Tenho 03 ips na wan. Vou mascarar para que a máquina que usa o conectividade social saia por um único ip com a seguinte regra e depois posto o resultado.
nat on $ext_if from 192.168.0.252 to any -> <ip_de_saida> Att. Márcio A. Sepp > -----Mensagem original----- > De: [EMAIL PROTECTED] > [mailto:[EMAIL PROTECTED] Em nome de Augusto Jobim Badaraco > Enviada em: sexta-feira, 19 de outubro de 2007 18:44 > Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' > Assunto: [SPAM] [FUG-BR] RES: RES: RES: RES: ENC: > Conectividade social - Existe solução? > > Marcio, você tem somente umip na WAN certo? > Tem que cuidar isso, pois se tiver mais de um ip poderá > acontecer de sair com ips diferentes. > > Uma maneira para checar isso é > > pfctl -s state > > > qquer coisa me avisa > > -----Mensagem original----- > De: [EMAIL PROTECTED] > [mailto:[EMAIL PROTECTED] Em nome de Marcio A. Sepp > Enviada em: sexta-feira, 19 de outubro de 2007 16:36 > Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' > Assunto: [FUG-BR] RES: RES: RES: ENC: Conectividade social - > Existe solução? > > > Oi Augusto, > > > Acho que vc entendeu perfeitamente o problema que estou > enfrentando e talvez tenha tocado no ponto certo. Agendei > para fazer testes hoje a noite com o cliente. Obrigado. > > Vejam que eu não estou preocupado com o proxy. Eu apenas > quero fazer o nat da interface externa, mascarando minha rede > interna. Só isso e não está funcionando. > > Este mesmo firewall, se eu colocar num openbsd, funciona > perfeitamente. > > > > Um abraço a todos. > > > Att. > Márcio A. Sepp > > > > -----Mensagem original----- > > De: [EMAIL PROTECTED] > > [mailto:[EMAIL PROTECTED] Em nome de Augusto > Jobim Badaraco > > Enviada em: sexta-feira, 19 de outubro de 2007 14:59 > > Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' > > Assunto: [FUG-BR] RES: RES: ENC: Conectividade social - Existe > > solução? > > > > Vc tentou colocar assim: > > nat on $ext_if from $internal_net to any -> ($ext_if) static-port > > > > > > -----Mensagem original----- > > De: [EMAIL PROTECTED] > > [mailto:[EMAIL PROTECTED] Em nome de Marcio A. > Sepp Enviada > > em: sexta-feira, 19 de outubro de 2007 12:41 > > Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' > > Assunto: [FUG-BR] RES: ENC: Conectividade social - Existe solução? > > > > > > Oi Welington, > > > > > > Minha regra atual de nat é esta: > > nat on $ext_if from $internal_net to any -> ($ext_if) > > > > Onde internal_net é: > > internal_net="192.168.0.0/24" > > > > Me parece que a principal diferença da minha regra pra sua é: > > > > ... -> ($ext:0). > > > > A noite farei testes com estas regras conforme vc me passou. > > > > > > Segue abaixo o meu firewall: > > ########## 1) MACROS ########## > > ext_if="xl0" > > int_if="xl1" > > > > internal_net="192.168.0.0/24" > > > > > > ########## 3) OPTIONS ########## > > set skip on lo > > > > # Options: tune the behavior of pf, default values are given. > > set timeout { interval 10, frag 30 } > > set timeout { tcp.first 120, tcp.opening 30, > tcp.established 86400 } > > set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 } set > > timeout { udp.first 60, udp.single 30, udp.multiple 60 } > set timeout { > > icmp.first 20, icmp.error 10 } set timeout { other.first 60, > > other.single 30, other.multiple 60 } set timeout { > adaptive.start 0, > > adaptive.end 0 } set limit { states 10000, frags 5000 } #set > > loginterface none #set optimization normal set block-policy > drop set > > require-order yes set fingerprints "/etc/pf.os" > > > > #set block-policy return > > set loginterface $ext_if > > > > > > ########## 4) NORMALIZATION ########## scrub in > > > > nat on $ext_if from $internal_net to any -> ($ext_if) > > > > > > no rdr on { lo0, lo1 } from any to any #no rdr on $int_if > from any to > > { ($ext_if), ($int_if) } > > > > > > ########## 7) FILTERING ########## > > > > antispoof quick for { lo $int_if } > > > > > > pass in > > pass out > > > > pass in on $ext_if proto tcp to ($ext_if) port ssh keep state > > > > #pass in on $int_if from $int_if:network to any keep state > #pass out > > on $int_if from any to $int_if:network keep state #pass out > on $ext_if > > proto tcp all modulate state flags S/SA #pass out on > $ext_if proto { > > udp } all keep state > > > > > > > > Att. > > Márcio A. Sepp > > > > > > > > > Estou enfrentando problemas com a conectividade social em um > > > > > servidor freebsd 6.2 com pf e sem passar pelo squid. > > > > > > > > > > Neste cliente usávamos o OpenBSD com tudo funcionando > > > perfeitamente. > > > > > O Open era versão 3.7, mas por motivos que não convem > > ao momento > > > > > mudamos para o FreeBSD 6.2. Após esta migração o > > sistema da caixa > > > > > deixou de funcionar. > > > > > > > > > > Antes de enviar este email para a lista fiz os > seguintes passos: > > > > > - Li a grande maioria das respostas da lista sobre este > > assunto, > > > > > sendo que muitas tratavam do firewall ipf e outras > > mesmo falam do > > > > > squid, que eu sequer configurei para esta máquina > > passar por ele; > > > > > - Tentamos limpar todas as regras do pf.conf e apenas > > > adicionamos um > > > > > nat na interface externa com pass in all e pass out all e > > > também não > > > > > funcionou; > > > > > > > > > > Com isso, não sabemos mais para que lado recorrer (ou > > > correr), pois > > > > > o suporte da caixa consegue apenas auxiliar o usuário > > final e nós > > > > > ficamos completamente desamparados. > > > > > > > > > > Ainda fizemos os testes: > > > > > - Colocamos uma máquina openbsd com o mesmo firewall e > > > ela funcionou > > > > > perfeitamente; > > > > > - Colocamos as duas máquinas que tenho instalado a > > > "irritabilidade social" > > > > > (dica de nome que li no histórico da lista) ligadas > > > diretamente no > > > > > meu modem e também funcionou perfeitamente; > > > > > > > > > > Meu ambiente: > > > > > FreeBSD 6.2 - stable; > > > > > Pf (com apenas o nat e liberado tudo de saída e > entrada); Squid > > > > > (para as demais máquinas da rede, exceto as que rodam o > > > > > conectividade); > > > > > > > > > > > > > > > Olhamos também este link, mas não evoluímos muito: > > > > > http://www.openbsd.org/faq/pf/pt/scrub.html > > > > > > > > > > O que podemos fazer? Alguém já passou por isso e > > > encontrou alguma solução? > > > > > > > > > > > > > > > > > > > > > > > > > Att. > > > > > Márcio A. Sepp > > > > > > > > > ------------------------- > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > Márcio, > > > Aqui uso esta regra abaixo, > > > > > > Os ips não podem fazer nada somente podem acessar > > conectividade socil > > > > > > # conectividade Social > > > nat on $ext_if from {10.0.0.7,10.0.0.8,10.0.0.9, 10.0.0.10} to > > > {200.201.174.0/24, 200.201.173.68} -> ($ext_if:0) > > > > > > -- > > > Welington F.J > > > BSD User: 51392 > > > IVOZ: 4668 > > > MSN: [EMAIL PROTECTED] > > > Drogas ? Pra que? Já Tenho Meu Windows!! > > > ------------------------- > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > __________ Informação do NOD32 IMON 2603 (20071019) __________ > > > > Esta mensagem foi verificada pelo NOD32 sistema antivírus > > http://www.eset.com.br > > > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > __________ Informação do NOD32 IMON 2603 (20071019) __________ > > Esta mensagem foi verificada pelo NOD32 sistema antivírus > http://www.eset.com.br > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd