Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
A conexão é bem estável, quanto a isso fico mais tranquilo. Quanto a MTU eu uso em um cliente o openvpn com TCP e não tive que fazer nenhum ajuste, acho que funcionará bem. Vou deixar pra mexer na segunda... Obrigado mais uma vez. Welkson - Original Message - From: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Saturday, October 04, 2008 10:03 AM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) Fica bem estranho manter dois confs... e como fazer isso no rc.conf? carregar na mão via rc.local não gosto muito! Vou alterar o protocolo para TCP e ver como se comporta. Eu tenho um outro cliente usando via TCP a mais de ano... mas é só para TEF, os pacotes são mínimos (2 ou 3kb). Alguns dos clientes da VPN usam replicação... o volume de dados é bem grande... pelo que li o desempenho em TCP cai um pouco... mas acho que não terei problemas. Obrigado pela ajuda. Bom fim de semana. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Friday, October 03, 2008 6:12 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/3/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Deve ser algo no UDP mesmo. > > Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o > cliente, > fiz a alteração na conf também para tcp... tentei acessar nos dois ips e > funfou perfeito > > Mesma regra do firewall, só alterei o de udp para tcp. > > Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado > amanhã, não quero receber ligação amanhã no feriado (-: > > Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn > para > tcp e trocar a conf em todos os clientes. Eu verifiquei oque tenho funcionando com udp (DNS) e o q descobri que tenho 2 binds rodando no servidor um respondendo por cada link, talvez se vc tentar fazer isso com openvpnd funcione. Att, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/4/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Fica bem estranho manter dois confs... e como fazer isso no rc.conf? > carregar na mão via rc.local não gosto muito! Então, você teria que mudar algumas coisas, se não me engano o openvpn é iniciado por um script no /usr/local/etc/rc.d, copie ele com outro nome (openvpn2) e altere o script para buscar variáveis com outros nomes e use essas variáveis dentro do rc.conf também. > > Vou alterar o protocolo para TCP e ver como se comporta. > > Eu tenho um outro cliente usando via TCP a mais de ano... mas é só para TEF, > os pacotes são mínimos (2 ou 3kb). > > Alguns dos clientes da VPN usam replicação... o volume de dados é bem > grande... pelo que li o desempenho em TCP cai um pouco... mas acho que não > terei problemas. É só a performance que é menor ou você tem problemas com a conexão tb ? Em alguns casos é necessário ajustar o MTU da conexão do openvpn. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Fica bem estranho manter dois confs... e como fazer isso no rc.conf? carregar na mão via rc.local não gosto muito! Vou alterar o protocolo para TCP e ver como se comporta. Eu tenho um outro cliente usando via TCP a mais de ano... mas é só para TEF, os pacotes são mínimos (2 ou 3kb). Alguns dos clientes da VPN usam replicação... o volume de dados é bem grande... pelo que li o desempenho em TCP cai um pouco... mas acho que não terei problemas. Obrigado pela ajuda. Bom fim de semana. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Friday, October 03, 2008 6:12 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/3/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Deve ser algo no UDP mesmo. > > Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o > cliente, > fiz a alteração na conf também para tcp... tentei acessar nos dois ips e > funfou perfeito > > Mesma regra do firewall, só alterei o de udp para tcp. > > Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado > amanhã, não quero receber ligação amanhã no feriado (-: > > Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn > para > tcp e trocar a conf em todos os clientes. Eu verifiquei oque tenho funcionando com udp (DNS) e o q descobri que tenho 2 binds rodando no servidor um respondendo por cada link, talvez se vc tentar fazer isso com openvpnd funcione. Att, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/3/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Deve ser algo no UDP mesmo. > > Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o cliente, > fiz a alteração na conf também para tcp... tentei acessar nos dois ips e > funfou perfeito > > Mesma regra do firewall, só alterei o de udp para tcp. > > Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado > amanhã, não quero receber ligação amanhã no feriado (-: > > Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn para > tcp e trocar a conf em todos os clientes. Eu verifiquei oque tenho funcionando com udp (DNS) e o q descobri que tenho 2 binds rodando no servidor um respondendo por cada link, talvez se vc tentar fazer isso com openvpnd funcione. Att, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, Deve ser algo no UDP mesmo. Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o cliente, fiz a alteração na conf também para tcp... tentei acessar nos dois ips e funfou perfeito Mesma regra do firewall, só alterei o de udp para tcp. Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado amanhã, não quero receber ligação amanhã no feriado (-: Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn para tcp e trocar a conf em todos os clientes. Vale, obrigado! Welkson - Original Message - From: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 7:40 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) Alexandre, Sai pelo default gateway (velox). 189.3.15.x é o ip secundário que quero que funcione udp externo. 189.124.129.x é o default gateway velox que já funciona o udp externo. Alterei meu openvpn.conf para conectar via 189.l3.15.x e veja: [EMAIL PROTECTED] /]# tcpdump -ni vr2 host 189.3.15.165 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vr2, link-type EN10MB (Ethernet), capture size 96 bytes 19:39:31.105715 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 19:39:33.339138 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 19:39:35.033140 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 [EMAIL PROTECTED] /]# cat /etc/firewall/pf.conf | grep 1194 pass in log on $ext_if proto udp from any to any port 1194 # libera no velox - default gateway # libera no jetcom - secundário - problema no REPLY-TO pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to any port 1194 keep state # 189.3.15.1 é o gateway do provedor jetcom. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 6:55 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > De manhã eu havia enviado... mas mandei novamente no pvt. > > > Welkson Bom.. pra termos certeza de que está acontecendo oque estamos pensando, que é o pacote udp voltar pela interface errada, faça o seguinte: - Pegue o ip externo do qual vc vai conectar no openvpn - Abra um tcpdump -ni host - Tente fazer a conexão com o openvpn na interface pela qual não está funcionado - Veja se aparece o pacote udp saindo pela interface da rota default no tcpdump Manda os resultados. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, Sai pelo default gateway (velox). 189.3.15.x é o ip secundário que quero que funcione udp externo. 189.124.129.x é o default gateway velox que já funciona o udp externo. Alterei meu openvpn.conf para conectar via 189.l3.15.x e veja: [EMAIL PROTECTED] /]# tcpdump -ni vr2 host 189.3.15.165 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vr2, link-type EN10MB (Ethernet), capture size 96 bytes 19:39:31.105715 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 19:39:33.339138 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 19:39:35.033140 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 [EMAIL PROTECTED] /]# cat /etc/firewall/pf.conf | grep 1194 pass in log on $ext_if proto udp from any to any port 1194 # libera no velox - default gateway # libera no jetcom - secundário - problema no REPLY-TO pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to any port 1194 keep state # 189.3.15.1 é o gateway do provedor jetcom. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 6:55 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > De manhã eu havia enviado... mas mandei novamente no pvt. > > > Welkson Bom.. pra termos certeza de que está acontecendo oque estamos pensando, que é o pacote udp voltar pela interface errada, faça o seguinte: - Pegue o ip externo do qual vc vai conectar no openvpn - Abra um tcpdump -ni host - Tente fazer a conexão com o openvpn na interface pela qual não está funcionado - Veja se aparece o pacote udp saindo pela interface da rota default no tcpdump Manda os resultados. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > De manhã eu havia enviado... mas mandei novamente no pvt. > > > Welkson Bom.. pra termos certeza de que está acontecendo oque estamos pensando, que é o pacote udp voltar pela interface errada, faça o seguinte: - Pegue o ip externo do qual vc vai conectar no openvpn - Abra um tcpdump -ni host - Tente fazer a conexão com o openvpn na interface pela qual não está funcionado - Veja se aparece o pacote udp saindo pela interface da rota default no tcpdump Manda os resultados. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
De manhã eu havia enviado... mas mandei novamente no pvt. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 6:28 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > E aí meu povo? ninguém tem uma sugestão de como fazer um reply-to de UDP? > > Poste o trecho do pf.conf que faz o reply por favor. Manda o resultado de um pfctl -s rules -vv e tcpdump -ner /var/log/pflog port 1194 no momento em que você tenta conectar. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > E aí meu povo? ninguém tem uma sugestão de como fazer um reply-to de UDP? > > Poste o trecho do pf.conf que faz o reply por favor. Manda o resultado de um pfctl -s rules -vv e tcpdump -ner /var/log/pflog port 1194 no momento em que você tenta conectar. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
E aí meu povo? ninguém tem uma sugestão de como fazer um reply-to de UDP? Poste o trecho do pf.conf que faz o reply por favor. Welkson - Original Message - From: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 11:36 AM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) Com esse pass in você não está LIBERANDO TUDO? Eu uso o pass in, mas especifico somente a porta que quero liberar. Você testou a porta udp com que? openvpn? tcp eu sei que funfa, udp é que é f... welkson - Original Message - From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 8:35 AM Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) A minha configuracao funcionou. Tanto UDP quanto TCP. Estava tendo dificuldades porque esta redirecionado os pacotes para uma rede DMZ. Entao tambem tive que fazer uma regra reply-to na interface de acesso a DMZ. ficou td +- assim : route0="(" $ext_if0 $router0 ")" route1="(" $ext_if1 $router1 ")" rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag ROUTE0 -> $web_server rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag ROUTE1 -> $web_server pass in quick on $ext_if0 reply-to $route0 proto {tcp,udp} from any to $ext_ip0 keep state pass in quick on $ext_if1 reply-to $route1 proto {tcp,udp} from any to $ext_ip1 keep state #The reply-to option is similar to route-to, but routes packets that #pass in the ***opposite*** direction (replies) to the specified inter- #face. pass out quick on $dmz_if reply-to $route0 from any to any tagged ROUTE0 keep state pass out quick on $dmz_if reply-to $route1 from any to any tagged ROUTE1 keep state pass out on $ext_if0 route-to $ext_if1 from $ext_if1 to any pass out on $ext_if1 route-to $ext_if0 from $ext_if0 to any basicamento o segredo estava na direcao da regra da interface dmz. na configuracao anterior anterior eu estava coloando "pass in". valeu ...! - Mensagem original - De: "Alexandre Biancalana" <[EMAIL PROTECTED]> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Enviadas: Quarta-feira, 1 de Outubro de 2008 17:23:15 GMT -03:00 Argentina Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um > exemplo com udp, porque aqui não funciona nem a pau... =) > > Coloca xxx nos ips em produção. > > Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para > udp, e de 65517 para 1194 > > # tcp que funciona > > pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to > > any port 65517 keep state > > # udp que NAO funciona > pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to > any port 1194 keep state > Manda seu pf.conf completo. O que pode estar acontecendo é que o pf cria o estado pela ultima regra que fizer o match ou seja, se você tem a regra com reply-to e depois tem uma com o pass normal ele cria o estado pela ultima regra e não funciona mesmo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Wildes Miranda - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Com esse pass in você não está LIBERANDO TUDO? Eu uso o pass in, mas especifico somente a porta que quero liberar. Você testou a porta udp com que? openvpn? tcp eu sei que funfa, udp é que é f... welkson - Original Message - From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 8:35 AM Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) A minha configuracao funcionou. Tanto UDP quanto TCP. Estava tendo dificuldades porque esta redirecionado os pacotes para uma rede DMZ. Entao tambem tive que fazer uma regra reply-to na interface de acesso a DMZ. ficou td +- assim : route0="(" $ext_if0 $router0 ")" route1="(" $ext_if1 $router1 ")" rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag ROUTE0 -> $web_server rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag ROUTE1 -> $web_server pass in quick on $ext_if0 reply-to $route0 proto {tcp,udp} from any to $ext_ip0 keep state pass in quick on $ext_if1 reply-to $route1 proto {tcp,udp} from any to $ext_ip1 keep state #The reply-to option is similar to route-to, but routes packets that #pass in the ***opposite*** direction (replies) to the specified inter- #face. pass out quick on $dmz_if reply-to $route0 from any to any tagged ROUTE0 keep state pass out quick on $dmz_if reply-to $route1 from any to any tagged ROUTE1 keep state pass out on $ext_if0 route-to $ext_if1 from $ext_if1 to any pass out on $ext_if1 route-to $ext_if0 from $ext_if0 to any basicamento o segredo estava na direcao da regra da interface dmz. na configuracao anterior anterior eu estava coloando "pass in". valeu ...! - Mensagem original - De: "Alexandre Biancalana" <[EMAIL PROTECTED]> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Enviadas: Quarta-feira, 1 de Outubro de 2008 17:23:15 GMT -03:00 Argentina Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um > exemplo com udp, porque aqui não funciona nem a pau... =) > > Coloca xxx nos ips em produção. > > Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para > udp, e de 65517 para 1194 > > # tcp que funciona > > pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to > > any port 65517 keep state > > # udp que NAO funciona > pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to > any port 1194 keep state > Manda seu pf.conf completo. O que pode estar acontecendo é que o pf cria o estado pela ultima regra que fizer o match ou seja, se você tem a regra com reply-to e depois tem uma com o pass normal ele cria o estado pela ultima regra e não funciona mesmo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Wildes Miranda - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um > exemplo com udp, porque aqui não funciona nem a pau... =) > > Coloca xxx nos ips em produção. > > Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para > udp, e de 65517 para 1194 > > # tcp que funciona > > pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to > > any port 65517 keep state > > # udp que NAO funciona > pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to > any port 1194 keep state > Manda seu pf.conf completo. O que pode estar acontecendo é que o pf cria o estado pela ultima regra que fizer o match ou seja, se você tem a regra com reply-to e depois tem uma com o pass normal ele cria o estado pela ultima regra e não funciona mesmo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um exemplo com udp, porque aqui não funciona nem a pau... =) Coloca xxx nos ips em produção. Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para udp, e de 65517 para 1194 # tcp que funciona pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 65517 keep state # udp que NAO funciona pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to any port 1194 keep state Manda as regras. Abraço, Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, October 01, 2008 5:03 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Você usa só com TCP, certo? > Com TCP o meu funciona. Tenho configurações com TCP e UDP em produção. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Cria o "estado" mas não funfa o reply-to ;-) O "Não criar o estado" com certeza é o motivo de não funcionar o reply-to, pois ele funciona justamente em cima da tabela de estados para saber por onde a conexão entrou e por onde ela deve sair. Debugar esse tipo de situação é chato mesmo. Coloque log nas suas regras (todas) e veja os logs com tcpdump -nei pflog0 para ver o que está passando no momento ou tcpdump -ner /var/log/pflog para ver oq já passou. preste atenção no log, restrinja a visualização às conexões que você está tendo problemas com os paramentros host, port e utilize o pfctl -s rules -vv para comparar os logs com a regras que estão criando o estado. Não sei se você sabe mas o log do pf mostra o número da regra que criou o estado, e o número da regra só é mostrado pelo pfctl quando você usa opção -vv - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Você usa só com TCP, certo? > Com TCP o meu funciona. Tenho configurações com TCP e UDP em produção. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Cria o "estado" mas não funfa o reply-to ;-) Fico na mesma. Welkson - Original Message - From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, October 01, 2008 3:27 PM Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) veridico : http://www.openbsd.org/faq/pf/filter.html#udpstate "PF simply keeps track of how long it has been since a matching packet has gone through. If the timeout is reached, the state is cleared. The timeout values can be set in the options section of the pf.conf file. " " set timeout option value Set various timeouts (in seconds). interval - seconds between purges of expired states and packet fragments. The default is 10 . frag - seconds before an unassembled fragment is expired. The default is 30 . src.track - seconds to keep a source tracking entry in memory after the last state expires. The default is 0 (zero). " Acredito que opcao utilizada seja src.track ... - Mensagem original - De: "Alexandre Biancalana" <[EMAIL PROTECTED]> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Enviadas: Quarta-feira, 1 de Outubro de 2008 15:21:06 GMT -03:00 Brasília Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Fala Wildes, blz? > > Estou usando a 7.0 RELEASE > > Vendo agora o man fiquei desanimado... veja: > > "reply-to is useful only in rules that create state". > Pelo que sei UDP não tem "estados"... acho que reply-to é só para TCP. Me > corrijam se eu estiver errado. Por natureza o UDP não estabelece conexão com o destino, mas mesmo assim o pf cria um "estado" para este tipo de comunicação. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Wildes Miranda - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Fala Wildes, blz? > > Estou usando a 7.0 RELEASE > > Vendo agora o man fiquei desanimado... veja: > > "reply-to is useful only in rules that create state". > Pelo que sei UDP não tem "estados"... acho que reply-to é só para TCP. Me > corrijam se eu estiver errado. Por natureza o UDP não estabelece conexão com o destino, mas mesmo assim o pf cria um "estado" para este tipo de comunicação. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, Você usa só com TCP, certo? Com TCP o meu funciona. Wildes, posta o trecho do conf! Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, October 01, 2008 3:16 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Wildes Miranda de Oliveira <[EMAIL PROTECTED]> wrote: > saudacoes ! > > Qual o versao do FreeBSD voce esta usando ? > tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada > nem com vela preta > no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface > pflog0 :S ... Funciona sim... utilizo desde o Free 6, a sua conf que deve ter algo errado > a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? > tipo tunN utilizadas por links PPP ?? Não vejo por que não funcionar - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Wildes Miranda de Oliveira <[EMAIL PROTECTED]> wrote: > saudacoes ! > > Qual o versao do FreeBSD voce esta usando ? > tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada nem > com vela preta > no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface pflog0 > :S ... Funciona sim... utilizo desde o Free 6, a sua conf que deve ter algo errado > a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? tipo > tunN utilizadas por links PPP ?? Não vejo por que não funcionar - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (MAIS UMA VEZ = UDP PROTOCOL)
Você não vai conseguir fazer com UDP exatamente pelo que falou, o reply-to não funciona neste caso porque a conexão não tem o 3 way handshake. Creio que outras aplicações que usem UDP e que você precise de tráfego entrante(SNMP, DNS) não irão funcionar, pelo mesmo motivo. > -Original Message- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On > Behalf Of Welkson Renny de Medeiros > Sent: Wednesday, October 01, 2008 2:36 PM > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (MAIS > UMA VEZ = UDP PROTOCOL) > > Fala Irado! > > Não é configuração. Se você ler os posts anteriores eu explico que estou > incluíndo mais um link de internet, e de fora só fica acessível o > primeiro eu quero deixar os dois... por isso estou usando o reply- > to... > porque os pacotes quando entram pelo segundo link insistem em voltar pelo > primeiro (default gateway). > > Consegui resolver quando o protocolo é TCP (fiz vários testes com Radmin, > SSH, etc, todos funcionam), mas com UDP (OpenVPN) não funciona. > > Vi agora que tem um PR para o reply-to, uma pena: > http://www.freebsd.org/cgi/query-pr.cgi?pr=93825 > > Essa configuração tá idêntica a 2 anos... agora todos os clientes estão > conectado pelo primeiro link (velox)... se eu alterar no conf do cliente > para usar o segundo link (jetcom), ele tenta conectar (vejo no log do pf), > mas não estabelece a vpn... no log dar pra ver que chega no ip do jetcom, > mas volta pelo velox. > > É isso, agora é só esperar que Max Laier tenha tempo pra ver isso ;-) como > o > próprio PR diz, não é crítico... talvez demore algum tempo para ser > corrigido. > > Engraçado que no PR foi reportado o problema com TCP e FreeBSD 6.1 > PRE-RELEASE, e tcp funciona pra mim... o meu é FreeBSD 7.0 RELEASE. > > Vou continuar nos testes, qualquer dica será bem vinda. > > Abraço, > > Welkson > > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (MAIS UMA VEZ = UDP PROTOCOL)
Fala Irado! Não é configuração. Se você ler os posts anteriores eu explico que estou incluíndo mais um link de internet, e de fora só fica acessível o primeiro eu quero deixar os dois... por isso estou usando o reply-to... porque os pacotes quando entram pelo segundo link insistem em voltar pelo primeiro (default gateway). Consegui resolver quando o protocolo é TCP (fiz vários testes com Radmin, SSH, etc, todos funcionam), mas com UDP (OpenVPN) não funciona. Vi agora que tem um PR para o reply-to, uma pena: http://www.freebsd.org/cgi/query-pr.cgi?pr=93825 Essa configuração tá idêntica a 2 anos... agora todos os clientes estão conectado pelo primeiro link (velox)... se eu alterar no conf do cliente para usar o segundo link (jetcom), ele tenta conectar (vejo no log do pf), mas não estabelece a vpn... no log dar pra ver que chega no ip do jetcom, mas volta pelo velox. É isso, agora é só esperar que Max Laier tenha tempo pra ver isso ;-) como o próprio PR diz, não é crítico... talvez demore algum tempo para ser corrigido. Engraçado que no PR foi reportado o problema com TCP e FreeBSD 6.1 PRE-RELEASE, e tcp funciona pra mim... o meu é FreeBSD 7.0 RELEASE. Vou continuar nos testes, qualquer dica será bem vinda. Abraço, Welkson - Original Message - From: "irado furioso com tudo" <[EMAIL PROTECTED]> To: Sent: Wednesday, October 01, 2008 2:22 PM Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (MAIS UMA VEZ = UDP PROTOCOL) Em Wed, 1 Oct 2008 14:01:11 -0300 "Welkson Renny de Medeiros" <[EMAIL PROTECTED]>, conhecido consumidor de drogas (BigMac's com Coke) escreveu: > (OpenVPN), não funfa. > > A conexão chega, mas retorna pelo ip errado. Lembrando que TCP funfa > normal (outros serviços). considerando-se que o OpenVPN é tunel em udp e, obrigatoriamente fecha conexão ponta-a-ponta, isso me parece muito mais problemas de configuração do OpenVPN do que do fwll. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free se o país é democrático, por que razão sou obrigado a votar? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Fala Wildes, blz? Estou usando a 7.0 RELEASE Vendo agora o man fiquei desanimado... veja: "reply-to is useful only in rules that create state". Pelo que sei UDP não tem "estados"... acho que reply-to é só para TCP. Me corrijam se eu estiver errado. Já usei a algum tempo o OpenVPN com TCP, mas ficou bem estranho... com udp funciona bem melhor. E agora José? =) Welkson - Original Message - From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, October 01, 2008 2:05 PM Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) saudacoes ! Qual o versao do FreeBSD voce esta usando ? tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada nem com vela preta no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface pflog0 :S ... a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? tipo tunN utilizadas por links PPP ?? value - Mensagem original - De: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Enviadas: Terça-feira, 30 de Setembro de 2008 16:13:39 GMT -03:00 Brasília Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) Obrigado Alexandre... deu certíssimo! pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 2 keep state Onde 189.3.15.1 é o gateway do jetcom. Sabem dizer se já foi implementado o reply-to para synproxy? (tais aí Aristeu?) http://osdir.com/ml/freebsd.devel.pf4freebsd/2006-10/msg00035.html Abraço, Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, September 30, 2008 3:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Pessoal, > > Também tenho esse mesmo problema. > > Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora > consigo acessar qualquer porta que libere no firewall. > > Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no > provedor, > 1024 são liberadas... > > Tento acessar de fora qualquer porta do link jetcom e não consigo (no > firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o > pacote chegando, mas não volta, ou volta pelo gateway default/velox, não > sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. > > Fiz essa dica da Aline mas não funfou comigo. > > Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, > vejo > o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Wildes Miranda - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (MAIS UMA VEZ = UDP PROTOCOL)
Em Wed, 1 Oct 2008 14:01:11 -0300 "Welkson Renny de Medeiros" <[EMAIL PROTECTED]>, conhecido consumidor de drogas (BigMac's com Coke) escreveu: > (OpenVPN), não funfa. > > A conexão chega, mas retorna pelo ip errado. Lembrando que TCP funfa > normal (outros serviços). considerando-se que o OpenVPN é tunel em udp e, obrigatoriamente fecha conexão ponta-a-ponta, isso me parece muito mais problemas de configuração do OpenVPN do que do fwll. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free se o país é democrático, por que razão sou obrigado a votar? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (MAIS UMA VEZ = UDP PROTOCOL)
Senhores, Com protocolo TCP ficou show de bola, mas com UDP (OpenVPN), não funfa. pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to any port 1194 keep state # já testei sem o keep state No log do PF: 00 rule 475/0(match): pass in on vr2: 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 A conexão chega, mas retorna pelo ip errado. Lembrando que TCP funfa normal (outros serviços). Sugestões? Welkson - Original Message - From: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, September 30, 2008 4:13 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) Obrigado Alexandre... deu certíssimo! pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 2 keep state Onde 189.3.15.1 é o gateway do jetcom. Sabem dizer se já foi implementado o reply-to para synproxy? (tais aí Aristeu?) http://osdir.com/ml/freebsd.devel.pf4freebsd/2006-10/msg00035.html Abraço, Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, September 30, 2008 3:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Pessoal, > > Também tenho esse mesmo problema. > > Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora > consigo acessar qualquer porta que libere no firewall. > > Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no > provedor, > 1024 são liberadas... > > Tento acessar de fora qualquer porta do link jetcom e não consigo (no > firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o > pacote chegando, mas não volta, ou volta pelo gateway default/velox, não > sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. > > Fiz essa dica da Aline mas não funfou comigo. > > Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, > vejo > o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Obrigado Alexandre... deu certíssimo! pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 2 keep state Onde 189.3.15.1 é o gateway do jetcom. Sabem dizer se já foi implementado o reply-to para synproxy? (tais aí Aristeu?) http://osdir.com/ml/freebsd.devel.pf4freebsd/2006-10/msg00035.html Abraço, Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, September 30, 2008 3:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Pessoal, > > Também tenho esse mesmo problema. > > Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora > consigo acessar qualquer porta que libere no firewall. > > Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no > provedor, > 1024 são liberadas... > > Tento acessar de fora qualquer porta do link jetcom e não consigo (no > firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o > pacote chegando, mas não volta, ou volta pelo gateway default/velox, não > sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. > > Fiz essa dica da Aline mas não funfou comigo. > > Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, > vejo > o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, vou testar o reply-to e retorno pra vocês. Valeuzzz. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, September 30, 2008 3:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Pessoal, > > Também tenho esse mesmo problema. > > Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora > consigo acessar qualquer porta que libere no firewall. > > Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no > provedor, > 1024 são liberadas... > > Tento acessar de fora qualquer porta do link jetcom e não consigo (no > firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o > pacote chegando, mas não volta, ou volta pelo gateway default/velox, não > sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. > > Fiz essa dica da Aline mas não funfou comigo. > > Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, > vejo > o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Welkson Renny de Medeiros wrote: | Fala Just, blz? | | Na verdade nem sei quem postou essa thread... no dia eu até comentei dizendo | que pensava que tinha esse problema mas era bloqueio do provedor... como | estava sem tempo acabei nem testando... ontem quando liguei para o provedor | falaram que só bloqueavam abaixo de 1024... testei com portas acima de 1024 | e realmente a conexão chega, mas não volta. | | Pior que uso PF... estou fazendo alguns testes com ROUTE-TO (eu uso para | voip), mas não estou conseguindo... | | Por exemplo, meu SSH está na porta 2. | | Do velox funfa perfeito, do jetcom a conexão chega ao servidor, aparece no | log do pf, mas não volta... | | Já tentei analisar via tcpdump, mas não sei por qual interface está | voltando... | | Meus testes estão assim: | # ssh (via jetcom) | pass in log quick on $ext_if2 proto tcp from any to any port 2 keep | state #quando um cliente tenta conectar via putty vejo no log do pf a | tentativa com o PASS, mas o cliente recebe um erro | | # tentei fazer esse RETORNO jogando para interface do jetcom (ext_if2)... | mas não funfou, nem bateu no log | pass out log quick on $ext_if2 route-to ($ext_if2 189.3.15.1) proto tcp from | any port 2 to any keep state Já usei PF no passado, mas tem tanto tempo que nem lembro mais os códigos das regras. Essa última regra sua faz o equivalente do fwd que postei do ipfw? - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 Blog: http://just.rg3.net/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFI4kqtXL+vuN2d7ZwRArUNAJ9UCy6uAIDnd0ae5TccjsmEUa/6WwCfXHJH ThXVOoZLR4U0/z9uyPC8vis= =YYyz -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
Fala Just, blz? Na verdade nem sei quem postou essa thread... no dia eu até comentei dizendo que pensava que tinha esse problema mas era bloqueio do provedor... como estava sem tempo acabei nem testando... ontem quando liguei para o provedor falaram que só bloqueavam abaixo de 1024... testei com portas acima de 1024 e realmente a conexão chega, mas não volta. Pior que uso PF... estou fazendo alguns testes com ROUTE-TO (eu uso para voip), mas não estou conseguindo... Por exemplo, meu SSH está na porta 2. Do velox funfa perfeito, do jetcom a conexão chega ao servidor, aparece no log do pf, mas não volta... Já tentei analisar via tcpdump, mas não sei por qual interface está voltando... Meus testes estão assim: # ssh (via jetcom) pass in log quick on $ext_if2 proto tcp from any to any port 2 keep state #quando um cliente tenta conectar via putty vejo no log do pf a tentativa com o PASS, mas o cliente recebe um erro # tentei fazer esse RETORNO jogando para interface do jetcom (ext_if2)... mas não funfou, nem bateu no log pass out log quick on $ext_if2 route-to ($ext_if2 189.3.15.1) proto tcp from any port 2 to any keep state Welkson - Original Message - From: "João Paulo Just" <[EMAIL PROTECTED]> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" Sent: Tuesday, September 30, 2008 12:32 PM Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Aline Freitas wrote: | Acabei descobrindo hoje como manter os dois links acessiveis por fora. Bem | simples. Fica registrado pro historico da lista: | | ip1 = aaa.aaa.aaa.aaa | ip2 = bbb.bbb.bbb.bbb | | gw1 = xxx.xxx.xxx.xxx | gw2 = yyy.yyy.yyy.yyy | | route add default $gw1 | route add -host $ip2 127.0.0.1 | | Criando uma rota a partir do IP da interface não padrão para a interface lo0 | torna esta interface não padrão acessivel de fora. | | Valeu para quem tentou ajudar, Vi essa mensagem hoje, nem tinha visto logo quando você postou. Aqui uso o seguinte comando no ipfw: $cmd add fwd gw2 ip from rede_ip2/mascara to not rede_ip2/mascara out via $pif - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 Blog: http://just.rg3.net/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFI4kakXL+vuN2d7ZwRAqT1AKDOAc4LfUdtNpL/dYF0WImUgfDWvQCfY2yP aykP87oJEsLwGMhehYxivVY= =s4Ic -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Pessoal, > > Também tenho esse mesmo problema. > > Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora > consigo acessar qualquer porta que libere no firewall. > > Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no > provedor, > 1024 são liberadas... > > Tento acessar de fora qualquer porta do link jetcom e não consigo (no > firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o > pacote chegando, mas não volta, ou volta pelo gateway default/velox, não > sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. > > Fiz essa dica da Aline mas não funfou comigo. > > Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, vejo > o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Aline Freitas wrote: | Acabei descobrindo hoje como manter os dois links acessiveis por fora. Bem | simples. Fica registrado pro historico da lista: | | ip1 = aaa.aaa.aaa.aaa | ip2 = bbb.bbb.bbb.bbb | | gw1 = xxx.xxx.xxx.xxx | gw2 = yyy.yyy.yyy.yyy | | route add default $gw1 | route add -host $ip2 127.0.0.1 | | Criando uma rota a partir do IP da interface não padrão para a interface lo0 | torna esta interface não padrão acessivel de fora. | | Valeu para quem tentou ajudar, Vi essa mensagem hoje, nem tinha visto logo quando você postou. Aqui uso o seguinte comando no ipfw: $cmd add fwd gw2 ip from rede_ip2/mascara to not rede_ip2/mascara out via $pif - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 Blog: http://just.rg3.net/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFI4kakXL+vuN2d7ZwRAqT1AKDOAc4LfUdtNpL/dYF0WImUgfDWvQCfY2yP aykP87oJEsLwGMhehYxivVY= =s4Ic -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Pessoal, Também tenho esse mesmo problema. Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora consigo acessar qualquer porta que libere no firewall. Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no provedor, > 1024 são liberadas... Tento acessar de fora qualquer porta do link jetcom e não consigo (no firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o pacote chegando, mas não volta, ou volta pelo gateway default/velox, não sei). Fiz essa dica da Aline mas não funfou comigo. Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, vejo o pacote chegando, mas a conexão não é estabelecida. Tentei diversos outros serviços, e a mesma coisa. Sugestões? Welkson - Original Message - From: "Aline Freitas" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, August 27, 2008 12:09 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora Acabei descobrindo hoje como manter os dois links acessiveis por fora. Bem simples. Fica registrado pro historico da lista: ip1 = aaa.aaa.aaa.aaa ip2 = bbb.bbb.bbb.bbb gw1 = xxx.xxx.xxx.xxx gw2 = yyy.yyy.yyy.yyy route add default $gw1 route add -host $ip2 127.0.0.1 Criando uma rota a partir do IP da interface não padrão para a interface lo0 torna esta interface não padrão acessivel de fora. Valeu para quem tentou ajudar, []'s Aline 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]> Boa tarde! Estou com dois links de internet: (bge1) Virtua = 12 megas, IP Dinâmico (bge2) Ajato = 2 megas, IP fixo (bge0) Rede interna A prioridade para uso interno é a bge2, por conta da banda alta. Apenas para alguns acessos que exigem autenticação por IP criei rotas via bge1. Pela rede interna tenho os dois gateways das duas interfaces acessíveis, mas o gateway default é o via bge2. O problema é que externamente, apenas o IP da bge2 (dinâmico) é acessível. O IP da bge1 (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa a ser acessível externamente. Alguém conhece alguma forma de fazer com que ambas as interfaces sejam acessíveis externamente? Aline - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Firewall ? PF ? Caso seja, basta liberar a porta que quer que seja acessivel na interface desejada. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Não me parece ser uma questão de portas, uma vez que de fora o IP nem pinga. Minhas regras no pf.conf: # Interfaces EXT_IF1 = "bge1" EXT_IF2 = "bge2" INT_IF = "bge0" VPN_IF = "tun0" # Redes LAN_NETWORK = "192.168.0.0/24" VPN_NETWORK = "10.8.0.0/24" # Portas publicas (abertas para Internet) # 4222 = SSH # 4280 = Apache (HTTP) # 42443 = Apache (HTTPS) # 8180 = Tomcat (HTTP) # 8443 = Tomcat (HTTPS) # 41194 = OpenVPN PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }" # Logar eventos em interface externa set loginterface $EXT_IF1 set loginterface $EXT_IF2 # Politica padrao de envio de rst em block set block-policy return # Ignorando loopback set skip on lo # Normalizacao scrub in all # NAT de VPN nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1) # NAT de LAN nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1) nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2) # Bloqueando toda entrada por padrao block in # Saida livre pass out keep state # Comunicacao livre com VPN pass quick on $VPN_IF keep state # Comunicacao livre com LAN pass quick on $INT_IF keep state # Permitiondo acesso a portas publicas pass in on $EXT_IF1 proto tcp from any to ($EXT_IF1) port $PUB_PORTS flags S/SA keep state pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2) port $PUB_PORTS flags S/SA keep state # Permitindo Ping pass in inet proto icmp all icmp-type echoreq keep state # Faz balanceamento de carga no trafego da rede interna pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto tcp from $LAN_NETWORK to any flags S/SA modulate state pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto { udp, icmp } from $LAN_NETWORK to any keep state # Regras gerais "pass out" para as interfaces externas pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state # Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para # $EXT_IF2 e $EXT_GW2 pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
Aline, o que vc entende por acessiveis por fora??? Pelo seguinte, uso 3 links num servidor, e os 3 sao acessiveis por fora normal (no meu entender hehe, pingar, conectar nas portas abertas, etc...) m3 2008/8/27 Aline Freitas <[EMAIL PROTECTED]>: > Acabei descobrindo hoje como manter os dois links acessiveis por fora. Bem > simples. Fica registrado pro historico da lista: > > ip1 = aaa.aaa.aaa.aaa > ip2 = bbb.bbb.bbb.bbb > > gw1 = xxx.xxx.xxx.xxx > gw2 = yyy.yyy.yyy.yyy > > route add default $gw1 > route add -host $ip2 127.0.0.1 > > Criando uma rota a partir do IP da interface não padrão para a interface lo0 > torna esta interface não padrão acessivel de fora. > > Valeu para quem tentou ajudar, > > []'s > Aline > > 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]> > > > Boa tarde! > > Estou com dois links de internet: > > (bge1) Virtua = 12 megas, IP Dinâmico > (bge2) Ajato = 2 megas, IP fixo > > (bge0) Rede interna > > A prioridade para uso interno é a bge2, por conta da banda alta. > Apenas para alguns > acessos que exigem autenticação por IP criei rotas via bge1. Pela rede > interna tenho os > dois gateways das duas interfaces acessíveis, mas o gateway default é > o via bge2. O > problema é que externamente, apenas o IP da bge2 (dinâmico) é > acessível. O IP da bge1 > (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa > a ser acessível > externamente. Alguém conhece alguma forma de fazer com que ambas as > interfaces sejam > acessíveis externamente? > > Aline > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > Firewall ? PF ? > Caso seja, basta liberar a porta que quer que seja acessivel na interface > desejada. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > Não me parece ser uma questão de portas, uma vez que de fora o IP nem pinga. > > Minhas regras no pf.conf: > > # Interfaces > EXT_IF1 = "bge1" > EXT_IF2 = "bge2" > INT_IF = "bge0" > VPN_IF = "tun0" > > # Redes > LAN_NETWORK = "192.168.0.0/24" > VPN_NETWORK = "10.8.0.0/24" > > # Portas publicas (abertas para Internet) > # 4222 = SSH > # 4280 = Apache (HTTP) > # 42443 = Apache (HTTPS) > # 8180 = Tomcat (HTTP) > # 8443 = Tomcat (HTTPS) > # 41194 = OpenVPN > PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }" > > # Logar eventos em interface externa > set loginterface $EXT_IF1 > set loginterface $EXT_IF2 > > # Politica padrao de envio de rst em block > set block-policy return > > # Ignorando loopback > set skip on lo > > # Normalizacao > scrub in all > > # NAT de VPN > nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1) > > # NAT de LAN > nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1) > nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2) > > # Bloqueando toda entrada por padrao > block in > > # Saida livre > pass out keep state > > # Comunicacao livre com VPN > pass quick on $VPN_IF keep state > > # Comunicacao livre com LAN > pass quick on $INT_IF keep state > > # Permitiondo acesso a portas publicas > > pass in on $EXT_IF1 proto tcp from any to > ($EXT_IF1) >port $PUB_PORTS flags S/SA keep state > pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2) >port $PUB_PORTS flags S/SA keep state > > # Permitindo Ping > pass in inet proto icmp all icmp-type echoreq keep state > > # Faz balanceamento de carga no trafego da rede interna > pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto tcp from > $LAN_NETWORK to any flags S/SA modulate state > > pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto { udp, > icmp } from > $LAN_NETWORK to any keep state > > # Regras gerais "pass out" para as interfaces externas > pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state > pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state > pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state > pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state > > # Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para > # $EXT_IF2 e $EXT_GW2 > pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any > pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Atenciosmente Mario Augusto Mania --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
Acabei descobrindo hoje como manter os dois links acessiveis por fora. Bem simples. Fica registrado pro historico da lista: ip1 = aaa.aaa.aaa.aaa ip2 = bbb.bbb.bbb.bbb gw1 = xxx.xxx.xxx.xxx gw2 = yyy.yyy.yyy.yyy route add default $gw1 route add -host $ip2 127.0.0.1 Criando uma rota a partir do IP da interface não padrão para a interface lo0 torna esta interface não padrão acessivel de fora. Valeu para quem tentou ajudar, []'s Aline 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]> Boa tarde! Estou com dois links de internet: (bge1) Virtua = 12 megas, IP Dinâmico (bge2) Ajato = 2 megas, IP fixo (bge0) Rede interna A prioridade para uso interno é a bge2, por conta da banda alta. Apenas para alguns acessos que exigem autenticação por IP criei rotas via bge1. Pela rede interna tenho os dois gateways das duas interfaces acessíveis, mas o gateway default é o via bge2. O problema é que externamente, apenas o IP da bge2 (dinâmico) é acessível. O IP da bge1 (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa a ser acessível externamente. Alguém conhece alguma forma de fazer com que ambas as interfaces sejam acessíveis externamente? Aline - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Firewall ? PF ? Caso seja, basta liberar a porta que quer que seja acessivel na interface desejada. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Não me parece ser uma questão de portas, uma vez que de fora o IP nem pinga. Minhas regras no pf.conf: # Interfaces EXT_IF1 = "bge1" EXT_IF2 = "bge2" INT_IF = "bge0" VPN_IF = "tun0" # Redes LAN_NETWORK = "192.168.0.0/24" VPN_NETWORK = "10.8.0.0/24" # Portas publicas (abertas para Internet) # 4222 = SSH # 4280 = Apache (HTTP) # 42443 = Apache (HTTPS) # 8180 = Tomcat (HTTP) # 8443 = Tomcat (HTTPS) # 41194 = OpenVPN PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }" # Logar eventos em interface externa set loginterface $EXT_IF1 set loginterface $EXT_IF2 # Politica padrao de envio de rst em block set block-policy return # Ignorando loopback set skip on lo # Normalizacao scrub in all # NAT de VPN nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1) # NAT de LAN nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1) nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2) # Bloqueando toda entrada por padrao block in # Saida livre pass out keep state # Comunicacao livre com VPN pass quick on $VPN_IF keep state # Comunicacao livre com LAN pass quick on $INT_IF keep state # Permitiondo acesso a portas publicas pass in on $EXT_IF1 proto tcp from any to ($EXT_IF1) port $PUB_PORTS flags S/SA keep state pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2) port $PUB_PORTS flags S/SA keep state # Permitindo Ping pass in inet proto icmp all icmp-type echoreq keep state # Faz balanceamento de carga no trafego da rede interna pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto tcp from $LAN_NETWORK to any flags S/SA modulate state pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto { udp, icmp } from $LAN_NETWORK to any keep state # Regras gerais "pass out" para as interfaces externas pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state # Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para # $EXT_IF2 e $EXT_GW2 pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
Giancarlo, Esquece tudo que falei... lembrei que a algum tempo descobri que o próprio provedor (jetcom) filtrava algumas portas... Abraço, Welkson - Original Message - From: "Giancarlo Rubio" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, August 21, 2008 1:10 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora 2008/8/21 Welkson Renny de Medeiros <[EMAIL PROTECTED]>: > Realmente tem fundamento! > > Alguém sabe como resolver isso? Route-to conforme vc mesmo havia dito acima. Se vc manda um pacote sair pela interface 1 ele terá que retornar pela 1, não faz sentido ele voltar na 2 (se está voltando na 2 existe alguma configuração errada). Eu uso este mesmo cenário que está sendo proposto acima sem problemas. Conforme foi falado não existe no freebsd (até aonde sei) algo como iproute do linux que permite ter mais de 1 gateway default. Sofri mais consegui implementar com o pf o cenário. Tcpdump, como tambem foi recomendado, verifique na outra ponta se o pacote chega pelo link certo, se ele está saindo pelo link certo..bla bla bla.. Estes 2 links do pf devem ser lidos com muita atenção, pois são eles que irão resolver seu problema. http://www.openbsd.org/faq/pf/pools.html#outgoing http://www.openbsd.org/faq/pf/pools.html#incoming -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
Realmente tem fundamento! Alguém sabe como resolver isso? Welkson - Original Message - From: "Lucas Mocellin" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, August 21, 2008 12:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora Amigo, acho que o seu problema eh o seguinte, quando alguma conexão chega pela bge2, a volta do pacote sai pela bge1, por ser o gateway default. faca o teste com o tcpdump, rode um tcpdump nas duas interfaces e tente pingar ou algo assim. Ja passei por esse problema, mas infelizmente a solucao para freebsd eu desconheco, hoje trabalho muito mais com linux que gfreebsd. Se for isso, o que vc precisa fazer eh controlar as rotas mesmo(quem sabe o colega que falou antes esteja correto sobre o source routing). "Dizer" ao freebsd que tudo que entra pela bge2, TEM que sair pela bge2.(e nao pelo gw padrao). Conheco essa implementacao somente para linux. um abraco Lucas. Em 21/08/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> escreveu: > > Também tenho esse problema... > > Tenho um link do velox e outro da jetcom... internamente uso os dois > (route-to do pf)... mas externo só consigo acessar pelo velox (que é o > default gateway)... nada funciona pelo ip do jetcom. > > Welkson > > - Original Message - > From: "Aline de Freitas" <[EMAIL PROTECTED]> > To: > Sent: Thursday, August 21, 2008 11:39 AM > Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora > > > Citando Giancarlo Rubio <[EMAIL PROTECTED]>: > > > 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>: > >> Citando Gule # <[EMAIL PROTECTED]>: > >> > >>> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]> > >>> > Boa tarde! > > Estou com dois links de internet: > > (bge1) Virtua = 12 megas, IP Dinâmico > (bge2) Ajato = 2 megas, IP fixo > > (bge0) Rede interna > > A prioridade para uso interno é a bge2, por conta da banda alta. > Apenas para alguns > acessos que exigem autenticação por IP criei rotas via bge1. Pela > rede > interna tenho os > dois gateways das duas interfaces acessíveis, mas o gateway default é > o via bge2. O > problema é que externamente, apenas o IP da bge2 (dinâmico) é > acessível. O IP da bge1 > (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa > a ser acessível > externamente. Alguém conhece alguma forma de fazer com que ambas as > interfaces sejam > acessíveis externamente? > > Aline > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > >>> > >>> Firewall ? PF ? > >>> Caso seja, basta liberar a porta que quer que seja acessivel na > >>> interface > >>> desejada. > >>> - > >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>> > >> > >> Não me parece ser uma questão de portas, uma vez que de fora o IP nem > >> pinga. > >> > >> Minhas regras no pf.conf: > >> > >> # Interfaces > >> EXT_IF1 = "bge1" > >> EXT_IF2 = "bge2" > >> INT_IF = "bge0" > >> VPN_IF = "tun0" > >> > >> # Redes > >> LAN_NETWORK = "192.168.0.0/24" > >> VPN_NETWORK = "10.8.0.0/24" > >> > >> # Portas publicas (abertas para Internet) > >> # 4222 = SSH > >> # 4280 = Apache (HTTP) > >> # 42443 = Apache (HTTPS) > >> # 8180 = Tomcat (HTTP) > >> # 8443 = Tomcat (HTTPS) > >> # 41194 = OpenVPN > >> PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }" > >> > >> # Logar eventos em interface externa > >> set loginterface $EXT_IF1 > >> set loginterface $EXT_IF2 > >> > >> # Politica padrao de envio de rst em block > >> set block-policy return > >> > >> # Ignorando loopback > >> set skip on lo > >> > >> # Normalizacao > >> scrub in all > >> > >> # NAT de VPN > >> nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1) > >> > >> # NAT de LAN > >> nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1) > >> nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2) > >> > >> # Bloqueando toda entrada por padrao > >> block in > >> > >> # Saida livre > >> pass out keep state > >> > >> # Comunicacao livre com VPN > >> pass quick on $VPN_IF keep state > >> > >> # Comunicacao livre com LAN > >> pass quick on $INT_IF keep state > >> > >> # Permitiondo acesso a portas publicas > >>pass in on $EXT_IF1 proto tcp > >> from any to > >> ($EXT_IF1) > >> port $PUB_PORTS flags S/SA keep state > >> pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2) > >> port $PUB_PORTS flags S/SA keep state > >> > >> # Permitindo Ping > >> pass in inet proto icmp all icmp-type echoreq keep state > >> > >> # Faz balanceamento de carga no trafego da rede interna > >> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin > >> proto tcp from > >> $LAN_NETWORK to any flags S/S
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
Amigo, acho que o seu problema eh o seguinte, quando alguma conexão chega pela bge2, a volta do pacote sai pela bge1, por ser o gateway default. faca o teste com o tcpdump, rode um tcpdump nas duas interfaces e tente pingar ou algo assim. Ja passei por esse problema, mas infelizmente a solucao para freebsd eu desconheco, hoje trabalho muito mais com linux que gfreebsd. Se for isso, o que vc precisa fazer eh controlar as rotas mesmo(quem sabe o colega que falou antes esteja correto sobre o source routing). "Dizer" ao freebsd que tudo que entra pela bge2, TEM que sair pela bge2.(e nao pelo gw padrao). Conheco essa implementacao somente para linux. um abraco Lucas. Em 21/08/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> escreveu: > > Também tenho esse problema... > > Tenho um link do velox e outro da jetcom... internamente uso os dois > (route-to do pf)... mas externo só consigo acessar pelo velox (que é o > default gateway)... nada funciona pelo ip do jetcom. > > Welkson > > - Original Message - > From: "Aline de Freitas" <[EMAIL PROTECTED]> > To: > Sent: Thursday, August 21, 2008 11:39 AM > Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora > > > Citando Giancarlo Rubio <[EMAIL PROTECTED]>: > > > 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>: > >> Citando Gule # <[EMAIL PROTECTED]>: > >> > >>> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]> > >>> > Boa tarde! > > Estou com dois links de internet: > > (bge1) Virtua = 12 megas, IP Dinâmico > (bge2) Ajato = 2 megas, IP fixo > > (bge0) Rede interna > > A prioridade para uso interno é a bge2, por conta da banda alta. > Apenas para alguns > acessos que exigem autenticação por IP criei rotas via bge1. Pela rede > interna tenho os > dois gateways das duas interfaces acessíveis, mas o gateway default é > o via bge2. O > problema é que externamente, apenas o IP da bge2 (dinâmico) é > acessível. O IP da bge1 > (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa > a ser acessível > externamente. Alguém conhece alguma forma de fazer com que ambas as > interfaces sejam > acessíveis externamente? > > Aline > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > >>> > >>> Firewall ? PF ? > >>> Caso seja, basta liberar a porta que quer que seja acessivel na > >>> interface > >>> desejada. > >>> - > >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>> > >> > >> Não me parece ser uma questão de portas, uma vez que de fora o IP nem > >> pinga. > >> > >> Minhas regras no pf.conf: > >> > >> # Interfaces > >> EXT_IF1 = "bge1" > >> EXT_IF2 = "bge2" > >> INT_IF = "bge0" > >> VPN_IF = "tun0" > >> > >> # Redes > >> LAN_NETWORK = "192.168.0.0/24" > >> VPN_NETWORK = "10.8.0.0/24" > >> > >> # Portas publicas (abertas para Internet) > >> # 4222 = SSH > >> # 4280 = Apache (HTTP) > >> # 42443 = Apache (HTTPS) > >> # 8180 = Tomcat (HTTP) > >> # 8443 = Tomcat (HTTPS) > >> # 41194 = OpenVPN > >> PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }" > >> > >> # Logar eventos em interface externa > >> set loginterface $EXT_IF1 > >> set loginterface $EXT_IF2 > >> > >> # Politica padrao de envio de rst em block > >> set block-policy return > >> > >> # Ignorando loopback > >> set skip on lo > >> > >> # Normalizacao > >> scrub in all > >> > >> # NAT de VPN > >> nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1) > >> > >> # NAT de LAN > >> nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1) > >> nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2) > >> > >> # Bloqueando toda entrada por padrao > >> block in > >> > >> # Saida livre > >> pass out keep state > >> > >> # Comunicacao livre com VPN > >> pass quick on $VPN_IF keep state > >> > >> # Comunicacao livre com LAN > >> pass quick on $INT_IF keep state > >> > >> # Permitiondo acesso a portas publicas > >>pass in on $EXT_IF1 proto tcp > >> from any to > >> ($EXT_IF1) > >> port $PUB_PORTS flags S/SA keep state > >> pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2) > >> port $PUB_PORTS flags S/SA keep state > >> > >> # Permitindo Ping > >> pass in inet proto icmp all icmp-type echoreq keep state > >> > >> # Faz balanceamento de carga no trafego da rede interna > >> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin > >> proto tcp from > >> $LAN_NETWORK to any flags S/SA modulate state > >> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto { > >> udp, icmp } from > >> $LAN_NETWORK to any keep state > >> > >> # Regras gerais "pass out" para as interfaces externas > >> pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state > >> pass out on $EXT_IF1 pr
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
Também tenho esse problema... Tenho um link do velox e outro da jetcom... internamente uso os dois (route-to do pf)... mas externo só consigo acessar pelo velox (que é o default gateway)... nada funciona pelo ip do jetcom. Welkson - Original Message - From: "Aline de Freitas" <[EMAIL PROTECTED]> To: Sent: Thursday, August 21, 2008 11:39 AM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora Citando Giancarlo Rubio <[EMAIL PROTECTED]>: > 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>: >> Citando Gule # <[EMAIL PROTECTED]>: >> >>> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]> >>> Boa tarde! Estou com dois links de internet: (bge1) Virtua = 12 megas, IP Dinâmico (bge2) Ajato = 2 megas, IP fixo (bge0) Rede interna A prioridade para uso interno é a bge2, por conta da banda alta. Apenas para alguns acessos que exigem autenticação por IP criei rotas via bge1. Pela rede interna tenho os dois gateways das duas interfaces acessíveis, mas o gateway default é o via bge2. O problema é que externamente, apenas o IP da bge2 (dinâmico) é acessível. O IP da bge1 (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa a ser acessível externamente. Alguém conhece alguma forma de fazer com que ambas as interfaces sejam acessíveis externamente? Aline - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >>> Firewall ? PF ? >>> Caso seja, basta liberar a porta que quer que seja acessivel na >>> interface >>> desejada. >>> - >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >> >> Não me parece ser uma questão de portas, uma vez que de fora o IP nem >> pinga. >> >> Minhas regras no pf.conf: >> >> # Interfaces >> EXT_IF1 = "bge1" >> EXT_IF2 = "bge2" >> INT_IF = "bge0" >> VPN_IF = "tun0" >> >> # Redes >> LAN_NETWORK = "192.168.0.0/24" >> VPN_NETWORK = "10.8.0.0/24" >> >> # Portas publicas (abertas para Internet) >> # 4222 = SSH >> # 4280 = Apache (HTTP) >> # 42443 = Apache (HTTPS) >> # 8180 = Tomcat (HTTP) >> # 8443 = Tomcat (HTTPS) >> # 41194 = OpenVPN >> PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }" >> >> # Logar eventos em interface externa >> set loginterface $EXT_IF1 >> set loginterface $EXT_IF2 >> >> # Politica padrao de envio de rst em block >> set block-policy return >> >> # Ignorando loopback >> set skip on lo >> >> # Normalizacao >> scrub in all >> >> # NAT de VPN >> nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1) >> >> # NAT de LAN >> nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1) >> nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2) >> >> # Bloqueando toda entrada por padrao >> block in >> >> # Saida livre >> pass out keep state >> >> # Comunicacao livre com VPN >> pass quick on $VPN_IF keep state >> >> # Comunicacao livre com LAN >> pass quick on $INT_IF keep state >> >> # Permitiondo acesso a portas publicas >>pass in on $EXT_IF1 proto tcp >> from any to >> ($EXT_IF1) >> port $PUB_PORTS flags S/SA keep state >> pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2) >> port $PUB_PORTS flags S/SA keep state >> >> # Permitindo Ping >> pass in inet proto icmp all icmp-type echoreq keep state >> >> # Faz balanceamento de carga no trafego da rede interna >> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin >> proto tcp from >> $LAN_NETWORK to any flags S/SA modulate state >> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto { >> udp, icmp } from >> $LAN_NETWORK to any keep state >> >> # Regras gerais "pass out" para as interfaces externas >> pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state >> pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state >> pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state >> pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state >> >> # Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para >> # $EXT_IF2 e $EXT_GW2 >> pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any >> pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > O que seu pflog diz quando é bloqueado o ping por exemplo? > > -- > Giancarlo Rubio > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Eu ainda não estou certa de que seja uma questão de firewall. Não se trata de bloqueio de pings, no meu entender, mas de invisibilidade total do IP por fora (100% packet loss) Digamos
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
Citando Giancarlo Rubio <[EMAIL PROTECTED]>: > 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>: >> Citando Gule # <[EMAIL PROTECTED]>: >> >>> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]> >>> Boa tarde! Estou com dois links de internet: (bge1) Virtua = 12 megas, IP Dinâmico (bge2) Ajato = 2 megas, IP fixo (bge0) Rede interna A prioridade para uso interno é a bge2, por conta da banda alta. Apenas para alguns acessos que exigem autenticação por IP criei rotas via bge1. Pela rede interna tenho os dois gateways das duas interfaces acessíveis, mas o gateway default é o via bge2. O problema é que externamente, apenas o IP da bge2 (dinâmico) é acessível. O IP da bge1 (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa a ser acessível externamente. Alguém conhece alguma forma de fazer com que ambas as interfaces sejam acessíveis externamente? Aline - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >>> Firewall ? PF ? >>> Caso seja, basta liberar a porta que quer que seja acessivel na interface >>> desejada. >>> - >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >> >> Não me parece ser uma questão de portas, uma vez que de fora o IP nem pinga. >> >> Minhas regras no pf.conf: >> >> # Interfaces >> EXT_IF1 = "bge1" >> EXT_IF2 = "bge2" >> INT_IF = "bge0" >> VPN_IF = "tun0" >> >> # Redes >> LAN_NETWORK = "192.168.0.0/24" >> VPN_NETWORK = "10.8.0.0/24" >> >> # Portas publicas (abertas para Internet) >> # 4222 = SSH >> # 4280 = Apache (HTTP) >> # 42443 = Apache (HTTPS) >> # 8180 = Tomcat (HTTP) >> # 8443 = Tomcat (HTTPS) >> # 41194 = OpenVPN >> PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }" >> >> # Logar eventos em interface externa >> set loginterface $EXT_IF1 >> set loginterface $EXT_IF2 >> >> # Politica padrao de envio de rst em block >> set block-policy return >> >> # Ignorando loopback >> set skip on lo >> >> # Normalizacao >> scrub in all >> >> # NAT de VPN >> nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1) >> >> # NAT de LAN >> nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1) >> nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2) >> >> # Bloqueando toda entrada por padrao >> block in >> >> # Saida livre >> pass out keep state >> >> # Comunicacao livre com VPN >> pass quick on $VPN_IF keep state >> >> # Comunicacao livre com LAN >> pass quick on $INT_IF keep state >> >> # Permitiondo acesso a portas publicas >>pass in on $EXT_IF1 proto tcp >> from any to >> ($EXT_IF1) >> port $PUB_PORTS flags S/SA keep state >> pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2) >> port $PUB_PORTS flags S/SA keep state >> >> # Permitindo Ping >> pass in inet proto icmp all icmp-type echoreq keep state >> >> # Faz balanceamento de carga no trafego da rede interna >> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin >> proto tcp from >> $LAN_NETWORK to any flags S/SA modulate state >> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto { >> udp, icmp } from >> $LAN_NETWORK to any keep state >> >> # Regras gerais "pass out" para as interfaces externas >> pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state >> pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state >> pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state >> pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state >> >> # Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para >> # $EXT_IF2 e $EXT_GW2 >> pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any >> pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > O que seu pflog diz quando é bloqueado o ping por exemplo? > > -- > Giancarlo Rubio > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Eu ainda não estou certa de que seja uma questão de firewall. Não se trata de bloqueio de pings, no meu entender, mas de invisibilidade total do IP por fora (100% packet loss) Digamos que ip_bge1 = aaa.aaa.aaa.aaa ip_bge2 = bbb.bbb.bbb.bbb gw_bge1 = xxx.xxx.xxx.xxx gw_bge2 = yyy.yyy.yyy.yyy Como minha prioridade é pela bge2 eu tenho o gateway yyy.yyy.yyy.yyy como default na tabela de rotas (netstat -rn) Se eu fizer route change default yyy.yyy.yyy.yyy então de fora eu pingo e acesso os serviços pelas portas externas via $ip_bge1 mas não pingo $ip_bge2, e vice-versa. Não existiria uma forma de sol
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
Citando Gule # <[EMAIL PROTECTED]>: > 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]> > >> Boa tarde! >> >> Estou com dois links de internet: >> >> (bge1) Virtua = 12 megas, IP Dinâmico >> (bge2) Ajato = 2 megas, IP fixo >> >> (bge0) Rede interna >> >> A prioridade para uso interno é a bge2, por conta da banda alta. >> Apenas para alguns >> acessos que exigem autenticação por IP criei rotas via bge1. Pela rede >> interna tenho os >> dois gateways das duas interfaces acessíveis, mas o gateway default é >> o via bge2. O >> problema é que externamente, apenas o IP da bge2 (dinâmico) é >> acessível. O IP da bge1 >> (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa >> a ser acessível >> externamente. Alguém conhece alguma forma de fazer com que ambas as >> interfaces sejam >> acessíveis externamente? >> >> Aline >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > Firewall ? PF ? > Caso seja, basta liberar a porta que quer que seja acessivel na interface > desejada. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Não me parece ser uma questão de portas, uma vez que de fora o IP nem pinga. Minhas regras no pf.conf: # Interfaces EXT_IF1 = "bge1" EXT_IF2 = "bge2" INT_IF = "bge0" VPN_IF = "tun0" # Redes LAN_NETWORK = "192.168.0.0/24" VPN_NETWORK = "10.8.0.0/24" # Portas publicas (abertas para Internet) # 4222 = SSH # 4280 = Apache (HTTP) # 42443 = Apache (HTTPS) # 8180 = Tomcat (HTTP) # 8443 = Tomcat (HTTPS) # 41194 = OpenVPN PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }" # Logar eventos em interface externa set loginterface $EXT_IF1 set loginterface $EXT_IF2 # Politica padrao de envio de rst em block set block-policy return # Ignorando loopback set skip on lo # Normalizacao scrub in all # NAT de VPN nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1) # NAT de LAN nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1) nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2) # Bloqueando toda entrada por padrao block in # Saida livre pass out keep state # Comunicacao livre com VPN pass quick on $VPN_IF keep state # Comunicacao livre com LAN pass quick on $INT_IF keep state # Permitiondo acesso a portas publicas pass in on $EXT_IF1 proto tcp from any to ($EXT_IF1) port $PUB_PORTS flags S/SA keep state pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2) port $PUB_PORTS flags S/SA keep state # Permitindo Ping pass in inet proto icmp all icmp-type echoreq keep state # Faz balanceamento de carga no trafego da rede interna pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto tcp from $LAN_NETWORK to any flags S/SA modulate state pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto { udp, icmp } from $LAN_NETWORK to any keep state # Regras gerais "pass out" para as interfaces externas pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state # Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para # $EXT_IF2 e $EXT_GW2 pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
> > > > A prioridade para uso interno é a bge2, por conta da banda alta. > > Apenas para alguns > > acessos que exigem autenticação por IP criei rotas via bge1. Pela rede > > interna tenho os > > dois gateways das duas interfaces acessíveis, mas o gateway default é > > o via bge2. O > > problema é que externamente, apenas o IP da bge2 (dinâmico) é > > acessível. O IP da bge1 > > (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa > > a ser acessível > > externamente. Alguém conhece alguma forma de fazer com que ambas as > > interfaces sejam > > acessíveis externamente? > Vc precisa fazer source routing pra conseguir isso, utilizando pf: route-to The route-to option routes the packet to the specified interface with an optional address for the next hop. When a route-to rule creates state, only packets that pass in the same direction as the filter rule specifies will be routed in this way. Packets passing in the opposite direction (replies) are not affected and are routed normally. Vc poderia fazer via OSPF utilizando zebra ou quagga, mas acho que seria mais difícil que a solução de source routing. -- []´s Helio Loureiro - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
2008/8/20 Aline de Freitas <[EMAIL PROTECTED]> > Boa tarde! > > Estou com dois links de internet: > > (bge1) Virtua = 12 megas, IP Dinâmico > (bge2) Ajato = 2 megas, IP fixo > > (bge0) Rede interna > > A prioridade para uso interno é a bge2, por conta da banda alta. > Apenas para alguns > acessos que exigem autenticação por IP criei rotas via bge1. Pela rede > interna tenho os > dois gateways das duas interfaces acessíveis, mas o gateway default é > o via bge2. O > problema é que externamente, apenas o IP da bge2 (dinâmico) é > acessível. O IP da bge1 > (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa > a ser acessível > externamente. Alguém conhece alguma forma de fazer com que ambas as > interfaces sejam > acessíveis externamente? > > Aline > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Firewall ? PF ? Caso seja, basta liberar a porta que quer que seja acessivel na interface desejada. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Dois links de internet, um inacessíve l de fora
Boa tarde! Estou com dois links de internet: (bge1) Virtua = 12 megas, IP Dinâmico (bge2) Ajato = 2 megas, IP fixo (bge0) Rede interna A prioridade para uso interno é a bge2, por conta da banda alta. Apenas para alguns acessos que exigem autenticação por IP criei rotas via bge1. Pela rede interna tenho os dois gateways das duas interfaces acessíveis, mas o gateway default é o via bge2. O problema é que externamente, apenas o IP da bge2 (dinâmico) é acessível. O IP da bge1 (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa a ser acessível externamente. Alguém conhece alguma forma de fazer com que ambas as interfaces sejam acessíveis externamente? Aline - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd