[FUG-BR] RES: RES: RES: Firewall com pf no freeBSD 7
Ricardo. Tente desenhar sua rede, assim ficar mais facil de ajudar. Até onde entendi, esta assim: | Internet | | | 200.x.x.x | | FreeBSD | | 10.10.100.252/16 | Rede local 10.10.0.0/16 | 10.100.1.4/24 | | 10.100.1.1/24 | | Router | -- | ? Onde esta ligada sua rede 10.100.1.0/24 ou seria 10.100.0.0/16? Cristiano Maynart -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Ricardo Augusto de Souza Enviada em: terça-feira, 4 de novembro de 2008 09:37 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: [FUG-BR] RES: RES: Firewall com pf no freeBSD 7 Correto. O FreeBSD esta com 2 placas de rede. Uma com internet e a outra com ip local 10.10.100.252 e 10.100.1.4. Eu adicionei a rota para a rede 10.100.0.0/24 pra sair pelo router 10.100.1.1 e tudo funciona beleza do FreeBSD. A questão é: o q tenho que fazer para as maquinas q usam o freeBSD como gateway consigam acessar a minha rede 10.100.0.0/24 ? Testei sem filtros no PF e nada. FW2# cat pf.rules ext_if = "bce0" nat on $ext_if from 10.10.20.0/24 to any tag INT_LAN -> ($ext_if) pass in all pass out all FW2# Consigo sair pra internet + nada de pings na rede 10.100.0.0 ;(( No openBSD só com isso os clientes conseguem acessar as maquinas q tem rota no openBSD. -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Paulo Henrique Enviada em: terça-feira, 4 de novembro de 2008 08:30 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: Firewall com pf no freeBSD 7 Pelo que entendi você está usando NAT, e uma dos problemas desse protocolo é que as maquinas que estão atrás do daemon nat não podem ser acessadas diretamentes, tem que trabalhar com forwards no gateway para a maquina em questão. Uma coisa que notei o seu endereço de rede é 10.100.0.0/24 e seu gateway 10.100.1.1 no caso uma rede /24 mais com netmask diferente, o seu gateway Freebsd está navegando na internet, poderia pingar externo na rede. Até mais espero ter ajudado. 2008/11/4 Ricardo Augusto de Souza <[EMAIL PROTECTED]> > Não ta habilitado o ipfw. > > FW2# ipfw show > ipfw: getsockopt(IP_FW_GET): Protocol not available FW2# > > > -Mensagem original- > De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome > de Willian Alves > Enviada em: terça-feira, 4 de novembro de 2008 07:34 > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Assunto: Re: [FUG-BR] Firewall com pf no freeBSD 7 > >cara seguinte o ipfw e o filtro de pacote padrão do FreeBSD na linha de > comando da um ipfw show e verifica as regras de firewall por padrao vem > bloqueado tudo talvez seja por isso que nao esta funcionado seu roteamento > fica ai meu cents. > > > - Original Message - > From: "Márcio Luciano Donada" <[EMAIL PROTECTED]> > To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" > > Sent: Monday, November 03, 2008 6:07 PM > Subject: Re: [FUG-BR] Firewall com pf no freeBSD 7 > > > Ricardo Augusto de Souza escreveu: > > FW2# cat rc.conf > > > > # -- sysinstall generated deltas -- # Fri Oct 31 08:57:07 2008 > > # Created: Fri Oct 31 08:57:07 2008 > > # Enable network daemons for user convenience. > > # Please make all changes to this file, not to /etc/defaults/rc.conf. > > # This file now contains just the overrides from /etc/defaults/rc.conf. > > ken_securelevel="1" > > kern_securelevel_enable="YES" > > pf_enable="YES" > > defaultrouter="189.xxx.xxx.xxx" > > gateway_enable="YES" > > hostname="FW2.CMT" > > ifconfig_bce0="inet 189.xxx.xxx.3 netmask 255.255.255.248" > > ifconfig_bce1="inet 10.10.100.252 netmask 255.255.0.0" > > inetd_enable="YES" > > keymap="br275.cp850" > > linux_enable="YES" > > sshd_enable="YES" > > FW2# > > > > > > > > FW2# cat rc.local > > #alias > > ifconfig bce1 alias 10.100.1.4 netmask 255.255.255.192 up > > #rotas > > route add 10.100.0.0/24 10.100.1.1 > > FW2# > > > > > > Você pode colocar os alias de interface tudo no rc.conf, veja no [1]. > Você falou que recompilou seu kernel mas seu dmesg traz o kernel GENERIC: > > FreeBSD 7.0-RELEASE #0: Sun Feb 24 19:59:52 UTC 2008 >[EMAIL PROTECTED]:/usr/obj/usr/src/sys/GENERIC > > > > [1]. > > http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/configtuning-virtual-hosts.html > > Abraço, > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Atenciosamente Paulo Henrique. "Obrigado não, que é do Diabo Capital. Agradecido, que é de bom saber" "A unica form
Re: [FUG-BR] RES: RES: RES: Firewall com pf no freeBSD 7
Po, sua rota está errada o range que passa é de netmask 255.255.255.0 e não classe B 255.255.0.0 Te que add as rotas direto para as redes. 2008/11/4 Ricardo Augusto de Souza <[EMAIL PROTECTED]> > Não. > > Esta assim agora: > Rc.conf: > ifconfig_bce0="inet 189.xxx.xxx.xxx netmask 255.255.255.248" > ifconfig_bce1="inet 10.10.100.252 netmask 255.255.0.0" > ifconfig_bce1_alias0="inet 10.100.1.4 netmask 255.255.255.192" > > > E estou testando de uma VM windows XP com ip 10.10.20.250 e usando o gw > 10.10.100.252 > Dela eu consigo pingar 10.10.100.252, 10.100.1.4, acesso a internet e NÃO > pingo o 10.100.0.5 nem qqr outro do range 10.100.0.0/24 > > > MT estranho. > > -Mensagem original- > De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome > de Paulo Henrique > Enviada em: terça-feira, 4 de novembro de 2008 08:47 > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Assunto: Re: [FUG-BR] RES: RES: Firewall com pf no freeBSD 7 > > ifconfig_bce0="inet 189.xxx.xxx.3 netmask 255.255.255.248" > ifconfig_bce1="inet 10.10.100.252 netmask 255.255.0.0" > > No caso você só consegue acessar a internet mesmo com essa config sendo que > a sua rede interna pertence ao range de ip 10.10.100/24 ? > > > 2008/11/4 Ricardo Augusto de Souza <[EMAIL PROTECTED]> > > > Correto. > > > > O FreeBSD esta com 2 placas de rede. > > Uma com internet e a outra com ip local 10.10.100.252 e 10.100.1.4. > > Eu adicionei a rota para a rede 10.100.0.0/24 pra sair pelo router > > 10.100.1.1 e tudo funciona beleza do FreeBSD. > > > > A questão é: o q tenho que fazer para as maquinas q usam o freeBSD como > > gateway consigam acessar a minha rede 10.100.0.0/24 ? > > > > Testei sem filtros no PF e nada. > > > > FW2# cat pf.rules > > ext_if = "bce0" > > > > nat on $ext_if from 10.10.20.0/24 to any tag INT_LAN -> ($ext_if) > > pass in all > > pass out all > > FW2# > > > > Consigo sair pra internet + nada de pings na rede 10.100.0.0 > > ;(( > > > > No openBSD só com isso os clientes conseguem acessar as maquinas q tem > > rota no openBSD. > > > > > > > > -Mensagem original- > > De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em > nome > > de Paulo Henrique > > Enviada em: terça-feira, 4 de novembro de 2008 08:30 > > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > > Assunto: Re: [FUG-BR] RES: Firewall com pf no freeBSD 7 > > > > Pelo que entendi você está usando NAT, e uma dos problemas desse > protocolo > > é > > que as maquinas que estão atrás do daemon nat não podem ser acessadas > > diretamentes, tem que trabalhar com forwards no gateway para a maquina em > > questão. > > Uma coisa que notei o seu endereço de rede é 10.100.0.0/24 e seu gateway > > 10.100.1.1 no caso uma rede /24 mais com netmask diferente, o seu > gateway > > Freebsd está navegando na internet, poderia pingar externo na rede. > > Até mais espero ter ajudado. > > > > 2008/11/4 Ricardo Augusto de Souza <[EMAIL PROTECTED]> > > > > > > > -- > Atenciosamente Paulo Henrique. > "Obrigado não, que é do Diabo Capital. Agradecido, que é de bom saber" > "A unica forma de todos sentirem-se bem é adotanto o Regime Socialista, > não teremos tudo que queremos, contudo não veremos mais o que não > queremos." > "A real definição sobre deus se dá pelo fato do ser humano ser covarde o > suficiente, > colocando a culpa em algo que não existe para manter a conciência "limpa"". > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Atenciosamente Paulo Henrique. "Obrigado não, que é do Diabo Capital. Agradecido, que é de bom saber" "A unica forma de todos sentirem-se bem é adotanto o Regime Socialista, não teremos tudo que queremos, contudo não veremos mais o que não queremos." "A real definição sobre deus se dá pelo fato do ser humano ser covarde o suficiente, colocando a culpa em algo que não existe para manter a conciência "limpa"". - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: RES: RES: Firewall com pf no freeBSD 7
Não. Esta assim agora: Rc.conf: ifconfig_bce0="inet 189.xxx.xxx.xxx netmask 255.255.255.248" ifconfig_bce1="inet 10.10.100.252 netmask 255.255.0.0" ifconfig_bce1_alias0="inet 10.100.1.4 netmask 255.255.255.192" E estou testando de uma VM windows XP com ip 10.10.20.250 e usando o gw 10.10.100.252 Dela eu consigo pingar 10.10.100.252, 10.100.1.4, acesso a internet e NÃO pingo o 10.100.0.5 nem qqr outro do range 10.100.0.0/24 MT estranho. -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Paulo Henrique Enviada em: terça-feira, 4 de novembro de 2008 08:47 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: RES: Firewall com pf no freeBSD 7 ifconfig_bce0="inet 189.xxx.xxx.3 netmask 255.255.255.248" ifconfig_bce1="inet 10.10.100.252 netmask 255.255.0.0" No caso você só consegue acessar a internet mesmo com essa config sendo que a sua rede interna pertence ao range de ip 10.10.100/24 ? 2008/11/4 Ricardo Augusto de Souza <[EMAIL PROTECTED]> > Correto. > > O FreeBSD esta com 2 placas de rede. > Uma com internet e a outra com ip local 10.10.100.252 e 10.100.1.4. > Eu adicionei a rota para a rede 10.100.0.0/24 pra sair pelo router > 10.100.1.1 e tudo funciona beleza do FreeBSD. > > A questão é: o q tenho que fazer para as maquinas q usam o freeBSD como > gateway consigam acessar a minha rede 10.100.0.0/24 ? > > Testei sem filtros no PF e nada. > > FW2# cat pf.rules > ext_if = "bce0" > > nat on $ext_if from 10.10.20.0/24 to any tag INT_LAN -> ($ext_if) > pass in all > pass out all > FW2# > > Consigo sair pra internet + nada de pings na rede 10.100.0.0 > ;(( > > No openBSD só com isso os clientes conseguem acessar as maquinas q tem > rota no openBSD. > > > > -Mensagem original- > De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome > de Paulo Henrique > Enviada em: terça-feira, 4 de novembro de 2008 08:30 > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Assunto: Re: [FUG-BR] RES: Firewall com pf no freeBSD 7 > > Pelo que entendi você está usando NAT, e uma dos problemas desse protocolo > é > que as maquinas que estão atrás do daemon nat não podem ser acessadas > diretamentes, tem que trabalhar com forwards no gateway para a maquina em > questão. > Uma coisa que notei o seu endereço de rede é 10.100.0.0/24 e seu gateway > 10.100.1.1 no caso uma rede /24 mais com netmask diferente, o seu gateway > Freebsd está navegando na internet, poderia pingar externo na rede. > Até mais espero ter ajudado. > > 2008/11/4 Ricardo Augusto de Souza <[EMAIL PROTECTED]> > > -- Atenciosamente Paulo Henrique. "Obrigado não, que é do Diabo Capital. Agradecido, que é de bom saber" "A unica forma de todos sentirem-se bem é adotanto o Regime Socialista, não teremos tudo que queremos, contudo não veremos mais o que não queremos." "A real definição sobre deus se dá pelo fato do ser humano ser covarde o suficiente, colocando a culpa em algo que não existe para manter a conciência "limpa"". - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd