[FUG-BR] RES: IPFW
Em 24/01/2011 11:50, Departamento de TI escreveu: Funcionou que é uma beleza... apenas essa opção KEEP-SATE que não reconheceu... SE tivesse lido o manual, teria visto que é 'keep-state'... -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: IPFW + DUMMYNET ( Trafego Upload )
Clynton escreveu:
${fwcmd} pipe 1 config bw 500Kbits/s
${fwcmd} pipe 2 config bw 500Kbits/s
${fwcmd} add pipe 1 all from any to any MAC any xx:xx:xx:xx:xx:xx in
${fwcmd} add pipe 2 all from any to any MAC xx:xx:xx:xx:xx:xx any out
Já tentou especificar a interface ? 'in via', 'out via'.
Já tentou especificar 'layer2' nessas regras ?
man ipfw
Sds,
--
Eduardo Schoedler
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: IPFW + DUMMYNET ( Trafego Upload )
Em 31/05/2010, às 11:53, Eduardo Schoedler escreveu:
Clynton escreveu:
${fwcmd} pipe 1 config bw 500Kbits/s
${fwcmd} pipe 2 config bw 500Kbits/s
${fwcmd} add pipe 1 all from any to any MAC any xx:xx:xx:xx:xx:xx in
${fwcmd} add pipe 2 all from any to any MAC xx:xx:xx:xx:xx:xx any out
Já tentou especificar a interface ? 'in via', 'out via'.
Já tentou especificar 'layer2' nessas regras ?
man ipfw
Sem falar na sysctl -w net.link.ether.ipfw=1
Sds,
--
Eduardo Schoedler
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Patrick Tracanelli
FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316...@sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
Long live Hanin Elias, Kim Deal!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: IPFW + DUMMYNET ( Trafego Upload )
Já fiz estes testes, mas não obtive exito.
Estas opçoes estao ativas:
/sbin/sysctl net.link.ether.ipfw=1
/sbin/sysctl net.inet.ip.fw.one_pass=0
/sbin/sysctl net.inet.ip.fw.autoinc_step=10
Em 31 de maio de 2010 11:53, Eduardo Schoedler
eschoed...@viavale.com.brescreveu:
Clynton escreveu:
${fwcmd} pipe 1 config bw 500Kbits/s
${fwcmd} pipe 2 config bw 500Kbits/s
${fwcmd} add pipe 1 all from any to any MAC any xx:xx:xx:xx:xx:xx in
${fwcmd} add pipe 2 all from any to any MAC xx:xx:xx:xx:xx:xx any out
Já tentou especificar a interface ? 'in via', 'out via'.
Já tentou especificar 'layer2' nessas regras ?
man ipfw
Sds,
--
Eduardo Schoedler
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: IPFW + DUMMYNET ( Trafego Upload )
Eu resolvia esse problema marcando em layer2.
Isso a alguns anos atras..
Em 31 de maio de 2010 13:13, Clynton clynton...@gmail.com escreveu:
Já fiz estes testes, mas não obtive exito.
Estas opçoes estao ativas:
/sbin/sysctl net.link.ether.ipfw=1
/sbin/sysctl net.inet.ip.fw.one_pass=0
/sbin/sysctl net.inet.ip.fw.autoinc_step=10
Em 31 de maio de 2010 11:53, Eduardo Schoedler
eschoed...@viavale.com.brescreveu:
Clynton escreveu:
${fwcmd} pipe 1 config bw 500Kbits/s
${fwcmd} pipe 2 config bw 500Kbits/s
${fwcmd} add pipe 1 all from any to any MAC any xx:xx:xx:xx:xx:xx in
${fwcmd} add pipe 2 all from any to any MAC xx:xx:xx:xx:xx:xx any out
Já tentou especificar a interface ? 'in via', 'out via'.
Já tentou especificar 'layer2' nessas regras ?
man ipfw
Sds,
--
Eduardo Schoedler
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: IPFW liberar MSN
Rafael C Silva escreveu: Pessoal estou com as seguintes regras e não estou tendo sucesso em liberar o MSN na rede. 00200 divert 8668 ip from any to any via step0 step0 ou ste0 ??? -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: IPFW liberar MSN
Rafael C Silva escreveu: Pessoal estou com as seguintes regras e não estou tendo sucesso em liberar o MSN na rede. 00200 divert 8668 ip from any to any via step0 step0 ou ste0 ??? -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: IPFW com ALTQ
Danilo Egea escreveu: Pessoal, escrevi um pequeno howto sobre como usar ipfw com altq, está no meu blog http://daniloegea.wordpress.com/ caso interesse a alguém. Obrigado! Parabéns pelo trabalho! Aproveitei para ler mais adiante e vi que você está manipulando o campo ToS. ipfw -q add 160 allow altq p_altissima \ ip from any to any 80 via vr0 out iptos \ mincost keep-state Em que momento você normaliza o campo ToS dos pacotes que estão cruzando sua rede ? Você tem algum firewall setando tudo para zero ? Abraço! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: IPFW com ALTQ
Eduardo Schoedler wrote: Danilo Egea escreveu: Pessoal, escrevi um pequeno howto sobre como usar ipfw com altq, está no meu blog http://daniloegea.wordpress.com/ caso interesse a alguém. Obrigado! Parabéns pelo trabalho! Aproveitei para ler mais adiante e vi que você está manipulando o campo ToS. ipfw -q add 160 allow altq p_altissima \ ip from any to any 80 via vr0 out iptos \ mincost keep-state Em que momento você normaliza o campo ToS dos pacotes que estão cruzando sua rede ? Você tem algum firewall setando tudo para zero ? Abraço! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Obrigado... =] Na verdade eu reparei que todo tafego na porta 80 jah vinha com o ToS zerado até o firewall hehe. Ok ok, se alguém manipular o campo ToS dos pacotes numa maquina dentro da rede da pra bular o esquema, mas a rede é pequena, só tem windows e a galera que usa nao irá fazer isso tão cedo =P Mas essa foi a meneira que eu encontrei para enviar para uma fila especifica o trafego que passava pelo squid vindo de uma determinada maquina dentro da rede -- Danilo Egêa Gondolfo Email/MSN - daniloe...@yahoo.com.br Skype - daniloegea Twitter - http://twitter.com/daniloegea Blog - http://daniloegea.wordpress.com __ Faça ligações para outros computadores com o novo Yahoo! Messenger http://br.beta.messenger.yahoo.com/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: IPFW com ALTQ
Danilo Egea wrote: Eduardo Schoedler wrote: Danilo Egea escreveu: Pessoal, escrevi um pequeno howto sobre como usar ipfw com altq, está no meu blog http://daniloegea.wordpress.com/ caso interesse a alguém. Obrigado! Parabéns pelo trabalho! Aproveitei para ler mais adiante e vi que você está manipulando o campo ToS. ipfw -q add 160 allow altq p_altissima \ ip from any to any 80 via vr0 out iptos \ mincost keep-state Em que momento você normaliza o campo ToS dos pacotes que estão cruzando sua rede ? Você tem algum firewall setando tudo para zero ? Abraço! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Obrigado... =] Na verdade eu reparei que todo tafego na porta 80 jah vinha com o ToS zerado até o firewall hehe. Ok ok, se alguém manipular o campo ToS dos pacotes numa maquina dentro da rede da pra bular o esquema, mas a rede é pequena, só tem windows e a galera que usa nao irá fazer isso tão cedo =P Mas essa foi a meneira que eu encontrei para enviar para uma fila especifica o trafego que passava pelo squid vindo de uma determinada maquina dentro da rede A proposito, sabes como normalizar o ToS no FreeBSD? Só sei fazer isso com iptables uAHuHauHa -- Danilo Egêa Gondolfo Email/MSN - daniloe...@yahoo.com.br Skype - daniloegea Twitter - http://twitter.com/daniloegea Blog - http://daniloegea.wordpress.com __ Faça ligações para outros computadores com o novo Yahoo! Messenger http://br.beta.messenger.yahoo.com/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: IPFW - PFSYNC
Que eu saiba esta funcionalidade só existe no PF. Com o IPFW suas conexões irão resetar quando os nós assumirem :( -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Fábio Ferrão Enviada em: terça-feira, 19 de maio de 2009 17:21 Para: freebsd@fug.com.br Assunto: [FUG-BR] IPFW - PFSYNC Prezados, Estou utilizando o protocolo CARP entre dois servidores que utilizam IPFW como firewall. Sei que o PF possui uma funcionalidade chamada pfsync que copia regras dinâmicas de um servidor master, quando este cai, para o servidor backup, que assume como master, de forma que não exista perda nas conexões já existentes. Pensei em utilizar os dois firewalls, deixando o PF com uma regra any to any e o IPFW filtrando os acessos. Assim as regras dinâmicas do PF seriam transportadas, mas as do IPFW não. Também não é viável a migração IPFW para o PF, o que resolveria o problema. Minha pergnta é saber se alguém conhece uma funcionalidade similar ao pfsync para o IPFW, para que eu possa transportar as regras dinâmicas. Att. -- Fábio Ferrão E conhecereis a verdade e a verdade vos libertará.João 8.32 And you will know the truth and the truth you will free.John 8.32 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: IPFW - PFSYNC
Eu não uso, mas ambos funcionam juntos sem problema. Porém, se o problema é a disponibilidade, vai dar no mesmo ... conexões que estiverem nos queue do IPFW serão perdidas quando o carp assumir. Mas pelo que já vi do PF, parece que regras dos pipe do ipfw não é tão fácil migrar como são regras de firewall, tem que reescrever um pouco, o que me desanima de continuar a pesquisar, junto com a falta do tempo :) -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Cristina Fernandes Silva Enviada em: terça-feira, 19 de maio de 2009 21:05 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] IPFW - PFSYNC eu gosto do PF, porem uso IPFW para controle de banda por IP e MAC. Alguem utiliza os dois no mesmo server ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: IPFW - Sequência de PIPE e QUEU E
Trober, Eu fiz um sistema simples e o pipe e queue eu pego do id da linha, algo bem rudimentar. E funciona sem problemas. 1) O IPFW aceita para pipe e queue qualquer inteiro positivo entre 1 e 65535, porém, desgraçadamente, em ordem, começando em um, contíguo, sem intervalo. Como falei acima, o sistema, por ser tão rudimentar, quando alguém apaga um registro e cria outro, o id é autoincrementado, então, tenho situação parecida com a sua, desde pipe 1 até pipe 4000, já que editaram 4mil vezes a tabela. Tenho algo do tipo Pipe 1 all from 172.16.1.1 to any Pipe 4000 all from 172.16.1.2 to any Então, não tem problema ser seqüencial ou não. 2) Não há documentação sobre a ordem de inserção de pipes e queues quanto à numeração (já li quase tudo que Luigi Rizzo escreveu sobre IPFW e nada). A numeração do pipe é para o ipfw saber aonde jogar aquele tráfego. O que importa é a regra ipfw. Exemplo: Ipfw add pipe 1 all from 172.16.1.1 to any Ipfw add pipe 10 all from 172.16.1.1 to any Nesta caso, como a regra que joga para o pipe 1 veio primeiro(e considerando que o a syssctl one_pass=1), então o pipe 10 não vai ter nada. Da mesma maneira, se você fizer: Ipfw add pipe 10 all from 172.16.1.1 to any Ipfw add pipe 1 all from 172.16.1.1 to any Vai para o pipe 10, porque a regra veio 1o. 3) Esse comportamento está evidente, ao meu ver, em ipfw2.c, onde o número do pipe é o mesmo número da posição na pilha, não deixando o administrador escolher manualmente o número pipe (até deixa, mas dá nessa bagunça toda). Não sou muito de olhar código, mal sei fazer um 'hello word', mas pelo uso prático que tenho de pipe e queue, eles funcionam obedecendo a ordem das regras IPFW. A numeração do pipe e queue é tão somente um indicador, você pode escolher usar pipe 300 a 900 para as regras ipfw 1 a 299. Mas para padronizar normalmente o pessoal faz algo do tipo Ipfw add 100 pipe 100 all from X to Y Ipfw add 101 pipe 101 all from A to B Deixando o pipe igual regra, mas nada obrigatório. Quem concorda? Quem descorda? De forma alguma quero criar flames, e sim, obter a opinião de vocês, pois se for procedente, temos aí um caso omisso na documentação do IPFW; e sistemas como WARTA e SnowDog Firewall com regras tortas. Saudações, Trober - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: IPFW, protocolos obscuros, protocolos criptografados etc.
Na regra IPFW você usa como? Eu uso assim: pipe 111 ip from 172.16.20.6 to any in pipe 112 ip from any to 172.16.20.7 out isto funciona indiferente de obfuscacao ou não, já que ele continua usar datagrama IP. :) a obfuscacao vai deixar de funcionar se você utilizar algo L7 para fazer shapping ou usar range de portas. Neste caso, tem que partir para solução comercial mesmo, snort e afins não estão a par do tipo de protocolo usado pela obfuscacao ainda. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Trober Enviada em: sábado, 18 de abril de 2009 14:55 Para: FUG-BR Assunto: Re: [FUG-BR] IPFW, protocolos obscuros, protocolos criptografados etc. Olá Lauro :) Grato pelo retorno. Muito boa sua sugestão, mas, por enquanto, o objetivo é manter o FreeBSD, adotando uma solução não-comercial. Caso o IPFW se mostre incapaz de cumprir o propósito de controlar banda de protocolos obscuros e criptografados, partirei para algo comercial. Novamente agradeço sua sugestão. Grande abraço, Trober - - - - www.hostcert.com.br Esse sistema faz o controle de trafego diferente, não utiliza ipfw. Ele segura 100% esses casos. 2009/4/18 Trober tro...@trober.com Prezados, Exponho um cenário anômalo, e serei grato pela opinião de vocês. Atendo um condomínio residencial que fornece internet gratuitamente aos moradores. Cada morador, ao assinar o contrato com o condomínio, opta por informar o endereço físico (MAC) do computador, caso queira internet. As concessões, negações e limitações dos recursos de rede são gerenciadas por um servidor FreeBSD 6.4 (Stable), atuando como proxy transparente (Squid), roteador e controle e banda (IPFW). Tudo funcionava perfeitamente, principalmente na questão de controle de banda. Porém, conforme descreve Okamoto e seus colegas[1], há bibliotecas de aplicações P2P mais eficazes em TCP do que UDP (inclusive 7x mais rápidas!). Os desenvolvedores de aplicações P2P perceberam isso e, aos poucos, estão abandonando o UDP, principalmente, devido ao fato de muitos administratores fecharem todas as portas UDP, exceto 53,67,68 e 123. Somado a isso, o eMule[2], há algum tempo, dispõe de um recurso chamado Obfuscation Protocol[3], que não era habilitado por padrão, ficando a critério do usuário habilitá-lo. Para completar o estrago, agora essa opção é padrão, e o BitTorrent[4] também entrou na onda da obfuscação[5]. Aqui começa a anomalia: Neste condomínio tem um morador com 256/128kbps de banda (download e upload, respectivamente). Para todas as aplicações que ele usa, o controle de banda é obedecido perfeitamente, exceto para eMule[2] e BitTorrent[4], aplicações que transferem dados em taxas quase 10 vezes maiores. O controle de banda está declarado/numerado no começo das regras, com one_pass desabilitado, tendo abaixo o desvio (fwd) do proxy transparente, desvio (skipto) do PrivateWire (Conectividade Social), divert de entrada, regras statefull e divert de saída. Sendo assim, agradeço novamente a opinião de vocês sobre quais as regras mais adequada para controlar essas aplicações e seus protocolos obscuros. [1] http://www2.lifl.fr/MAP/negst/secondWorkshop/slidesSecondWorkshopNegst/ TakayukiOkamoto.ppt [2] http://www.emule-project.net [3] http://wiki.emule-web.de/index.php/Protocol_obfuscation [4] http://www.bittorrent.com [5] http://torrentfreak.com/how-to-encrypt-bittorrent-traffic/ Grande abraço a todos, Trober - - - - - - -- Lauro Cesar de Oliveira http://www.gurulinux.blog.br Hack to learn not learn to hack. - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: IPFW, protocolos obscuros, protocolos criptografados etc.
Renato Frederick escreveu: Na regra IPFW você usa como? Eu uso assim: pipe 111 ip from 172.16.20.6 to any in pipe 112 ip from any to 172.16.20.7 out isto funciona indiferente de obfuscacao ou não, já que ele continua usar datagrama IP. :) a obfuscacao vai deixar de funcionar se você utilizar algo L7 para fazer shapping ou usar range de portas. Neste caso, tem que partir para solução comercial mesmo, snort e afins não estão a par do tipo de protocolo usado pela obfuscacao ainda. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Trober Enviada em: sábado, 18 de abril de 2009 14:55 Para: FUG-BR Assunto: Re: [FUG-BR] IPFW, protocolos obscuros, protocolos criptografados etc. Olá Lauro :) Grato pelo retorno. Muito boa sua sugestão, mas, por enquanto, o objetivo é manter o FreeBSD, adotando uma solução não-comercial. Caso o IPFW se mostre incapaz de cumprir o propósito de controlar banda de protocolos obscuros e criptografados, partirei para algo comercial. Novamente agradeço sua sugestão. Grande abraço, Trober - - - - www.hostcert.com.br Esse sistema faz o controle de trafego diferente, não utiliza ipfw. Ele segura 100% esses casos. 2009/4/18 Trober tro...@trober.com Prezados, Exponho um cenário anômalo, e serei grato pela opinião de vocês. Atendo um condomínio residencial que fornece internet gratuitamente aos moradores. Cada morador, ao assinar o contrato com o condomínio, opta por informar o endereço físico (MAC) do computador, caso queira internet. As concessões, negações e limitações dos recursos de rede são gerenciadas por um servidor FreeBSD 6.4 (Stable), atuando como proxy transparente (Squid), roteador e controle e banda (IPFW). Tudo funcionava perfeitamente, principalmente na questão de controle de banda. Porém, conforme descreve Okamoto e seus colegas[1], há bibliotecas de aplicações P2P mais eficazes em TCP do que UDP (inclusive 7x mais rápidas!). Os desenvolvedores de aplicações P2P perceberam isso e, aos poucos, estão abandonando o UDP, principalmente, devido ao fato de muitos administratores fecharem todas as portas UDP, exceto 53,67,68 e 123. Somado a isso, o eMule[2], há algum tempo, dispõe de um recurso chamado Obfuscation Protocol[3], que não era habilitado por padrão, ficando a critério do usuário habilitá-lo. Para completar o estrago, agora essa opção é padrão, e o BitTorrent[4] também entrou na onda da obfuscação[5]. Aqui começa a anomalia: Neste condomínio tem um morador com 256/128kbps de banda (download e upload, respectivamente). Para todas as aplicações que ele usa, o controle de banda é obedecido perfeitamente, exceto para eMule[2] e BitTorrent[4], aplicações que transferem dados em taxas quase 10 vezes maiores. O controle de banda está declarado/numerado no começo das regras, com one_pass desabilitado, tendo abaixo o desvio (fwd) do proxy transparente, desvio (skipto) do PrivateWire (Conectividade Social), divert de entrada, regras statefull e divert de saída. Sendo assim, agradeço novamente a opinião de vocês sobre quais as regras mais adequada para controlar essas aplicações e seus protocolos obscuros. [1] http://www2.lifl.fr/MAP/negst/secondWorkshop/slidesSecondWorkshopNegst/ TakayukiOkamoto.ppt [2] http://www.emule-project.net [3] http://wiki.emule-web.de/index.php/Protocol_obfuscation [4] http://www.bittorrent.com [5] http://torrentfreak.com/how-to-encrypt-bittorrent-traffic/ Grande abraço a todos, Trober - - - - - - -- Lauro Cesar de Oliveira http://www.gurulinux.blog.br Hack to learn not learn to hack. - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Renato, Achei estranho quando ele fala que a aplicação consome 10x mais banda... como se ele tivesse liberado 256 para o cara e o p2p estivesse usando quase 2 MB... eh isso mesmo? Se for pode ser a regra do dummynet errada... dar uma olhada em um tópico que abri esses dias sobre dummynet... eu havia errado a netmask do pipe, os testes de velocidade mostravam a velocidade correta... mas um orbit da vida baixava a uma velocidade ENORME... após a correção ficou tudo ok. Não vai bloquear o p2p.. mas se tu limitar a 256 ele só vai baixar a 256... Uma outra coisa que ele pode testar é aquele projeto de L7 para ipfw que estava em testes outro dia...
Re: [FUG-BR] RES: ipfw X pf
então faz o redirecionamento com o pf mesmo já te passei ai ate como fazer
2008/11/18 Coopermine [EMAIL PROTECTED]
Se só o redirecionamento do ipfw funciona.. já resolvia meu problema...
:(
---
-Mensagem original-
De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome
de renato martins
Enviada em: segunda-feira, 17 de novembro de 2008 11:52
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: Re: [FUG-BR] ipfw X pf
a ordem de que carrega primeiro nào faz diferença pois se você bloquear no
ipfw vai fircar bloqueado mesmo que voce libere no pf
o que você pode fazer é passa a sua regras de liberação para o pf
eu fiz algumas regras assim no pf pois tb estou desenvolvendo um captive
com
pf
#criei uma table assim
table liberados { 192.168.2.18 }
# tudo que nao etiver aqui nessa table vai passar pelo captive
# regras para redirecionar e nat
rdr on $int_if proto tcp from ! liberados to any port 80 -
192.168.2.1port 80
# NAT
nat on $ext_if proto udp from $internal_net to any port 53 - $ext_if
nat on $ext_if from liberados to any - $ext_if
# pronto no pf é só isso
ai no meu sistema quando um usuario é validado com sucesso ele dispara o
seguinte comnado para adicionar o ip do cliente nessa table
pfctl -t liberados -T add ip_do _cliente
# para remover
pfctl -t liberados -T delete ip_do _cliente
# para exibir os clientes que estão na table
pfctl -t liberados -T show
pf
ext_if=rl0
int_if=rl1
internal_net=192.168.2.0/24
external_addr=10.0.0.201
table liberados { 192.168.2.18 }
rdr on $int_if proto tcp from ! liberados to !me port 80 -
192.168.2.1port 80
# NAT
nat on $ext_if proto udp from $internal_net to any port 53 - $ext_if
nat on $ext_if from liberados to any - $ext_if
Seu controle de banda pode continuar no ipfw
ou se voce pode passar ele para pf+altq.
Espero que isso te ajude
2008/11/14 coopermine [EMAIL PROTECTED]
Ola lista,
Â
tenho um captive funcionando em ipfw, com as seguintes regras/sbin/ipfw
add 1 divert natd all from any to any via $netinterface
/sbin/natd -l -f /etc/natd.conf
/sbin/ipfw add 1 fwd 127.0.0.1,80 tcp from $iprange to any
dst-port
80
/sbin/ipfw add 2 fwd 127.0.0.1,80 tcp from $iprange to any
Â
Resumo da opera pego todo mundo e envio para pagina de login.. se
login OK carega limitacao e libera uso e etc
Â
ate ai tudo ok!
Â
o problema e que precisei fazer um balanceamento com pf e passei a
fazer nat pelo pf..
depois disso meu redirecionamento do ipfw parou de funcionar.. a net
fica liberada.
Alguem pode dar uma luz ai?
no meu rc.conf o ipfw carrega primeiro ( não sei se issu faz
diferença )
Â
Abraços
Â
David Coopermine
Â
Â
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: ipfw X pf
Se só o redirecionamento do ipfw funciona.. já resolvia meu problema...
:(
---
-Mensagem original-
De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome
de renato martins
Enviada em: segunda-feira, 17 de novembro de 2008 11:52
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: Re: [FUG-BR] ipfw X pf
a ordem de que carrega primeiro nào faz diferença pois se você bloquear no
ipfw vai fircar bloqueado mesmo que voce libere no pf
o que você pode fazer é passa a sua regras de liberação para o pf
eu fiz algumas regras assim no pf pois tb estou desenvolvendo um captive com
pf
#criei uma table assim
table liberados { 192.168.2.18 }
# tudo que nao etiver aqui nessa table vai passar pelo captive
# regras para redirecionar e nat
rdr on $int_if proto tcp from ! liberados to any port 80 -
192.168.2.1port 80
# NAT
nat on $ext_if proto udp from $internal_net to any port 53 - $ext_if
nat on $ext_if from liberados to any - $ext_if
# pronto no pf é só isso
ai no meu sistema quando um usuario é validado com sucesso ele dispara o
seguinte comnado para adicionar o ip do cliente nessa table
pfctl -t liberados -T add ip_do _cliente
# para remover
pfctl -t liberados -T delete ip_do _cliente
# para exibir os clientes que estão na table
pfctl -t liberados -T show
pf
ext_if=rl0
int_if=rl1
internal_net=192.168.2.0/24
external_addr=10.0.0.201
table liberados { 192.168.2.18 }
rdr on $int_if proto tcp from ! liberados to !me port 80 -
192.168.2.1port 80
# NAT
nat on $ext_if proto udp from $internal_net to any port 53 - $ext_if
nat on $ext_if from liberados to any - $ext_if
Seu controle de banda pode continuar no ipfw
ou se voce pode passar ele para pf+altq.
Espero que isso te ajude
2008/11/14 coopermine [EMAIL PROTECTED]
Ola lista,
Â
tenho um captive funcionando em ipfw, com as seguintes regras/sbin/ipfw
add 1 divert natd all from any to any via $netinterface
/sbin/natd -l -f /etc/natd.conf
/sbin/ipfw add 1 fwd 127.0.0.1,80 tcp from $iprange to any dst-port
80
/sbin/ipfw add 2 fwd 127.0.0.1,80 tcp from $iprange to any
Â
Resumo da opera pego todo mundo e envio para pagina de login.. se
login OK carega limitacao e libera uso e etc
Â
ate ai tudo ok!
Â
o problema e que precisei fazer um balanceamento com pf e passei a
fazer nat pelo pf..
depois disso meu redirecionamento do ipfw parou de funcionar.. a net
fica liberada.
Alguem pode dar uma luz ai?
no meu rc.conf o ipfw carrega primeiro ( não sei se issu faz
diferença )
Â
Abraços
Â
David Coopermine
Â
Â
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: IPFW+DUMYNET+Squid
eu uso desta forma que postei antes tanto por grupo ipfw pipe 1 config mask dst-ip 0×00ff bw 128Kbit/s ipfw pipe 2 config mask src-ip 0×00ff bw 128Kbit/s ipfw add pipe 1 all from any to 192.168.1.0/24 in ipfw add pipe 2 all from 192.168.1.0/24 to any ou ou individual ipfw pipe 1 config mask dst-ip 0×00ff bw 128Kbit/s ipfw pipe 2 config mask src-ip 0×00ff bw 128Kbit/s ipfw add pipe 1 all from any to 192.168.1.2 in ipfw add pipe 2 all from 192.168.1.2 to any ou 2008/7/19 Sky-Priest [EMAIL PROTECTED]: Negativo , mesmo com proxy nao e controlado. Ja tinha visto esse link e mesmo assim nao resolveu , nao tem mais nenhuma ideia ::] Sds velho quando vc coloca o controle de banda nao importa se estiver com proxy u nao. aquele exe -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] nome de Wanderson Tinti Enviada em: sábado, 19 de julho de 2008 19:54 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] IPFW+DUMYNET+Squid Boa noite a todos. Se voce desabilitar a regra de fwd que vai pro squid e configurar o proxy manualmente no navegador o controle funciona? De uma olhada nessa discurção: http://www.fug.com.br/historico/html/freebsd/2006-03/msg00658.html Poste ai os resultados. 2008/7/19 sky priest [EMAIL PROTECTED]: ok, ja pesquisei sobre essa solucao , porem tenho que configurar banda diferentes por cliente. Nessa aplicacao estou abrindo sinal dentro de um condominio e preciso configuras perfis de 128 - 256 - 512 e 1 m por determinada estacao dentro da rede 192.168.7.0/24 So que quand ativo o squid para o controle de upload Sera que podem ajudar 2008/7/19 Alessandro de Souza Rocha [EMAIL PROTECTED]: controle de banda uso assim ipfw pipe 1 config mask dst-ip 0×00ff bw 128Kbit/s ipfw pipe 2 config mask src-ip 0×00ff bw 128Kbit/s ipfw add pipe 1 all from any to 192.168.1.0/24 in ipfw add pipe 2 all from 192.168.1.0/24 to any ou 2008/7/19 sky priest [EMAIL PROTECTED]: OK, alterei meu e-mail para o gmail. Segue de novo minha duvida Senhores estou perdendo os cabelos com este problema, mas quando ativo o squid meu controle de banda UPLOAD nao funciona, desativo e tudo fica controlado. Vou passar um descritivo: Kernel : options MROUTING options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_FORWARD options IPSTEALTH options DUMMYNET options HZ=1000 options BRIDGE options ZERO_COPY_SOCKETS options TCPDEBUG options IPDIVERT options IPFILTER options IPFILTER_LOG options IPFIREWALL_DEFAULT_TO_ACCEPT options SC_DISABLE_REBOOT rc.conf #REGRAS DE FIREWALL firewall_enable='YES' firewall_type='OPEN' #REGRAS DE NAT natd_enable='YES' natd_interface='bge0' natd_flags='-f /etc/natd.conf' Natd.conf interface bge0 dynamic yes use_sockets yes same_ports yes unregistered_only yes SYSCTL net.inet.ip.fw.one_pass=0 ipfw.rules /sbin/ipfw add 7000 divert natd all from any to any via bge0 /sbin/ipfw 9810 add pipe 9810 all from any to 192.168.7.2 out via any /sbin/ipfw 9820 add pipe 9820 all from 192.168.7.2 to any in via any /sbin/ipfw pipe 9810 config bw 256Kbit/s queue 32Kbytes /sbin/ipfw pipe 9820 config bw 128Kbit/s queue 32Kbytes /sbin/ipfw add allow all from any to 192.168.7.2 /sbin/ipfw add allow all from 192.168.7.2 to any /sbin/ipfw add 17500 fwd 127.0.0.1,3128 tcp from 172.16.0.0:255.255.0.0 to any www O que pode estar de errado ::: Alguem me ajuda Sds 2008/7/19, Alessandro de Souza Rocha [EMAIL PROTECTED]: edita tudo e manda organizado. 2008/7/19 Welkson Renny de Medeiros [EMAIL PROTECTED]: Sky, Chegou tudo misturado... culpa desse tal hotmail. Welkson - Original Message - From: sky priest [EMAIL PROTECTED] To: freebsd@fug.com.br; [EMAIL PROTECTED] Sent: Saturday, July 19, 2008 2:16 AM Subject: [FUG-BR] IPFW+DUMYNET+Squid Senhores estou perdendo os cabelos com este problema, mas quando ativo o squid meu controle de banda UPLOAD nao funciona, desativo e tudo fica controlado. Vou passar um descritivo: Kernel : options MROUTINGoptions IPFIREWALLoptions IPFIREWALL_VERBOSEoptions IPFIREWALL_FORWARDoptions IPSTEALTHoptions DUMMYNEToptions HZ=1000options BRIDGEoptions ZERO_COPY_SOCKETSoptions TCPDEBUGoptions IPDIVERToptions IPFILTERoptions IPFILTER_LOGoptions IPFIREWALL_DEFAULT_TO_ACCEPToptions SC_DISABLE_REBOOTrc.conf #REGRAS DE FIREWALLfirewall_enable='YES'firewall_type='OPEN'#REGRAS DE NATnatd_enable='YES'natd_interface='bge0'natd_flags='-f /etc/natd.conf' Natd.conf interface bge0dynamic yesuse_sockets yessame_ports yesunregistered_only yes SYSCTL net.inet.ip.fw.one_pass=0 ipfw.rules
[FUG-BR] RES: IPFW+DUMYNET+Squid
Negativo , mesmo com proxy nao e controlado. Ja tinha visto esse link e mesmo assim nao resolveu , nao tem mais nenhuma ideia ::] Sds -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] nome de Wanderson Tinti Enviada em: sábado, 19 de julho de 2008 19:54 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] IPFW+DUMYNET+Squid Boa noite a todos. Se voce desabilitar a regra de fwd que vai pro squid e configurar o proxy manualmente no navegador o controle funciona? De uma olhada nessa discurção: http://www.fug.com.br/historico/html/freebsd/2006-03/msg00658.html Poste ai os resultados. 2008/7/19 sky priest [EMAIL PROTECTED]: ok, ja pesquisei sobre essa solucao , porem tenho que configurar banda diferentes por cliente. Nessa aplicacao estou abrindo sinal dentro de um condominio e preciso configuras perfis de 128 - 256 - 512 e 1 m por determinada estacao dentro da rede 192.168.7.0/24 So que quand ativo o squid para o controle de upload Sera que podem ajudar 2008/7/19 Alessandro de Souza Rocha [EMAIL PROTECTED]: controle de banda uso assim ipfw pipe 1 config mask dst-ip 0×00ff bw 128Kbit/s ipfw pipe 2 config mask src-ip 0×00ff bw 128Kbit/s ipfw add pipe 1 all from any to 192.168.1.0/24 in ipfw add pipe 2 all from 192.168.1.0/24 to any ou 2008/7/19 sky priest [EMAIL PROTECTED]: OK, alterei meu e-mail para o gmail. Segue de novo minha duvida Senhores estou perdendo os cabelos com este problema, mas quando ativo o squid meu controle de banda UPLOAD nao funciona, desativo e tudo fica controlado. Vou passar um descritivo: Kernel : options MROUTING options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_FORWARD options IPSTEALTH options DUMMYNET options HZ=1000 options BRIDGE options ZERO_COPY_SOCKETS options TCPDEBUG options IPDIVERT options IPFILTER options IPFILTER_LOG options IPFIREWALL_DEFAULT_TO_ACCEPT options SC_DISABLE_REBOOT rc.conf #REGRAS DE FIREWALL firewall_enable='YES' firewall_type='OPEN' #REGRAS DE NAT natd_enable='YES' natd_interface='bge0' natd_flags='-f /etc/natd.conf' Natd.conf interface bge0 dynamic yes use_sockets yes same_ports yes unregistered_only yes SYSCTL net.inet.ip.fw.one_pass=0 ipfw.rules /sbin/ipfw add 7000 divert natd all from any to any via bge0 /sbin/ipfw 9810 add pipe 9810 all from any to 192.168.7.2 out via any /sbin/ipfw 9820 add pipe 9820 all from 192.168.7.2 to any in via any /sbin/ipfw pipe 9810 config bw 256Kbit/s queue 32Kbytes /sbin/ipfw pipe 9820 config bw 128Kbit/s queue 32Kbytes /sbin/ipfw add allow all from any to 192.168.7.2 /sbin/ipfw add allow all from 192.168.7.2 to any /sbin/ipfw add 17500 fwd 127.0.0.1,3128 tcp from 172.16.0.0:255.255.0.0 to any www O que pode estar de errado ::: Alguem me ajuda Sds 2008/7/19, Alessandro de Souza Rocha [EMAIL PROTECTED]: edita tudo e manda organizado. 2008/7/19 Welkson Renny de Medeiros [EMAIL PROTECTED]: Sky, Chegou tudo misturado... culpa desse tal hotmail. Welkson - Original Message - From: sky priest [EMAIL PROTECTED] To: freebsd@fug.com.br; [EMAIL PROTECTED] Sent: Saturday, July 19, 2008 2:16 AM Subject: [FUG-BR] IPFW+DUMYNET+Squid Senhores estou perdendo os cabelos com este problema, mas quando ativo o squid meu controle de banda UPLOAD nao funciona, desativo e tudo fica controlado. Vou passar um descritivo: Kernel : options MROUTINGoptions IPFIREWALLoptions IPFIREWALL_VERBOSEoptions IPFIREWALL_FORWARDoptions IPSTEALTHoptions DUMMYNEToptions HZ=1000options BRIDGEoptions ZERO_COPY_SOCKETSoptions TCPDEBUGoptions IPDIVERToptions IPFILTERoptions IPFILTER_LOGoptions IPFIREWALL_DEFAULT_TO_ACCEPToptions SC_DISABLE_REBOOTrc.conf #REGRAS DE FIREWALLfirewall_enable='YES'firewall_type='OPEN'#REGRAS DE NATnatd_enable='YES'natd_interface='bge0'natd_flags='-f /etc/natd.conf' Natd.conf interface bge0dynamic yesuse_sockets yessame_ports yesunregistered_only yes SYSCTL net.inet.ip.fw.one_pass=0 ipfw.rules /sbin/ipfw add 7000 divert natd all from any to any via bge0/sbin/ipfw 9810 add pipe 9810 all from any to 192.168.7.2 out via any/sbin/ipfw 9820 add pipe 9820 all from 192.168.7.2 to any in via any/sbin/ipfw pipe 9810 config bw 256Kbit/s queue 32Kbytes/sbin/ipfw pipe 9820 config bw 128Kbit/s queue 32Kbytes/sbin/ipfw add allow all from any to 192.168.7.2/sbin/ipfwadd allow all from 192.168.7.2 to any/sbin/ipfw add 17500 fwd 127.0.0.1,3128 tcp from 172.16.0.0:255.255.0.0 to any www O que pode estar de errado ::: Alguem me ajuda Sds _
[FUG-BR] RES: IPFW - Porta 25
Eu uso uma regra parecida para a porta de SSH, seria mais o menos isso: if1=rl0 if2=rl1 redeDHCP=192.168.0.0/24 redeExterna=10.1.1.0/24 add 8010 allow tcp from $redeExterna to any 22 in via $if1 keep-state add 8020 allow tcp from $redeDHCP to me 22 in via $if2 keep-state add 8030 deny all from any to any 22 in via $if1 Espero que tenha ajudado. -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Rodrigo Teles Calado Enviada em: segunda-feira, 19 de fevereiro de 2007 12:19 Para: freebsd@fug.com.br Assunto: [FUG-BR] IPFW - Porta 25 Prioridade: Alta Amigos, Estou tendo muitos problemas com o SPAM através do meu servidor. Já configurei o postfix para rejeitar conexões não autorizadas e tudo que vocês imaginarem. Coloquei a regra no ipfw: add 6 deny all from any to any 25 via $_indev A regra acima bloqueou completamente, mas quero adicionar duas outras regras para liberar a porta 25 apenas para 200.* e 201.*, alguém tem idéia? Obrigado. Atenciosamente, Rodrigo Teles Calado. Analista de Suporte Pleno 61-84297799 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: IPFW-Exemplos
Boa Tarde Leandro,
Segue um exemplo real, mas MUITO cuidado ao colocar em produção, pois vc
precisa alterar a regra para as suas necessidades, caso contrário terá
problemas na inicialização e com os deny´s e allow´s em demasia.
Ai vai...
###
# FIREWALL DE CONTROLE DE ACESSO
# VERSAO: 1.0
###
# VARIAVEIS DE MEMORIA
iif=ed0
eif=xl0
inet=192.142.0.0/24
IP_SSH=192.142.0.1, 192.142.0.2
#!/bin/bash
#
if [ -z ${source_rc_confs_defined} ]; then
if [ -r /etc/defaults/rc.conf ]; then
. /etc/defaults/rc.conf
source_rc_confs
elif [ -r /etc/rc.conf ]; then
. /etc/rc.conf
fi
fi
setup_loopback () {
# Only in rare cases do you want to change these rules
#
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
}
if [ -n ${1} ]; then
firewall_type=${1}
fi
# Set quiet mode if requested
#
case ${firewall_quiet} in
[Yy][Ee][Ss])
fwcmd=/sbin/ipfw -q
;;
*)
fwcmd=/sbin/ipfw
;;
esac
# Flush out the list before we begin.
#
${fwcmd} -f flush
#${fwcmd} add 1 deny all from any to any
case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n ${natd_interface} ]; then
${fwcmd} add 50 divert natd all from any to any
via ${natd_interface}
fi
;;
esac
# Stop RFC1918 nets on the outside interface
${fwcmd} add deny all from 10.0.0.0/8 to any via ${eif}
${fwcmd} add deny all from 172.16.0.0/12 to any via ${eif}
# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
${fwcmd} add deny all from any to 0.0.0.0/8 via ${eif}
${fwcmd} add deny all from any to 169.254.0.0/16 via ${eif}
${fwcmd} add deny all from any to 192.0.2.0/24 via ${eif}
${fwcmd} add deny all from any to 192.168.10.0/24 in via ${eif}
${fwcmd} add deny all from any to 224.0.0.0/4 via ${eif}
${fwcmd} add deny all from any to 240.0.0.0/4 via ${eif}
# Allow setup of any stream from us to the world
#${fwcmd} add pass all from ${enet} to any via ${eif} keep-state
# Redirect web traffic to the proxy.
${fwcmd} add set 20 allow tcp from me to any 80 keep-state
${fwcmd} add set 20 allow tcp from ${inet} to me 3128 in via ${iif}
${fwcmd} add set 20 fwd 127.0.0.1,3128 tcp from ${inet} to not 200.251.3.2
80 in via ${iif}
${fwcmd} add set 20 deny log tcp from any to me 3128
# Allow ICMP
${fwcmd} add pass icmp from any to any icmptypes 8 keep-state
${fwcmd} add pass icmp from any to any icmptypes 0 keep-state
# Allow access to out HTTPS
${fwcmd} add pass tcp from any to any 443
# NEGA E LIBERA SSH
${fwcmd} add deny log tcp from any to any 22 in via ${eif} keep-state
${fwcmd} add pass tcp from me to any 22 via ${eif} keep-state
${fwcmd} add pass tcp from $IP_SSH to me 22 via ${iif} keep-state
${fwcmd} add pass tcp from me to any 22 via ${iif} keep-state
${fwcmd} add reset log tcp from any to any 22
# Let the rest of internal interface alone.
${fwcmd} add pass all from any to any via ${iif}
# Allow TCP through if setup succeeded
${fwcmd} add pass tcp from any to any established
# Allow IP fragments to pass through
${fwcmd} add pass all from any to any frag
# Allow access to our DNS
${fwcmd} add pass tcp from any to any 53 setup
${fwcmd} add pass udp from any to any 53
${fwcmd} add pass udp from any 53 to any
# Allow access to our WWW
${fwcmd} add pass tcp from any to any 80 setup keep-state
${fwcmd} add pass tcp from any to any 110 setup keep-state
${fwcmd} add pass tcp from any to any 25 setup keep-state
# Everything else is denied by default, unless the
# IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
# config file.
${fwcmd} add 65534 deny log all from any to any
-Mensagem original-
De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome
de Suprema Informática Ltda
Enviada em: sexta-feira, 24 de novembro de 2006 15:44
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: [FUG-BR] IPFW-Exemplos
Gente boa,
quero saber se alguém tem algum exemplo de firewall com tudo fechado em
ipfw, e com algumas excessões para algumas portas,
algum exemplo corriqueiro, algo do dia a dia
leandro
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Res: IPFW+natd
João Paulo, Não funcionou. Desabilitei do /etc/rc.conf e do /etc/ppp/ppp.conf a opção de fazer nat via ppp, só deixando habilitado via o daemon natd mas não funcionou. Luis Augusto Bahiense Cardoso [EMAIL PROTECTED] - Mensagem original De: Joao Paulo Marques Mattos [EMAIL PROTECTED] Para: Lista Brasileira de Discussão sobre FreeBSD freebsd@fug.com.br Enviadas: Quinta-feira, 9 de Novembro de 2006 14:28:13 Assunto: Re: [FUG-BR] IPFW+natd ppp_nat=YES natd_enable=YES Luis, vc esta usando dois nats, use apenas o do ppp e faca o redirect no ppp.conf ou use apenas o natd e faca o redirect nele conforme vc postou []´s JP-Ux - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ___ Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: Ipfw
Bruno, Aponta desta forma que vai funcionar ! # HABILITANDO FIREWALL firewall_enable=YES firewall_types=UNKNOW firewall_script=/etc/rc.firewall -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Bruno Henrique de Oliveira Enviada em: quarta-feira, 1 de novembro de 2006 13:24 Para: FUG-BR Assunto: [FUG-BR] Ipfw Boa tarde lista, Estou tentando montar meu primeiro firewall no FreeBSD, estou tão emocionado, ficaria mais ainda se tivesse funcionado. Segui a documentação do handbook e outras que encontrei na internet, com isso montei meu arquivo ipfw.rules e apontei o rc.conf para ler o arquivo com a linha; firewall_type=/etc/ipfw.rules, porém quando reinicio a maquina o firewall não lê minhas regras. O comando; ipfw list, continua mostrando a regra padrão; 65535 deny ip from any to any. -- []s, Bruno Oliveira Belo Horizonte - MG This message was sent using IMP, the Internet Messaging Program. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Ipfw
Citando Marcos de Jesus Faria [EMAIL PROTECTED]: Bruno, Aponta desta forma que vai funcionar ! # HABILITANDO FIREWALL firewall_enable=YES firewall_types=UNKNOW firewall_script=/etc/rc.firewall Marcos, Nessa forma de colocar, pelo que estava lendo no handbook, as linhas do firewall ficam diferentes, sendo assim, existe uma diferença no arquivo entre firewall_types e firewall_script -- []s, Bruno Oliveira Belo Horizonte - MG This message was sent using IMP, the Internet Messaging Program. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: Ipfw
Ae pessoal tudo certo?
Bem vou deixar minha dica ae para configurar um firewall.
Primeiro precisamos configurar o kernel, adicione estas linhas que passarei
abaixo:
# Configuracao TCP/IP
options RANDOM_IP_ID
options TCP_DROP_SYNFIN
options IPSTEALTH
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=3
options IPDIVERT
options DUMMYNET
Segundo passo fazer o firewall, coloque isto dentro do /etc/rc.firewall: (
Neste caso estou fazendo com uma conexão speedy e uso junto o ppp para
discar. Este firewall estão com ip´s somente ilustrativos.
[Oo][Pp][Ee][Nn])
rede_local=10.30.0.0/24
rede_local_broadcast=10.30.0.255
pcanywhere=10.30.0.5
interface_local=vr0
interface_externa=tun0
setup_loopback
# lista negra
${fwcmd} add allow tcp from any to me 22
${fwcmd} add allow tcp from me 22 to any
${fwcmd} add deny icmp from any to any
${fwcmd} add deny ip from any to any frag
${fwcmd} add deny ip from any to any xmit $interface_externa
tcpflags rst
# liberacao do servidor
${fwcmd} add pass tcp from any to any established
${fwcmd} add pass tcp from me to any setup
${fwcmd} add pass ip from me to any keep-state
${fwcmd} add pass tcp from any to me dst-port 22 setup
${fwcmd} add pass tcp from any to me dst-port 80 setup
# permite acesso da rede local
${fwcmd} add pass tcp from $rede_local to 200.0.0.1 dst-port 110
setup via $interface_local in
${fwcmd} add pass tcp from $rede_local to 200.0.0.1 dst-port 25
setup via $interface_local in
${fwcmd} add pass tcp from $rede_local to 200.0.0.1 dst-port 5432
setup via $interface_local in
${fwcmd} add pass tcp from $rede_local to me dst-port 139,3128 via
$interface_local in setup
${fwcmd} add pass udp from $rede_local to me dst-port 53 via
$_interface_local in keep-state
${fwcmd} add pass udp from $rede_local to 200.0.0.1 dst-port 53 via
$interface_local in keep-state
${fwcmd} add pass udp from any to any dst-port 67 via
$interface_local in
${fwcmd} add pass udp from $rede_local to $rede_local_broadcast
dst-port 138,137 via $interface_local
# liberacao para a maquina que vai autenticar o speedy
# se for velox ou similar (trocar a variavel $pcanywhere pela
maquina)
#
${fwcmd} add pass tcp from $pcanywhere to any setup via
$interface_local in
${fwcmd} add pass ip from $pcanywhere to any keep-state via
$interface_local in
${fwcmd} add pass tcp from any to 10.30.0.5 5631 setup
${fwcmd} add pass udp from any to 10.30.0.5 5632 keep-state
#bloquear e logar o resto
${fwcmd} add deny log ip from any to any
;;
[Cc][Ll][Ii][Ee][Nn][Tt])
Terceiro passo:
Editar o rc.conf e para quando bootar funcionar.
Adicione esta linhas:
natd_enable=YES
natd_interface=tun0
natd_flags=-f /etc/natd.conf
ppp_enable=YES
ppp_mode=ddial
ppp_nat=NO
ppp_profile=default
firewall_enable=YES
firewall_type=OPEN
gateway_enable=YES
Bom nesse Firewall que foi passado mostra algumas liberações e alguns
bloqueios.
Note que tenho um squid na mesma máquina pois estou liberando a porta 3128
para que a rede interna me acesse, e possa navegar.
Espero ter ajudado.
Agora é só se divertir.
Binho
Não discuta com idiotas, você desce ao nível deles e eles te vencem por ter
experiências
-Mensagem original-
De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome
de Giancarlo Rubio
Enviada em: quarta-feira, 1 de novembro de 2006 13:45
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: Re: [FUG-BR] Ipfw
On Wed, 2006-11-01 at 15:31 -0300, Bruno Henrique de Oliveira wrote:
Citando Giancarlo Rubio [EMAIL PROTECTED]:
Como eu tinha dito nao era erro na incicializacao e sim na regra
deixe as assim
add 5 allow all from any to any via $eth0
add 00010 allow all from any to any via lo0
Giancarlo,
mesmo com a alteração que você falou a mensagem é a mesma.
rc.conf
firewall_enable=YES
firewall_type=/etc/ipfw.rules
/etc/ipfw.rules
add 5 allow all from any to any via $eth0
add 00010 allow all from any to any via lo0
Nao precisa colocar o flush, pois sempre q vc carregar via
sh /etc/rc.firewall ele da um flush e sempre q inicializar tbm
Atente para o numero da linha, se der erro
--
Linux is for people who hate Windows,
BSD is for people who love UNIX
Freebsd-BR User #88
---
Giancarlo Rubio
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: IPFW controle de Banda
Gelsimauro, Vc pode fazer por IPFW, Mas não esqueça de compilar o seu kernel com DUMMYNET e HZ. O exemplo abaixo cria um pipe No. de 10 kbits de saída , sendo que ira controlar os pedidos de requisição do cliente ipfw add pipe 3 tcp from any 1024-65535 to any 25,110 out via em0 # definindo a regra (não esqueça de fazer a volta) ipfw pipe 3 config bw 700kbits # cria um pipe de 700kbits ipfw pipe 3 show # mostra o valores do pipe Criando uma regra agora com controle por prioridade com banda definida por peso 70 mais ou menos checar contas. (Neste caso, terá que fazer contas de para verificar o peso correto) ipfw pipe 10 config bw 100kbtis (valor total do seu link) ipfw queue 10 config wegth 10(peso que quer aplicar Ex. 700kb) pipe 10 ipfw add queue 10 all from 10.0.0.0/8 to any via em0 Abraços, Sds, Marcos de Jesus Faria Tecnologia da Informação www.pompom.com.br -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] nome de Gelsimauro Batista dos Santos Enviada em: quarta-feira, 2 de agosto de 2006 12:10 Para: FreeBSD-FUG Assunto: [FUG-BR] IPFW controle de Banda Tenho um link de 2M/bits meu usuário funciona com controle de banda de 128k/bits gostaria de reservar apenas 700k/bits para smtp pop3 e outras portas. Isso quer dizer que quando meus clientes consumirem muito em outras portas o servidor não deixará ultrapassar os 700/k/bits em quanto os serviços http terão permissão de consumirem ate 2M/bits. Lógico que mantendo a banda de cada usuário em 128k/bits Como faço isso com IPFW ou outro programa? Gelsimauro Batista dos Santos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: ipfw - duvida
ipfw add 100 allow tcp from 192.168.1.1 to any 80 aqui voce explicitou o que pode ipfw add 200 deny ip from any to any aqui explicitamos que tudo que nao esta' permitido esta' bloqueado, portanto, nao faz sentido a regra ipfw add 110 deny tcp from not 192.168.1.1 to any 80 E' claro que tudo depende de como o administrador prefere fazer as coisas. E' bastante comum descrever todas as regras allow e no final uma regra deny geral. Logo, o que nao esta' explicitamente permitido estara' automaticamente bloqueado com a regra deny no final. Como os colegas comentaram, para cada regra que permite trafego de saida, voce precisa garantir o trafego de retorno. Daquele howto que te passei o link http://www.freebsd-howto.com/HOWTO/Ipfw-HOWTO leia com atencao as secoes 6.1, 6.2 e 6.3. Voce compreendera' este mecanismo do ipfw e vai resolver seu problema. Pelo que estou percebendo esta' sendo sua principal dificuldade. O howto acima tem uma versao em portugues que passei tambem, mas consultei agora mas pagina nao esta' disponivel. Tente depois. Dilson ___ Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: ipfw - duvida
Obrigado! Problema resolvido Vlw mesmo!!! - Original Message - From: Dilson Moreira [EMAIL PROTECTED] To: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' freebsd@fug.com.br Sent: Saturday, July 22, 2006 2:43 PM Subject: [FUG-BR] RES: ipfw - duvida ipfw add 100 allow tcp from 192.168.1.1 to any 80 aqui voce explicitou o que pode ipfw add 200 deny ip from any to any aqui explicitamos que tudo que nao esta' permitido esta' bloqueado, portanto, nao faz sentido a regra ipfw add 110 deny tcp from not 192.168.1.1 to any 80 E' claro que tudo depende de como o administrador prefere fazer as coisas. E' bastante comum descrever todas as regras allow e no final uma regra deny geral. Logo, o que nao esta' explicitamente permitido estara' automaticamente bloqueado com a regra deny no final. Como os colegas comentaram, para cada regra que permite trafego de saida, voce precisa garantir o trafego de retorno. Daquele howto que te passei o link http://www.freebsd-howto.com/HOWTO/Ipfw-HOWTO leia com atencao as secoes 6.1, 6.2 e 6.3. Voce compreendera' este mecanismo do ipfw e vai resolver seu problema. Pelo que estou percebendo esta' sendo sua principal dificuldade. O howto acima tem uma versao em portugues que passei tambem, mas consultei agora mas pagina nao esta' disponivel. Tente depois. Dilson ___ Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ Informação do NOD32 IMON 1.1671 (20060720) __ Esta mensagem foi verificada pelo NOD32 sistema antivírus http://www.eset.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: ipfw - duvida
É que eu estou tentando implementar um firewall com ipfw, não sei nada sobre ipfw. os links abaixo vao manter o colega ocupado por um bom tempo. boa leitura PT http://www.free.bsd.com.br/~eksffa/freebsd/ipfw.txt EN http://www.freebsd-howto.com/HOWTO/ EN http://www.freebsd-howto.com/HOWTO/Ipfw-Advanced-Supplement-HOWTO EN http://www.onlamp.com/pub/a/bsd/2001/04/25/FreeBSD_Basics.html ___ Você quer respostas para suas perguntas? Ou você sabe muito e quer compartilhar seu conhecimento? Experimente o Yahoo! Respostas ! http://br.answers.yahoo.com/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
