[FUG-BR] ipfw vc pf
Pessoal, seguinte :) Tenho estudado o pf como alternativa ao ipfw. Vejo muitas facilidades no sentido de dar manutencao as regras, porem, vou listar algumas dificuldades que tive ao experimentar o pf: (veja bem, sao dificuldades MINHAS, e nao problemas ou limitacoes do pf :) 1) Controle de banda: Por exemplo, no ipfw+dummynet crio um pipe ou dois pipes e coloco as regras: ipfw add X pipe Y ip from any to IP not layer2 ipfw add X pipe Z ip from IP to any not layer2 E boa, o controle de banda jah acontece. Pergunta: Como vcs fazem algo parecido no pf? 2) Layer2: No ipfw tenho feito controle de MAC + IP habilitando layer2, funciona 100%, ou seja, amarro o par ip+mac e barra qualquer outro ip que tentar usar aquele mac. Pegunta: Como fica isso no pf? (Estou querendo saber se o pf faz, e nao usar o arp -S :) 3) FTP + natd: No ipfw + natd, nunca tive problemas com ftp atras de nat, ou seja o cliente ftp atras do nat acessando um server na internet. Porem, estou tendo um problema terrivel pra fazer isso funcionar num pf+ftp-proxy (O ftp-proxy jah esta rodando certinho no inetd, o pf.conf jaht em a regra de rdr para 127.0.0.1:8021, porem, nao funciona) Pergunta: Como vcs tem resolvido isso? Veja bem, o intuito desse email, nao eh gerar flames e nem criticar o pf nem nada, o que quero mesmo eh APRENDER :) atraves das experiencias de quem jah esta mais avancado que eu no pf. Como eu disse, jah tenho essas tres situacoes funcionando OK com ipfw, mas eu quero aprender no pf :) Desculpem o email grande e espero que seja util para outras pessoas essas informacoes :) abracos -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw vc pf
Boa tarde! Posso tentar te ajudar no item três: Talvez você tenha esquecido de por o inetd para funfar... para isso coloque no /etc/rc.conf a seguinte linha: inetd_enable=YES On 10/10/06, m3 BSD [EMAIL PROTECTED] wrote: Pessoal, seguinte :) Tenho estudado o pf como alternativa ao ipfw. Vejo muitas facilidades no sentido de dar manutencao as regras, porem, vou listar algumas dificuldades que tive ao experimentar o pf: (veja bem, sao dificuldades MINHAS, e nao problemas ou limitacoes do pf :) 1) Controle de banda: Por exemplo, no ipfw+dummynet crio um pipe ou dois pipes e coloco as regras: ipfw add X pipe Y ip from any to IP not layer2 ipfw add X pipe Z ip from IP to any not layer2 E boa, o controle de banda jah acontece. Pergunta: Como vcs fazem algo parecido no pf? 2) Layer2: No ipfw tenho feito controle de MAC + IP habilitando layer2, funciona 100%, ou seja, amarro o par ip+mac e barra qualquer outro ip que tentar usar aquele mac. Pegunta: Como fica isso no pf? (Estou querendo saber se o pf faz, e nao usar o arp -S :) 3) FTP + natd: No ipfw + natd, nunca tive problemas com ftp atras de nat, ou seja o cliente ftp atras do nat acessando um server na internet. Porem, estou tendo um problema terrivel pra fazer isso funcionar num pf+ftp-proxy (O ftp-proxy jah esta rodando certinho no inetd, o pf.conf jaht em a regra de rdr para 127.0.0.1:8021, porem, nao funciona) Pergunta: Como vcs tem resolvido isso? Veja bem, o intuito desse email, nao eh gerar flames e nem criticar o pf nem nada, o que quero mesmo eh APRENDER :) atraves das experiencias de quem jah esta mais avancado que eu no pf. Como eu disse, jah tenho essas tres situacoes funcionando OK com ipfw, mas eu quero aprender no pf :) Desculpem o email grande e espero que seja util para outras pessoas essas informacoes :) abracos -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcelo Rossi - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw vc pf
Nao nao cara... obrigado pela resposta rapida hehe, mas como eu disse no email, o inetd esta rodando certinho, escutando na porta 8021 que eh a porta do ftp-proxy. o problema nao eh esse :) mas mesmo assim obrigado pela resposta rapida 2006/10/10, Marcelo/Porks [EMAIL PROTECTED]: Boa tarde! Posso tentar te ajudar no item três: Talvez você tenha esquecido de por o inetd para funfar... para isso coloque no /etc/rc.conf a seguinte linha: inetd_enable=YES On 10/10/06, m3 BSD [EMAIL PROTECTED] wrote: Pessoal, seguinte :) Tenho estudado o pf como alternativa ao ipfw. Vejo muitas facilidades no sentido de dar manutencao as regras, porem, vou listar algumas dificuldades que tive ao experimentar o pf: (veja bem, sao dificuldades MINHAS, e nao problemas ou limitacoes do pf :) 1) Controle de banda: Por exemplo, no ipfw+dummynet crio um pipe ou dois pipes e coloco as regras: ipfw add X pipe Y ip from any to IP not layer2 ipfw add X pipe Z ip from IP to any not layer2 E boa, o controle de banda jah acontece. Pergunta: Como vcs fazem algo parecido no pf? 2) Layer2: No ipfw tenho feito controle de MAC + IP habilitando layer2, funciona 100%, ou seja, amarro o par ip+mac e barra qualquer outro ip que tentar usar aquele mac. Pegunta: Como fica isso no pf? (Estou querendo saber se o pf faz, e nao usar o arp -S :) 3) FTP + natd: No ipfw + natd, nunca tive problemas com ftp atras de nat, ou seja o cliente ftp atras do nat acessando um server na internet. Porem, estou tendo um problema terrivel pra fazer isso funcionar num pf+ftp-proxy (O ftp-proxy jah esta rodando certinho no inetd, o pf.conf jaht em a regra de rdr para 127.0.0.1:8021, porem, nao funciona) Pergunta: Como vcs tem resolvido isso? Veja bem, o intuito desse email, nao eh gerar flames e nem criticar o pf nem nada, o que quero mesmo eh APRENDER :) atraves das experiencias de quem jah esta mais avancado que eu no pf. Como eu disse, jah tenho essas tres situacoes funcionando OK com ipfw, mas eu quero aprender no pf :) Desculpem o email grande e espero que seja util para outras pessoas essas informacoes :) abracos -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcelo Rossi - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw vc pf
Nao sei se vou falar besteira, mais meus problemas de natd + ftp resolvi com punch_fw Tente ai -- Linux is for people who hate Windows, BSD is for people who love UNIX Freebsd-BR User #88 --- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw vc pf
m3 BSD, você poderia apontar algum servidor ftp que você tentou acessar e não conseguiu? assim eu tento acessar aqui também... : ) On 10/10/06, Giancarlo Rubio [EMAIL PROTECTED] wrote: Nao sei se vou falar besteira, mais meus problemas de natd + ftp resolvi com punch_fw Tente ai -- Linux is for people who hate Windows, BSD is for people who love UNIX Freebsd-BR User #88 --- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcelo Rossi - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw vc pf
Giancarlo hehehe, pois eh :) nao falou besteira nao, realmente quando uso natd + ipfw tambem uso punch_fw e fica 100%, o problema esta no uso do pf fazendo nat entende? E quanto ao Marcelo, estou fazendo varios testes em varios servidores de ftp (alguns meus mesmo), e nao funciona nenhum, mas de outros lugares que nao sao atras do pf funciona normal... 2006/10/10, Marcelo/Porks [EMAIL PROTECTED]: m3 BSD, você poderia apontar algum servidor ftp que você tentou acessar e não conseguiu? assim eu tento acessar aqui também... : ) On 10/10/06, Giancarlo Rubio [EMAIL PROTECTED] wrote: Nao sei se vou falar besteira, mais meus problemas de natd + ftp resolvi com punch_fw Tente ai -- Linux is for people who hate Windows, BSD is for people who love UNIX Freebsd-BR User #88 --- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcelo Rossi - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw vc pf
Opa! Eu por exemplo, nao estou usando o ftp-proxy, senti ele meio fraco... Como alternativa, o pftpx resolveu o problema... de uma olhadinha, porque funciona bem! (/usr/ports/ftp/pftpx) No pf.conf, o cara adiciona isso aqui ó: (vide man) nat-anchor pftpx/* rdr-anchor pftpx/* rdr pass on $int_if proto tcp from any to any port 21 - 192.168.77.1 port 8021 eh isso aí... Em 10/10/2006, Thiago J. Ruiz [EMAIL PROTECTED] escreveu: Eae Mário! =D 3) FTP + natd: No ipfw + natd, nunca tive problemas com ftp atras de nat, ou seja o cliente ftp atras do nat acessando um server na internet. Porem, estou tendo um problema terrivel pra fazer isso funcionar num pf+ftp-proxy (O ftp-proxy jah esta rodando certinho no inetd, o pf.conf jaht em a regra de rdr para 127.0.0.1:8021, porem, nao funciona) Pergunta: Como vcs tem resolvido isso? bom com a parte do ftp eu acredito ter dito tudo no msn.. mas vamo registrar aqui tb, bom utilizo aqui com ftp-proxy do inetd e com redirecionamento do pf então echo 'inetd_enable=YES' /etc/rc.conf e tb echo 'inetd_flags=-wW -C 60 -a 127.0.0.1' /etc/rc.conf e no pf.conf vou colocar tb como faço pro proxy transparente e o nat segue abaixo: table lan { 192.168.0.0/24 } # Libera NAT apenas para clientes cadastrados nat on $ext_if inet from lan to any - ($ext_if) # Proxy HTTP transparente rdr on $lan_if proto tcp from lan to any port http - 127.0.0.1 port 3128 # Proxy FTP transparente rdr on $lan_if proto tcp from lan to any port ftp - 127.0.0.1 port 8021 Funciona que é um melzinho =D hehehe cara qq coisa dê um toque no gtalk ou no msn. abraços -- Thiago J. Ruiz http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebs - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw vc pf
Valeu galera hehehhe :) Todas as dicas foram muito uteis, porem, o problema eh que estou usando o pf e o ipfw ao mesmo tempo, o pf pra nat e binat e o ipfw pra controle de banda, ae, soh precisei colocar uma regra de allow all from any to any dst-port 21 e funfou :), quer dizer, o problema era o ipfw se metendo no meio hehehe Fica ae a solucao, e obrigado pelas dicas. Em 10/10/06, [EMAIL PROTECTED][EMAIL PROTECTED] escreveu: Opa! Eu por exemplo, nao estou usando o ftp-proxy, senti ele meio fraco... Como alternativa, o pftpx resolveu o problema... de uma olhadinha, porque funciona bem! (/usr/ports/ftp/pftpx) No pf.conf, o cara adiciona isso aqui ó: (vide man) nat-anchor pftpx/* rdr-anchor pftpx/* rdr pass on $int_if proto tcp from any to any port 21 - 192.168.77.1 port 8021 eh isso aí... Em 10/10/2006, Thiago J. Ruiz [EMAIL PROTECTED] escreveu: Eae Mário! =D 3) FTP + natd: No ipfw + natd, nunca tive problemas com ftp atras de nat, ou seja o cliente ftp atras do nat acessando um server na internet. Porem, estou tendo um problema terrivel pra fazer isso funcionar num pf+ftp-proxy (O ftp-proxy jah esta rodando certinho no inetd, o pf.conf jaht em a regra de rdr para 127.0.0.1:8021, porem, nao funciona) Pergunta: Como vcs tem resolvido isso? bom com a parte do ftp eu acredito ter dito tudo no msn.. mas vamo registrar aqui tb, bom utilizo aqui com ftp-proxy do inetd e com redirecionamento do pf então echo 'inetd_enable=YES' /etc/rc.conf e tb echo 'inetd_flags=-wW -C 60 -a 127.0.0.1' /etc/rc.conf e no pf.conf vou colocar tb como faço pro proxy transparente e o nat segue abaixo: table lan { 192.168.0.0/24 } # Libera NAT apenas para clientes cadastrados nat on $ext_if inet from lan to any - ($ext_if) # Proxy HTTP transparente rdr on $lan_if proto tcp from lan to any port http - 127.0.0.1 port 3128 # Proxy FTP transparente rdr on $lan_if proto tcp from lan to any port ftp - 127.0.0.1 port 8021 Funciona que é um melzinho =D hehehe cara qq coisa dê um toque no gtalk ou no msn. abraços -- Thiago J. Ruiz http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebs - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd