Re: [FUG-BR] Bridge+Firewall(pf)
Mesmo usando a regra block return log all, o tráfego ARP está passando sem restrições. Não acharia estranho se somente a bridge estivesse configurada, mas tem um firewall trabalhando em conjunto, bloqueando qualquer tipo de pacotes para qualquer lugar. Este tráfego ARP (broadcasting) não deveria está sendo bloqueado? Não pelo fato de existir uma bridge configurada dentro de uma lan, mas sim por ter um firewall com uma regra de bloqueo. Consegui detectá-lo (os pacotes arp) rodanto o tcpdump em um máquina que está atrás da bridge/firewall. Aí Irado, valeu a força cara! Até mais... -- Marco Antônio Faria Botelho [EMAIL PROTECTED] ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Bridge+Firewall(pf)
PF atua apenas na camada 3 :) Marco Antônio Faria Botelho wrote: Mesmo usando a regra block return log all, o tráfego ARP está passando sem restrições. Não acharia estranho se somente a bridge estivesse configurada, mas tem um firewall trabalhando em conjunto, bloqueando qualquer tipo de pacotes para qualquer lugar. Este tráfego ARP (broadcasting) não deveria está sendo bloqueado? Não pelo fato de existir uma bridge configurada dentro de uma lan, mas sim por ter um firewall com uma regra de bloqueo. Consegui detectá-lo (os pacotes arp) rodanto o tcpdump em um máquina que está atrás da bridge/firewall. Aí Irado, valeu a força cara! Até mais... -- Marco Antônio Faria Botelho [EMAIL PROTECTED] ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br -- []´s Christopher Giese System Network Security Administrator - iRapida Telecom [EMAIL PROTECTED] - +55 44 3619 O futuro nada mais é que sonhos, projetos, esperanças que só serão possíveis se o hoje assim decidir. Nada mais temos neste mundo senão o exatamente agora. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Bridge+Firewall(pf)
PF atua apenas na camada 3 :)...realmente, pf na camada de rede, enquanto o arp/rarp na camada 2. -- Marco Antônio Faria Botelho [EMAIL PROTECTED] ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Bridge+Firewall(pf)
--- Use http://www.mail-filter.com to protect your email address Block spam by keeping your email address secret and private. --- não tem efeito, essa .. accept é válida para o ipfw, salvo engano. de qualquer forma, vc não chega a esclarecer O QUE é que está havendo (o que, por exemplo, significa as regras não têm efeito..?) bem, vc pode fazer o seguinte: usando o tcpdump sôbre pfct0 - hi.. acho que é isso - veja QUEM é pelo ifconfig, aquelas que não forem as suas placas de rede REAIS é ela. com isso vc vai ver o que está sendo bloqueado - se vc ativou a condição de log nas suas regras. Pode também postar suas regras aqui (/etc/pf.conf) pra galera dar uma boa olhada. Olá pessoal! Montei uma Bridge utilizando o FreeBSD 6.0, até aí tudo bem! Está funcionando sem problemas. Minha dúvida é seguinte: para montar uma Bridge+Firewall teria que habilitar no kernel a opção IPFIREWALL_DEFAULT_TO_ACCEPT, isto segundo a documentação do handbook, mas estou utilizando pf para o firewall. --- saudações, irado furioso com tudo FreeBSD BSD50853/Linux User 179402 Mais atrocidades são cometidas em nome das religiões do que em nome do ateísmo. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Bridge+Firewall(pf)
não tem efeito, essa .. accept é válida para o ipfw, salvo engano. de qualquer forma, vc não chega a esclarecer O QUE é que está havendo (o que, por exemplo, significa as regras não têm efeito..?) Adicionei uma regra bloqueando qualquer tipo de tráfego e vindo de qualquer direção na bridge. block log all (única regra no pf.conf) Logo após, rodei o tcpdump na máquina PC1. Acessei a página web desta máquina passando pela bridge sem problemas o tráfego foi todo registrado pelo tcpdump. [PC1 com Web][bridge+Firewall]---[Rede local] tcpdump tcpdump bem, vc pode fazer o seguinte: usando o tcpdump sôbre pfct0 - hi.. acho que é isso - veja QUEM é pelo ifconfig, aquelas que não forem as suas placas de rede REAIS é ela. com isso vc vai ver o que está sendo bloqueado - se vc ativou a condição de log nas suas regras. Pode também postar suas regras aqui (/etc/pf.conf) pra galera dar uma boa olhada. Já havia ativado o pflogd no rc.conf e monitorei o que estava acontecendo através #tcpdump -e -n -ttt -i pflog0. Aparece somente tráfego de broadcast da rede sendo bloqueado, na verdade o PC1 também registra o mesmo tráfego pelo tcpdump. Resumindo, a bridge está OK, já o firewall está somente registrando o que passa por ele, não toma ação nenhuma... devo estar passando alguma coisa aqui. Olá pessoal! Montei uma Bridge utilizando o FreeBSD 6.0, até aí tudo bem! Está funcionando sem problemas. Minha dúvida é seguinte: para montar uma Bridge+Firewall teria que habilitar no kernel a opção IPFIREWALL_DEFAULT_TO_ACCEPT, isto segundo a documentação do handbook, mas estou utilizando pf para o firewall. --- saudações, irado furioso com tudo FreeBSD BSD50853/Linux User 179402 Mais atrocidades são cometidas em nome das religiões do que em nome do ateísmo. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Bridge+Firewall(pf)
--- Use http://www.mail-filter.com to protect your email address Block spam by keeping your email address secret and private. --- block log all (única regra no pf.conf) engraçado.. isso deveria REALMENTE deixar tudo bloqueado.. Resumindo, a bridge está OK, já o firewall está somente registrando o que passa por ele, não toma ação nenhuma... devo estar passando alguma coisa aqui. é, pode ser mesmo. Bem, se não se incomoda, pode postar seu pf.conf aqui? ajuda a gente a entender (tentar, pelo menos) o que está ocorrendo. ah, a propósito, pode enviar também o seu pfctl -s info pra análise. É compridão :( --- saudações, irado furioso com tudo FreeBSD BSD50853/Linux User 179402 Mais atrocidades são cometidas em nome das religiões do que em nome do ateísmo. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Bridge+Firewall(pf)
block log all (única regra no pf.conf)
engraçado.. isso deveria REALMENTE deixar tudo bloqueado..
Resumindo, a bridge está OK, já o firewall está somente registrando o
que passa por ele, não toma ação nenhuma... devo estar passando alguma
coisa aqui.
é, pode ser mesmo. Bem, se não se incomoda, pode postar seu
pf.conf aqui? ajuda a gente a entender (tentar, pelo menos) o
que está ocorrendo.
# Macros
protected = xl0
public = vr0
localnet = 192.168.4.0/24
goodhost = 192.168.4.68/32
# Options
set timeout { interval 10, frag 30 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 1, frags 5000 }
set loginterface none
set optimization normal
set block-policy drop
set require-order yes
set fingerprints /etc/pf.os
block log all
ah, a propósito, pode enviar também o seu pfctl -s info pra
análise. É compridão :(
Status: Enabled for 0 days 00:38:05 Debug: Urgent
Hostid: 0xb01f8215
State Table Total Rate
current entries0
searches97924.3/s
inserts00.0/s
removals 00.0/s
Counters
match 97924.3/s
bad-offset 00.0/s
fragment 00.0/s
short 00.0/s
normalize 00.0/s
memory 00.0/s
bad-timestamp 00.0/s
congestion 00.0/s
ip-option 00.0/s
proto-cksum00.0/s
state-mismatch 00.0/s
state-insert 00.0/s
state-limit00.0/s
src-limit 00.0/s
synproxy 00.0/s
___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Bridge+Firewall(pf)
Acho que descobri o que fiz de errado... no sysctl.conf coloquei: net.link.ether.bridge.ipfw = 1 ao invés de net.link.ether.bridge.ipf = 1 Poderia ser isto? ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Bridge+Firewall(pf)
Search the web by email! mailto:[EMAIL PROTECTED]
adding your search to the subject line like this:
search summer vacations
bem.. vou tentar chutar um bocadinho aqui, um bocadinho ali. Afinal, chutar não
ofende (depende de onde o chute acerta, claro.. rs).
bem.. vamos lá:
set loginterface none
os vários set anteriores são convencionais, tais como constam do /etc/pf.conf
original. Contudo, aí em cima vc está dizendo que NENHUMA das interfaces terá
log gerado. Conviria alterar para:
set login interface $public
block log all
ou
block return log all #bloqueia tudo
pass quick on lo0 all
bem.. agora deverá realmente gerar os log´s.
Hostid: 0xb01f8215
State Table Total Rate
searches97924.3/s
[...]
match 97924.3/s
hmmm... aparentemente, TODOS os pacotes foram barrados, mas vc diz que não :(
experimente, novamente. Pode ser que eu nem possa ver mais hoje, ficaria para
segunda. Mas eu espero que os coleguinhas que estão nos lendo venham ajudar,
afinal, não entendo quase nada disso - risos.
como sugestão, apenas, envio o meu próprio pf.conf, remova as partes que não
importam (só não o fiz para não ´bagunçar´ muito), como o nat, por exemplo,
ou ftp que (acho) são dispensáveis no momento.
:=== begin
# variaveis
EXT_nic = rl0 # substitua pelos seus externos/internos
INT_nic = rl1
#ftp_proxy = 49151 # não importa (ainda)
LAN = 192.168.1.0/24 # a sua..
table firewall const { self }
servicos = { http, https, smtp, pop3, nntp, ssh }
# Options: tune the behavior of pf, default values are given.
set timeout { interval 10, frag 30 }
# [aqui, aquêle montão de set que já tratamos]
set loginterface $EXT_nic # pra gerar os log´s
set optimization normal # para uma rede de muito trafego, definir como
aggressive.
set block-policy return # eu uso return, vc drop.. não importa agora
set require-order yes
set fingerprints /etc/pf.os
# normalizacao
scrub on $EXT_nic reassemble tcp no-df random-id # não sei se bridge usa.. que
diz o seu tutorial?
# queueing -- aqui devem ser definidos os controles de banda (omitidos)
# nat e redirecionamentos (omitidos)
# redirecionar as solicitacoes de ftp para o ftp-proxy #omitido
# filtragem # é aqui que tudo começa
block return log all #bloqueia tudo e log nêles :)
pass quick on lo0 all # a máquina pode falar com ela mesma. De doido, até
máquinas..
pass out on $EXT_nic inet proto tcp all flags S/SA modulate state
pass out on $EXT_nic inet proto { udp, icmp } all keep state
# incoming active ftp-data (this is required for active ftp to work
# omitido
pass in log quick on $INT_nic proto tcp from $LAN to !firewall port $servicos
flags S/SA modulate state
#meio ocioso pq, se a placa não tem ip-addr, não tem como o firewall saber se é
pra êle ou não. Mas enfim, não vai doer.
pass in log quick on $INT_nic inet proto { udp, icmp } from $LAN to !firewall
keep state
# idem, idem.
:=== end
se funcionar como deve, está autorizado o tráfego da sua lan pra fora, vindo
pela placa interna. Na verdade, como não examinei muito o funcionamento disso,
não tenho muita certeza. O que, na verdade, imagino (com segurança) é que TUDO
o que vier de fora será barrado. Experimente um ping a partir de máquina
externa.
Muito tempo atrás fiz uma bridge mas foi com o ipf, ainda não converti para pf.
:(
mas enfim.. TUDO o que vier de fora COM CERTEZA será agora barrado e logado.
Daí, é só afinar as regras.
divirta-se.
---
saudações,
irado furioso com tudo
FreeBSD BSD50853/Linux User 179402
Mais atrocidades são cometidas em nome das religiões do que em nome do ateísmo.
___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Bridge+Firewall(pf)
--- Use http://www.mail-filter.com to protect your email address Block spam by keeping your email address secret and private. --- Estou acompanhando o handbook do FreeBSD, Enabling the Bridge Add the line: net.link.ether.bridge.enable=1 to /etc/sysctl.conf to enable the bridge at runtime, and the line: net.link.ether.bridge.config=if1,if2 [...] to the rc.conf arrá... é isso aí que faltava, tanto no rc.conf quanto no sysctl.conf. Com isso, de fato a bridge passa a existir. Ainda bem que vc achou a solução, eu já estava preocupado pensando que ia ficar o fim de semana todo lendo tutoriais e mais tutoriais - risos. --- saudações, irado furioso com tudo FreeBSD BSD50853/Linux User 179402 Mais atrocidades são cometidas em nome das religiões do que em nome do ateísmo. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
