Re: [FUG-BR] Duvidas e problemas com PF
Acredito que pelo que você ta querendo com route-to no PF você faz isso. # NAT OPERADORA X nat on $interface-wan1 from { 192.168.0.0/24 } to any - $IP-INTERFACE-operadora_x # NAT OPERADORA Y nat on $interface-wan2 from { 192.168.2.0/24 } to any - $IP-INTERFACE-operadora_Y pass in quick on $interface-lan route-to ($interface-wan2 gateway) proto { tcp udp } from 192.168.2.0/24 to !192.168.2.0/24 port { 80, 443, 1024:65535 } Em 18 de janeiro de 2013 21:20, Saul Figueiredo saulfelip...@gmail.comescreveu: Correção: Optantes não, iptables! Em 18/01/2013 23:20, Saul Figueiredo saulfelip...@gmail.com escreveu: Humn... No Linux eu usaria o IP route e a tabela mangle do optantes pra fazer isso. O que há de mais parecido com esses dois no mundo freebsd? Em 18/01/2013 23:05, Jose Nilton jnilti...@gmail.com escreveu: Boa noite Mario... Obrigado pelas dicas, fiz o testes com estas configurações e sei que funciona num ambiente onde existe NAT, porem, existe um detalhe que nao deixei claro. Este servidor seria uma bridge entre o meu firewall (cisco) e as operadoras (A) e (B) para que todo trafego que esteja saindo com os endereços IP da operadora (A) não seja forçado a ser entregue na operadora (B), infelizmente o Cisco não faz pre-routing ou seja, nao consigo pegar a origem e dizer que ele deve sair pela interface do router (A) ele sempre vai sair pela (B) e vai dar problema. Esta bridge seria uma arapuca temporaria ate eu migrar todos os clientes da operadora (B) para a (A) foi uma tentativa de enganar o firewall pois tudo que vem pela interface (B) ele retorna mas a saida não... Se alguem ja fez uma arapuca dessa e puder mostrar o caminho das pedras seria interessante Mas de qualquer forma obrigado. Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Diogo, cara coloca ai um Mikrotik, 5 Portas, até 4 Links de Wan http://informatica.mercadolivre.com.br/routerboards/rb-750 Só foi uma dica. -- .. *Com Deus todas as coisas são possíveis* ::: LinuxProhttp://www.linuxpro.com.br *A qualidade nunca se obtém por acaso; ela é sempre o resultado do esforço inteligente. (John Ruskin) A mente que se abre a uma nova ideia jamais volta ao seu tamanho original (Albert Einstein)* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas e problemas com PF
Em 18 de janeiro de 2013 06:27, Diogo Dalfovo b1n4r1w...@gmail.comescreveu: Bom dia pessoal... Estou com problema que acredito ser no retorno do pacote usando PF no Freebsd. Meu cenario é seguinte: O firewall ligado em duas operadoras A e B e duas LANs 192.168.0.0/24 e 192.168.2.0/24 faço NAT de cada rede pra cada saida da operadora e tambem ja testei configurando uma WAN com os IPs configurados tanto da operadora A como da B mas em nenhum dos caso deu certo. Por ultimo depois da madrugada se estiver tudo certo ele pinga uma vez de em cada operadora e para. Mas resumindo a historia toda preciso que o venha da rede 192.168.0.0/24saia e retorne pela operada A e a rede 192.168.2.0/24 saia e retorne somente pela B ou se tem como fazer com que tudo que vier de uma interface saia e retorne pela interface da rede A e igualmente pela B. Lembrando que o meu gateway esta pela rede B, segue o meu PF. ### # 1 - Interfaces ### #Externa WAN if_bgp = fxp1 if_gvt = fxp0 if_fw = rl0 if_bridge = bridge0 ## # 2 - IPs do Firewall ## ip_fw= ip_ebt = A.A.187.0/24 ip_gvt = B.B.115.0/24 ## # 3 - IPs Gateways ## ip_gw_gvt = B.B.115.5 ip_gw_ebt = A.A.187.5 #pass in quick on $if_gvt reply-to ( $if_gvt $ip_gw_gvt ) from ip_gvt #pass in quick on $if_ebt reply-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt #pass out quick log on $if_ebt route-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt label ebt #pass out quick log on $if_bgp route-to ( $if_gvt $ip_gw_gvt ) from $ip_gvt label gvt pass out quick log on $if_bridge route-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt label ebt pass out quick log on $if_bridge route-to ( $if_gvt $ip_gw_gvt ) from $ip_gvt label gvt como ele é uma bridge tanto faz se uso interface bridge ou a fisica o resultado é o mesmo o pacote vai mais nao volta... alguem ja passou por isso? ou ve onde estou errando? Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Diogo; Voce tem que dizer no pacote entrante da LAN pra onde voce quer que ele seja roteado. Ex. pass in log quick on $lan_ebt_if route-to ($if_ebt $ip_gw_ebt ) inet proto tcp from $lan_ebt_if:network to any pass in log quick on $lan_gvt_if route-to ($if_gvt $ip_gw_gvt ) inet proto tcp from $lan_ebt_if:network to any Faz o NAT de tudo pra tudo que o keep state vai fazer o pacote voltar pro lugar certo. Esse exemplo eu peguei do nosso servidor de produção. 2 link (OI e EMBRATEL). Tenho o controle ate da rota de hosts individuais. Pode testar que vai rolar. -- Mario Lobo http://www.mallavoodoo.com.br FreeBSD since version 2.2.8 [not Pro-Audio YET!!] (99,7% winfoes FREE) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas e problemas com PF
Em 18 de janeiro de 2013 16:44, Mario Lobo l...@bsd.com.br escreveu: Em 18 de janeiro de 2013 06:27, Diogo Dalfovo b1n4r1w...@gmail.comescreveu: Bom dia pessoal... Estou com problema que acredito ser no retorno do pacote usando PF no Freebsd. Meu cenario é seguinte: O firewall ligado em duas operadoras A e B e duas LANs 192.168.0.0/24 e 192.168.2.0/24 faço NAT de cada rede pra cada saida da operadora e tambem ja testei configurando uma WAN com os IPs configurados tanto da operadora A como da B mas em nenhum dos caso deu certo. Por ultimo depois da madrugada se estiver tudo certo ele pinga uma vez de em cada operadora e para. Mas resumindo a historia toda preciso que o venha da rede 192.168.0.0/24saia e retorne pela operada A e a rede 192.168.2.0/24 saia e retorne somente pela B ou se tem como fazer com que tudo que vier de uma interface saia e retorne pela interface da rede A e igualmente pela B. Lembrando que o meu gateway esta pela rede B, segue o meu PF. ### # 1 - Interfaces ### #Externa WAN if_bgp = fxp1 if_gvt = fxp0 if_fw = rl0 if_bridge = bridge0 ## # 2 - IPs do Firewall ## ip_fw= ip_ebt = A.A.187.0/24 ip_gvt = B.B.115.0/24 ## # 3 - IPs Gateways ## ip_gw_gvt = B.B.115.5 ip_gw_ebt = A.A.187.5 #pass in quick on $if_gvt reply-to ( $if_gvt $ip_gw_gvt ) from ip_gvt #pass in quick on $if_ebt reply-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt #pass out quick log on $if_ebt route-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt label ebt #pass out quick log on $if_bgp route-to ( $if_gvt $ip_gw_gvt ) from $ip_gvt label gvt pass out quick log on $if_bridge route-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt label ebt pass out quick log on $if_bridge route-to ( $if_gvt $ip_gw_gvt ) from $ip_gvt label gvt como ele é uma bridge tanto faz se uso interface bridge ou a fisica o resultado é o mesmo o pacote vai mais nao volta... alguem ja passou por isso? ou ve onde estou errando? Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Diogo; Voce tem que dizer no pacote entrante da LAN pra onde voce quer que ele seja roteado. Ex. pass in log quick on $lan_ebt_if route-to ($if_ebt $ip_gw_ebt ) inet proto tcp from $lan_ebt_if:network to any pass in log quick on $lan_gvt_if route-to ($if_gvt $ip_gw_gvt ) inet proto tcp from $lan_ebt_if:network to any Faz o NAT de tudo pra tudo que o keep state vai fazer o pacote voltar pro lugar certo. Esse exemplo eu peguei do nosso servidor de produção. 2 link (OI e EMBRATEL). Tenho o controle ate da rota de hosts individuais. Pode testar que vai rolar. -- Mario Lobo http://www.mallavoodoo.com.br FreeBSD since version 2.2.8 [not Pro-Audio YET!!] (99,7% winfoes FREE) OOOPS ! na segunda linha leia-se: $lan_gvt_if:network Desculpe -- Mario Lobo http://www.mallavoodoo.com.br FreeBSD since version 2.2.8 [not Pro-Audio YET!!] (99,7% winfoes FREE) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas e problemas com PF
Em 18 de janeiro de 2013 17:46, Mario Lobo l...@bsd.com.br escreveu: Em 18 de janeiro de 2013 16:44, Mario Lobo l...@bsd.com.br escreveu: Em 18 de janeiro de 2013 06:27, Diogo Dalfovo b1n4r1w...@gmail.com escreveu: Bom dia pessoal... Estou com problema que acredito ser no retorno do pacote usando PF no Freebsd. Meu cenario é seguinte: O firewall ligado em duas operadoras A e B e duas LANs 192.168.0.0/24 e 192.168.2.0/24 faço NAT de cada rede pra cada saida da operadora e tambem ja testei configurando uma WAN com os IPs configurados tanto da operadora A como da B mas em nenhum dos caso deu certo. Por ultimo depois da madrugada se estiver tudo certo ele pinga uma vez de em cada operadora e para. Mas resumindo a historia toda preciso que o venha da rede 192.168.0.0/24saia e retorne pela operada A e a rede 192.168.2.0/24 saia e retorne somente pela B ou se tem como fazer com que tudo que vier de uma interface saia e retorne pela interface da rede A e igualmente pela B. Lembrando que o meu gateway esta pela rede B, segue o meu PF. ### # 1 - Interfaces ### #Externa WAN if_bgp = fxp1 if_gvt = fxp0 if_fw = rl0 if_bridge = bridge0 ## # 2 - IPs do Firewall ## ip_fw= ip_ebt = A.A.187.0/24 ip_gvt = B.B.115.0/24 ## # 3 - IPs Gateways ## ip_gw_gvt = B.B.115.5 ip_gw_ebt = A.A.187.5 #pass in quick on $if_gvt reply-to ( $if_gvt $ip_gw_gvt ) from ip_gvt #pass in quick on $if_ebt reply-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt #pass out quick log on $if_ebt route-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt label ebt #pass out quick log on $if_bgp route-to ( $if_gvt $ip_gw_gvt ) from $ip_gvt label gvt pass out quick log on $if_bridge route-to ( $if_ebt $ip_gw_ebt ) from $ip_ebt label ebt pass out quick log on $if_bridge route-to ( $if_gvt $ip_gw_gvt ) from $ip_gvt label gvt como ele é uma bridge tanto faz se uso interface bridge ou a fisica o resultado é o mesmo o pacote vai mais nao volta... alguem ja passou por isso? ou ve onde estou errando? Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Diogo; Voce tem que dizer no pacote entrante da LAN pra onde voce quer que ele seja roteado. Ex. pass in log quick on $lan_ebt_if route-to ($if_ebt $ip_gw_ebt ) inet proto tcp from $lan_ebt_if:network to any pass in log quick on $lan_gvt_if route-to ($if_gvt $ip_gw_gvt ) inet proto tcp from $lan_ebt_if:network to any Faz o NAT de tudo pra tudo que o keep state vai fazer o pacote voltar pro lugar certo. Esse exemplo eu peguei do nosso servidor de produção. 2 link (OI e EMBRATEL). Tenho o controle ate da rota de hosts individuais. Pode testar que vai rolar. -- Mario Lobo http://www.mallavoodoo.com.br FreeBSD since version 2.2.8 [not Pro-Audio YET!!] (99,7% winfoes FREE) OOOPS ! na segunda linha leia-se: $lan_gvt_if:network Desculpe -- Mario Lobo http://www.mallavoodoo.com.br FreeBSD since version 2.2.8 [not Pro-Audio YET!!] (99,7% winfoes FREE) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Boa noite Mario... Obrigado pelas dicas, fiz o testes com estas configurações e sei que funciona num ambiente onde existe NAT, porem, existe um detalhe que nao deixei claro. Este servidor seria uma bridge entre o meu firewall (cisco) e as operadoras (A) e (B) para que todo trafego que esteja saindo com os endereços IP da operadora (A) não seja forçado a ser entregue na operadora (B), infelizmente o Cisco não faz pre-routing ou seja, nao consigo pegar a origem e dizer que ele deve sair pela interface do router (A) ele sempre vai sair pela (B) e vai dar problema. Esta bridge seria uma arapuca temporaria ate eu migrar todos os clientes da operadora (B) para a (A) foi uma tentativa de enganar o firewall pois tudo que vem pela interface (B) ele retorna mas a saida não... Se alguem ja fez uma arapuca dessa e puder mostrar o caminho das pedras seria interessante Mas de qualquer forma obrigado. Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas e problemas com PF
Boa noite Mario... Obrigado pelas dicas, fiz o testes com estas configurações e sei que funciona num ambiente onde existe NAT, porem, existe um detalhe que nao deixei claro. Este servidor seria uma bridge entre o meu firewall (cisco) e as operadoras (A) e (B) para que todo trafego que esteja saindo com os endereços IP da operadora (A) não seja forçado a ser entregue na operadora (B), infelizmente o Cisco não faz pre-routing ou seja, nao consigo pegar a origem e dizer que ele deve sair pela interface do router (A) ele sempre vai sair pela (B) e vai dar problema. Esta bridge seria uma arapuca temporaria ate eu migrar todos os clientes da operadora (B) para a (A) foi uma tentativa de enganar o firewall pois tudo que vem pela interface (B) ele retorna mas a saida não... Se alguem ja fez uma arapuca dessa e puder mostrar o caminho das pedras seria interessante Mas de qualquer forma obrigado. Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Diogo, cara coloca ai um Mikrotik, 5 Portas, até 4 Links de Wan http://informatica.mercadolivre.com.br/routerboards/rb-750 Só foi uma dica. -- .. *Com Deus todas as coisas são possíveis* ::: LinuxProhttp://www.linuxpro.com.br *A qualidade nunca se obtém por acaso; ela é sempre o resultado do esforço inteligente. (John Ruskin) A mente que se abre a uma nova ideia jamais volta ao seu tamanho original (Albert Einstein)* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas e problemas com PF
Humn... No Linux eu usaria o IP route e a tabela mangle do optantes pra fazer isso. O que há de mais parecido com esses dois no mundo freebsd? Em 18/01/2013 23:05, Jose Nilton jnilti...@gmail.com escreveu: Boa noite Mario... Obrigado pelas dicas, fiz o testes com estas configurações e sei que funciona num ambiente onde existe NAT, porem, existe um detalhe que nao deixei claro. Este servidor seria uma bridge entre o meu firewall (cisco) e as operadoras (A) e (B) para que todo trafego que esteja saindo com os endereços IP da operadora (A) não seja forçado a ser entregue na operadora (B), infelizmente o Cisco não faz pre-routing ou seja, nao consigo pegar a origem e dizer que ele deve sair pela interface do router (A) ele sempre vai sair pela (B) e vai dar problema. Esta bridge seria uma arapuca temporaria ate eu migrar todos os clientes da operadora (B) para a (A) foi uma tentativa de enganar o firewall pois tudo que vem pela interface (B) ele retorna mas a saida não... Se alguem ja fez uma arapuca dessa e puder mostrar o caminho das pedras seria interessante Mas de qualquer forma obrigado. Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Diogo, cara coloca ai um Mikrotik, 5 Portas, até 4 Links de Wan http://informatica.mercadolivre.com.br/routerboards/rb-750 Só foi uma dica. -- .. *Com Deus todas as coisas são possíveis* ::: LinuxProhttp://www.linuxpro.com.br *A qualidade nunca se obtém por acaso; ela é sempre o resultado do esforço inteligente. (John Ruskin) A mente que se abre a uma nova ideia jamais volta ao seu tamanho original (Albert Einstein)* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Duvidas e problemas com PF
Correção: Optantes não, iptables! Em 18/01/2013 23:20, Saul Figueiredo saulfelip...@gmail.com escreveu: Humn... No Linux eu usaria o IP route e a tabela mangle do optantes pra fazer isso. O que há de mais parecido com esses dois no mundo freebsd? Em 18/01/2013 23:05, Jose Nilton jnilti...@gmail.com escreveu: Boa noite Mario... Obrigado pelas dicas, fiz o testes com estas configurações e sei que funciona num ambiente onde existe NAT, porem, existe um detalhe que nao deixei claro. Este servidor seria uma bridge entre o meu firewall (cisco) e as operadoras (A) e (B) para que todo trafego que esteja saindo com os endereços IP da operadora (A) não seja forçado a ser entregue na operadora (B), infelizmente o Cisco não faz pre-routing ou seja, nao consigo pegar a origem e dizer que ele deve sair pela interface do router (A) ele sempre vai sair pela (B) e vai dar problema. Esta bridge seria uma arapuca temporaria ate eu migrar todos os clientes da operadora (B) para a (A) foi uma tentativa de enganar o firewall pois tudo que vem pela interface (B) ele retorna mas a saida não... Se alguem ja fez uma arapuca dessa e puder mostrar o caminho das pedras seria interessante Mas de qualquer forma obrigado. Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Diogo, cara coloca ai um Mikrotik, 5 Portas, até 4 Links de Wan http://informatica.mercadolivre.com.br/routerboards/rb-750 Só foi uma dica. -- .. *Com Deus todas as coisas são possíveis* ::: LinuxProhttp://www.linuxpro.com.br *A qualidade nunca se obtém por acaso; ela é sempre o resultado do esforço inteligente. (John Ruskin) A mente que se abre a uma nova ideia jamais volta ao seu tamanho original (Albert Einstein)* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd