Rafael - Gmail escreveu:
> Bom dia a todos,
> Migrando do IPFW para o PF, me deparei com o seguinte problema:
>
> rdr on $ext_if proto tcp from any to $ext_if port 3389 -> 192.168.0.101/24
> port 3389
>
> Acontece que a regra acima segundo o manual, artigos e até mesmo posts 
> aqui
> da lista, enfim, minhas fontes de pesquisa ... está correta e não
> redireciona !
>
> Alguém tem alguma idéia do que seja ?
>
> Observações: Não uso IPFW neste servidor, uso nat do próprio PF e não do 
> PPP
> ou sequer do NATD, uso Conexão PPPoE (Velox-RJ), uso controle MAC / IP
> Estático na Interface interna, e, sim este IP está cadastrado na tabela 
> arp
> da minha Interface Interna.
>
> Att,
> Rafael José Simão Pinto
> Tecnologia e Segurança da Informação - Redes e Internet
> Niely Cosméticos
> e-mail : [EMAIL PROTECTED]
> MSN : [EMAIL PROTECTED]
> FUG-BR # 379
> Linux User # 432068
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] RDR com PF

2006-10-11 Por tôpico Ali Faiez Taha

Caro Rafael José Simão Pinto

Coloque no seu pf.conf as seguintes regras:
1 - Para se fazer NAT:
nat on $ext_if from $int_net to any -> ($ext_if)

2 - Para redirecionar as conexões na porta 3389:
rdr on $ext_if inet proto tcp from any to $ext_addr port 3389 \
  -> 192.168.0.101 port 3389

A diferença é a palavrinha "inet" que faltou na sua regra.

é só.


>Bom dia a todos,
>Migrando do IPFW para o PF, me deparei com o seguinte problema:
>
>rdr on $ext_if proto tcp from any to $ext_if port 3389 ->
>192.168.0.101/24 port 3389
>
>Acontece que a regra acima segundo o manual, artigos e até mesmo posts
>aqui da lista, enfim, minhas fontes de pesquisa ... está correta e não
>redireciona !
>
>Alguém tem alguma idéia do que seja ?
>
>Observações: Não uso IPFW neste servidor, uso nat do próprio PF e não
>do PPP ou sequer do NATD, uso Conexão PPPoE (Velox-RJ), uso controle
>MAC / IP Estático na Interface interna, e, sim este IP está cadastrado
>na tabela arp da minha Interface Interna.

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RDR com Packet Filter

2006-10-11 Por tôpico Flavio Junior

> > rdr on $ext_if proto tcp from any to $ext_if port 3389 -> 192.168.0.101/24
> > port 3389

192.168.0.101/24 seria 192.168.0.101/255.255.255.0

Um rdr para uma rede C toda, talvez esse seja seu problema.
Tente:
rdr on $ext_if proto tcp from any to $ext_if port 3389 ->
192.168.0.101/32 port 3389

ou como o amigo ai falou, somente com o ip.

PS: /32 seria 255.255.255.255 = um unico host

Flavio do Carmo Junior

On 10/11/06, Felipe Neuwald <[EMAIL PROTECTED]> wrote:
> Rafael, bom dia.
>
> Eu faço rdr assim e funciona:
>
> rdr on $if_wan proto tcp from any to $turbofone port 443 -> $turbofone
> port 22
>
> PS: a regra rdr está antes da regra de NAT.
>
> Abs,
>
> Felipe.
>
> Rafael - Gmail escreveu:
> > Bom dia a todos,
> > Migrando do IPFW para o PF, me deparei com o seguinte problema:
> >
> > rdr on $ext_if proto tcp from any to $ext_if port 3389 -> 192.168.0.101/24
> > port 3389
> >
> > Acontece que a regra acima segundo o manual, artigos e até mesmo posts aqui
> > da lista, enfim, minhas fontes de pesquisa ... está correta e não
> > redireciona !
> >
> > Alguém tem alguma idéia do que seja ?
> >
> > Observações: Não uso IPFW neste servidor, uso nat do próprio PF e não do PPP
> > ou sequer do NATD, uso Conexão PPPoE (Velox-RJ), uso controle MAC / IP
> > Estático na Interface interna, e, sim este IP está cadastrado na tabela arp
> > da minha Interface Interna.
> >
> > Att,
> > Rafael José Simão Pinto
> > Tecnologia e Segurança da Informação - Redes e Internet
> > Niely Cosméticos
> > e-mail : [EMAIL PROTECTED]
> > MSN : [EMAIL PROTECTED]
> > FUG-BR # 379
> > Linux User # 432068
> >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> >
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RDR com Packet Filter

2006-10-11 Por tôpico Felipe Neuwald

Rafael, bom dia.

Eu faço rdr assim e funciona:

rdr on $if_wan proto tcp from any to $turbofone port 443 -> $turbofone 
port 22

PS: a regra rdr está antes da regra de NAT.

Abs,

Felipe.

Rafael - Gmail escreveu:
> Bom dia a todos,
> Migrando do IPFW para o PF, me deparei com o seguinte problema:
>
> rdr on $ext_if proto tcp from any to $ext_if port 3389 -> 192.168.0.101/24 
> port 3389
>
> Acontece que a regra acima segundo o manual, artigos e até mesmo posts aqui 
> da lista, enfim, minhas fontes de pesquisa ... está correta e não 
> redireciona !
>
> Alguém tem alguma idéia do que seja ?
>
> Observações: Não uso IPFW neste servidor, uso nat do próprio PF e não do PPP 
> ou sequer do NATD, uso Conexão PPPoE (Velox-RJ), uso controle MAC / IP 
> Estático na Interface interna, e, sim este IP está cadastrado na tabela arp 
> da minha Interface Interna.
>
> Att,
> Rafael José Simão Pinto
> Tecnologia e Segurança da Informação - Redes e Internet
> Niely Cosméticos
> e-mail : [EMAIL PROTECTED]
> MSN : [EMAIL PROTECTED]
> FUG-BR # 379
> Linux User # 432068
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>   

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] RDR com Packet Filter

2006-10-11 Por tôpico Rafael - Gmail

Bom dia a todos,
Migrando do IPFW para o PF, me deparei com o seguinte problema:

rdr on $ext_if proto tcp from any to $ext_if port 3389 -> 192.168.0.101/24 
port 3389

Acontece que a regra acima segundo o manual, artigos e até mesmo posts aqui 
da lista, enfim, minhas fontes de pesquisa ... está correta e não 
redireciona !

Alguém tem alguma idéia do que seja ?

Observações: Não uso IPFW neste servidor, uso nat do próprio PF e não do PPP 
ou sequer do NATD, uso Conexão PPPoE (Velox-RJ), uso controle MAC / IP 
Estático na Interface interna, e, sim este IP está cadastrado na tabela arp 
da minha Interface Interna.

Att,
Rafael José Simão Pinto
Tecnologia e Segurança da Informação - Redes e Internet
Niely Cosméticos
e-mail : [EMAIL PROTECTED]
MSN : [EMAIL PROTECTED]
FUG-BR # 379
Linux User # 432068

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] rdr pf

2006-09-26 Por tôpico Daniel Bristot de Oliveira

Olá,

Realmente, se a porta destino for a mesma de origem não precisa
declarar, como por exemplo eu utilizo a regra:

--
table  { 192.68.0.11, 192.68.0.12, 192.68.0.13, 192.68.0.14 }

[...]

rdr on $ext_if proto tcp from any to xx.xx.xxx.xx port 80 ->
 round-robin sticky-address
--

Isto é um balanceamento de carga, e está funcionando :)

-- 
Daniel Bristot de Oliveira
http://dbristot.info

R João Paez 409 Ap 202
Sta Augusta - Criciúma - SC
CEP 88805440 Brazil
+55-48-91032512
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] rdr pf

2006-09-25 Por tôpico Nenhum _de_Nos

se for redirecionar a porta do serv para a mesma porta no destino, nao
precisa dizer ;)

rdr on tun0 from any to any port 80:90 -> 1.2.3.4

matheus
-- 
We will call you cygnus,
The God of balance you shall be
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] rdr pf

2006-09-25 Por tôpico Thiago J. Ruiz

Olá,

   Tem mais uma coisinha =] especificar a porta

tipo:

rdr pass on $ext_if proto tcp from any to $ext_if port xx -> $micro port yy

onde "xx" é a porta onde o servidor recebe a conexão e "yy" é onde a
maquina windows vai receber a conexão.

abraço

Em 25/09/06, Giuseppe Tomas<[EMAIL PROTECTED]> escreveu:
>
> Olá pessoal. Tenho servidor Web rodando no FreeBSD 6.1 e até aí tudo bem.
> Minhas regras no pf estão ok, porém,  preciso fazer um redirecionamento de
> um ip para uma máquina interna com windows que está rodando uma CGI.
> Meu pf.conf, por enquanto, tá assim:
>
> --
> extif = "xl0"
> intif = "rl1"
> alias0="ip.do.ali.as"
> micro="ip.do.mi.cro"
>
> nat on $extif from $intif:network to any -> ($extif)
> rdr pass on $extif inet proto tcp from any to $alias0 -> $micro
> pass all
> -
>
> tá habilidado o net.inet.ip.forwarding=1; no rc.conf, gateway_enable="YES".
>
> Já olhei no histórico da listatem mais alguma coisa que precisa ser
> feita para o redirecionamento?
>
> Abraços


-- 
Thiago J. Ruiz
http://thiagoruiz.blogspot.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] rdr pf

2006-09-25 Por tôpico Giuseppe Tomas

 
Olá pessoal. Tenho servidor Web rodando no FreeBSD 6.1 e até aí tudo bem.
Minhas regras no pf estão ok, porém,  preciso fazer um redirecionamento de
um ip para uma máquina interna com windows que está rodando uma CGI.
Meu pf.conf, por enquanto, tá assim:
 
--
extif = "xl0"
intif = "rl1"
alias0="ip.do.ali.as"
micro="ip.do.mi.cro"
 
nat on $extif from $intif:network to any -> ($extif)
rdr pass on $extif inet proto tcp from any to $alias0 -> $micro
pass all
-
 
tá habilidado o net.inet.ip.forwarding=1; no rc.conf, gateway_enable="YES".
 
Já olhei no histórico da listatem mais alguma coisa que precisa ser
feita para o redirecionamento?
 
Abraços

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RDR

2006-08-29 Por tôpico Renato Martins

vc usa pf ou ipfw
vc quer encaminhar tudo que chega no 200.150.64.85 para 10.1.1.3 tipo
redirect
oq sair do 10.1.1.3 sair como 200.150.64.85

ou ate binat tudo do 200.150.64.85 vai p 10.1.1.3
   e tudo do  10.1.1.3 vai p 200.150.64.85

- Original Message -
From: "Suporte Planet Hardware - Leandro Takeda"
<[EMAIL PROTECTED]>
To: "'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) '"

Sent: Tuesday, August 29, 2006 9:58 AM
Subject: [FUG-BR] RDR


Olá pessoal

Eu tenho uma rede fazendo NAT

Rl0 - 200.150.64.84 (internet)
Rl0 - 200.150.64.85
Rl1 - 10.0.0.1 (rede interna)

Existe a possibilidade deu redirecionar um ip, por exemplo
10.1.1.3 para o segundo ip da placa de rede rl0 200.150.64.85 ?

Agradeço pessoal.

Att
Leandro

--
No virus found in this outgoing message.
Checked by AVG Free Edition.
Version: 7.1.405 / Virus Database: 268.11.6/430 - Release Date: 28/8/2006


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


--
No virus found in this incoming message.
Checked by AVG Free Edition.
Version: 7.1.405 / Virus Database: 268.11.6/430 - Release Date: 28/8/2006


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] RDR

2006-08-29 Por tôpico Thiago J. Ruiz

Em 29/08/06, Suporte Planet Hardware - Leandro
Takeda<[EMAIL PROTECTED]> escreveu:
> Olá pessoal
>
> Eu tenho uma rede fazendo NAT
>
> Rl0 - 200.150.64.84 (internet)
> Rl0 - 200.150.64.85
> Rl1 - 10.0.0.1 (rede interna)
>
> Existe a possibilidade deu redirecionar um ip, por exemplo
> 10.1.1.3 para o segundo ip da placa de rede rl0 200.150.64.85 ?
>
Fala leandro o que você quer é fazer o nat para o ip 10.1.1.3 para o segundo ip?
se for no pf.conf

nat on rl0 from !10.1.1.3 to any -> 200.150.64.84 # exclui o ip deste nat
nat on rl0 from 10.1.1.3 to any -> 200.150.64.85 # solta pelo segundo ip

não foi muito clara sua pergunta, espero que isso ajude.

[]'z


-- 
Thiago J. Ruiz
http://thiagoruiz.blogspot.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] RDR

2006-08-29 Por tôpico Suporte Planet Hardware - Leandro Takeda

Olá pessoal

Eu tenho uma rede fazendo NAT

Rl0 - 200.150.64.84 (internet)
Rl0 - 200.150.64.85
Rl1 - 10.0.0.1 (rede interna)

Existe a possibilidade deu redirecionar um ip, por exemplo
10.1.1.3 para o segundo ip da placa de rede rl0 200.150.64.85 ?

Agradeço pessoal.

Att
Leandro

-- 
No virus found in this outgoing message.
Checked by AVG Free Edition.
Version: 7.1.405 / Virus Database: 268.11.6/430 - Release Date: 28/8/2006
 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

42 matches

Mail list logo