Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet - Nã o resolvido
Senhores,
Venho mais uma vez pedir ajuda dos senhores, estou montando um servidor
Freebsd 8.1 para 1 LAN e 2 WAN, mas os pacotes que saem da LAN não são
direcionado para a WAN que não é a rota default, e quando entram na placa
que não é a rota dafaul não consegue chegar no destino mesmo passando ok
pelo firewall, alguém poderia me dar uma luz? Seguem os arquivos:
-- PF.CONF --
lan_net = 192.168.26.0/24
ip_fw = 192.168.26.5
int_if = vr0
operadora_A = rl0 # EBT
operadora_B = wb0 # GVT [ROTA DEFAULT]
gw_operadora_A = 200.YYY.XXX.1 #EBT [ROTA OPR2]
gw_operadora_B = 192.168.1.1 #GVT [ROTA DEFAULT]
nat on $operadora_A from $lan_net to any - ($operadora_A)
nat on $operadora_B from $lan_net to any - ($operadora_B)
block log all
set skip on lo
pass out log on $operadora_A proto tcp from any to any flags S/SA modulate
state
pass out log on $operadora_A proto { udp, icmp } from any to any keep state
pass out log on $operadora_B proto tcp from any to any flags S/SA modulate
state
pass out log on $operadora_B proto { udp, icmp } from any to any keep state
pass out log on $int_if route-to ($operadora_A $gw_operadora_A) proto tcp
from any to any port 2 keep state rtable 1
pass in log on $int_if route-to ($operadora_A $gw_operadora_A) proto tcp
from any to any port 2 keep state rtable 1
-- TESTE PF.CONF --
pass out log on $int_if route-to ($operadora_A $gw_operadora_A) proto tcp
from any to any port 2 keep state
pass in log on $int_if route-to ($operadora_A $gw_operadora_A) proto tcp
from any to any port 2 keep state
pass out log on $int_if reply-to ($operadora_A $gw_operadora_A) proto tcp
from any to any port 2 keep state
pass in log on $int_if reply-to ($operadora_A $gw_operadora_A) proto tcp
from any to any port 2 keep state
pass out log on $int_if reply-to ($operadora_A $gw_operadora_A) proto tcp
from any to any port 2 keep state rtable 1
pass in log on $int_if reply-to ($operadora_A $gw_operadora_A) proto tcp
from any to any port 2 keep stat rtable 1
pass out log on $int_if proto tcp from any to any port 2 keep state
rtable 1
pass in log on $int_if proto tcp from any to any port 2 keep stat rtable
1
-- LOG SEMPRE O MESMO --
00:00:01.891550 rule 4/0(match): pass out on wb0: 192.168.1.10.29354
AAA.BBB.CCC.DDD.2: tcp 40 [bad hdr length 0 - too short, 20]
-- RC.CONF --
#defaultrouter=192.168.1.1
#defaultrouter=200.YYY.XXX.1
hostname=fw-contec-vix
ifconfig_vr0=inet 192.168.26.5 netmask 255.255.255.0
ifconfig_wb0=192.168.1.10 netmask 255.255.255.0
ifconfig_rl0=inet 200.YYY.XXX.2 netmask 255.255.255.0
gateway_enable=YES
pf_enable=YES
pf_rules=/etc/pf.conf
pf_flags=
syslogd_flags=-ss
pflog_enable=YES
pflog_logfile=/var/log/pflog
pflog_flags=
keymap=br275.iso.acc
-- SYSCTL.CONF --
net.inet.ip.forwarding=1
-- LOADER.CONF --
net.fibs=6
-- setfib -0 netstat -nr --
Internet:
DestinationGatewayFlagsRefs Use Netif Expire
default192.168.1.1UGS 1 138wb0
127.0.0.1 link#4 UH 00lo0
192.168.1.0/24 link#2 U 0 20wb0
192.168.1.10 link#2 UHS 00lo0
192.168.26.0/24link#3 U 0 688vr0
192.168.26.5 link#3 UHS 00lo0
200.YYY.XXX.0/24 link#1 U 00rl0
200.YYY.XXX.2 link#1 UHS 00lo0
-- setfib -1 netstat -nr --
Internet:
DestinationGatewayFlagsRefs Use Netif Expire
default200.YYY.XXX.1 UGS 00rl0
127.0.0.1 link#4 UH 00lo0
192.168.1.0/24 link#2 U 00wb0
192.168.26.0/24link#3 U 00vr0
200.YYY.XXX.0/24 link#1 U 00rl0
-- netstat -nr --
Internet:
DestinationGatewayFlagsRefs Use Netif Expire
default192.168.1.1UGS 1 189wb0
127.0.0.1 link#4 UH 00lo0
192.168.1.0/24 link#2 U 0 20wb0
192.168.1.10 link#2 UHS 00lo0
192.168.26.0/24link#3 U 1 690vr0
192.168.26.5 link#3 UHS 00lo0
200.YYY.XXX.0/24 link#1 U 00rl0
200..XXX.2 link#1 UHS 00lo0
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista:
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet - Nã o resolvido
Em Thu, 7 Oct 2010 16:29:11 -0300 Bruno Torres Viana btvi...@gmail.com, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: Senhores, Venho mais uma vez pedir ajuda dos senhores, estou montando um servidor Freebsd 8.1 para 1 LAN e 2 WAN, mas os pacotes que saem da LAN não são direcionado para a WAN que não é a rota default, e quando entram na placa que não é a rota dafaul não consegue chegar no destino mesmo passando ok pelo firewall, alguém poderia me dar uma luz? Seguem os arquivos: ou eu estou fazendo enorme confusão ou (eventualmente) as coisas não são bem assim como vc coloca. vc tem duas wan e uma lan. Ok, isso eu entendi. Digamos que wan1 seja sua rota default e wan2 não. quando vc (sei lá de que modo) encaminha pacotinhos para algum lugar fora, via wan2, vc não obtém resposta então (supostamente) os pacotinhos não sabem voltar pra vc. é isso? Se for isso então coloquemos assim: lá fora, no mundo, os roteadores não tem a minima idéia do SEU rota default. A única coisa que êles sabem é enviar o seu pacotinho, vindo da wan2, para o next-hop dêles e sucessivamente, até que chegue ao destino. se vc não obtém resposta, não é pela sua rota default e sim por alguma coisa entre sua wan2 e algum lugar, sabe deus onde. Quem sabe até um fio entupido? desculpe, não li suas configurações e etc pq eu me aborreço facilmente com tanta letrinha junta. (na verdade, dado - IMHO - haver um conceito equivocado, preferi não ler mesmo). reavalie seu problema, use o tcpdump para analise de pacotinhos, use um host EXTERNO para um traceroute para sua wan2. flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Época triste a nossa, mais fácil quebrar um átomo do que o preconceito! (Albert Einstein) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet - Nã o resolvido
Em Thu, 7 Oct 2010 16:29:11 -0300 Bruno Torres Viana btvi...@gmail.com, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: não consegue chegar no destino mesmo passando ok pelo firewall, alguém poderia me dar uma luz? Seguem os arquivos: esqueci, mas já que falou do fwll eu entendo que (na sua análise) os pacotes tem permissão para SAIR pela wan2.. mas e ENTRAR por ela (em retorno)?? Eu vi (claro) um monte de pass out no seu pf.conf mas vc não diz se analisou os logs; sugiro (por exemplo) aceitar TUDO o que vier de um host em particular EXTERNO e tentar acessar a partir de lá, só pra conferir. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free A Bíblia é um manual de maus costumes, um catálogo de crueldade e do pior da natureza humana [Jose Saramago] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet - Nã o resolvido
Grande Irado, Na realidade acontece que: Normal, o pacote a lan sai para a wan GVT roda default normalmente *A* - Se eu forçar o pacote da lan para sair para a wan2 EBT ele não sai, sempre sai pela rota padrão wan1 GVT *B* - Se eu forçar o pacote da wan2 EBT para qq máquina com RDR, ele não chega no destino Já montei vários FW com apenas duas placas lan e wan, mas agora está complicado achar o ponto G, já analisei os logs tcpdump para todos os lados, por isso que eu coloquei os arquivos de configuração e até o LOG do pf. Inclusive compilei o kernel com a opção routetables para trabalhar com o setfibs. []'s Em 7 de outubro de 2010 16:57, irado furioso com tudo ir...@bsd.com.brescreveu: Em Thu, 7 Oct 2010 16:29:11 -0300 Bruno Torres Viana btvi...@gmail.com, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: não consegue chegar no destino mesmo passando ok pelo firewall, alguém poderia me dar uma luz? Seguem os arquivos: esqueci, mas já que falou do fwll eu entendo que (na sua análise) os pacotes tem permissão para SAIR pela wan2.. mas e ENTRAR por ela (em retorno)?? Eu vi (claro) um monte de pass out no seu pf.conf mas vc não diz se analisou os logs; sugiro (por exemplo) aceitar TUDO o que vier de um host em particular EXTERNO e tentar acessar a partir de lá, só pra conferir. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free A Bíblia é um manual de maus costumes, um catálogo de crueldade e do pior da natureza humana [Jose Saramago] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet - Nã o resolvido
Irado, Obrigado por escrever tudo e não escrever nada.. rs... pena que não leu, pq a galera sempre pede para documentar ao máximo quando se tem um problema! Qto a história dos pacotinhos não sei se eles sabem voltar pra mim, mas em via de regra está tudo teoricamente certo. Olhe as observações em seu comentário. Em 7 de outubro de 2010 16:48, irado furioso com tudo ir...@bsd.com.brescreveu: Em Thu, 7 Oct 2010 16:29:11 -0300 Bruno Torres Viana btvi...@gmail.com, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: Senhores, Venho mais uma vez pedir ajuda dos senhores, estou montando um servidor Freebsd 8.1 para 1 LAN e 2 WAN, mas os pacotes que saem da LAN não são direcionado para a WAN que não é a rota default, e quando entram na placa que não é a rota dafaul não consegue chegar no destino mesmo passando ok pelo firewall, alguém poderia me dar uma luz? Seguem os arquivos: ou eu estou fazendo enorme confusão ou (eventualmente) as coisas não são bem assim como vc coloca. vc tem duas wan e uma lan. Ok, isso eu entendi. Digamos que wan1 seja sua rota default e wan2 não. quando vc (sei lá de que modo) encaminha pacotinhos para algum lugar fora, via wan2, vc não obtém resposta então (supostamente) os pacotinhos não sabem voltar pra vc. *Quando eu encaminho os pacotes via wan2 eles não vão, continuam saindo pela wan1, foi isso que escrevi.* é isso? Se for isso então coloquemos assim: lá fora, no mundo, os roteadores não tem a minima idéia do SEU rota default. A única coisa que êles sabem é enviar o seu pacotinho, vindo da wan2, para o next-hop dêles e sucessivamente, até que chegue ao destino. se vc não obtém resposta, não é pela sua rota default e sim por alguma coisa entre sua wan2 e algum lugar, sabe deus onde. Quem sabe até um fio entupido? *Cara na boa, se eu soubesse isso eu teria acertado e não compartilhado com a galera pedindo ajuda* desculpe, não li suas configurações e etc pq eu me aborreço facilmente com tanta letrinha junta. (na verdade, dado - IMHO - haver um conceito equivocado, preferi não ler mesmo). reavalie seu problema, use o tcpdump para analise de pacotinhos, use um host EXTERNO para um traceroute para sua wan2. flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Época triste a nossa, mais fácil quebrar um átomo do que o preconceito! (Albert Einstein) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
