Re: [FUG-BR] rdr do pf para conexão entrante apenas
Em 27/06/2012 21:05, Antônio Pessoa escreveu: > Consegui visualizar mais ou menos sua rede (eu acho). Acredito que > você esteja certo, essas conexões voltando não deveriam entrar no rdr. > Mas uma dúvida: não seria mais simples criar mais um IP nessa > interface e fazer esse redirecionamento somente nesse novo IP e deixar > o IP do proxy apenas para o serviço do proxy? Não digo nem por esse > problema, pois quero saber por que ele está acontecendo, falo isso > para evitar mais problemas futuros. > Opa Antonio, Sim com um IP só para o redirecionamento fica 100%. Mas realmente fico encucado com isso. Por isso que estou tentando descobrir do porque disso acontecer e se tem solução real. :) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr do pf para conexão entrante apenas
Consegui visualizar mais ou menos sua rede (eu acho). Acredito que você esteja certo, essas conexões voltando não deveriam entrar no rdr. Mas uma dúvida: não seria mais simples criar mais um IP nessa interface e fazer esse redirecionamento somente nesse novo IP e deixar o IP do proxy apenas para o serviço do proxy? Não digo nem por esse problema, pois quero saber por que ele está acontecendo, falo isso para evitar mais problemas futuros. -- Atenciosamente, Antônio Pessoa - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr do pf para conexão entrante apenas
Em 27/06/2012 11:52, Luiz Gustavo escreveu: > Em Qua, 2012-06-27 às 11:32 -0300, Marcelo Gondim escreveu: >> Em 27/06/2012 11:21,gilli...@atriumsp.com.br escreveu: >>> >>> >>> Olá Gondim bom dia. >>> >>> Não seria melhor você criar uma regra >>> especifica para as portas dos serviços do seu PABX? >>> >>> Eu sempre evito >>> criar regras muito genéricas. >>> >>> Você pode determinar conexões entrantes, >>> como no exemplo: >>> >>> pass in on tl0 proto tcp from any to any port >>> 5000:5500 rdr-to 192.168.1.20 port 6000 > Estranho porque o keep-state é padrão no pf desde do 6.x (se não me > engano) e poderia sanar esse seu problema... > > mas de qualquer forma, porque não migra pra subversion ? é que o source > do freebsd esta usando agora. > > http://www.freebsd.org/doc/en_US.ISO8859-1/articles/committers-guide/subversion-primer.html > > opa Guga, Ainda caio no mesmo problema. Saca só vou dar nome aos bois pra você ter uma idéia: [ Central Tel. 192.168.8.252 ] <-> [ 192.168.8.253 Proxy 10.255.0.12 ] <--> Internet Olhando agora para essa regra onde em0 é a interface com IP 10.255.0.12: rdr on em0 proto tcp from any to 10.255.0.12 port 1:65535 -> 192.168.8.252 Com a regra acima qualquer conexão tcp no IP 10.255.0.12 porta dentro do range entre 1 e 65535 é redirecionado para a mesma porta no 192.168.8.252. Até aqui show de bola e funciona como esperado. Agora se estou no meu notebook atrás desse proxy tentando acessar os sites eu não consigo. Para funcionar preciso colocar a seguinte regra antes da de cima: no rdr on $ext_if proto tcp from any port < 1024 to 10.255.0.12 Ficando assim: no rdr on em0 proto tcp from any port < 1024 to 10.255.0.12 rdr on em0 proto tcp from any to 10.255.0.12 port 1:65535 -> 192.168.8.252 Desse jeito o proxy funciona porque estou dizendo para não redirecionar pacotes cuja porta origem seja menor que 1024. Se eu removo a primeira regra babau a navegação. Só posso deduzir que seja por causa da nova regra da Central. Na minha concepção pacotes retornados de uma conexão feita pelo proxy não deveriam entrar nesse redirect. Estou correto? :) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr do pf para conexão entrante apenas
Em Qua, 2012-06-27 às 11:32 -0300, Marcelo Gondim escreveu: > Em 27/06/2012 11:21, gilli...@atriumsp.com.br escreveu: > > > > > > Olá Gondim bom dia. > > > > Não seria melhor você criar uma regra > > especifica para as portas dos serviços do seu PABX? > > > > Eu sempre evito > > criar regras muito genéricas. > > > > Você pode determinar conexões entrantes, > > como no exemplo: > > > > pass in on tl0 proto tcp from any to any port > > 5000:5500 rdr-to 192.168.1.20 port 6000 > Estranho porque o keep-state é padrão no pf desde do 6.x (se não me engano) e poderia sanar esse seu problema... mas de qualquer forma, porque não migra pra subversion ? é que o source do freebsd esta usando agora. http://www.freebsd.org/doc/en_US.ISO8859-1/articles/committers-guide/subversion-primer.html -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr do pf para conexão entrante apenas
Em 27/06/2012 11:21, gilli...@atriumsp.com.br escreveu: > > > Olá Gondim bom dia. > > Não seria melhor você criar uma regra > especifica para as portas dos serviços do seu PABX? > > Eu sempre evito > criar regras muito genéricas. > > Você pode determinar conexões entrantes, > como no exemplo: > > pass in on tl0 proto tcp from any to any port > 5000:5500 rdr-to 192.168.1.20 port 6000 Pois é mas esse foi o range solicitado pelo técnico da Central por causa do VoIP que segundo ele na hora de transferir uma chamada ele gera uma porta desse range na comunicação. Também gostaria muito de especificar. ;) Mas mesmo especificando ainda existe o problema porque vamos dizer que por um acaso o destino resolva na hora do csup tentar usar a mesma porta pra saída da conexão, aí ainda sim o retorno cairia no rdr e nessa hora falharia a conexão. Queria realmente encontrar uma solução para conexões entrantes no rdr do PF. Isso se agrava porque nessa mesma máquina tem um proxy e devido à isso as chances de ser gerada uma porta de saída igual à do rdr é muito maior. > > Segue o link: > http://www.openbsd.org/faq/pf/pt/rdr.html [3] Vou dar uma olhada nesse link. :) valeu. > > Abs > > Gilliatt > > On > Wed, 27 Jun 2012 10:25:38 -0300, Marcelo Gondim wrote: > >> Essa aqui é > para os mais antigos no PF. :) >> Pessoal eu tenho essas regras abaixo > por causa de uma central telefônica >> aqui interno. Sendo que acontece > o seguinte: desse servidor freebsd se >> eu tento fazer um csup dos > fontes não rola porque as portas geradas de >> saída estão acima de > 1 por default: >> net.inet.ip.portrange.last: 65535 >> > net.inet.ip.portrange.first: 1 >> Mudando as confs acima para > começar em 1024 e a última ser funciona >> mas não queria fazer > isso. Tudo ocorre porque a resposta para o csup >> está batendo nas > regras abaixo e sendo redirecionadas para o servidor >> 192.168.8.252. > Eu tenho como fazer as regras abaixo para somente novas >> conexões > entrantes ? No Netfilter/IPTables por exemplo isso é padrão >> para > novas conexões mas acredito que no PF também exista alguma maneira >> do > retorno de uma conexão não caír nas regras de rdr. >> rdr on $ext_if > proto udp from any to 10.255.0.12 port 1:65535 -> >> 192.168.8.252 >> > rdr on $ext_if proto tcp from any to 10.255.0.12 port 1:65535 -> > 192.168.8.252 >> Grande abraço à todos >> >> Gondim >> > - >> Histórico: > http://www.fug.com.br/historico/html/freebsd/ [1] >> Sair da lista: > https://www.fug.com.br/mailman/listinfo/freebsd [2] > > > > > Links: > -- > [1] http://www.fug.com.br/historico/html/freebsd/ > [2] > https://www.fug.com.br/mailman/listinfo/freebsd > [3] > http://www.openbsd.org/faq/pf/pt/rdr.html > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr do pf para conexão entrante apenas
Olá Gondim bom dia. Não seria melhor você criar uma regra especifica para as portas dos serviços do seu PABX? Eu sempre evito criar regras muito genéricas. Você pode determinar conexões entrantes, como no exemplo: pass in on tl0 proto tcp from any to any port 5000:5500 rdr-to 192.168.1.20 port 6000 Segue o link: http://www.openbsd.org/faq/pf/pt/rdr.html [3] Abs Gilliatt On Wed, 27 Jun 2012 10:25:38 -0300, Marcelo Gondim wrote: > Essa aqui é para os mais antigos no PF. :) > > Pessoal eu tenho essas regras abaixo por causa de uma central telefônica > aqui interno. Sendo que acontece o seguinte: desse servidor freebsd se > eu tento fazer um csup dos fontes não rola porque as portas geradas de > saída estão acima de 1 por default: > > net.inet.ip.portrange.last: 65535 > net.inet.ip.portrange.first: 1 > > Mudando as confs acima para começar em 1024 e a última ser funciona > mas não queria fazer isso. Tudo ocorre porque a resposta para o csup > está batendo nas regras abaixo e sendo redirecionadas para o servidor > 192.168.8.252. Eu tenho como fazer as regras abaixo para somente novas > conexões entrantes ? No Netfilter/IPTables por exemplo isso é padrão > para novas conexões mas acredito que no PF também exista alguma maneira > do retorno de uma conexão não caír nas regras de rdr. > > rdr on $ext_if proto udp from any to 10.255.0.12 port 1:65535 -> > 192.168.8.252 > rdr on $ext_if proto tcp from any to 10.255.0.12 port 1:65535 -> > 192.168.8.252 > > Grande abraço à todos > > Gondim > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ [1] > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd [2] Links: -- [1] http://www.fug.com.br/historico/html/freebsd/ [2] https://www.fug.com.br/mailman/listinfo/freebsd [3] http://www.openbsd.org/faq/pf/pt/rdr.html - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] rdr do pf para conexão entrante apenas
Essa aqui é para os mais antigos no PF. :) Pessoal eu tenho essas regras abaixo por causa de uma central telefônica aqui interno. Sendo que acontece o seguinte: desse servidor freebsd se eu tento fazer um csup dos fontes não rola porque as portas geradas de saída estão acima de 1 por default: net.inet.ip.portrange.last: 65535 net.inet.ip.portrange.first: 1 Mudando as confs acima para começar em 1024 e a última ser funciona mas não queria fazer isso. Tudo ocorre porque a resposta para o csup está batendo nas regras abaixo e sendo redirecionadas para o servidor 192.168.8.252. Eu tenho como fazer as regras abaixo para somente novas conexões entrantes ? No Netfilter/IPTables por exemplo isso é padrão para novas conexões mas acredito que no PF também exista alguma maneira do retorno de uma conexão não caír nas regras de rdr. rdr on $ext_if proto udp from any to 10.255.0.12 port 1:65535 -> 192.168.8.252 rdr on $ext_if proto tcp from any to 10.255.0.12 port 1:65535 -> 192.168.8.252 Grande abraço à todos Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR porta específica com PF (RESOLVID O)
2010/10/8 Renato Botelho > 2010/10/8 Enio Marconcini # www.Enio.Pro.Br : > > pessoal, na rede eu já tenho um rdr pra redirecionar o fluxo da porta > 3050 > > para o banco de dados > > > > porém agora uma outra aplicação, tambem usando a porta 3050, só que esta > > deve conectar em outro servidor, > > > > então, no cliente eu configurei, a porta 3051, quando esta chega ao fw, > era > > pra ser redirecionada a porta 3050 deste outro servidor > > > > uma regra assim de PF > > > > # rdr´s e nat > > rdr on $nic inet proto tcp from to any port 3050 tag BANCO1 -> > > $ip_srv_1 > > (essa já funciona) > > > > rdr on $nic inet proto tcp from to any port 3051 tag BANCO2 -> > > $ip_srv_2 port 3050 > > (essa não vai) > > Experimente colocar um parametro pass nessa regra > > rdr pass on $nic inet proto tcp from to any port 3051 -> > $ip_srv_2 port 3050 > > Dessa maneira você não precisa do tag e nem das regras abaixo > > > # filter rules > > pass quick tagged BANCO1 flags S/SA > > pass quick tagged BANCO2 flags S/SA > > -- > Renato Botelho > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Renatão, resolvido, bastou uma relida naqueles emails com uma conversação que tivemos onde você me explicou sobre roteamento, lembra? rastreei o erro aqui com um simples traceroute pois o servidor com o banco, não conhece a rede dos clientes, mas o gw dos clientes conhece o ip do banco quando a conexão chegava, a partir do gw dos clientes, direto ao banco, este mandava para o seu gw, o outro, então já deu pra imaginar abraços -- ENIO RODRIGO MARCONCINI gtalk: eni...@gmail.com skype: eniorm msn: /dev/null .: FreeBSD -:- OpenBSD -:-Slackware Linux :. Have trouble with Windows - reboot! Have trouble with Unix - be root! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR porta específica com PF
2010/10/8 Renato Botelho > 2010/10/8 Enio Marconcini # www.Enio.Pro.Br : > > pessoal, na rede eu já tenho um rdr pra redirecionar o fluxo da porta > 3050 > > para o banco de dados > > > > porém agora uma outra aplicação, tambem usando a porta 3050, só que esta > > deve conectar em outro servidor, > > > > então, no cliente eu configurei, a porta 3051, quando esta chega ao fw, > era > > pra ser redirecionada a porta 3050 deste outro servidor > > > > uma regra assim de PF > > > > # rdr´s e nat > > rdr on $nic inet proto tcp from to any port 3050 tag BANCO1 -> > > $ip_srv_1 > > (essa já funciona) > > > > rdr on $nic inet proto tcp from to any port 3051 tag BANCO2 -> > > $ip_srv_2 port 3050 > > (essa não vai) > > Experimente colocar um parametro pass nessa regra > > rdr pass on $nic inet proto tcp from to any port 3051 -> > $ip_srv_2 port 3050 > > Dessa maneira você não precisa do tag e nem das regras abaixo > > > # filter rules > > pass quick tagged BANCO1 flags S/SA > > pass quick tagged BANCO2 flags S/SA > > -- > Renato Botelho > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Renatão, fiz isso, eu geralmente uso o tag, pra poder aplicar os flags, mas segui como voce mencionou, fica na mesma problema no programa não é, pois na rede local onde eu nao preciso redirecionar nada, funciona... só pra especificar. o gateway onde recebe o trafego dessa rede, possui um ip na mesma rede onde está esse banco de dados, eu até consigo pingar direto de uma rede para outra, e do servidor de banco, eu pingo também o cliente... então eu tenho uma topologia mais ou menos assim gw principal ||-- primeiro srv banco | |switch| | | |--- segundo srv banco | |--- gw secundario |- rede clientes onde tenho o rdr para o primeiro banco nessa rede eu tento fazer outro rdr para o segundo srv banco -- ENIO RODRIGO MARCONCINI gtalk: eni...@gmail.com skype: eniorm msn: /dev/null .: FreeBSD -:- OpenBSD -:-Slackware Linux :. Have trouble with Windows - reboot! Have trouble with Unix - be root! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR porta específica com PF
2010/10/8 Enio Marconcini # www.Enio.Pro.Br : > pessoal, na rede eu já tenho um rdr pra redirecionar o fluxo da porta 3050 > para o banco de dados > > porém agora uma outra aplicação, tambem usando a porta 3050, só que esta > deve conectar em outro servidor, > > então, no cliente eu configurei, a porta 3051, quando esta chega ao fw, era > pra ser redirecionada a porta 3050 deste outro servidor > > uma regra assim de PF > > # rdr´s e nat > rdr on $nic inet proto tcp from to any port 3050 tag BANCO1 -> > $ip_srv_1 > (essa já funciona) > > rdr on $nic inet proto tcp from to any port 3051 tag BANCO2 -> > $ip_srv_2 port 3050 > (essa não vai) Experimente colocar um parametro pass nessa regra rdr pass on $nic inet proto tcp from to any port 3051 -> $ip_srv_2 port 3050 Dessa maneira você não precisa do tag e nem das regras abaixo > # filter rules > pass quick tagged BANCO1 flags S/SA > pass quick tagged BANCO2 flags S/SA -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR porta específica com PF
2010/10/8 Enio Marconcini # www.Enio.Pro.Br > pessoal, na rede eu já tenho um rdr pra redirecionar o fluxo da porta 3050 > para o banco de dados > > porém agora uma outra aplicação, tambem usando a porta 3050, só que esta > deve conectar em outro servidor, > > então, no cliente eu configurei, a porta 3051, quando esta chega ao fw, era > pra ser redirecionada a porta 3050 deste outro servidor > > uma regra assim de PF > > # rdr´s e nat > rdr on $nic inet proto tcp from to any port 3050 tag BANCO1 -> > $ip_srv_1 > (essa já funciona) > > rdr on $nic inet proto tcp from to any port 3051 tag BANCO2 -> > $ip_srv_2 port 3050 > (essa não vai) > > # filter rules > pass quick tagged BANCO1 flags S/SA > pass quick tagged BANCO2 flags S/SA > > no pass, acrescentei o log(all) pra rastrear com tcpdump, mas não apareceu > nada. > > FreeBSD 7.3-Stable > > -- > ENIO RODRIGO MARCONCINI > gtalk: eni...@gmail.com > skype: eniorm > msn: /dev/null > > .: FreeBSD -:- OpenBSD -:-Slackware Linux :. > Have trouble with Windows - reboot! > Have trouble with Unix - be root! > complementando, o log(all) aparece sim 00 rule 6/0(match): pass in on xl1: 10.10.3.148.1224 > 192.168.0.9.3050: [|tcp] 26 rule 6/0(match): pass out on xl0: 10.10.3.148.1224 > 192.168.0.9.3050: [|tcp] 000163 rule 6/0(match): pass in on xl0: 192.168.0.9.3050 > 10.10.3.148.1224: [|tcp] 08 rule 6/0(match): pass out on xl1: 10.10.3.129.3051 > 10.10.3.148.1224: [|tcp] 001219 rule 6/0(match): pass in on xl1: 10.10.3.148.1224 > 192.168.0.9.3050: [|tcp] 06 rule 6/0(match): pass out on xl0: 10.10.3.148.1224 > 192.168.0.9.3050: [|tcp] 000336 rule 6/0(match): pass in on xl1: 10.10.3.148.1224 > 192.168.0.9.3050: [|tcp] 06 rule 6/0(match): pass out on xl0: 10.10.3.148.1224 > 192.168.0.9.3050: tcp 128 [bad hdr length 0 - too short, < 20] 2. 986598 rule 6/0(match): pass in on xl1: 10.10.3.148.1224 > 192.168.0.9.3050: [|tcp] 12 rule 6/0(match): pass out on xl0: 10.10.3.148.1224 > 192.168.0.9.3050: [|tcp] 6. 015711 rule 6/0(match): pass in on xl1: 10.10.3.148.1224 > 192.168.0.9.3050: [|tcp] 12 rule 6/0(match): pass out on xl0: 10.10.3.148.1224 > 192.168.0.9.3050: [|tcp] 12. 031578 rule 6/0(match): pass in on xl1: 10.10.3.148.1224 > 192.168.0.9.3050: [|tcp] 13 rule 6/0(match): pass out on xl0: 10.10.3.148.1224 > 192.168.0.9.3050: [|tcp] 12. 031531 rule 6/0(match): pass in on xl1: 10.10.3.148.1224 > 192.168.0.9.3050: [|tcp] 12 rule 6/0(match): pass out on xl0: 10.10.3.148.1224 > 192.168.0.9.3050: [|tcp] confiro pelo netstat -an tanto no gw como no servidor com o banco, aparece as conexões mas o programa não abre -- ENIO RODRIGO MARCONCINI gtalk: eni...@gmail.com skype: eniorm msn: /dev/null .: FreeBSD -:- OpenBSD -:-Slackware Linux :. Have trouble with Windows - reboot! Have trouble with Unix - be root! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RDR porta específica com PF
pessoal, na rede eu já tenho um rdr pra redirecionar o fluxo da porta 3050 para o banco de dados porém agora uma outra aplicação, tambem usando a porta 3050, só que esta deve conectar em outro servidor, então, no cliente eu configurei, a porta 3051, quando esta chega ao fw, era pra ser redirecionada a porta 3050 deste outro servidor uma regra assim de PF # rdr´s e nat rdr on $nic inet proto tcp from to any port 3050 tag BANCO1 -> $ip_srv_1 (essa já funciona) rdr on $nic inet proto tcp from to any port 3051 tag BANCO2 -> $ip_srv_2 port 3050 (essa não vai) # filter rules pass quick tagged BANCO1 flags S/SA pass quick tagged BANCO2 flags S/SA no pass, acrescentei o log(all) pra rastrear com tcpdump, mas não apareceu nada. FreeBSD 7.3-Stable -- ENIO RODRIGO MARCONCINI gtalk: eni...@gmail.com skype: eniorm msn: /dev/null .: FreeBSD -:- OpenBSD -:-Slackware Linux :. Have trouble with Windows - reboot! Have trouble with Unix - be root! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr no pf
Funcionou,o problema tava no gatewayvalew pela ajuda... []'s Em 23/07/07, Welkson Renny de Medeiros<[EMAIL PROTECTED]> escreveu: > Aqui também uso sistemas de câmera e com acesso pela web... Geovision... > tive o mesmo problema com o rdr... mas no meu caso é porque a máquina da > câmera não estava com o gateway setado para o freebsd... quando coloquei o > gateway a máquina funcionou... bem estranho já que a máquina da câmera e o > freebsd estão na mesma rede... mas vi que só funciona nessas condições... > até com outros programas, como os de acesso remoto (vnc/radmin). > > As regras estão realmente corretas... no meu não tem esse round-robin... > > # Geovision (MultPoint) > rdr on sis0 proto tcp from any to any port 81 -> \ >192.168.0.111 > rdr on sis0 proto tcp from any to any port 4550 -> \ >192.168.0.111 > rdr on sis0 proto tcp from any to any port 5550 -> \ >192.168.0.111 > > > Sem mais, > > > -- > Welkson Renny de Medeiros > Focus Automação Comercial > Desenvolvimento / Gerência de Redes > [EMAIL PROTECTED] > > > > Powered by > >(__) > \\\'',) > \/ \ ^ > .\._/_) > > www.FreeBSD.org > > > > - Original Message - > From: "Lutieri G." <[EMAIL PROTECTED]> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Sent: Monday, July 23, 2007 7:59 AM > Subject: Re: [FUG-BR] rdr no pf > > > parecem estar certas as regras de rdr. qual o problema!? > > Em 22/07/07, Thiago J. Ruiz<[EMAIL PROTECTED]> escreveu: > > http://www.openbsd.org/faq/pf/index.html > > > > []´z > > > > > > Em 21/07/07, Lincon Peretto<[EMAIL PROTECTED]> escreveu: > > > Boa noite a todos, > > > > > > Sou novo no FreeBSD e gostaria de uma ajuda com o seguinte > > > problematenho um firewall em PF e preciso liberar acesso externo > > > para algumas câmeras que tenho na empresa. Dentro da minha rede local > > > está funcionando perfeitamente e para isso me conecto através de um > > > programa que veio com o equipamento. > > > > > > Ele utiliza o IP 192.168.1.100 e as seguintes portas 5000 e 5001. > > > > > > Olhei o histórico da lista e acrescentei o seguinte no meu pf.conf > > > > > > rdr on $ETH_EXT proto tcp from any to any port 5000 -> 192.168.1.100 > > > rdr on $ETH_EXT proto tcp from any to any port 5001 -> 192.168.1.100 > > > round-robin sticky-address > > > > > > Se alguém puder me ajudar serei muito grato... > > > > > > []'s > > > - > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > -- > > Thiago J. Ruiz > > http://thiagoruiz.blogspot.com > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > -- > Att. > Lutieri G. B. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr no pf
Aqui também uso sistemas de câmera e com acesso pela web... Geovision... tive o mesmo problema com o rdr... mas no meu caso é porque a máquina da câmera não estava com o gateway setado para o freebsd... quando coloquei o gateway a máquina funcionou... bem estranho já que a máquina da câmera e o freebsd estão na mesma rede... mas vi que só funciona nessas condições... até com outros programas, como os de acesso remoto (vnc/radmin). As regras estão realmente corretas... no meu não tem esse round-robin... # Geovision (MultPoint) rdr on sis0 proto tcp from any to any port 81 -> \ 192.168.0.111 rdr on sis0 proto tcp from any to any port 4550 -> \ 192.168.0.111 rdr on sis0 proto tcp from any to any port 5550 -> \ 192.168.0.111 Sem mais, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: "Lutieri G." <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Monday, July 23, 2007 7:59 AM Subject: Re: [FUG-BR] rdr no pf parecem estar certas as regras de rdr. qual o problema!? Em 22/07/07, Thiago J. Ruiz<[EMAIL PROTECTED]> escreveu: > http://www.openbsd.org/faq/pf/index.html > > []´z > > > Em 21/07/07, Lincon Peretto<[EMAIL PROTECTED]> escreveu: > > Boa noite a todos, > > > > Sou novo no FreeBSD e gostaria de uma ajuda com o seguinte > > problematenho um firewall em PF e preciso liberar acesso externo > > para algumas câmeras que tenho na empresa. Dentro da minha rede local > > está funcionando perfeitamente e para isso me conecto através de um > > programa que veio com o equipamento. > > > > Ele utiliza o IP 192.168.1.100 e as seguintes portas 5000 e 5001. > > > > Olhei o histórico da lista e acrescentei o seguinte no meu pf.conf > > > > rdr on $ETH_EXT proto tcp from any to any port 5000 -> 192.168.1.100 > > rdr on $ETH_EXT proto tcp from any to any port 5001 -> 192.168.1.100 > > round-robin sticky-address > > > > Se alguém puder me ajudar serei muito grato... > > > > []'s > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > -- > Thiago J. Ruiz > http://thiagoruiz.blogspot.com > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr no pf
parecem estar certas as regras de rdr. qual o problema!? Em 22/07/07, Thiago J. Ruiz<[EMAIL PROTECTED]> escreveu: > http://www.openbsd.org/faq/pf/index.html > > []´z > > > Em 21/07/07, Lincon Peretto<[EMAIL PROTECTED]> escreveu: > > Boa noite a todos, > > > > Sou novo no FreeBSD e gostaria de uma ajuda com o seguinte > > problematenho um firewall em PF e preciso liberar acesso externo > > para algumas câmeras que tenho na empresa. Dentro da minha rede local > > está funcionando perfeitamente e para isso me conecto através de um > > programa que veio com o equipamento. > > > > Ele utiliza o IP 192.168.1.100 e as seguintes portas 5000 e 5001. > > > > Olhei o histórico da lista e acrescentei o seguinte no meu pf.conf > > > > rdr on $ETH_EXT proto tcp from any to any port 5000 -> 192.168.1.100 > > rdr on $ETH_EXT proto tcp from any to any port 5001 -> 192.168.1.100 > > round-robin sticky-address > > > > Se alguém puder me ajudar serei muito grato... > > > > []'s > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > -- > Thiago J. Ruiz > http://thiagoruiz.blogspot.com > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr no pf
http://www.openbsd.org/faq/pf/index.html []´z Em 21/07/07, Lincon Peretto<[EMAIL PROTECTED]> escreveu: > Boa noite a todos, > > Sou novo no FreeBSD e gostaria de uma ajuda com o seguinte > problematenho um firewall em PF e preciso liberar acesso externo > para algumas câmeras que tenho na empresa. Dentro da minha rede local > está funcionando perfeitamente e para isso me conecto através de um > programa que veio com o equipamento. > > Ele utiliza o IP 192.168.1.100 e as seguintes portas 5000 e 5001. > > Olhei o histórico da lista e acrescentei o seguinte no meu pf.conf > > rdr on $ETH_EXT proto tcp from any to any port 5000 -> 192.168.1.100 > rdr on $ETH_EXT proto tcp from any to any port 5001 -> 192.168.1.100 > round-robin sticky-address > > Se alguém puder me ajudar serei muito grato... > > []'s > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Thiago J. Ruiz http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] rdr no pf
Boa noite a todos, Sou novo no FreeBSD e gostaria de uma ajuda com o seguinte problematenho um firewall em PF e preciso liberar acesso externo para algumas câmeras que tenho na empresa. Dentro da minha rede local está funcionando perfeitamente e para isso me conecto através de um programa que veio com o equipamento. Ele utiliza o IP 192.168.1.100 e as seguintes portas 5000 e 5001. Olhei o histórico da lista e acrescentei o seguinte no meu pf.conf rdr on $ETH_EXT proto tcp from any to any port 5000 -> 192.168.1.100 rdr on $ETH_EXT proto tcp from any to any port 5001 -> 192.168.1.100 round-robin sticky-address Se alguém puder me ajudar serei muito grato... []'s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR no PF
Amigos, o ftp como todos sabem (ou deveriam) não funciona bem atrás de nat. Será necessario configurar o ftp-proxy na porta 21 da maquina de firewall e mais os anchors on-the-fly. Neste caso, o firewall deve redirecionar tráfego para o servidor FTP além de não bloquear as portas necessárias. Para conseguir isto, voltamos para o ftp-proxy(8). O ftp-proxy(8) pode rodar em um modo que faz com que ele redirecione todas as conexões FTP para um servidor FTP específico. Basicamente configuramos o proxy para escutar na porta 21 no firewall e redirecionamos todas as conexões de volta para o servidor. Edite o /etc/rc.conf e adicione o seguinte: inetd_enable="YES" inetd_flags="-wW -C 60" Aqui ativamos o servidor inetd. Agora precisamos incializa-lo : /etc/rc.d/inetd start Edite o arquivo /etc/inetd.conf e adicione ao final do arquivo a seguinte linha : ftp stream tcp nowait root/usr/libexec/ftp-proxy ftp-proxy -R 10.10.10.1:21 -a 192.168.0.1 Aqui 10.10.10.1 é o endereço IP do atual servidor FTP, 21 é a porta para onde queremos que o ftp-proxy(8) redirecione as conexões e 192.168.0.1 é o endereço no firewall para o proxy (endereço externo). Agora para as regras pf.conf: ext_ip = "192.168.0.1" ftp_ip = "10.10.10.1" nat-anchor "ftp-proxy/*" nat on $ext_if inet from $int_if -> ($ext_if) rdr-anchor "ftp-proxy/*" pass in on $ext_if inet proto tcp to $ext_ip port 21 \ flags S/SA keep state pass out on $int_if inet proto tcp to $ftp_ip port 21 \ user proxy flags S/SA keep state anchor "ftp-proxy/*" Aqui nós permitimos a conexão para a porta 21 na interface externa bem como a conexão de saída correspondente para o servidor FTP. O üser proxy" na regra de saída garante que apenas as conexões iniciadas pelo ftp-proxy(8) sejam permitidas. Note que se você quer rodar o ftp-proxy(8) para proteger um servidor FTP bem como permitir clientes fazer FTP para fora do firewall, duas instâncias do ftp-proxy serão necessarias. Referencia: http://www.openbsd.org/faq/pf/pt/ftp.html []'s. On Wed, 2007-06-27 at 10:51 +, Alessandro de Souza Rocha wrote: > Em 26/06/07, Lutieri G.<[EMAIL PROTECTED]> escreveu: > > Eu já encontrei o problema era a máquina com o serviço de ftp que > > estava com o default gateway errado. Mas já testei e não funciona rdr > > PASS. até há algum tempo havíamos discutido isso na lista. > > > > > > obrigado a todos! > > > > Em 26/06/07, Thiago J. Ruiz<[EMAIL PROTECTED]> escreveu: > > > experimenta > > > > > > rdr pass on . > > > > > > gera mantem o estado automaticamente liberando a inda e a vinda da conexao > > > > > > > > > (Se eu estiver falando groselha me corrijam), mas pra mim funciona em > > > vários servidores. > > > > > > abraço > > > > > > Em 26/06/07, Lutieri G.<[EMAIL PROTECTED]> escreveu: > > > > To montando um firewall e está assim: > > > > > > > > srv# pfctl -sn > > > > No ALTQ support in kernel > > > > ALTQ related functions disabled > > > > nat pass on em1 inet all -> 201.xx.xx.161 > > > > rdr on em1 inet proto tcp from any to 201.xx.xx.161 port = ftp -> > > > > 172.16.4.2 port 21 > > > > srv# > > > > > > > > > > > > srv# pfctl -sr > > > > No ALTQ support in kernel > > > > ALTQ related functions disabled > > > > pass in all keep state > > > > pass out all keep state > > > > pass in on em0 inet proto tcp from to 172.16.4.240 port > > > > = ssh keep state > > > > srv# > > > > > > > > Empaquei aqui. Olha a situação: > > > > > > > > > > > > eu estou na máquina 201.xx.x.5(uma máquina na internet) tentando > > > > acessar o firewall(201.xx.xx.161) que deveria redirecionar a conexao > > > > ftp para 172.16.4.2. > > > > > > > > Não vai de jeito nenhum ... cheguei a liberar tudo pra ver se funciona > > > > e nada. > > > > Li nos histórico da lista mas não encontrei a solução, não pro meu caso. > > > > > > > > O mais interessantes é que as regras estão passado pelos filtros. Pois > > > > quando eu vou na estação quem tá rodando o ftp(172.16.4.2) e rodo o > > > > tcpdump eu vejo pacotes vindos do IP remoto de onde eu tento acessar. > > > > > > > > local# tcpdump -n host 201.xx.x.5 > > > > > > > > 13:52:13.368172 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > > > > 1550150509:1550150509(0) ack 2596759555 win 5792 > > > 1460,sackOK,timestamp 10779497[|tcp]> > > > > > > > > 13:52:16.348249 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > > > > 1550150509:1550150509(0) ack 2596759555 win 5792 > > > 1460,sackOK,timestamp 10779795[|tcp]> > > > > > > > > 13:52:17.361694 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > > > > 1550150509:1550150509(0) ack 2596759555 win 5792 > > > 1460,sack
Re: [FUG-BR] RDR no PF
Em 26/06/07, Lutieri G.<[EMAIL PROTECTED]> escreveu: > Eu já encontrei o problema era a máquina com o serviço de ftp que > estava com o default gateway errado. Mas já testei e não funciona rdr > PASS. até há algum tempo havíamos discutido isso na lista. > > > obrigado a todos! > > Em 26/06/07, Thiago J. Ruiz<[EMAIL PROTECTED]> escreveu: > > experimenta > > > > rdr pass on . > > > > gera mantem o estado automaticamente liberando a inda e a vinda da conexao > > > > > > (Se eu estiver falando groselha me corrijam), mas pra mim funciona em > > vários servidores. > > > > abraço > > > > Em 26/06/07, Lutieri G.<[EMAIL PROTECTED]> escreveu: > > > To montando um firewall e está assim: > > > > > > srv# pfctl -sn > > > No ALTQ support in kernel > > > ALTQ related functions disabled > > > nat pass on em1 inet all -> 201.xx.xx.161 > > > rdr on em1 inet proto tcp from any to 201.xx.xx.161 port = ftp -> > > > 172.16.4.2 port 21 > > > srv# > > > > > > > > > srv# pfctl -sr > > > No ALTQ support in kernel > > > ALTQ related functions disabled > > > pass in all keep state > > > pass out all keep state > > > pass in on em0 inet proto tcp from to 172.16.4.240 port > > > = ssh keep state > > > srv# > > > > > > Empaquei aqui. Olha a situação: > > > > > > > > > eu estou na máquina 201.xx.x.5(uma máquina na internet) tentando > > > acessar o firewall(201.xx.xx.161) que deveria redirecionar a conexao > > > ftp para 172.16.4.2. > > > > > > Não vai de jeito nenhum ... cheguei a liberar tudo pra ver se funciona e > > > nada. > > > Li nos histórico da lista mas não encontrei a solução, não pro meu caso. > > > > > > O mais interessantes é que as regras estão passado pelos filtros. Pois > > > quando eu vou na estação quem tá rodando o ftp(172.16.4.2) e rodo o > > > tcpdump eu vejo pacotes vindos do IP remoto de onde eu tento acessar. > > > > > > local# tcpdump -n host 201.xx.x.5 > > > > > > 13:52:13.368172 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > > > 1550150509:1550150509(0) ack 2596759555 win 5792 > > 1460,sackOK,timestamp 10779497[|tcp]> > > > > > > 13:52:16.348249 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > > > 1550150509:1550150509(0) ack 2596759555 win 5792 > > 1460,sackOK,timestamp 10779795[|tcp]> > > > > > > 13:52:17.361694 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > > > 1550150509:1550150509(0) ack 2596759555 win 5792 > > 1460,sackOK,timestamp 10779897[|tcp]> > > > > > > 13:52:23.361246 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > > > 1550150509:1550150509(0) ack 2596759555 win 5792 > > 1460,sackOK,timestamp 10780497[|tcp]> > > > > > > 13:52:35.560319 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > > > 1550150509:1550150509(0) ack 2596759555 win 5792 > > 1460,sackOK,timestamp 10781717[|tcp]> > > > > > > 13:52:59.558496 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > > > 1550150509:1550150509(0) ack 2596759555 win 5792 > > 1460,sackOK,timestamp 10784117[|tcp]> > > > > > > > > > Porém me parece, talvez eu esteja errado(tomara que sim), que a > > > estação 172.16.4.2 está enviando pacotes SYN para a máquina remota > > > 201.xx.x.5. e mais estranho que eu num vejo os pacotes vindo da > > > máquina externa só indo para ela. > > > > > > Alguma sugestão? > > > > > > É incrível mas tem meia dúzia de linhas e não funciona... por favor se > > > alguém puder ajudar fico grato. > > > > > > -- > > > Att. > > > Lutieri G. B. > > > - > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > -- > > Thiago J. Ruiz > > http://thiagoruiz.blogspot.com > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > -- > Att. > Lutieri G. B. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > da uma olhda aki ver se servi rdr on $ext_if proto tcp from 200.221.2.0/24 to any port 80 -> 192.168.0.0/24 rdr on $ext_if proto tcp from 200.221.5.0/24 to any port 80 -> 192.168.0.0/24 rdr on $ext_if proto tcp from 200.221.8.0/24 to any port 80 -> 192.168.0.0/24 rdr on $ext_if proto tcp from 200.221.5.0/24 to any port 80 -> 192.168.0.0/24 rdr on $ext_if proto tcp from 200.221.8.0/24 to any port 80 -> 192.168.0.0/2 rdr on $int_if proto tcp from any to any port 80 -> 192.168.0.252 port 3128 rdr on $ext_if proto tcp from any to any port 6300 -> 192.168.0.250 rdr on $ext_if proto tcp from any to any port 3389 -> 192.168.0.250 nat on $ext_if from $int_if:network to any -> ($ext_if) rdr on $ext_if proto tcp from any to any port 6300 -> 192.168.0.250 \ round-robin sticky-address -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR no PF
Eu já encontrei o problema era a máquina com o serviço de ftp que estava com o default gateway errado. Mas já testei e não funciona rdr PASS. até há algum tempo havíamos discutido isso na lista. obrigado a todos! Em 26/06/07, Thiago J. Ruiz<[EMAIL PROTECTED]> escreveu: > experimenta > > rdr pass on . > > gera mantem o estado automaticamente liberando a inda e a vinda da conexao > > > (Se eu estiver falando groselha me corrijam), mas pra mim funciona em > vários servidores. > > abraço > > Em 26/06/07, Lutieri G.<[EMAIL PROTECTED]> escreveu: > > To montando um firewall e está assim: > > > > srv# pfctl -sn > > No ALTQ support in kernel > > ALTQ related functions disabled > > nat pass on em1 inet all -> 201.xx.xx.161 > > rdr on em1 inet proto tcp from any to 201.xx.xx.161 port = ftp -> > > 172.16.4.2 port 21 > > srv# > > > > > > srv# pfctl -sr > > No ALTQ support in kernel > > ALTQ related functions disabled > > pass in all keep state > > pass out all keep state > > pass in on em0 inet proto tcp from to 172.16.4.240 port > > = ssh keep state > > srv# > > > > Empaquei aqui. Olha a situação: > > > > > > eu estou na máquina 201.xx.x.5(uma máquina na internet) tentando > > acessar o firewall(201.xx.xx.161) que deveria redirecionar a conexao > > ftp para 172.16.4.2. > > > > Não vai de jeito nenhum ... cheguei a liberar tudo pra ver se funciona e > > nada. > > Li nos histórico da lista mas não encontrei a solução, não pro meu caso. > > > > O mais interessantes é que as regras estão passado pelos filtros. Pois > > quando eu vou na estação quem tá rodando o ftp(172.16.4.2) e rodo o > > tcpdump eu vejo pacotes vindos do IP remoto de onde eu tento acessar. > > > > local# tcpdump -n host 201.xx.x.5 > > > > 13:52:13.368172 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > > 1550150509:1550150509(0) ack 2596759555 win 5792 > 1460,sackOK,timestamp 10779497[|tcp]> > > > > 13:52:16.348249 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > > 1550150509:1550150509(0) ack 2596759555 win 5792 > 1460,sackOK,timestamp 10779795[|tcp]> > > > > 13:52:17.361694 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > > 1550150509:1550150509(0) ack 2596759555 win 5792 > 1460,sackOK,timestamp 10779897[|tcp]> > > > > 13:52:23.361246 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > > 1550150509:1550150509(0) ack 2596759555 win 5792 > 1460,sackOK,timestamp 10780497[|tcp]> > > > > 13:52:35.560319 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > > 1550150509:1550150509(0) ack 2596759555 win 5792 > 1460,sackOK,timestamp 10781717[|tcp]> > > > > 13:52:59.558496 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > > 1550150509:1550150509(0) ack 2596759555 win 5792 > 1460,sackOK,timestamp 10784117[|tcp]> > > > > > > Porém me parece, talvez eu esteja errado(tomara que sim), que a > > estação 172.16.4.2 está enviando pacotes SYN para a máquina remota > > 201.xx.x.5. e mais estranho que eu num vejo os pacotes vindo da > > máquina externa só indo para ela. > > > > Alguma sugestão? > > > > É incrível mas tem meia dúzia de linhas e não funciona... por favor se > > alguém puder ajudar fico grato. > > > > -- > > Att. > > Lutieri G. B. > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > -- > Thiago J. Ruiz > http://thiagoruiz.blogspot.com > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR no PF
experimenta rdr pass on . gera mantem o estado automaticamente liberando a inda e a vinda da conexao (Se eu estiver falando groselha me corrijam), mas pra mim funciona em vários servidores. abraço Em 26/06/07, Lutieri G.<[EMAIL PROTECTED]> escreveu: > To montando um firewall e está assim: > > srv# pfctl -sn > No ALTQ support in kernel > ALTQ related functions disabled > nat pass on em1 inet all -> 201.xx.xx.161 > rdr on em1 inet proto tcp from any to 201.xx.xx.161 port = ftp -> > 172.16.4.2 port 21 > srv# > > > srv# pfctl -sr > No ALTQ support in kernel > ALTQ related functions disabled > pass in all keep state > pass out all keep state > pass in on em0 inet proto tcp from to 172.16.4.240 port > = ssh keep state > srv# > > Empaquei aqui. Olha a situação: > > > eu estou na máquina 201.xx.x.5(uma máquina na internet) tentando > acessar o firewall(201.xx.xx.161) que deveria redirecionar a conexao > ftp para 172.16.4.2. > > Não vai de jeito nenhum ... cheguei a liberar tudo pra ver se funciona e nada. > Li nos histórico da lista mas não encontrei a solução, não pro meu caso. > > O mais interessantes é que as regras estão passado pelos filtros. Pois > quando eu vou na estação quem tá rodando o ftp(172.16.4.2) e rodo o > tcpdump eu vejo pacotes vindos do IP remoto de onde eu tento acessar. > > local# tcpdump -n host 201.xx.x.5 > > 13:52:13.368172 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > 1550150509:1550150509(0) ack 2596759555 win 5792 1460,sackOK,timestamp 10779497[|tcp]> > > 13:52:16.348249 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > 1550150509:1550150509(0) ack 2596759555 win 5792 1460,sackOK,timestamp 10779795[|tcp]> > > 13:52:17.361694 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > 1550150509:1550150509(0) ack 2596759555 win 5792 1460,sackOK,timestamp 10779897[|tcp]> > > 13:52:23.361246 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > 1550150509:1550150509(0) ack 2596759555 win 5792 1460,sackOK,timestamp 10780497[|tcp]> > > 13:52:35.560319 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > 1550150509:1550150509(0) ack 2596759555 win 5792 1460,sackOK,timestamp 10781717[|tcp]> > > 13:52:59.558496 IP 172.16.4.2.21 > 201.xx.x.5.51007: S > 1550150509:1550150509(0) ack 2596759555 win 5792 1460,sackOK,timestamp 10784117[|tcp]> > > > Porém me parece, talvez eu esteja errado(tomara que sim), que a > estação 172.16.4.2 está enviando pacotes SYN para a máquina remota > 201.xx.x.5. e mais estranho que eu num vejo os pacotes vindo da > máquina externa só indo para ela. > > Alguma sugestão? > > É incrível mas tem meia dúzia de linhas e não funciona... por favor se > alguém puder ajudar fico grato. > > -- > Att. > Lutieri G. B. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Thiago J. Ruiz http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RDR no PF
To montando um firewall e está assim: srv# pfctl -sn No ALTQ support in kernel ALTQ related functions disabled nat pass on em1 inet all -> 201.xx.xx.161 rdr on em1 inet proto tcp from any to 201.xx.xx.161 port = ftp -> 172.16.4.2 port 21 srv# srv# pfctl -sr No ALTQ support in kernel ALTQ related functions disabled pass in all keep state pass out all keep state pass in on em0 inet proto tcp from to 172.16.4.240 port = ssh keep state srv# Empaquei aqui. Olha a situação: eu estou na máquina 201.xx.x.5(uma máquina na internet) tentando acessar o firewall(201.xx.xx.161) que deveria redirecionar a conexao ftp para 172.16.4.2. Não vai de jeito nenhum ... cheguei a liberar tudo pra ver se funciona e nada. Li nos histórico da lista mas não encontrei a solução, não pro meu caso. O mais interessantes é que as regras estão passado pelos filtros. Pois quando eu vou na estação quem tá rodando o ftp(172.16.4.2) e rodo o tcpdump eu vejo pacotes vindos do IP remoto de onde eu tento acessar. local# tcpdump -n host 201.xx.x.5 13:52:13.368172 IP 172.16.4.2.21 > 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 13:52:16.348249 IP 172.16.4.2.21 > 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 13:52:17.361694 IP 172.16.4.2.21 > 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 13:52:23.361246 IP 172.16.4.2.21 > 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 13:52:35.560319 IP 172.16.4.2.21 > 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 13:52:59.558496 IP 172.16.4.2.21 > 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 Porém me parece, talvez eu esteja errado(tomara que sim), que a estação 172.16.4.2 está enviando pacotes SYN para a máquina remota 201.xx.x.5. e mais estranho que eu num vejo os pacotes vindo da máquina externa só indo para ela. Alguma sugestão? É incrível mas tem meia dúzia de linhas e não funciona... por favor se alguém puder ajudar fico grato. -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR de GRE com IPNAT.
O GRE não trabalha com a noçao de porta, existente em TCP ou UDP, uma vez que ele é um protocolo usado para encapsulamento de protocolos. Além disso você vai ter problemas quando o teu servidor VPN, que aparentemente está com endereço privado, enviar pacotes pra fora pois o GRE não funciona com NAT (embora deveria, conforme rfc's 1701 e 1702). Coloque seu servidor VPN na DMZ e libere os procolos GRE (inbound e outboun) e tcp (inbound) na porta 1723 (keep state, se possível, modulate-state). Só por cusriosidade, está usando PPTP com VPN da Microsoft ? []'s -- No stupid signatures here. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RDR de GRE com IPNAT.
Srs, Eu tentei fazer esse RDR conforme achei no histórico várias vezes. Preciso redirecionar uma conexão vpn/gre que está rodando sobre um windows da internet para a minha rede interna. Eu uso uma dupla um pouco diferente. Utilizo ipfw para firewal e ipnat para NAT. Eu tentei as seguintes regras: 1º Tentativa: rdr xl0 200.200.200.10/32 port 1723 -> 192.168.0.5 port 1723 tcp rdr xl0 200.200.200.10/32 port 1723 -> 192.168.0.5 port 1723 gre Não funcionou. 2º Tentantiva: rdr xl0 200.200.200.10/32 port 1723 -> 192.168.0.5 port 1723 tcp rdr xl0 0.0.0.0/0 gre -> 192.168.0.5 gre E muitas outras combinações e até agora nada. Eu vejo tráfego chegando na placa de rede externa mas não vejo passar para a rede interna. Uso tb 2 links nesses servidor fazendo source routing no ipfw, mas nem nisso o pacote passa. Alguem tem algum caminho que eu possa seguir? -- .:Abraços:. <<< Jonatas M. Victor >>> [EMAIL PROTECTED] UIN: 138431258 MSN: [EMAIL PROTECTED] BSD User: BSD051240 Linux User: #278922 http://www.vetorial.net - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR com Packet Filter
Você está com razão, eu resolvi com essa regra : pass out on $int_if proto tcp from any to port 3389 modulate state Funcionou na hora ! Muito obrigado a todos mais uma vez ... e se fui ignorante em alguma questão... me desculpem, pois o PF é diferente no tratamento, leia-se "leitura" das regras e ainda estou me acustumando, hehe ... Abraços ... - Original Message - From: "Nenhum _de_Nos" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, October 11, 2006 6:03 PM Subject: Re: [FUG-BR] RDR com Packet Filter On 10/11/06, Rafael - Gmail <[EMAIL PROTECTED]> wrote: > Ops, comigo não funfou :( ! > > - Original Message - > From: "Leo Getz" <[EMAIL PROTECTED]> > To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" > > Sent: Wednesday, October 11, 2006 1:28 PM > Subject: Re: [FUG-BR] RDR com Packet Filter > > > Rafael - Gmail escreveu: > > Pessoal, > > Percebi que isso só ocorre o Redirecionamento depois que eu comento a > > minha > > regra de BLOCK ALL, ou seja, pelo que entendi ... o meu problema é > > quando > > eu > > "caio" nas regras de Filtragem. > > Agradeço muito a todas as respostas, testei TODAS as sugestões postadas > > por > > vocês, uma a uma e depois as 3 juntas e TODAS elas deram certo. > > Me desculpem pois o erro foi meu, entretanto não pretendo deixar ACCEPT > > ALL > > no meu server, então estarei "arrumando" as minhas regras de Filtro. > > Muito obrigado mesmo pelas respostas. > > > > > > > Coloca > > rdr pass on $ext_if proto tcp from any to any port 4862 -> 192.168.71.250 > > o Detalhe do *pass*, não faz passar pelas regras do firewall! > > Valeu. minha ideia eh a da volta, como ele trataria a volta ? vc precisa de uma regra que a permita, uma deixando conexoes de fora passarem nesta porta e o famoso keep-state se vc nao quiser fazer a volta genérica :) -- We will call you cygnus, The God of balance you shall be - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR com Packet Filter
2006/10/11, Nenhum _de_Nos <[EMAIL PROTECTED]>: > On 10/11/06, Rafael - Gmail <[EMAIL PROTECTED]> wrote: > > Ops, comigo não funfou :( ! eae Rafael, só não vai funfar se vc colocar no block a flag "quick" tipo: block in quick log all dae nada entra e nada sai! hehe ... quem sabe né hehe abraço bom feriado a todos! -- Thiago J. Ruiz http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR com Packet Filter
On 10/11/06, Rafael - Gmail <[EMAIL PROTECTED]> wrote: > Ops, comigo não funfou :( ! > > - Original Message - > From: "Leo Getz" <[EMAIL PROTECTED]> > To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" > > Sent: Wednesday, October 11, 2006 1:28 PM > Subject: Re: [FUG-BR] RDR com Packet Filter > > > Rafael - Gmail escreveu: > > Pessoal, > > Percebi que isso só ocorre o Redirecionamento depois que eu comento a > > minha > > regra de BLOCK ALL, ou seja, pelo que entendi ... o meu problema é quando > > eu > > "caio" nas regras de Filtragem. > > Agradeço muito a todas as respostas, testei TODAS as sugestões postadas > > por > > vocês, uma a uma e depois as 3 juntas e TODAS elas deram certo. > > Me desculpem pois o erro foi meu, entretanto não pretendo deixar ACCEPT > > ALL > > no meu server, então estarei "arrumando" as minhas regras de Filtro. > > Muito obrigado mesmo pelas respostas. > > > > > > > Coloca > > rdr pass on $ext_if proto tcp from any to any port 4862 -> 192.168.71.250 > > o Detalhe do *pass*, não faz passar pelas regras do firewall! > > Valeu. minha ideia eh a da volta, como ele trataria a volta ? vc precisa de uma regra que a permita, uma deixando conexoes de fora passarem nesta porta e o famoso keep-state se vc nao quiser fazer a volta genérica :) -- We will call you cygnus, The God of balance you shall be - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR com Packet Filter
Ops, comigo não funfou :( ! - Original Message - From: "Leo Getz" <[EMAIL PROTECTED]> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" Sent: Wednesday, October 11, 2006 1:28 PM Subject: Re: [FUG-BR] RDR com Packet Filter Rafael - Gmail escreveu: > Pessoal, > Percebi que isso só ocorre o Redirecionamento depois que eu comento a > minha > regra de BLOCK ALL, ou seja, pelo que entendi ... o meu problema é quando > eu > "caio" nas regras de Filtragem. > Agradeço muito a todas as respostas, testei TODAS as sugestões postadas > por > vocês, uma a uma e depois as 3 juntas e TODAS elas deram certo. > Me desculpem pois o erro foi meu, entretanto não pretendo deixar ACCEPT > ALL > no meu server, então estarei "arrumando" as minhas regras de Filtro. > Muito obrigado mesmo pelas respostas. > > > Coloca rdr pass on $ext_if proto tcp from any to any port 4862 -> 192.168.71.250 o Detalhe do *pass*, não faz passar pelas regras do firewall! Valeu. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR com Packet Filter
Show ! Eu tinha lido sobre o PASS mesmo no manual do PF, sendo que nem me recordava ... mais uma vez obrigado !!! - Original Message - From: "Leo Getz" <[EMAIL PROTECTED]> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" Sent: Wednesday, October 11, 2006 1:28 PM Subject: Re: [FUG-BR] RDR com Packet Filter Rafael - Gmail escreveu: > Pessoal, > Percebi que isso só ocorre o Redirecionamento depois que eu comento a > minha > regra de BLOCK ALL, ou seja, pelo que entendi ... o meu problema é quando > eu > "caio" nas regras de Filtragem. > Agradeço muito a todas as respostas, testei TODAS as sugestões postadas > por > vocês, uma a uma e depois as 3 juntas e TODAS elas deram certo. > Me desculpem pois o erro foi meu, entretanto não pretendo deixar ACCEPT > ALL > no meu server, então estarei "arrumando" as minhas regras de Filtro. > Muito obrigado mesmo pelas respostas. > > > Coloca rdr pass on $ext_if proto tcp from any to any port 4862 -> 192.168.71.250 o Detalhe do *pass*, não faz passar pelas regras do firewall! Valeu. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR com Packet Filter
Rafael - Gmail escreveu: > Pessoal, > Percebi que isso só ocorre o Redirecionamento depois que eu comento a minha > regra de BLOCK ALL, ou seja, pelo que entendi ... o meu problema é quando eu > "caio" nas regras de Filtragem. > Agradeço muito a todas as respostas, testei TODAS as sugestões postadas por > vocês, uma a uma e depois as 3 juntas e TODAS elas deram certo. > Me desculpem pois o erro foi meu, entretanto não pretendo deixar ACCEPT ALL > no meu server, então estarei "arrumando" as minhas regras de Filtro. > Muito obrigado mesmo pelas respostas. > > > Coloca rdr pass on $ext_if proto tcp from any to any port 4862 -> 192.168.71.250 o Detalhe do *pass*, não faz passar pelas regras do firewall! Valeu. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR com Packet Filter
Pessoal, Percebi que isso só ocorre o Redirecionamento depois que eu comento a minha regra de BLOCK ALL, ou seja, pelo que entendi ... o meu problema é quando eu "caio" nas regras de Filtragem. Agradeço muito a todas as respostas, testei TODAS as sugestões postadas por vocês, uma a uma e depois as 3 juntas e TODAS elas deram certo. Me desculpem pois o erro foi meu, entretanto não pretendo deixar ACCEPT ALL no meu server, então estarei "arrumando" as minhas regras de Filtro. Muito obrigado mesmo pelas respostas. - Original Message - From: "Felipe Neuwald" <[EMAIL PROTECTED]> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" Sent: Wednesday, October 11, 2006 11:59 AM Subject: Re: [FUG-BR] RDR com Packet Filter Rafael, bom dia. Eu faço rdr assim e funciona: rdr on $if_wan proto tcp from any to $turbofone port 443 -> $turbofone port 22 PS: a regra rdr está antes da regra de NAT. Abs, Felipe. Rafael - Gmail escreveu: > Bom dia a todos, > Migrando do IPFW para o PF, me deparei com o seguinte problema: > > rdr on $ext_if proto tcp from any to $ext_if port 3389 -> 192.168.0.101/24 > port 3389 > > Acontece que a regra acima segundo o manual, artigos e até mesmo posts > aqui > da lista, enfim, minhas fontes de pesquisa ... está correta e não > redireciona ! > > Alguém tem alguma idéia do que seja ? > > Observações: Não uso IPFW neste servidor, uso nat do próprio PF e não do > PPP > ou sequer do NATD, uso Conexão PPPoE (Velox-RJ), uso controle MAC / IP > Estático na Interface interna, e, sim este IP está cadastrado na tabela > arp > da minha Interface Interna. > > Att, > Rafael José Simão Pinto > Tecnologia e Segurança da Informação - Redes e Internet > Niely Cosméticos > e-mail : [EMAIL PROTECTED] > MSN : [EMAIL PROTECTED] > FUG-BR # 379 > Linux User # 432068 > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RDR com PF
Caro Rafael José Simão Pinto Coloque no seu pf.conf as seguintes regras: 1 - Para se fazer NAT: nat on $ext_if from $int_net to any -> ($ext_if) 2 - Para redirecionar as conexões na porta 3389: rdr on $ext_if inet proto tcp from any to $ext_addr port 3389 \ -> 192.168.0.101 port 3389 A diferença é a palavrinha "inet" que faltou na sua regra. é só. >Bom dia a todos, >Migrando do IPFW para o PF, me deparei com o seguinte problema: > >rdr on $ext_if proto tcp from any to $ext_if port 3389 -> >192.168.0.101/24 port 3389 > >Acontece que a regra acima segundo o manual, artigos e até mesmo posts >aqui da lista, enfim, minhas fontes de pesquisa ... está correta e não >redireciona ! > >Alguém tem alguma idéia do que seja ? > >Observações: Não uso IPFW neste servidor, uso nat do próprio PF e não >do PPP ou sequer do NATD, uso Conexão PPPoE (Velox-RJ), uso controle >MAC / IP Estático na Interface interna, e, sim este IP está cadastrado >na tabela arp da minha Interface Interna. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR com Packet Filter
> > rdr on $ext_if proto tcp from any to $ext_if port 3389 -> 192.168.0.101/24 > > port 3389 192.168.0.101/24 seria 192.168.0.101/255.255.255.0 Um rdr para uma rede C toda, talvez esse seja seu problema. Tente: rdr on $ext_if proto tcp from any to $ext_if port 3389 -> 192.168.0.101/32 port 3389 ou como o amigo ai falou, somente com o ip. PS: /32 seria 255.255.255.255 = um unico host Flavio do Carmo Junior On 10/11/06, Felipe Neuwald <[EMAIL PROTECTED]> wrote: > Rafael, bom dia. > > Eu faço rdr assim e funciona: > > rdr on $if_wan proto tcp from any to $turbofone port 443 -> $turbofone > port 22 > > PS: a regra rdr está antes da regra de NAT. > > Abs, > > Felipe. > > Rafael - Gmail escreveu: > > Bom dia a todos, > > Migrando do IPFW para o PF, me deparei com o seguinte problema: > > > > rdr on $ext_if proto tcp from any to $ext_if port 3389 -> 192.168.0.101/24 > > port 3389 > > > > Acontece que a regra acima segundo o manual, artigos e até mesmo posts aqui > > da lista, enfim, minhas fontes de pesquisa ... está correta e não > > redireciona ! > > > > Alguém tem alguma idéia do que seja ? > > > > Observações: Não uso IPFW neste servidor, uso nat do próprio PF e não do PPP > > ou sequer do NATD, uso Conexão PPPoE (Velox-RJ), uso controle MAC / IP > > Estático na Interface interna, e, sim este IP está cadastrado na tabela arp > > da minha Interface Interna. > > > > Att, > > Rafael José Simão Pinto > > Tecnologia e Segurança da Informação - Redes e Internet > > Niely Cosméticos > > e-mail : [EMAIL PROTECTED] > > MSN : [EMAIL PROTECTED] > > FUG-BR # 379 > > Linux User # 432068 > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR com Packet Filter
Rafael, bom dia. Eu faço rdr assim e funciona: rdr on $if_wan proto tcp from any to $turbofone port 443 -> $turbofone port 22 PS: a regra rdr está antes da regra de NAT. Abs, Felipe. Rafael - Gmail escreveu: > Bom dia a todos, > Migrando do IPFW para o PF, me deparei com o seguinte problema: > > rdr on $ext_if proto tcp from any to $ext_if port 3389 -> 192.168.0.101/24 > port 3389 > > Acontece que a regra acima segundo o manual, artigos e até mesmo posts aqui > da lista, enfim, minhas fontes de pesquisa ... está correta e não > redireciona ! > > Alguém tem alguma idéia do que seja ? > > Observações: Não uso IPFW neste servidor, uso nat do próprio PF e não do PPP > ou sequer do NATD, uso Conexão PPPoE (Velox-RJ), uso controle MAC / IP > Estático na Interface interna, e, sim este IP está cadastrado na tabela arp > da minha Interface Interna. > > Att, > Rafael José Simão Pinto > Tecnologia e Segurança da Informação - Redes e Internet > Niely Cosméticos > e-mail : [EMAIL PROTECTED] > MSN : [EMAIL PROTECTED] > FUG-BR # 379 > Linux User # 432068 > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RDR com Packet Filter
Bom dia a todos, Migrando do IPFW para o PF, me deparei com o seguinte problema: rdr on $ext_if proto tcp from any to $ext_if port 3389 -> 192.168.0.101/24 port 3389 Acontece que a regra acima segundo o manual, artigos e até mesmo posts aqui da lista, enfim, minhas fontes de pesquisa ... está correta e não redireciona ! Alguém tem alguma idéia do que seja ? Observações: Não uso IPFW neste servidor, uso nat do próprio PF e não do PPP ou sequer do NATD, uso Conexão PPPoE (Velox-RJ), uso controle MAC / IP Estático na Interface interna, e, sim este IP está cadastrado na tabela arp da minha Interface Interna. Att, Rafael José Simão Pinto Tecnologia e Segurança da Informação - Redes e Internet Niely Cosméticos e-mail : [EMAIL PROTECTED] MSN : [EMAIL PROTECTED] FUG-BR # 379 Linux User # 432068 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr pf
Olá, Realmente, se a porta destino for a mesma de origem não precisa declarar, como por exemplo eu utilizo a regra: -- table { 192.68.0.11, 192.68.0.12, 192.68.0.13, 192.68.0.14 } [...] rdr on $ext_if proto tcp from any to xx.xx.xxx.xx port 80 -> round-robin sticky-address -- Isto é um balanceamento de carga, e está funcionando :) -- Daniel Bristot de Oliveira http://dbristot.info R João Paez 409 Ap 202 Sta Augusta - Criciúma - SC CEP 88805440 Brazil +55-48-91032512 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr pf
se for redirecionar a porta do serv para a mesma porta no destino, nao precisa dizer ;) rdr on tun0 from any to any port 80:90 -> 1.2.3.4 matheus -- We will call you cygnus, The God of balance you shall be - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr pf
Olá, Tem mais uma coisinha =] especificar a porta tipo: rdr pass on $ext_if proto tcp from any to $ext_if port xx -> $micro port yy onde "xx" é a porta onde o servidor recebe a conexão e "yy" é onde a maquina windows vai receber a conexão. abraço Em 25/09/06, Giuseppe Tomas<[EMAIL PROTECTED]> escreveu: > > Olá pessoal. Tenho servidor Web rodando no FreeBSD 6.1 e até aí tudo bem. > Minhas regras no pf estão ok, porém, preciso fazer um redirecionamento de > um ip para uma máquina interna com windows que está rodando uma CGI. > Meu pf.conf, por enquanto, tá assim: > > -- > extif = "xl0" > intif = "rl1" > alias0="ip.do.ali.as" > micro="ip.do.mi.cro" > > nat on $extif from $intif:network to any -> ($extif) > rdr pass on $extif inet proto tcp from any to $alias0 -> $micro > pass all > - > > tá habilidado o net.inet.ip.forwarding=1; no rc.conf, gateway_enable="YES". > > Já olhei no histórico da listatem mais alguma coisa que precisa ser > feita para o redirecionamento? > > Abraços -- Thiago J. Ruiz http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] rdr pf
Olá pessoal. Tenho servidor Web rodando no FreeBSD 6.1 e até aí tudo bem. Minhas regras no pf estão ok, porém, preciso fazer um redirecionamento de um ip para uma máquina interna com windows que está rodando uma CGI. Meu pf.conf, por enquanto, tá assim: -- extif = "xl0" intif = "rl1" alias0="ip.do.ali.as" micro="ip.do.mi.cro" nat on $extif from $intif:network to any -> ($extif) rdr pass on $extif inet proto tcp from any to $alias0 -> $micro pass all - tá habilidado o net.inet.ip.forwarding=1; no rc.conf, gateway_enable="YES". Já olhei no histórico da listatem mais alguma coisa que precisa ser feita para o redirecionamento? Abraços - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR
vc usa pf ou ipfw vc quer encaminhar tudo que chega no 200.150.64.85 para 10.1.1.3 tipo redirect oq sair do 10.1.1.3 sair como 200.150.64.85 ou ate binat tudo do 200.150.64.85 vai p 10.1.1.3 e tudo do 10.1.1.3 vai p 200.150.64.85 - Original Message - From: "Suporte Planet Hardware - Leandro Takeda" <[EMAIL PROTECTED]> To: "'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) '" Sent: Tuesday, August 29, 2006 9:58 AM Subject: [FUG-BR] RDR Olá pessoal Eu tenho uma rede fazendo NAT Rl0 - 200.150.64.84 (internet) Rl0 - 200.150.64.85 Rl1 - 10.0.0.1 (rede interna) Existe a possibilidade deu redirecionar um ip, por exemplo 10.1.1.3 para o segundo ip da placa de rede rl0 200.150.64.85 ? Agradeço pessoal. Att Leandro -- No virus found in this outgoing message. Checked by AVG Free Edition. Version: 7.1.405 / Virus Database: 268.11.6/430 - Release Date: 28/8/2006 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- No virus found in this incoming message. Checked by AVG Free Edition. Version: 7.1.405 / Virus Database: 268.11.6/430 - Release Date: 28/8/2006 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR
Em 29/08/06, Suporte Planet Hardware - Leandro Takeda<[EMAIL PROTECTED]> escreveu: > Olá pessoal > > Eu tenho uma rede fazendo NAT > > Rl0 - 200.150.64.84 (internet) > Rl0 - 200.150.64.85 > Rl1 - 10.0.0.1 (rede interna) > > Existe a possibilidade deu redirecionar um ip, por exemplo > 10.1.1.3 para o segundo ip da placa de rede rl0 200.150.64.85 ? > Fala leandro o que você quer é fazer o nat para o ip 10.1.1.3 para o segundo ip? se for no pf.conf nat on rl0 from !10.1.1.3 to any -> 200.150.64.84 # exclui o ip deste nat nat on rl0 from 10.1.1.3 to any -> 200.150.64.85 # solta pelo segundo ip não foi muito clara sua pergunta, espero que isso ajude. []'z -- Thiago J. Ruiz http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RDR
Olá pessoal Eu tenho uma rede fazendo NAT Rl0 - 200.150.64.84 (internet) Rl0 - 200.150.64.85 Rl1 - 10.0.0.1 (rede interna) Existe a possibilidade deu redirecionar um ip, por exemplo 10.1.1.3 para o segundo ip da placa de rede rl0 200.150.64.85 ? Agradeço pessoal. Att Leandro -- No virus found in this outgoing message. Checked by AVG Free Edition. Version: 7.1.405 / Virus Database: 268.11.6/430 - Release Date: 28/8/2006 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd