Re: [FUG-BR] IPFW e PF
Poxa, mas é exatamente assim que faço, só que tenho tb um pipe para
out na LAN, com a finalidade de controlar download tb..
No meu caso apenas o controle de down funciona, o de UP nao tem jeito,
o ipfw aplica o pipe apenas ao IP do gateway, depois do NAT, e nao aos
internos, como deveria...
Entao, ao inves de ele restringir upload (o ipfw) dos ips 192 ele
restringe depois do NAT, no 200.. dai já era, fica muito lento, pq
todo mundo está sob o 200...
Já o download, ai sim, from any to 192 out na LAN, funciona blz, ele
controla da maneira esperada.
Fiquei ainda sem saber o que fazer...
Quem sabe a ordem em que se carrega as regras, PF/IPFW antes/depois??
Algo mais?
Att,
RS
On 11/9/06, Nenhum _de_Nos [EMAIL PROTECTED] wrote:
ipfw:
# Loopback
add 10 allow ip from any to any via lo0
#add 11 allow udp from any to any 53 keep-state via lo0
add 11 deny ip from any to 127.0.0.0/8
add 99 check-state
# DSL
add 100 allow tcp from any to any
22,25,53,80,3389,4040,5010-5039,8000-8100,1-11600 in setup
keep-state via tun0
add 101 allow udp from any to any
53,4040,5010-5039,8000-8100,1-11600 in setup keep-state via tun0
add 102 allow ip from any to any out via tun0 keep-state
add 103 deny all from any to any in frag via tun0
# LAN
add 200 allow all from 192.168.254.10 to 192.168.254.253 in via vr0 keep-state
add 201 allow tcp from 192.168.254.0/24 to 192.168.254.253 in via vr0
keep-state
add 202 allow udp from 192.168.254.0/24 to 192.168.254.253 in via vr0
keep-state
add 203 allow ip from 192.168.254.0/24 to not 192.168.254.253 in via
vr0 keep-state
add 204 allow ip from 192.168.254.253 to 192.168.254.0/24 out via vr0
keep-state
# MODEM
add 300 allow all from 192.168.254.10 to any via ed0 keep-state
# Pipes
table 1 add 192.168.254.1/32
table 1 add 192.168.254.2/32
table 1 add 192.168.254.3/32
table 1 add 192.168.254.8/32
table 1 add 192.168.254.12/32
table 1 add 192.168.254.13/32
table 1 add 192.168.254.18/32
table 1 add 192.168.254.20/32
table 1 add 192.168.254.21/32
table 1 add 192.168.254.101/32
table 1 add 192.168.254.102/32
table 1 add 192.168.254.103/32
table 1 add 192.168.254.104/32
pipe 1 config mask src-ip 0x00ff bw 32Kbit/s queue 5Kbytes
add 50 pipe 1 all from table(1) to any out via tun0
pf:
nat on $ext_if from $maquinas to any - ($ext_if)
rdr on $ext_if proto tcp from any to any port 3389 -
192.168.254.10 port 3389
rdr on $int_if proto tcp from any to ! 192.168.254.253 port
www- 192.168.254.253 port 3128
rdr on $ext_if proto { tcp, udp } from any to any port $portas_l -
$l
rdr on $ext_if proto { tcp, udp } from any to any port $portas_d - $d
rdr on $ext_if proto { tcp, udp } from any to any port $portas_m -
$m
rdr on $ext_if proto { tcp, udp } from any to any port $portas_g- $g
rdr on $ext_if proto { tcp, udp } from any to any port $portas_w -
$w
rdr on $ext_if proto { tcp, udp } from any to any port $portas_ma
- $ma
rdr on $ext_if proto { tcp, udp } from any to any port $portas_i
- $i
rdr on $ext_if proto { tcp, udp } from any to any port $portas_is
- $is port 8080
pass on $ext_if all
pass on $int_if all
pass out on $int_if from ! 192.168.254.253 to $maquinas
pass in on $int_if from $maquinas to ! 192.168.254.253
com isso tenho limitado a saída de todos que quero, e já testei blz ;)
On 11/8/06, Alessandro de Souza Rocha [EMAIL PROTECTED] wrote:
Em 08/11/06, Welkson Renny de Medeiros[EMAIL PROTECTED] escreveu:
pode ser lista... fica no histórico...
--
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
[EMAIL PROTECTED]
- Original Message -
From: Nenhum _de_Nos [EMAIL PROTECTED]
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Sent: Wednesday, November 08, 2006 5:29 PM
Subject: Re: [FUG-BR] IPFW e PF
On 11/8/06, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote:
Matheus poderia postar suas regras... também tenho muitas dúvidas sobre
pf e ipfw...
Se preferir pode ser no pvt.
não sou nenhum perito no assunto, mas no que puder ajudo. quando
chegar em casa mando as regras :)
pvt ou lista ?!
--
We will call you cygnus,
The God of balance you shall be
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
aqui na http://www.openbsd.org/faq/pf/pt/ftp.html fala de seu
probelmas mais tem varias opcoes de liberar o ftp sem problemas.
--
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117
-
Histórico: http://www.fug.com.br/historico
Re: [FUG-BR] IPFW e PF
On 11/9/06, Rogério Schneider [EMAIL PROTECTED] wrote: Poxa, mas é exatamente assim que faço, só que tenho tb um pipe para out na LAN, com a finalidade de controlar download tb.. No meu caso apenas o controle de down funciona, o de UP nao tem jeito, o ipfw aplica o pipe apenas ao IP do gateway, depois do NAT, e nao aos internos, como deveria... Entao, ao inves de ele restringir upload (o ipfw) dos ips 192 ele restringe depois do NAT, no 200.. dai já era, fica muito lento, pq todo mundo está sob o 200... Já o download, ai sim, from any to 192 out na LAN, funciona blz, ele controla da maneira esperada. Fiquei ainda sem saber o que fazer... Quem sabe a ordem em que se carrega as regras, PF/IPFW antes/depois?? Algo mais? Att, RS aqui carrego no rc.conf direto, sendo o ipfw primeiro lá (se faz diff eu não sei) :) matheus -- We will call you cygnus, The God of balance you shall be - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e PF
Eu tb, o ipfw primeiro no rc.conf. Que coisa... Att, RS On 11/9/06, Nenhum _de_Nos [EMAIL PROTECTED] wrote: On 11/9/06, Rogério Schneider [EMAIL PROTECTED] wrote: Poxa, mas é exatamente assim que faço, só que tenho tb um pipe para out na LAN, com a finalidade de controlar download tb.. No meu caso apenas o controle de down funciona, o de UP nao tem jeito, o ipfw aplica o pipe apenas ao IP do gateway, depois do NAT, e nao aos internos, como deveria... Entao, ao inves de ele restringir upload (o ipfw) dos ips 192 ele restringe depois do NAT, no 200.. dai já era, fica muito lento, pq todo mundo está sob o 200... Já o download, ai sim, from any to 192 out na LAN, funciona blz, ele controla da maneira esperada. Fiquei ainda sem saber o que fazer... Quem sabe a ordem em que se carrega as regras, PF/IPFW antes/depois?? Algo mais? Att, RS aqui carrego no rc.conf direto, sendo o ipfw primeiro lá (se faz diff eu não sei) :) matheus -- We will call you cygnus, The God of balance you shall be - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Rogério Schneider +55 (55) 9985 2127 +55 (55) 3332 5923 +55 (55) 3321 1535 MSN: [EMAIL PROTECTED] ICQ: 78778973 GTalk: [EMAIL PROTECTED] Skype: stockrt - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e PF
On 11/6/06, Rogério Schneider [EMAIL PROTECTED] wrote: Ronan Não sei dizer quem processa primeiro cara, mas o NAT (não via divert) está no PF. Sim, se fosse via divert, no IPFW, teria que ter os pipes antes do NAT, correto, mas como faço o NAT no PF (e não quero mudar isso) ele deve estar sendo processado antes (o PF), mandando os IPs já nateados aos pipes do IPFW... Ai é que eu me ferro... No IPFW tenho apenas pipes e queues, apenas limits, no PF eu faço TODO o resto. Tem como mudar a ordem de processamento, fazendo o IPFW processar antes que o PF? Isso resolveria com certeza. Att, RS rapaz, uso pf+ipfw com ipfw pra firewall e pipes e pf para nat e rdr. controlo uplod e download sem problemas. as primeiras regras do fw (ipfw) são de pipes :) funciona blz. matheus -- We will call you cygnus, The God of balance you shall be - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e PF
Matheus poderia postar suas regras... também tenho muitas dúvidas sobre pf e ipfw... Se preferir pode ser no pvt. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Nenhum _de_Nos [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, November 08, 2006 2:27 PM Subject: Re: [FUG-BR] IPFW e PF On 11/6/06, Rogério Schneider [EMAIL PROTECTED] wrote: Ronan Não sei dizer quem processa primeiro cara, mas o NAT (não via divert) está no PF. Sim, se fosse via divert, no IPFW, teria que ter os pipes antes do NAT, correto, mas como faço o NAT no PF (e não quero mudar isso) ele deve estar sendo processado antes (o PF), mandando os IPs já nateados aos pipes do IPFW... Ai é que eu me ferro... No IPFW tenho apenas pipes e queues, apenas limits, no PF eu faço TODO o resto. Tem como mudar a ordem de processamento, fazendo o IPFW processar antes que o PF? Isso resolveria com certeza. Att, RS rapaz, uso pf+ipfw com ipfw pra firewall e pipes e pf para nat e rdr. controlo uplod e download sem problemas. as primeiras regras do fw (ipfw) são de pipes :) funciona blz. matheus -- We will call you cygnus, The God of balance you shall be - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e PF
On 11/8/06, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Matheus poderia postar suas regras... também tenho muitas dúvidas sobre pf e ipfw... Se preferir pode ser no pvt. não sou nenhum perito no assunto, mas no que puder ajudo. quando chegar em casa mando as regras :) pvt ou lista ?! -- We will call you cygnus, The God of balance you shall be - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e PF
Nenhum _de_Nos wrote: On 11/8/06, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Matheus poderia postar suas regras... também tenho muitas dúvidas sobre pf e ipfw... Se preferir pode ser no pvt. não sou nenhum perito no assunto, mas no que puder ajudo. quando chegar em casa mando as regras :) pvt ou lista ?! Lista, é claro. -- Cordialmente, Rodolfo Zappa Archive TSP - Total Solution Provider Nosso negócio é garantir que a sua rede de informações não pare! (21) 2567-1842 [EMAIL PROTECTED] http://www.archive.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e PF
Em 08/11/06, Welkson Renny de Medeiros[EMAIL PROTECTED] escreveu: pode ser lista... fica no histórico... -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Nenhum _de_Nos [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, November 08, 2006 5:29 PM Subject: Re: [FUG-BR] IPFW e PF On 11/8/06, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Matheus poderia postar suas regras... também tenho muitas dúvidas sobre pf e ipfw... Se preferir pode ser no pvt. não sou nenhum perito no assunto, mas no que puder ajudo. quando chegar em casa mando as regras :) pvt ou lista ?! -- We will call you cygnus, The God of balance you shall be - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd aqui na http://www.openbsd.org/faq/pf/pt/ftp.html fala de seu probelmas mais tem varias opcoes de liberar o ftp sem problemas. -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e PF
ipfw:
# Loopback
add 10 allow ip from any to any via lo0
#add 11 allow udp from any to any 53 keep-state via lo0
add 11 deny ip from any to 127.0.0.0/8
add 99 check-state
# DSL
add 100 allow tcp from any to any
22,25,53,80,3389,4040,5010-5039,8000-8100,1-11600 in setup
keep-state via tun0
add 101 allow udp from any to any
53,4040,5010-5039,8000-8100,1-11600 in setup keep-state via tun0
add 102 allow ip from any to any out via tun0 keep-state
add 103 deny all from any to any in frag via tun0
# LAN
add 200 allow all from 192.168.254.10 to 192.168.254.253 in via vr0 keep-state
add 201 allow tcp from 192.168.254.0/24 to 192.168.254.253 in via vr0 keep-state
add 202 allow udp from 192.168.254.0/24 to 192.168.254.253 in via vr0 keep-state
add 203 allow ip from 192.168.254.0/24 to not 192.168.254.253 in via
vr0 keep-state
add 204 allow ip from 192.168.254.253 to 192.168.254.0/24 out via vr0 keep-state
# MODEM
add 300 allow all from 192.168.254.10 to any via ed0 keep-state
# Pipes
table 1 add 192.168.254.1/32
table 1 add 192.168.254.2/32
table 1 add 192.168.254.3/32
table 1 add 192.168.254.8/32
table 1 add 192.168.254.12/32
table 1 add 192.168.254.13/32
table 1 add 192.168.254.18/32
table 1 add 192.168.254.20/32
table 1 add 192.168.254.21/32
table 1 add 192.168.254.101/32
table 1 add 192.168.254.102/32
table 1 add 192.168.254.103/32
table 1 add 192.168.254.104/32
pipe 1 config mask src-ip 0x00ff bw 32Kbit/s queue 5Kbytes
add 50 pipe 1 all from table(1) to any out via tun0
pf:
nat on $ext_if from $maquinas to any - ($ext_if)
rdr on $ext_if proto tcp from any to any port 3389 -
192.168.254.10 port 3389
rdr on $int_if proto tcp from any to ! 192.168.254.253 port
www- 192.168.254.253 port 3128
rdr on $ext_if proto { tcp, udp } from any to any port $portas_l - $l
rdr on $ext_if proto { tcp, udp } from any to any port $portas_d - $d
rdr on $ext_if proto { tcp, udp } from any to any port $portas_m - $m
rdr on $ext_if proto { tcp, udp } from any to any port $portas_g- $g
rdr on $ext_if proto { tcp, udp } from any to any port $portas_w - $w
rdr on $ext_if proto { tcp, udp } from any to any port $portas_ma
- $ma
rdr on $ext_if proto { tcp, udp } from any to any port $portas_i
- $i
rdr on $ext_if proto { tcp, udp } from any to any port $portas_is
- $is port 8080
pass on $ext_if all
pass on $int_if all
pass out on $int_if from ! 192.168.254.253 to $maquinas
pass in on $int_if from $maquinas to ! 192.168.254.253
com isso tenho limitado a saída de todos que quero, e já testei blz ;)
On 11/8/06, Alessandro de Souza Rocha [EMAIL PROTECTED] wrote:
Em 08/11/06, Welkson Renny de Medeiros[EMAIL PROTECTED] escreveu:
pode ser lista... fica no histórico...
--
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
[EMAIL PROTECTED]
- Original Message -
From: Nenhum _de_Nos [EMAIL PROTECTED]
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Sent: Wednesday, November 08, 2006 5:29 PM
Subject: Re: [FUG-BR] IPFW e PF
On 11/8/06, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote:
Matheus poderia postar suas regras... também tenho muitas dúvidas sobre
pf e ipfw...
Se preferir pode ser no pvt.
não sou nenhum perito no assunto, mas no que puder ajudo. quando
chegar em casa mando as regras :)
pvt ou lista ?!
--
We will call you cygnus,
The God of balance you shall be
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
aqui na http://www.openbsd.org/faq/pf/pt/ftp.html fala de seu
probelmas mais tem varias opcoes de liberar o ftp sem problemas.
--
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
We will call you cygnus,
The God of balance you shall be
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e PF
Rogério, Sobre usar PF + IPFW, eu faço aqui, uso o PF para tudo, e o ipfw apenas para hard limits em controle de banda. Funciona legal, o único problema é que eu não consigo controlar upload pq acho que o src_ip está com o NAT do PF chegando antes dos pipes do ipfw Sabes dizer quem processa primeiro? O IPFW ou o PF? E onde está a regra do divert? No IPFW ou no PF? Supondo que a regra do divert esteja no IPFW, coloque as regras de hardlimit para upload antes da regra do divert. []s Ronan - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e PF
Ronan Não sei dizer quem processa primeiro cara, mas o NAT (não via divert) está no PF. Sim, se fosse via divert, no IPFW, teria que ter os pipes antes do NAT, correto, mas como faço o NAT no PF (e não quero mudar isso) ele deve estar sendo processado antes (o PF), mandando os IPs já nateados aos pipes do IPFW... Ai é que eu me ferro... No IPFW tenho apenas pipes e queues, apenas limits, no PF eu faço TODO o resto. Tem como mudar a ordem de processamento, fazendo o IPFW processar antes que o PF? Isso resolveria com certeza. Att, RS On 11/6/06, Ronan Lucio [EMAIL PROTECTED] wrote: Rogério, Sobre usar PF + IPFW, eu faço aqui, uso o PF para tudo, e o ipfw apenas para hard limits em controle de banda. Funciona legal, o único problema é que eu não consigo controlar upload pq acho que o src_ip está com o NAT do PF chegando antes dos pipes do ipfw Sabes dizer quem processa primeiro? O IPFW ou o PF? E onde está a regra do divert? No IPFW ou no PF? Supondo que a regra do divert esteja no IPFW, coloque as regras de hardlimit para upload antes da regra do divert. []s Ronan - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Rogério Schneider +55 (55) 9985 2127 +55 (55) 3332 5923 +55 (55) 3321 1535 MSN: [EMAIL PROTECTED] ICQ: 78778973 GTalk: [EMAIL PROTECTED] Skype: stockrt - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e PF
Grande M3!! Bom, de acordo com minha experiencia em ipfw e pf (acho pequena, mas vale um palpite) é mais fácil voce tentar a segunda opção... ;) Abraços ae... --- m3 BSD [EMAIL PROTECTED] wrote: Ae Galera... tudo blz? Seguinte, meu parque de diversoes em firewall no freebsd sempre foi o ipfw. Principalmente o ipfw2 :). Porem, no FreeBSD 6.X, tive problemas ao implementar policy routing com o ipfw2, ou seja, ter dois links, e especificar o trafego que vai sair por um ou por outro. Por isso, comecei a estudar o pf. Putz, blz, resolveu o problema, jah implementei o uso de dois links baseado em src_addr com o pf e route-to tranquilamente, porem, ha lugares em que ainda necessito do ipfw para MAC e controle de banda. Conclusao: estou usando o pf + ipfw ao mesmo tempo hehehe :). Funciona tudo bem, porem, tive problemas com ftp a partir dae. Jah rodei o ftp-proxy, o pftpx, tudo, e nao adianta, simplesmente nao vai :( Particularmente, acho que o problema esta em usar os dois filtros de pacote ai mesmo tempo. Portanto, gostaria de saber a opniao de vcs, quanto a possiveis solucoes pra esse problema. Acho que de duas uma: 1) Ou aprendo a fazer controle de banda e amarrar mac ao ip com pf ou 2) Aprendo a usar dois links com o ipfw2 no freebsd 6.x Qual o case de vcs? tem alguem conseguindo fazer essas coisas? Vejam, meu ambiente eh simples e minha necessidade eh basica: 2 links cliente com ip X soh pode navegar com mac Y cliente com ip X e mac Y navega com banda maxima de Z e cliente com ip X sai pelo link 2 enquanto os demais saem pelo link 1 Jah agradeco a antecao de vcs -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Matheus Lamberti de Abreu BSD UserID: 051370 / FUG ID: 388 Se a vida é regida por uma licença, esta é BSD. Unix is very simple, but it takes a genius to understand the simplicity. Unix is user friendly. It#39;s just selective about who its friends are. Get your email and see which of your friends are online - Right on the New Yahoo.com (http://www.yahoo.com/preview) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e PF
Pois eh hehhe.. tambem estou achando :)... por acaso vc tem alguma dica? Em 30/10/06, Matheus Lamberti[EMAIL PROTECTED] escreveu: Grande M3!! Bom, de acordo com minha experiencia em ipfw e pf (acho pequena, mas vale um palpite) é mais fácil voce tentar a segunda opção... ;) Abraços ae... --- m3 BSD [EMAIL PROTECTED] wrote: Ae Galera... tudo blz? Seguinte, meu parque de diversoes em firewall no freebsd sempre foi o ipfw. Principalmente o ipfw2 :). Porem, no FreeBSD 6.X, tive problemas ao implementar policy routing com o ipfw2, ou seja, ter dois links, e especificar o trafego que vai sair por um ou por outro. Por isso, comecei a estudar o pf. Putz, blz, resolveu o problema, jah implementei o uso de dois links baseado em src_addr com o pf e route-to tranquilamente, porem, ha lugares em que ainda necessito do ipfw para MAC e controle de banda. Conclusao: estou usando o pf + ipfw ao mesmo tempo hehehe :). Funciona tudo bem, porem, tive problemas com ftp a partir dae. Jah rodei o ftp-proxy, o pftpx, tudo, e nao adianta, simplesmente nao vai :( Particularmente, acho que o problema esta em usar os dois filtros de pacote ai mesmo tempo. Portanto, gostaria de saber a opniao de vcs, quanto a possiveis solucoes pra esse problema. Acho que de duas uma: 1) Ou aprendo a fazer controle de banda e amarrar mac ao ip com pf ou 2) Aprendo a usar dois links com o ipfw2 no freebsd 6.x Qual o case de vcs? tem alguem conseguindo fazer essas coisas? Vejam, meu ambiente eh simples e minha necessidade eh basica: 2 links cliente com ip X soh pode navegar com mac Y cliente com ip X e mac Y navega com banda maxima de Z e cliente com ip X sai pelo link 2 enquanto os demais saem pelo link 1 Jah agradeco a antecao de vcs -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Matheus Lamberti de Abreu BSD UserID: 051370 / FUG ID: 388 Se a vida é regida por uma licença, esta é BSD. Unix is very simple, but it takes a genius to understand the simplicity. Unix is user friendly. It's just selective about who its friends are. Get your email and see which of your friends are online - Right on the New Yahoo.com (http://www.yahoo.com/preview) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e PF
Em Seg, 2006-10-30 às 09:34 -0800, Matheus Lamberti escreveu: Grande M3!! Bom, de acordo com minha experiencia em ipfw e pf (acho pequena, mas vale um palpite) é mais fácil voce tentar a segunda opção... ;) Abraços ae... Depende do caso , se for apenas para mandar os pacotes por um link ou por outro , semelhante a ter duas rotas default , um gateway para cada rede, pode fazer um roteamento estático , isso é independente do firewall.. --- m3 BSD [EMAIL PROTECTED] wrote: Ae Galera... tudo blz? Seguinte, meu parque de diversoes em firewall no freebsd sempre foi o ipfw. Principalmente o ipfw2 :). Porem, no FreeBSD 6.X, tive problemas ao implementar policy routing com o ipfw2, ou seja, ter dois links, e especificar o trafego que vai sair por um ou por outro. Por isso, comecei a estudar o pf. Putz, blz, resolveu o problema, jah implementei o uso de dois links baseado em src_addr com o pf e route-to tranquilamente, porem, ha lugares em que ainda necessito do ipfw para MAC e controle de banda. Conclusao: estou usando o pf + ipfw ao mesmo tempo hehehe :). Funciona tudo bem, porem, tive problemas com ftp a partir dae. Jah rodei o ftp-proxy, o pftpx, tudo, e nao adianta, simplesmente nao vai :( Particularmente, acho que o problema esta em usar os dois filtros de pacote ai mesmo tempo. Portanto, gostaria de saber a opniao de vcs, quanto a possiveis solucoes pra esse problema. Acho que de duas uma: 1) Ou aprendo a fazer controle de banda e amarrar mac ao ip com pf ou 2) Aprendo a usar dois links com o ipfw2 no freebsd 6.x Qual o case de vcs? tem alguem conseguindo fazer essas coisas? Vejam, meu ambiente eh simples e minha necessidade eh basica: 2 links cliente com ip X soh pode navegar com mac Y cliente com ip X e mac Y navega com banda maxima de Z e cliente com ip X sai pelo link 2 enquanto os demais saem pelo link 1 Jah agradeco a antecao de vcs -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Matheus Lamberti de Abreu BSD UserID: 051370 / FUG ID: 388 Se a vida é regida por uma licença, esta é BSD. Unix is very simple, but it takes a genius to understand the simplicity. Unix is user friendly. It#39;s just selective about who its friends are. Get your email and see which of your friends are online - Right on the New Yahoo.com (http://www.yahoo.com/preview) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e PF
Nao nao... ae eh q esta... nao sou dois gateways para DUAS redes... a rede interna eh umas soh Em 30/10/06, Marcello Costa[EMAIL PROTECTED] escreveu: Em Seg, 2006-10-30 às 09:34 -0800, Matheus Lamberti escreveu: Grande M3!! Bom, de acordo com minha experiencia em ipfw e pf (acho pequena, mas vale um palpite) é mais fácil voce tentar a segunda opção... ;) Abraços ae... Depende do caso , se for apenas para mandar os pacotes por um link ou por outro , semelhante a ter duas rotas default , um gateway para cada rede, pode fazer um roteamento estático , isso é independente do firewall.. --- m3 BSD [EMAIL PROTECTED] wrote: Ae Galera... tudo blz? Seguinte, meu parque de diversoes em firewall no freebsd sempre foi o ipfw. Principalmente o ipfw2 :). Porem, no FreeBSD 6.X, tive problemas ao implementar policy routing com o ipfw2, ou seja, ter dois links, e especificar o trafego que vai sair por um ou por outro. Por isso, comecei a estudar o pf. Putz, blz, resolveu o problema, jah implementei o uso de dois links baseado em src_addr com o pf e route-to tranquilamente, porem, ha lugares em que ainda necessito do ipfw para MAC e controle de banda. Conclusao: estou usando o pf + ipfw ao mesmo tempo hehehe :). Funciona tudo bem, porem, tive problemas com ftp a partir dae. Jah rodei o ftp-proxy, o pftpx, tudo, e nao adianta, simplesmente nao vai :( Particularmente, acho que o problema esta em usar os dois filtros de pacote ai mesmo tempo. Portanto, gostaria de saber a opniao de vcs, quanto a possiveis solucoes pra esse problema. Acho que de duas uma: 1) Ou aprendo a fazer controle de banda e amarrar mac ao ip com pf ou 2) Aprendo a usar dois links com o ipfw2 no freebsd 6.x Qual o case de vcs? tem alguem conseguindo fazer essas coisas? Vejam, meu ambiente eh simples e minha necessidade eh basica: 2 links cliente com ip X soh pode navegar com mac Y cliente com ip X e mac Y navega com banda maxima de Z e cliente com ip X sai pelo link 2 enquanto os demais saem pelo link 1 Jah agradeco a antecao de vcs -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Matheus Lamberti de Abreu BSD UserID: 051370 / FUG ID: 388 Se a vida é regida por uma licença, esta é BSD. Unix is very simple, but it takes a genius to understand the simplicity. Unix is user friendly. It's just selective about who its friends are. Get your email and see which of your friends are online - Right on the New Yahoo.com (http://www.yahoo.com/preview) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e PF
2006/10/30, m3 BSD [EMAIL PROTECTED]: Nao nao... ae eh q esta... nao sou dois gateways para DUAS redes... a rede interna eh umas soh Em 30/10/06, Marcello Costa[EMAIL PROTECTED] escreveu: Em Seg, 2006-10-30 às 09:34 -0800, Matheus Lamberti escreveu: Grande M3!! Bom, de acordo com minha experiencia em ipfw e pf (acho pequena, mas vale um palpite) é mais fácil voce tentar a segunda opção... ;) Abraços ae... Depende do caso , se for apenas para mandar os pacotes por um link ou por outro , semelhante a ter duas rotas default , um gateway para cada rede, pode fazer um roteamento estático , isso é independente do firewall.. --- m3 BSD [EMAIL PROTECTED] wrote: Ae Galera... tudo blz? Seguinte, meu parque de diversoes em firewall no freebsd sempre foi o ipfw. Principalmente o ipfw2 :). Porem, no FreeBSD 6.X, tive problemas ao implementar policy routing com o ipfw2, ou seja, ter dois links, e especificar o trafego que vai sair por um ou por outro. Por isso, comecei a estudar o pf. Putz, blz, resolveu o problema, jah implementei o uso de dois links baseado em src_addr com o pf e route-to tranquilamente, porem, ha lugares em que ainda necessito do ipfw para MAC e controle de banda. Conclusao: estou usando o pf + ipfw ao mesmo tempo hehehe :). Funciona tudo bem, porem, tive problemas com ftp a partir dae. Jah rodei o ftp-proxy, o pftpx, tudo, e nao adianta, simplesmente nao vai :( Particularmente, acho que o problema esta em usar os dois filtros de pacote ai mesmo tempo. Portanto, gostaria de saber a opniao de vcs, quanto a possiveis solucoes pra esse problema. Acho que de duas uma: 1) Ou aprendo a fazer controle de banda e amarrar mac ao ip com pf ou 2) Aprendo a usar dois links com o ipfw2 no freebsd 6.x Qual o case de vcs? tem alguem conseguindo fazer essas coisas? Vejam, meu ambiente eh simples e minha necessidade eh basica: 2 links cliente com ip X soh pode navegar com mac Y cliente com ip X e mac Y navega com banda maxima de Z e cliente com ip X sai pelo link 2 enquanto os demais saem pelo link 1 Jah agradeco a antecao de vcs -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Matheus Lamberti de Abreu BSD UserID: 051370 / FUG ID: 388 Se a vida é regida por uma licença, esta é BSD. Unix is very simple, but it takes a genius to understand the simplicity. Unix is user friendly. It's just selective about who its friends are. Get your email and see which of your friends are online - Right on the New Yahoo.com (http://www.yahoo.com/preview) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd velho controle de banda e facil fazer com ipfw e tambem controle de mac alem de ser mais eficiente que o iptables do linux argh...risos. -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e PF
sim sim hehehe... veja bem :) eu jah faco o controle de banda e mac com ipfw... tudo blzinha o problema eh usar dois links de saida 2006/10/30, Alessandro de Souza Rocha [EMAIL PROTECTED]: 2006/10/30, m3 BSD [EMAIL PROTECTED]: Nao nao... ae eh q esta... nao sou dois gateways para DUAS redes... a rede interna eh umas soh Em 30/10/06, Marcello Costa[EMAIL PROTECTED] escreveu: Em Seg, 2006-10-30 às 09:34 -0800, Matheus Lamberti escreveu: Grande M3!! Bom, de acordo com minha experiencia em ipfw e pf (acho pequena, mas vale um palpite) é mais fácil voce tentar a segunda opção... ;) Abraços ae... Depende do caso , se for apenas para mandar os pacotes por um link ou por outro , semelhante a ter duas rotas default , um gateway para cada rede, pode fazer um roteamento estático , isso é independente do firewall.. --- m3 BSD [EMAIL PROTECTED] wrote: Ae Galera... tudo blz? Seguinte, meu parque de diversoes em firewall no freebsd sempre foi o ipfw. Principalmente o ipfw2 :). Porem, no FreeBSD 6.X, tive problemas ao implementar policy routing com o ipfw2, ou seja, ter dois links, e especificar o trafego que vai sair por um ou por outro. Por isso, comecei a estudar o pf. Putz, blz, resolveu o problema, jah implementei o uso de dois links baseado em src_addr com o pf e route-to tranquilamente, porem, ha lugares em que ainda necessito do ipfw para MAC e controle de banda. Conclusao: estou usando o pf + ipfw ao mesmo tempo hehehe :). Funciona tudo bem, porem, tive problemas com ftp a partir dae. Jah rodei o ftp-proxy, o pftpx, tudo, e nao adianta, simplesmente nao vai :( Particularmente, acho que o problema esta em usar os dois filtros de pacote ai mesmo tempo. Portanto, gostaria de saber a opniao de vcs, quanto a possiveis solucoes pra esse problema. Acho que de duas uma: 1) Ou aprendo a fazer controle de banda e amarrar mac ao ip com pf ou 2) Aprendo a usar dois links com o ipfw2 no freebsd 6.x Qual o case de vcs? tem alguem conseguindo fazer essas coisas? Vejam, meu ambiente eh simples e minha necessidade eh basica: 2 links cliente com ip X soh pode navegar com mac Y cliente com ip X e mac Y navega com banda maxima de Z e cliente com ip X sai pelo link 2 enquanto os demais saem pelo link 1 Jah agradeco a antecao de vcs -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Matheus Lamberti de Abreu BSD UserID: 051370 / FUG ID: 388 Se a vida é regida por uma licença, esta é BSD. Unix is very simple, but it takes a genius to understand the simplicity. Unix is user friendly. It's just selective about who its friends are. Get your email and see which of your friends are online - Right on the New Yahoo.com (http://www.yahoo.com/preview) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd velho controle de banda e facil fazer com ipfw e tambem controle de mac alem de ser mais eficiente que o iptables do linux argh...risos. -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL
Re: [FUG-BR] IPFW e PF
bem se tiver como distinguir uma faixa de ip passa a ser até a pouco tempo o fwd do ipfw não era capaz de fazer isso , o que ele fazia era redirecionar o pacote para um determinado ip local/remoto mas o pacote não tinha sua rota reinscrita (ta certo isso ?) , então o pacote ainda sim procurava a rota default , mas era contornavel por rota estática. por exemplo: unixmafia# ipcalc 192.168.0.100-192.168.0.200 deaggregate 192.168.0.100 - 192.168.0.200 192.168.0.100/30 192.168.0.104/29 192.168.0.112/28 192.168.0.128/26 192.168.0.192/29 192.168.0.200/32 posso fazer assim : route add 192.168.0.1 192.168.0.100/30 route add 192.168.0.2 192.168.0.192/29 a rede 192.168.0.100/30 vai sair por 192.168.0.1 a rede 192.168.0.192/29 vai sair por 192.168.0.2 Mas recentemente foi adicionado o extended ao fwd , agora parece que é default , o que em teoria não precisaria mecher no roteamento estático , o ipfw cuidaria disso tomaticamente Em Seg, 2006-10-30 às 16:05 -0200, m3 BSD escreveu: Nao nao... ae eh q esta... nao sou dois gateways para DUAS redes... a rede interna eh umas soh Em 30/10/06, Marcello Costa[EMAIL PROTECTED] escreveu: Em Seg, 2006-10-30 às 09:34 -0800, Matheus Lamberti escreveu: Grande M3!! Bom, de acordo com minha experiencia em ipfw e pf (acho pequena, mas vale um palpite) é mais fácil voce tentar a segunda opção... ;) Abraços ae... Depende do caso , se for apenas para mandar os pacotes por um link ou por outro , semelhante a ter duas rotas default , um gateway para cada rede, pode fazer um roteamento estático , isso é independente do firewall.. --- m3 BSD [EMAIL PROTECTED] wrote: Ae Galera... tudo blz? Seguinte, meu parque de diversoes em firewall no freebsd sempre foi o ipfw. Principalmente o ipfw2 :). Porem, no FreeBSD 6.X, tive problemas ao implementar policy routing com o ipfw2, ou seja, ter dois links, e especificar o trafego que vai sair por um ou por outro. Por isso, comecei a estudar o pf. Putz, blz, resolveu o problema, jah implementei o uso de dois links baseado em src_addr com o pf e route-to tranquilamente, porem, ha lugares em que ainda necessito do ipfw para MAC e controle de banda. Conclusao: estou usando o pf + ipfw ao mesmo tempo hehehe :). Funciona tudo bem, porem, tive problemas com ftp a partir dae. Jah rodei o ftp-proxy, o pftpx, tudo, e nao adianta, simplesmente nao vai :( Particularmente, acho que o problema esta em usar os dois filtros de pacote ai mesmo tempo. Portanto, gostaria de saber a opniao de vcs, quanto a possiveis solucoes pra esse problema. Acho que de duas uma: 1) Ou aprendo a fazer controle de banda e amarrar mac ao ip com pf ou 2) Aprendo a usar dois links com o ipfw2 no freebsd 6.x Qual o case de vcs? tem alguem conseguindo fazer essas coisas? Vejam, meu ambiente eh simples e minha necessidade eh basica: 2 links cliente com ip X soh pode navegar com mac Y cliente com ip X e mac Y navega com banda maxima de Z e cliente com ip X sai pelo link 2 enquanto os demais saem pelo link 1 Jah agradeco a antecao de vcs -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Matheus Lamberti de Abreu BSD UserID: 051370 / FUG ID: 388 Se a vida é regida por uma licença, esta é BSD. Unix is very simple, but it takes a genius to understand the simplicity. Unix is user friendly. It's just selective about who its friends are. Get your email and see which of your friends are online - Right on the New Yahoo.com (http://www.yahoo.com/preview) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico:
Re: [FUG-BR] IPFW e PF
2006/10/30, Marcello Costa [EMAIL PROTECTED]: bem se tiver como distinguir uma faixa de ip passa a ser até a pouco tempo o fwd do ipfw não era capaz de fazer isso , o que ele fazia era redirecionar o pacote para um determinado ip local/remoto mas o pacote não tinha sua rota reinscrita (ta certo isso ?) , então o pacote ainda sim procurava a rota default , mas era contornavel por rota estática. por exemplo: unixmafia# ipcalc 192.168.0.100-192.168.0.200 deaggregate 192.168.0.100 - 192.168.0.200 192.168.0.100/30 192.168.0.104/29 192.168.0.112/28 192.168.0.128/26 192.168.0.192/29 192.168.0.200/32 posso fazer assim : route add 192.168.0.1 192.168.0.100/30 route add 192.168.0.2 192.168.0.192/29 a rede 192.168.0.100/30 vai sair por 192.168.0.1 a rede 192.168.0.192/29 vai sair por 192.168.0.2 Mas recentemente foi adicionado o extended ao fwd , agora parece que é default , o que em teoria não precisaria mecher no roteamento estático , o ipfw cuidaria disso tomaticamente Em Seg, 2006-10-30 às 16:05 -0200, m3 BSD escreveu: Nao nao... ae eh q esta... nao sou dois gateways para DUAS redes... a rede interna eh umas soh Em 30/10/06, Marcello Costa[EMAIL PROTECTED] escreveu: Em Seg, 2006-10-30 às 09:34 -0800, Matheus Lamberti escreveu: Grande M3!! Bom, de acordo com minha experiencia em ipfw e pf (acho pequena, mas vale um palpite) é mais fácil voce tentar a segunda opção... ;) Abraços ae... Depende do caso , se for apenas para mandar os pacotes por um link ou por outro , semelhante a ter duas rotas default , um gateway para cada rede, pode fazer um roteamento estático , isso é independente do firewall.. --- m3 BSD [EMAIL PROTECTED] wrote: Ae Galera... tudo blz? Seguinte, meu parque de diversoes em firewall no freebsd sempre foi o ipfw. Principalmente o ipfw2 :). Porem, no FreeBSD 6.X, tive problemas ao implementar policy routing com o ipfw2, ou seja, ter dois links, e especificar o trafego que vai sair por um ou por outro. Por isso, comecei a estudar o pf. Putz, blz, resolveu o problema, jah implementei o uso de dois links baseado em src_addr com o pf e route-to tranquilamente, porem, ha lugares em que ainda necessito do ipfw para MAC e controle de banda. Conclusao: estou usando o pf + ipfw ao mesmo tempo hehehe :). Funciona tudo bem, porem, tive problemas com ftp a partir dae. Jah rodei o ftp-proxy, o pftpx, tudo, e nao adianta, simplesmente nao vai :( Particularmente, acho que o problema esta em usar os dois filtros de pacote ai mesmo tempo. Portanto, gostaria de saber a opniao de vcs, quanto a possiveis solucoes pra esse problema. Acho que de duas uma: 1) Ou aprendo a fazer controle de banda e amarrar mac ao ip com pf ou 2) Aprendo a usar dois links com o ipfw2 no freebsd 6.x Qual o case de vcs? tem alguem conseguindo fazer essas coisas? Vejam, meu ambiente eh simples e minha necessidade eh basica: 2 links cliente com ip X soh pode navegar com mac Y cliente com ip X e mac Y navega com banda maxima de Z e cliente com ip X sai pelo link 2 enquanto os demais saem pelo link 1 Jah agradeco a antecao de vcs -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Matheus Lamberti de Abreu BSD UserID: 051370 / FUG ID: 388 Se a vida é regida por uma licença, esta é BSD. Unix is very simple, but it takes a genius to understand the simplicity. Unix is user friendly. It's just selective about who its friends are. Get your email and see which of your friends are online - Right on the New Yahoo.com (http://www.yahoo.com/preview) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd --
Re: [FUG-BR] IPFW e PF
Caro Alessandro... obrigado pela dica :) Porem, eu faco isso jah a muito tempo hehehehe, usando ipfw, porem, a partir do freebsd 6.X, parou de funcionar, jah tentei de tudo, e nao vai, foi ae que conheci o pf + route-to 2006/10/30, Alessandro de Souza Rocha [EMAIL PROTECTED]: 2006/10/30, Marcello Costa [EMAIL PROTECTED]: bem se tiver como distinguir uma faixa de ip passa a ser até a pouco tempo o fwd do ipfw não era capaz de fazer isso , o que ele fazia era redirecionar o pacote para um determinado ip local/remoto mas o pacote não tinha sua rota reinscrita (ta certo isso ?) , então o pacote ainda sim procurava a rota default , mas era contornavel por rota estática. por exemplo: unixmafia# ipcalc 192.168.0.100-192.168.0.200 deaggregate 192.168.0.100 - 192.168.0.200 192.168.0.100/30 192.168.0.104/29 192.168.0.112/28 192.168.0.128/26 192.168.0.192/29 192.168.0.200/32 posso fazer assim : route add 192.168.0.1 192.168.0.100/30 route add 192.168.0.2 192.168.0.192/29 a rede 192.168.0.100/30 vai sair por 192.168.0.1 a rede 192.168.0.192/29 vai sair por 192.168.0.2 Mas recentemente foi adicionado o extended ao fwd , agora parece que é default , o que em teoria não precisaria mecher no roteamento estático , o ipfw cuidaria disso tomaticamente Em Seg, 2006-10-30 às 16:05 -0200, m3 BSD escreveu: Nao nao... ae eh q esta... nao sou dois gateways para DUAS redes... a rede interna eh umas soh Em 30/10/06, Marcello Costa[EMAIL PROTECTED] escreveu: Em Seg, 2006-10-30 às 09:34 -0800, Matheus Lamberti escreveu: Grande M3!! Bom, de acordo com minha experiencia em ipfw e pf (acho pequena, mas vale um palpite) é mais fácil voce tentar a segunda opção... ;) Abraços ae... Depende do caso , se for apenas para mandar os pacotes por um link ou por outro , semelhante a ter duas rotas default , um gateway para cada rede, pode fazer um roteamento estático , isso é independente do firewall.. --- m3 BSD [EMAIL PROTECTED] wrote: Ae Galera... tudo blz? Seguinte, meu parque de diversoes em firewall no freebsd sempre foi o ipfw. Principalmente o ipfw2 :). Porem, no FreeBSD 6.X, tive problemas ao implementar policy routing com o ipfw2, ou seja, ter dois links, e especificar o trafego que vai sair por um ou por outro. Por isso, comecei a estudar o pf. Putz, blz, resolveu o problema, jah implementei o uso de dois links baseado em src_addr com o pf e route-to tranquilamente, porem, ha lugares em que ainda necessito do ipfw para MAC e controle de banda. Conclusao: estou usando o pf + ipfw ao mesmo tempo hehehe :). Funciona tudo bem, porem, tive problemas com ftp a partir dae. Jah rodei o ftp-proxy, o pftpx, tudo, e nao adianta, simplesmente nao vai :( Particularmente, acho que o problema esta em usar os dois filtros de pacote ai mesmo tempo. Portanto, gostaria de saber a opniao de vcs, quanto a possiveis solucoes pra esse problema. Acho que de duas uma: 1) Ou aprendo a fazer controle de banda e amarrar mac ao ip com pf ou 2) Aprendo a usar dois links com o ipfw2 no freebsd 6.x Qual o case de vcs? tem alguem conseguindo fazer essas coisas? Vejam, meu ambiente eh simples e minha necessidade eh basica: 2 links cliente com ip X soh pode navegar com mac Y cliente com ip X e mac Y navega com banda maxima de Z e cliente com ip X sai pelo link 2 enquanto os demais saem pelo link 1 Jah agradeco a antecao de vcs -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Matheus Lamberti de Abreu BSD UserID: 051370 / FUG ID: 388 Se a vida é regida por uma licença, esta é BSD. Unix is very simple, but it takes a genius to understand the simplicity. Unix is user friendly. It's just selective about who its friends are. Get your email and see which of your friends are online - Right on the New Yahoo.com (http://www.yahoo.com/preview) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156
Re: [FUG-BR] IPFW e PF
Opa ! eaí, blz Seguinte to no mesmo time que vc, gosto muito do ipfw2 eu tive problemas para compilar o kernel, e resolvi com: optionsIPFIREWALL_FORWARD_EXTENDED fiz até um tutorial de balanceamento usando ipfw2 e me baseando no tuto do Diego Linke meu tuto: http://wiki.luizgustavo.pro.br/doku.php?id=artigos_freebsd:balancelinks Espero que isso ajude. Abraços, -- Luiz Gustavo - FreeBSD User ===\ http://www.luizgustavo.pro.br ===/ On 10/30/06, m3 BSD [EMAIL PROTECTED] wrote: Ae Galera... tudo blz? Seguinte, meu parque de diversoes em firewall no freebsd sempre foi o ipfw. Principalmente o ipfw2 :). Porem, no FreeBSD 6.X, tive problemas ao implementar policy routing com o ipfw2, ou seja, ter dois links, e especificar o trafego que vai sair por um ou por outro. Por isso, comecei a estudar o pf. Putz, blz, resolveu o problema, jah implementei o uso de dois links baseado em src_addr com o pf e route-to tranquilamente, porem, ha lugares em que ainda necessito do ipfw para MAC e controle de banda. Conclusao: estou usando o pf + ipfw ao mesmo tempo hehehe :). Funciona tudo bem, porem, tive problemas com ftp a partir dae. Jah rodei o ftp-proxy, o pftpx, tudo, e nao adianta, simplesmente nao vai :( Particularmente, acho que o problema esta em usar os dois filtros de pacote ai mesmo tempo. Portanto, gostaria de saber a opniao de vcs, quanto a possiveis solucoes pra esse problema. Acho que de duas uma: 1) Ou aprendo a fazer controle de banda e amarrar mac ao ip com pf ou 2) Aprendo a usar dois links com o ipfw2 no freebsd 6.x Qual o case de vcs? tem alguem conseguindo fazer essas coisas? Vejam, meu ambiente eh simples e minha necessidade eh basica: 2 links cliente com ip X soh pode navegar com mac Y cliente com ip X e mac Y navega com banda maxima de Z e cliente com ip X sai pelo link 2 enquanto os demais saem pelo link 1 Jah agradeco a antecao de vcs -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e PF
sim... mas a partir do 6.1 nao precisa mais do FORWARD_EXTENDED correto? 2006/10/30, Luiz Gustavo (gugabsd) [EMAIL PROTECTED]: Opa ! eaí, blz Seguinte to no mesmo time que vc, gosto muito do ipfw2 eu tive problemas para compilar o kernel, e resolvi com: optionsIPFIREWALL_FORWARD_EXTENDED fiz até um tutorial de balanceamento usando ipfw2 e me baseando no tuto do Diego Linke meu tuto: http://wiki.luizgustavo.pro.br/doku.php?id=artigos_freebsd:balancelinks Espero que isso ajude. Abraços, -- Luiz Gustavo - FreeBSD User ===\ http://www.luizgustavo.pro.br ===/ On 10/30/06, m3 BSD [EMAIL PROTECTED] wrote: Ae Galera... tudo blz? Seguinte, meu parque de diversoes em firewall no freebsd sempre foi o ipfw. Principalmente o ipfw2 :). Porem, no FreeBSD 6.X, tive problemas ao implementar policy routing com o ipfw2, ou seja, ter dois links, e especificar o trafego que vai sair por um ou por outro. Por isso, comecei a estudar o pf. Putz, blz, resolveu o problema, jah implementei o uso de dois links baseado em src_addr com o pf e route-to tranquilamente, porem, ha lugares em que ainda necessito do ipfw para MAC e controle de banda. Conclusao: estou usando o pf + ipfw ao mesmo tempo hehehe :). Funciona tudo bem, porem, tive problemas com ftp a partir dae. Jah rodei o ftp-proxy, o pftpx, tudo, e nao adianta, simplesmente nao vai :( Particularmente, acho que o problema esta em usar os dois filtros de pacote ai mesmo tempo. Portanto, gostaria de saber a opniao de vcs, quanto a possiveis solucoes pra esse problema. Acho que de duas uma: 1) Ou aprendo a fazer controle de banda e amarrar mac ao ip com pf ou 2) Aprendo a usar dois links com o ipfw2 no freebsd 6.x Qual o case de vcs? tem alguem conseguindo fazer essas coisas? Vejam, meu ambiente eh simples e minha necessidade eh basica: 2 links cliente com ip X soh pode navegar com mac Y cliente com ip X e mac Y navega com banda maxima de Z e cliente com ip X sai pelo link 2 enquanto os demais saem pelo link 1 Jah agradeco a antecao de vcs -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW e PF - mesmo tempo
Caro Colega, Eu uso em um proxy server, pf para fazer nat e redirect e ifpw com dummynet. Ambos em modulo !! o PF e lido primeiro ... !! :-( Atenciosamente Ricardo A. Reis UNIFESP - SENAI Unix and System Admin Oi pessoal Alguém já usou no Free 5.3 o IPFW e o PF ao mesmo tempo? Sabem qual a precedência de cada um? É que preciso implementar uma solução de policy routing e controle de banda, e depois de todos os testes vi que é mais fácil fazer o primeiro usando p f (route-to) e o segundo usando o IPFW (pipes). Olhando no 5.4 RELEASE vi que tem agora uma opção de kernel chamada IPFIREWALL_FORWARD_EXTENDED, que, segundo os Release Notes: This kernel op tion disables all restrictions to ensure proper behavior for locally generated packets and allows redirection of packets destined to locally configured IP addresses.. Pelo que entendi pode substituir o route-to do pf... Alguém já testou algo assim? []s para todos Kassiano ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] IPFW e PF - mesmo tempo
como vc sabe que o pf eh lido primeiro Ricardo A Reis wrote: Caro Colega, Eu uso em um proxy server, pf para fazer nat e redirect e ifpw com dummynet. Ambos em modulo !! o PF e lido primeiro ... !! :-( Atenciosamente Ricardo A. Reis UNIFESP - SENAI Unix and System Admin Oi pessoal Alguém já usou no Free 5.3 o IPFW e o PF ao mesmo tempo? Sabem qual a precedência de cada um? É que preciso implementar uma solução de policy routing e controle de banda, e depois de todos os testes vi que é mais fácil fazer o primeiro usando p f (route-to) e o segundo usando o IPFW (pipes). Olhando no 5.4 RELEASE vi que tem agora uma opção de kernel chamada IPFIREWALL_FORWARD_EXTENDED, que, segundo os Release Notes: This kernel op tion disables all restrictions to ensure proper behavior for locally generated packets and allows redirection of packets destined to locally configured IP addresses.. Pelo que entendi pode substituir o route-to do pf... Alguém já testou algo assim? []s para todos Kassiano ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br -- Christopher Giese System Network Security Administrator - iRapida Telecom [EMAIL PROTECTED] - www.bsdux.com.br - (044) 3619- O homem só envelhece quando nele os lamentos substituem os sonhos (Jonh Berry) ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] IPFW e PF - mesmo tempo
Christopher Giese - IRAPIDA wrote: como vc sabe que o pf eh lido primeiro E ai Christopher, Bom eu cheguei a essa conclusão com alguns testes, na regras do pf tenho rdr,filter . e default police drop e logo com todo firewall configurado e funcionado eu levanto o ipfw com police accept e td funciona como se nada estivesse acontecido o mesmo acontece quando a police é drop (td para de funcionar). Aparentemente o ipfw tem a palavra final, porem so para o trafego ja permitido pelo pf, dessa forma os meus pipes para o squid funcionam como sempre funcionaram :-) Essa maquina ja foi um 5.2.x com pf e agora um 5.x. na época pensei que era por causa do pfil(9)... agora com ipfw e pf usando pf ja não sei se tem haver com a ordem de carregamento! OBS: melhor colar o seu nome certo, nao quero ser responsavel por emails do tipo o do Bill Paul, vide @current -- Atenciosamente Ricardo A. Reis UNIFESP - SENAI Unix and System Admin ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] IPFW e PF - mesmo tempo
Giovanni P. Tirloni wrote: ... como vc sabe que o pf eh lido primeiro ... Se voce realmente quiser saber quem funciona primeiro, sugiro o seguinte teste: *no console* crie regras para o pf bloquear tudo crie regras para o ipfw bloquear tudo crie regras para o ipfilter bloquear tudo aí é só olhar ver quem está bloqueando. (vai aparece no log, `ipfw show`, `pfctl -ss`, etc...) Curiosidade aproveitando o gancho : como agora o ipfw tambem usa os PFIL hooks, no FreeBSD 6.0-CURRENT já é possivel usar o ipfw + ALTQ ! meio frankenstein: voce tem que usar o pf.conf/pfctl para criar as regras do ALTQ e aplica-las via regras do ipfw []s Antonio Torres [EMAIL PROTECTED] ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
