Re: [FUG-BR] parece que o pf nao le as regras! [RESOLVIDO]
Em Thu, 26 Jul 2007 19:41:04 -0300 Gule # [EMAIL PROTECTED] escreveu: Não é gambiarra talvez seja somente pra esse caso, mas quando vc precisa autenticar via ppp, claro, é opinião MUITO pessoal mas.. funcionou. Resolveu o problema de modo IMEDIATO. Tirou o chefe/dono/patrão dos calcanhares do analista.. agora dá tempo - todo o tempo do mundo - pra que êle faça algo melhor e dentro de regras ou normas. A diferença entre eficiência e eficácia é tênue. Um cara eficaz pode salvar minha vida em alguns segundos (ou me dar mais confôrto, pelo menos). Já um eficiente pode estudar muito para me dar o melhor.. mas 5 minutos podem fazer muita diferença PRA MIM (rss) Primeiro resolva o problema. Depois faça as regras pra êle - risos. flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Eu sou contra a religião porque ela nos ensina a nos satisfazermos ao não entender o mundo. Richard Dawkins - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] parece que o pf nao le as regras! [RESOLVIDO]
On 7/26/07, Cleyton Bertolim [EMAIL PROTECTED] wrote: Pessoal, primeiro quero agradecer a todos que cederam um pouco do seu tempo pra tentar solucionar este meu problema Em seguinda, quero dizer o que eu fiz pra resolver!!! Foi uma solucao que encontrei, que julgo nao ser a mais correta, porem resolveu!!! hehehe Eu criei um arquivo /etc/rc.d/pf.sh com o seguinte conteudo: #!/bin/sh # Script de carregamento das regras do pf.conf echo Carregando regras PF.CONF... pfctl -f /etc/pf.conf # FINAL DO ARQUIVO ## Agora toda vez que reinicio o servidor (o que é bem dificil!!!) ele esta rodando as regras do PF com esse script e nao esta mais dando aqueles problemas do pessoal nao conseguir acessar os recursos pela VPN. Desculpem-me pela opinião franca... mas que gambiarra hein :-( da um grep pf_ /etc/rc.conf pra ver se nao tem mais de uma linha pf_enable, pois se tiver um linha com pf_enable=NO final do arquivo nao vai carregar mesmo as regras... - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] parece que o pf nao le as regras! [RESOLVIDO]
On 7/26/07, Alexandre Biancalana [EMAIL PROTECTED] wrote: On 7/26/07, Gule # [EMAIL PROTECTED] wrote: Não é gambiarra talvez seja somente pra esse caso, mas quando vc precisa autenticar via ppp, em quase todos os casos vc precisa fazer um script desse mesmo jeito. Isso acontece porque o ppp demora pra retornar o IP (demora pra conectar), e ai o pf dá erro de regras porque ele não acha o IP. Nesse caso, o amigo poderia olhar o log e ver qual é o problema pra tentar solucionar de uma maneira diferente. Mesmo assim, é uma solução temporária porém eficaz. Caro Alexandre; se você achar o erro no arquivo de logs ou no debug, por favor poste aqui pra gente. Admito não ter lido a thread completa... r Vamos mudar um pouco, acho que a forma mais elegante de fazer isso é alterando o /etc/rc.d/pf, adicionando mpd ao final da linha REQUIRE: ou adicionar uma linha BEFORE: pf no /usr/local/etc/rc.d/mpd Para saber mais de uma olhada em rc(8) e rcorder(8) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Agora estamos conversando ! :D - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] parece que o pf nao le as regras! [RESOLVIDO]
On 7/26/07, Gule # [EMAIL PROTECTED] wrote: Não é gambiarra talvez seja somente pra esse caso, mas quando vc precisa autenticar via ppp, em quase todos os casos vc precisa fazer um script desse mesmo jeito. Isso acontece porque o ppp demora pra retornar o IP (demora pra conectar), e ai o pf dá erro de regras porque ele não acha o IP. Nesse caso, o amigo poderia olhar o log e ver qual é o problema pra tentar solucionar de uma maneira diferente. Mesmo assim, é uma solução temporária porém eficaz. Caro Alexandre; se você achar o erro no arquivo de logs ou no debug, por favor poste aqui pra gente. Admito não ter lido a thread completa... r Vamos mudar um pouco, acho que a forma mais elegante de fazer isso é alterando o /etc/rc.d/pf, adicionando mpd ao final da linha REQUIRE: ou adicionar uma linha BEFORE: pf no /usr/local/etc/rc.d/mpd Para saber mais de uma olhada em rc(8) e rcorder(8) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] parece que o pf nao le as regras! [RESOLVIDO]
Não é gambiarra talvez seja somente pra esse caso, mas quando vc precisa autenticar via ppp, em quase todos os casos vc precisa fazer um script desse mesmo jeito. Isso acontece porque o ppp demora pra retornar o IP (demora pra conectar), e ai o pf dá erro de regras porque ele não acha o IP. Nesse caso, o amigo poderia olhar o log e ver qual é o problema pra tentar solucionar de uma maneira diferente. Mesmo assim, é uma solução temporária porém eficaz. Caro Alexandre; se você achar o erro no arquivo de logs ou no debug, por favor poste aqui pra gente. On 7/26/07, Alexandre Biancalana [EMAIL PROTECTED] wrote: On 7/26/07, Cleyton Bertolim [EMAIL PROTECTED] wrote: Pessoal, primeiro quero agradecer a todos que cederam um pouco do seu tempo pra tentar solucionar este meu problema Em seguinda, quero dizer o que eu fiz pra resolver!!! Foi uma solucao que encontrei, que julgo nao ser a mais correta, porem resolveu!!! hehehe Eu criei um arquivo /etc/rc.d/pf.sh com o seguinte conteudo: #!/bin/sh # Script de carregamento das regras do pf.conf echo Carregando regras PF.CONF... pfctl -f /etc/pf.conf # FINAL DO ARQUIVO ## Agora toda vez que reinicio o servidor (o que é bem dificil!!!) ele esta rodando as regras do PF com esse script e nao esta mais dando aqueles problemas do pessoal nao conseguir acessar os recursos pela VPN. Desculpem-me pela opinião franca... mas que gambiarra hein :-( da um grep pf_ /etc/rc.conf pra ver se nao tem mais de uma linha pf_enable, pois se tiver um linha com pf_enable=NO final do arquivo nao vai carregar mesmo as regras... - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] parece que o pf nao le as regras! [RESOLVIDO]
Cleyton um ultimo teste
abra seu /etc/rc
e altere na primeira linha de
#!/bin/sh
para
#!/bin/sh -x
isso vai fazer o script do rc (que carrega tds os scripts do rc.conf)
atuar em modo debug, quem sabe ele te mostr algo novo. Nao custa
tentar
Abraço
Em 26/07/07, Cleyton Bertolim[EMAIL PROTECTED] escreveu:
Pessoal, primeiro quero agradecer a todos que cederam um pouco do seu
tempo pra tentar solucionar este meu problema
Em seguinda, quero dizer o que eu fiz pra resolver!!! Foi uma solucao
que encontrei, que julgo nao ser a mais correta, porem resolveu!!!
hehehe
Eu criei um arquivo /etc/rc.d/pf.sh com o seguinte conteudo:
#!/bin/sh
# Script de carregamento das regras do pf.conf
echo Carregando regras PF.CONF...
pfctl -f /etc/pf.conf
# FINAL DO ARQUIVO ##
Agora toda vez que reinicio o servidor (o que é bem dificil!!!) ele
esta rodando as regras do PF com esse script e nao esta mais dando
aqueles problemas do pessoal nao conseguir acessar os recursos pela
VPN.
Valeu novamente pessoal!
Cleyton Bertolim.
-
Em 25/07/07, Alessandro de Souza Rocha[EMAIL PROTECTED] escreveu:
Em 25/07/07, Cleyton Bertolim[EMAIL PROTECTED] escreveu:
Rodrigo, alterei a ordem do meu rc.conf aqui e nao deu ainda!!!
Voce deu a ideia de fazer a edicao do arquivo de inicialização do mpd
pra criar uma função de post_start, mas nao faco nem ideia de como
fazer isso!!! rsrsrs
Conhece algum site ou tutorial onde encontro isso? De qualquer forma,
to acessando o google agora pra procurar como fazer esse POST_START.
Cleyton.
Em 25/07/07, Rodrigo Mosconi[EMAIL PROTECTED] escreveu:
Cleyton,
Achei seu erro:
o PF é rodado antes do MPD, com isso o pf não acha a interface ng0,
abortando assim o load do restante das regras. Situação análoga ocorre
com PPP, mas resolvo da seguinnte forma:
Após o ppp criar e configurar a interface tun0, o próprio ppp roda
/etc/rc.d/pf restart numa etapa pós-startup.
Você pode resolver isso editando o arquivo de inicialização do mpd,
criando uma função de post_start.
Atenciosamente
Mosconi
On Wed, Jul 25, 2007 at 02:45:06PM -0300, Cleyton Bertolim wrote:
Estou enviando o meu PF.CONF para que voces possam ter mais detalhes
da configuracao que tenho aqui.
segue:
# INICIO DO ARQUIVO ###
### Macros #
internal = vr0
wts_vpn = rl0
external = rl1
mpd = ng0
local_net = 192.168.247.0/24
ip_fw_internal = 192.168.247.254
ip_fw_external = 10.1.1.2
ip_fw_wts_vpn = 202.4.143.40
nonroutable = { 192.168.0.0/16, 127.0.0.0/8, \
172.16.0.0/12, 0.0.0.0/8, 169.254.0.0/16, \
192.0.2.0/24, 204.152.64.0/23, 224.0.0.0/3, \
255.255.255.255/32 }
table caixa_ips { 200.201.173.68 200.201.173.68/32 \
200.201.166.200 200.201.166.200/32 200.201.174.207 \
200.201.174.207/32 200.252.47.0/24 200.201.160.0/20 \
200.201.0.0/16 200.165.60.137/32 200.242.61.4 \
200.201.173.0/32 }
#--- LOG de estatisticas de filtragem --
set block-policy drop
set loginterface $external
set loginterface $wts_vpn
set state-policy if-bound
#--- Nao filtra na interface loopback e NG0
set skip on lo0
set skip on $mpd
#--- faz scrub em pacotes que chegam ---
scrub on { $external $internal $wts_vpn } all reassemble tcp
### NAT dos enderecos IP internos do range ###
### 192.168.247.0/24 para o endereco IP roteavel/valido ###
### da interface rl0 ###
nat pass on $external from $local_net to any - $external
nat pass on $wts_vpn from $local_net to any - $wts_vpn
### Proxy transparente #
rdr pass on $internal inet proto tcp from $local_net to any port 3389
- $ip_fw_wts_vpn
rdr pass on $internal inet proto tcp from $local_net to !caixa_ips
port 80 - $ip_fw_internal port 3128
### Filtragem de pacotes ###
block all
antispoof quick
Re: [FUG-BR] parece que o pf nao le as regras! [RESOLVIDO]
Pessoal, primeiro quero agradecer a todos que cederam um pouco do seu
tempo pra tentar solucionar este meu problema
Em seguinda, quero dizer o que eu fiz pra resolver!!! Foi uma solucao
que encontrei, que julgo nao ser a mais correta, porem resolveu!!!
hehehe
Eu criei um arquivo /etc/rc.d/pf.sh com o seguinte conteudo:
#!/bin/sh
# Script de carregamento das regras do pf.conf
echo Carregando regras PF.CONF...
pfctl -f /etc/pf.conf
# FINAL DO ARQUIVO ##
Agora toda vez que reinicio o servidor (o que é bem dificil!!!) ele
esta rodando as regras do PF com esse script e nao esta mais dando
aqueles problemas do pessoal nao conseguir acessar os recursos pela
VPN.
Valeu novamente pessoal!
Cleyton Bertolim.
-
Em 25/07/07, Alessandro de Souza Rocha[EMAIL PROTECTED] escreveu:
Em 25/07/07, Cleyton Bertolim[EMAIL PROTECTED] escreveu:
Rodrigo, alterei a ordem do meu rc.conf aqui e nao deu ainda!!!
Voce deu a ideia de fazer a edicao do arquivo de inicialização do mpd
pra criar uma função de post_start, mas nao faco nem ideia de como
fazer isso!!! rsrsrs
Conhece algum site ou tutorial onde encontro isso? De qualquer forma,
to acessando o google agora pra procurar como fazer esse POST_START.
Cleyton.
Em 25/07/07, Rodrigo Mosconi[EMAIL PROTECTED] escreveu:
Cleyton,
Achei seu erro:
o PF é rodado antes do MPD, com isso o pf não acha a interface ng0,
abortando assim o load do restante das regras. Situação análoga ocorre
com PPP, mas resolvo da seguinnte forma:
Após o ppp criar e configurar a interface tun0, o próprio ppp roda
/etc/rc.d/pf restart numa etapa pós-startup.
Você pode resolver isso editando o arquivo de inicialização do mpd,
criando uma função de post_start.
Atenciosamente
Mosconi
On Wed, Jul 25, 2007 at 02:45:06PM -0300, Cleyton Bertolim wrote:
Estou enviando o meu PF.CONF para que voces possam ter mais detalhes
da configuracao que tenho aqui.
segue:
# INICIO DO ARQUIVO ###
### Macros #
internal = vr0
wts_vpn = rl0
external = rl1
mpd = ng0
local_net = 192.168.247.0/24
ip_fw_internal = 192.168.247.254
ip_fw_external = 10.1.1.2
ip_fw_wts_vpn = 202.4.143.40
nonroutable = { 192.168.0.0/16, 127.0.0.0/8, \
172.16.0.0/12, 0.0.0.0/8, 169.254.0.0/16, \
192.0.2.0/24, 204.152.64.0/23, 224.0.0.0/3, \
255.255.255.255/32 }
table caixa_ips { 200.201.173.68 200.201.173.68/32 \
200.201.166.200 200.201.166.200/32 200.201.174.207 \
200.201.174.207/32 200.252.47.0/24 200.201.160.0/20 \
200.201.0.0/16 200.165.60.137/32 200.242.61.4 \
200.201.173.0/32 }
#--- LOG de estatisticas de filtragem --
set block-policy drop
set loginterface $external
set loginterface $wts_vpn
set state-policy if-bound
#--- Nao filtra na interface loopback e NG0
set skip on lo0
set skip on $mpd
#--- faz scrub em pacotes que chegam ---
scrub on { $external $internal $wts_vpn } all reassemble tcp
### NAT dos enderecos IP internos do range ###
### 192.168.247.0/24 para o endereco IP roteavel/valido ###
### da interface rl0 ###
nat pass on $external from $local_net to any - $external
nat pass on $wts_vpn from $local_net to any - $wts_vpn
### Proxy transparente #
rdr pass on $internal inet proto tcp from $local_net to any port 3389
- $ip_fw_wts_vpn
rdr pass on $internal inet proto tcp from $local_net to !caixa_ips
port 80 - $ip_fw_internal port 3128
### Filtragem de pacotes ###
block all
antispoof quick for { $internal $external $wts_vpn } inet
#--- Loopback @ 127.0.0.1/8
pass out quick on lo0 all
pass in quick on lo0 all
#--- NG0 @ 192.168.247.1/24
pass out quick on $mpd all modulate state
pass in quick on $mpd all modulate state
#--- Rede Local @ 192.168.247.254/24 ---
pass out quick on
