[FUG-BR] RES: RES: RES: ENC: Conectivida de social - Existe solução?

2007-10-19 Por tôpico Marcio A. Sepp 

Oi Augusto,


Acho que vc entendeu perfeitamente o problema que estou enfrentando e talvez
tenha tocado no ponto certo. Agendei para fazer testes hoje a noite com o
cliente. Obrigado.

Vejam que eu não estou preocupado com o proxy. Eu apenas quero fazer o nat
da interface externa, mascarando minha rede interna. Só isso e não está
funcionando. 

Este mesmo firewall, se eu colocar num openbsd, funciona perfeitamente. 



Um abraço a todos.


Att.
Márcio A. Sepp
 

 -Mensagem original-
 De: [EMAIL PROTECTED] 
 [mailto:[EMAIL PROTECTED] Em nome de Augusto Jobim Badaraco
 Enviada em: sexta-feira, 19 de outubro de 2007 14:59
 Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
 Assunto: [FUG-BR] RES: RES: ENC: Conectividade social - 
 Existe solução?
 
 Vc tentou colocar assim:
 nat on $ext_if from $internal_net to any - ($ext_if) static-port
 
 
 -Mensagem original-
 De: [EMAIL PROTECTED] 
 [mailto:[EMAIL PROTECTED] Em nome de Marcio A. Sepp 
 Enviada em: sexta-feira, 19 de outubro de 2007 12:41
 Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
 Assunto: [FUG-BR] RES: ENC: Conectividade social - Existe solução?
 
 
 Oi Welington,
 
 
 Minha regra atual de nat é esta:
 nat on $ext_if from $internal_net to any - ($ext_if)
 
 Onde internal_net é: 
 internal_net=192.168.0.0/24
 
 Me parece que a principal diferença da minha regra pra sua é:
 
 ... - ($ext:0).
 
 A noite farei testes com estas regras conforme vc me passou. 
 
 
 Segue abaixo o meu firewall:
 ## 1) MACROS ##
 ext_if=xl0
 int_if=xl1
 
 internal_net=192.168.0.0/24
 
 
 ## 3) OPTIONS ##
 set skip on lo
 
 # Options: tune the behavior of pf, default values are given.
 set timeout { interval 10, frag 30 }
 set timeout { tcp.first 120, tcp.opening 30, tcp.established 
 86400 } set timeout { tcp.closing 900, tcp.finwait 45, 
 tcp.closed 90 } set timeout { udp.first 60, udp.single 30, 
 udp.multiple 60 } set timeout { icmp.first 20, icmp.error 10 
 } set timeout { other.first 60, other.single 30, 
 other.multiple 60 } set timeout { adaptive.start 0, 
 adaptive.end 0 } set limit { states 1, frags 5000 } #set 
 loginterface none #set optimization normal set block-policy 
 drop set require-order yes set fingerprints /etc/pf.os
 
 #set block-policy return
 set loginterface $ext_if
 
 
 ## 4) NORMALIZATION ##
 scrub in
 
 nat on $ext_if from $internal_net to any - ($ext_if)
 
 
 no rdr on { lo0, lo1 } from any to any
 #no rdr on $int_if from any to { ($ext_if), ($int_if) }
 
 
 ## 7) FILTERING ##
 
 antispoof quick for { lo $int_if }
 
 
 pass in
 pass out
 
 pass in on $ext_if proto tcp to ($ext_if) port ssh keep state
 
 #pass in  on $int_if from $int_if:network to any keep state 
 #pass out on $int_if from any to $int_if:network keep state 
 #pass out on $ext_if proto tcp all modulate state flags S/SA 
 #pass out on $ext_if proto { udp } all keep state
 
 
 
 Att.
 Márcio A. Sepp
  
 
Estou enfrentando problemas com a conectividade social em um 
servidor freebsd 6.2 com pf e sem passar pelo squid.
   
Neste cliente usávamos o OpenBSD com tudo funcionando
  perfeitamente. 
O Open era versão 3.7, mas por motivos que não convem 
 ao momento 
mudamos para o FreeBSD 6.2. Após esta migração o 
 sistema da caixa 
deixou de funcionar.
   
Antes de enviar este email para a lista fiz os seguintes passos:
- Li a grande maioria das respostas da lista sobre este 
 assunto, 
sendo que muitas tratavam do firewall ipf e outras 
 mesmo falam do 
squid, que eu sequer configurei para esta máquina 
 passar por ele;
- Tentamos limpar todas as regras do pf.conf e apenas
  adicionamos um
nat na interface externa com pass in all e pass out all e
  também não
funcionou;
   
Com isso, não sabemos mais para que lado recorrer (ou
  correr), pois
o suporte da caixa consegue apenas auxiliar o usuário 
 final e nós 
ficamos completamente desamparados.
   
Ainda fizemos os testes:
- Colocamos uma máquina openbsd com o mesmo firewall e
  ela funcionou
perfeitamente;
- Colocamos as duas máquinas que tenho instalado a
  irritabilidade social
(dica de nome que li no histórico da lista) ligadas
  diretamente no
meu modem e também funcionou perfeitamente;
   
Meu ambiente:
FreeBSD 6.2 - stable;
Pf (com apenas o nat e liberado tudo de saída e entrada); Squid 
(para as demais máquinas da rede, exceto as que rodam o 
conectividade);
   
   
Olhamos também este link, mas não evoluímos muito:
http://www.openbsd.org/faq/pf/pt/scrub.html
   
O que podemos fazer? Alguém já passou por isso e
  encontrou alguma solução?
   
   
   
   
Att.
Márcio A. Sepp
   
   -
   Histórico: http://www.fug.com.br/historico/html/freebsd/
   Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
  
  Márcio,
  Aqui uso esta regra abaixo,
  
  Os ips não podem

[FUG-BR] Res: RES: RES: ENC: Conectivida de social - Existe solução?

2007-10-19 Por tôpico Pedro Ricardo Oliveira 
A melhor maneira de contornar o problema com o Conectividade Social da CEF 
seria vc aplicar uma regra de skip to antes da regra do proxy avitando assim 
que os endereços da CEF passagem pelas regras do proxy.

Sdd
 
Pedro Ricardo de Oliveira
MSN: [EMAIL PROTECTED]
Skype: prrecife



- Mensagem original 
De: Augusto Jobim Badaraco [EMAIL PROTECTED]
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br
Enviadas: Sexta-feira, 19 de Outubro de 2007 13:58:46
Assunto: [FUG-BR] RES: RES: ENC: Conectividade social - Existe solução?

Vc tentou colocar assim:
nat on $ext_if from $internal_net to any - ($ext_if) static-port


-Mensagem original-
De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em
nome de Marcio A. Sepp
Enviada em: sexta-feira, 19 de outubro de 2007 12:41
Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
Assunto: [FUG-BR] RES: ENC: Conectividade social - Existe solução?


Oi Welington,


Minha regra atual de nat é esta:
nat on $ext_if from $internal_net to any - ($ext_if)

Onde internal_net é: 
internal_net=192.168.0.0/24

Me parece que a principal diferença da minha regra pra sua é:

... - ($ext:0).

A noite farei testes com estas regras conforme vc me passou. 


Segue abaixo o meu firewall:
## 1) MACROS ##
ext_if=xl0
int_if=xl1

internal_net=192.168.0.0/24


## 3) OPTIONS ##
set skip on lo

# Options: tune the behavior of pf, default values are given.
set timeout { interval 10, frag 30 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 1, frags 5000 }
#set loginterface none
#set optimization normal
set block-policy drop
set require-order yes
set fingerprints /etc/pf.os

#set block-policy return
set loginterface $ext_if


## 4) NORMALIZATION ##
scrub in

nat on $ext_if from $internal_net to any - ($ext_if)


no rdr on { lo0, lo1 } from any to any
#no rdr on $int_if from any to { ($ext_if), ($int_if) }


## 7) FILTERING ##

antispoof quick for { lo $int_if }


pass in
pass out

pass in on $ext_if proto tcp to ($ext_if) port ssh keep state

#pass in  on $int_if from $int_if:network to any keep state
#pass out on $int_if from any to $int_if:network keep state
#pass out on $ext_if proto tcp all modulate state flags S/SA
#pass out on $ext_if proto { udp } all keep state



Att.
Márcio A. Sepp


   Estou enfrentando problemas com a conectividade social em um 
   servidor freebsd 6.2 com pf e sem passar pelo squid.
  
   Neste cliente usávamos o OpenBSD com tudo funcionando 
 perfeitamente. 
   O Open era versão 3.7, mas por motivos que não convem ao momento 
   mudamos para o FreeBSD 6.2. Após esta migração o sistema da caixa 
   deixou de funcionar.
  
   Antes de enviar este email para a lista fiz os seguintes passos:
   - Li a grande maioria das respostas da lista sobre este assunto, 
   sendo que muitas tratavam do firewall ipf e outras mesmo falam do 
   squid, que eu sequer configurei para esta máquina passar por ele;
   - Tentamos limpar todas as regras do pf.conf e apenas 
 adicionamos um 
   nat na interface externa com pass in all e pass out all e 
 também não 
   funcionou;
  
   Com isso, não sabemos mais para que lado recorrer (ou 
 correr), pois 
   o suporte da caixa consegue apenas auxiliar o usuário final e nós 
   ficamos completamente desamparados.
  
   Ainda fizemos os testes:
   - Colocamos uma máquina openbsd com o mesmo firewall e 
 ela funcionou 
   perfeitamente;
   - Colocamos as duas máquinas que tenho instalado a 
 irritabilidade social
   (dica de nome que li no histórico da lista) ligadas 
 diretamente no 
   meu modem e também funcionou perfeitamente;
  
   Meu ambiente:
   FreeBSD 6.2 - stable;
   Pf (com apenas o nat e liberado tudo de saída e entrada); Squid 
   (para as demais máquinas da rede, exceto as que rodam o 
   conectividade);
  
  
   Olhamos também este link, mas não evoluímos muito:
   http://www.openbsd.org/faq/pf/pt/scrub.html
  
   O que podemos fazer? Alguém já passou por isso e 
 encontrou alguma solução?
  
  
  
  
   Att.
   Márcio A. Sepp
  
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 Márcio,
 Aqui uso esta regra abaixo,
 
 Os ips não podem fazer nada somente podem acessar conectividade socil
 
 # conectividade Social
 nat on $ext_if from {10.0.0.7,10.0.0.8,10.0.0.9, 10.0.0.10} 
 to {200.201.174.0/24, 200.201.173.68} - ($ext_if:0)
 
 --
 Welington F.J
 BSD User: 51392
 IVOZ: 4668
 MSN: [EMAIL PROTECTED]
 Drogas ? Pra que? Já Tenho Meu Windows!!
 -
 Histórico: