Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-04 Por tôpico Welkson Renny de Medeiros
A conexão é bem estável, quanto a isso fico mais tranquilo.

Quanto a MTU eu uso em um cliente o openvpn com TCP e não tive que fazer 
nenhum ajuste, acho que funcionará bem.

Vou deixar pra mexer na segunda...

Obrigado mais uma vez.

Welkson


- Original Message - 
From: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Saturday, October 04, 2008 10:03 AM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI 
NOVU)


Fica bem estranho manter dois confs... e como fazer isso no rc.conf?
carregar na mão via rc.local não gosto muito!

Vou alterar o protocolo para TCP e ver como se comporta.

Eu tenho um outro cliente usando via TCP a mais de ano... mas é só para TEF,
os pacotes são mínimos (2 ou 3kb).

Alguns dos clientes da VPN usam replicação... o volume de dados é bem
grande... pelo que li o desempenho em TCP cai um pouco... mas acho que não
terei problemas.

Obrigado pela ajuda.

Bom fim de semana.

Welkson


- Original Message - 
From: "Alexandre Biancalana" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"

Sent: Friday, October 03, 2008 6:12 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI
NOVU)


On 10/3/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Alexandre,
>
>  Deve ser algo no UDP mesmo.
>
>  Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o
> cliente,
>  fiz a alteração na conf também para tcp... tentei acessar nos dois ips e
>  funfou perfeito
>
>  Mesma regra do firewall, só alterei o de udp para tcp.
>
>  Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado
>  amanhã, não quero receber ligação amanhã no feriado (-:
>
>  Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn
> para
>  tcp e trocar a conf em todos os clientes.


Eu verifiquei oque tenho funcionando com udp (DNS) e o q descobri que
tenho 2 binds rodando no servidor um respondendo por cada link, talvez
se vc tentar fazer isso com openvpnd funcione.

Att,
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-04 Por tôpico Alexandre Biancalana
On 10/4/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Fica bem estranho manter dois confs... e como fazer isso no rc.conf?
>  carregar na mão via rc.local não gosto muito!

Então, você teria que mudar algumas coisas, se não me engano o openvpn
é iniciado por um script no /usr/local/etc/rc.d, copie ele com outro
nome (openvpn2) e altere o script para buscar variáveis com outros
nomes e use essas variáveis dentro do rc.conf também.

>
>  Vou alterar o protocolo para TCP e ver como se comporta.
>
>  Eu tenho um outro cliente usando via TCP a mais de ano... mas é só para TEF,
>  os pacotes são mínimos (2 ou 3kb).
>
>  Alguns dos clientes da VPN usam replicação... o volume de dados é bem
>  grande... pelo que li o desempenho em TCP cai um pouco... mas acho que não
>  terei problemas.

É só a performance que é menor ou você tem problemas com a conexão tb
? Em alguns casos é necessário ajustar o MTU da conexão do openvpn.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-04 Por tôpico Welkson Renny de Medeiros
Fica bem estranho manter dois confs... e como fazer isso no rc.conf? 
carregar na mão via rc.local não gosto muito!

Vou alterar o protocolo para TCP e ver como se comporta.

Eu tenho um outro cliente usando via TCP a mais de ano... mas é só para TEF, 
os pacotes são mínimos (2 ou 3kb).

Alguns dos clientes da VPN usam replicação... o volume de dados é bem 
grande... pelo que li o desempenho em TCP cai um pouco... mas acho que não 
terei problemas.

Obrigado pela ajuda.

Bom fim de semana.

Welkson


- Original Message - 
From: "Alexandre Biancalana" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Friday, October 03, 2008 6:12 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI 
NOVU)


On 10/3/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Alexandre,
>
>  Deve ser algo no UDP mesmo.
>
>  Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o 
> cliente,
>  fiz a alteração na conf também para tcp... tentei acessar nos dois ips e
>  funfou perfeito
>
>  Mesma regra do firewall, só alterei o de udp para tcp.
>
>  Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado
>  amanhã, não quero receber ligação amanhã no feriado (-:
>
>  Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn 
> para
>  tcp e trocar a conf em todos os clientes.


Eu verifiquei oque tenho funcionando com udp (DNS) e o q descobri que
tenho 2 binds rodando no servidor um respondendo por cada link, talvez
se vc tentar fazer isso com openvpnd funcione.

Att,
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-03 Por tôpico Alexandre Biancalana
On 10/3/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Alexandre,
>
>  Deve ser algo no UDP mesmo.
>
>  Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o cliente,
>  fiz a alteração na conf também para tcp... tentei acessar nos dois ips e
>  funfou perfeito
>
>  Mesma regra do firewall, só alterei o de udp para tcp.
>
>  Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado
>  amanhã, não quero receber ligação amanhã no feriado (-:
>
>  Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn para
>  tcp e trocar a conf em todos os clientes.


Eu verifiquei oque tenho funcionando com udp (DNS) e o q descobri que
tenho 2 binds rodando no servidor um respondendo por cada link, talvez
se vc tentar fazer isso com openvpnd funcione.

Att,
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-02 Por tôpico Welkson Renny de Medeiros
Alexandre,

Deve ser algo no UDP mesmo.

Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o cliente, 
fiz a alteração na conf também para tcp... tentei acessar nos dois ips e 
funfou perfeito

Mesma regra do firewall, só alterei o de udp para tcp.

Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado 
amanhã, não quero receber ligação amanhã no feriado (-:

Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn para 
tcp e trocar a conf em todos os clientes.

Vale, obrigado!

Welkson


- Original Message - 
From: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Thursday, October 02, 2008 7:40 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI 
NOVU)


Alexandre,


Sai pelo default gateway (velox).

189.3.15.x é o ip secundário que quero que funcione udp externo.
189.124.129.x é o default gateway velox que já funciona o udp externo.

Alterei meu openvpn.conf para conectar via 189.l3.15.x e veja:

[EMAIL PROTECTED] /]# tcpdump -ni vr2 host 189.3.15.165
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vr2, link-type EN10MB (Ethernet), capture size 96 bytes
19:39:31.105715 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14
19:39:33.339138 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14
19:39:35.033140 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14

[EMAIL PROTECTED] /]# cat /etc/firewall/pf.conf | grep 1194
pass in log on $ext_if proto udp from any to any port 1194 # libera no
velox - default gateway

# libera no jetcom - secundário - problema no REPLY-TO
pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to
any port 1194 keep state

# 189.3.15.1 é o gateway do provedor jetcom.

Welkson


- Original Message - 
From: "Alexandre Biancalana" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"

Sent: Thursday, October 02, 2008 6:55 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI
NOVU)


On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> De manhã eu havia enviado... mas mandei novamente no pvt.
>
>
>  Welkson

Bom.. pra termos certeza de que está acontecendo oque estamos
pensando, que é o pacote udp voltar pela interface errada, faça o
seguinte:

 - Pegue o ip externo do qual vc vai conectar no openvpn
 - Abra um tcpdump -ni  host 
 - Tente fazer a conexão com o openvpn na interface pela qual não está
funcionado
 - Veja se aparece o pacote udp saindo pela interface da rota default no
tcpdump

Manda os resultados.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-02 Por tôpico Welkson Renny de Medeiros
Alexandre,


Sai pelo default gateway (velox).

189.3.15.x é o ip secundário que quero que funcione udp externo.
189.124.129.x é o default gateway velox que já funciona o udp externo.

Alterei meu openvpn.conf para conectar via 189.l3.15.x e veja:

[EMAIL PROTECTED] /]# tcpdump -ni vr2 host 189.3.15.165
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vr2, link-type EN10MB (Ethernet), capture size 96 bytes
19:39:31.105715 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14
19:39:33.339138 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14
19:39:35.033140 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14

[EMAIL PROTECTED] /]# cat /etc/firewall/pf.conf | grep 1194
pass in log on $ext_if proto udp from any to any port 1194 # libera no 
velox - default gateway

# libera no jetcom - secundário - problema no REPLY-TO
pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to 
any port 1194 keep state

# 189.3.15.1 é o gateway do provedor jetcom.

Welkson


- Original Message - 
From: "Alexandre Biancalana" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Thursday, October 02, 2008 6:55 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI 
NOVU)


On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> De manhã eu havia enviado... mas mandei novamente no pvt.
>
>
>  Welkson

Bom.. pra termos certeza de que está acontecendo oque estamos
pensando, que é o pacote udp voltar pela interface errada, faça o
seguinte:

 - Pegue o ip externo do qual vc vai conectar no openvpn
 - Abra um tcpdump -ni  host 
 - Tente fazer a conexão com o openvpn na interface pela qual não está
funcionado
 - Veja se aparece o pacote udp saindo pela interface da rota default no 
tcpdump

Manda os resultados.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-02 Por tôpico Alexandre Biancalana
On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> De manhã eu havia enviado... mas mandei novamente no pvt.
>
>
>  Welkson

Bom.. pra termos certeza de que está acontecendo oque estamos
pensando, que é o pacote udp voltar pela interface errada, faça o
seguinte:

 - Pegue o ip externo do qual vc vai conectar no openvpn
 - Abra um tcpdump -ni  host 
 - Tente fazer a conexão com o openvpn na interface pela qual não está
funcionado
 - Veja se aparece o pacote udp saindo pela interface da rota default no tcpdump

Manda os resultados.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-02 Por tôpico Welkson Renny de Medeiros
De manhã eu havia enviado... mas mandei novamente no pvt.

Welkson


- Original Message - 
From: "Alexandre Biancalana" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Thursday, October 02, 2008 6:28 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI 
NOVU)


On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> E aí meu povo? ninguém tem uma sugestão de como fazer um reply-to de UDP?
>
>  Poste o trecho do pf.conf que faz o reply por favor.


Manda o resultado de um pfctl -s rules -vv e tcpdump -ner
/var/log/pflog port 1194 no momento em que você tenta conectar.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-02 Por tôpico Alexandre Biancalana
On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> E aí meu povo? ninguém tem uma sugestão de como fazer um reply-to de UDP?
>
>  Poste o trecho do pf.conf que faz o reply por favor.


Manda o resultado de um pfctl -s rules -vv e tcpdump -ner
/var/log/pflog port 1194 no momento em que você tenta conectar.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-02 Por tôpico Welkson Renny de Medeiros
E aí meu povo? ninguém tem uma sugestão de como fazer um reply-to de UDP?

Poste o trecho do pf.conf que faz o reply por favor.

Welkson

- Original Message - 
From: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Thursday, October 02, 2008 11:36 AM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI 
NOVU)


Com esse pass in você não está LIBERANDO TUDO?

Eu uso o pass in, mas especifico somente a porta que quero liberar.

Você testou a porta udp com que? openvpn? tcp eu sei que funfa, udp é que é
f...

welkson


- Original Message - 
From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"

Sent: Thursday, October 02, 2008 8:35 AM
Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI
NOVU)


A minha configuracao funcionou. Tanto UDP quanto TCP.
Estava tendo dificuldades porque esta redirecionado os pacotes para uma rede
DMZ.
Entao tambem tive que fazer uma regra reply-to na interface de acesso a DMZ.
ficou td +- assim :

route0="(" $ext_if0 $router0 ")"
route1="(" $ext_if1 $router1 ")"

rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag
ROUTE0 -> $web_server
rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag
ROUTE1 -> $web_server

pass in quick on $ext_if0 reply-to $route0 proto {tcp,udp} from any to
$ext_ip0 keep state
pass in quick on $ext_if1 reply-to $route1 proto {tcp,udp} from any to
$ext_ip1 keep state


#The reply-to option is similar to route-to, but routes packets that
#pass in the ***opposite*** direction (replies) to the specified inter-
#face.
pass out quick on $dmz_if reply-to $route0 from any to any tagged ROUTE0
keep state
pass out quick on $dmz_if reply-to $route1 from any to any tagged ROUTE1
keep state

pass out on $ext_if0 route-to $ext_if1 from $ext_if1 to any
pass out on $ext_if1 route-to $ext_if0 from $ext_if0 to any

basicamento o segredo estava na direcao da regra da interface dmz. na
configuracao anterior
anterior eu estava coloando "pass in".

valeu ...!

- Mensagem original - 
De: "Alexandre Biancalana" <[EMAIL PROTECTED]>
Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"

Enviadas: Quarta-feira, 1 de Outubro de 2008 17:23:15 GMT -03:00 Argentina
Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI
NOVU)

On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um
> exemplo com udp, porque aqui não funciona nem a pau... =)
>
> Coloca xxx nos ips em produção.
>
> Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para
> udp, e de 65517 para 1194
>
> # tcp que funciona
>
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to
>
> any port 65517 keep state
>
> # udp que NAO funciona
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to
> any port 1194 keep state
>

Manda seu pf.conf completo.

O que pode estar acontecendo é que o pf cria o estado pela ultima
regra que fizer o match ou seja, se você tem a regra com reply-to e
depois tem uma com o pass normal ele cria o estado pela ultima regra e
não funciona mesmo.
- 
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-- 
Wildes Miranda

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-02 Por tôpico Welkson Renny de Medeiros
Com esse pass in você não está LIBERANDO TUDO?

Eu uso o pass in, mas especifico somente a porta que quero liberar.

Você testou a porta udp com que? openvpn? tcp eu sei que funfa, udp é que é 
f...

welkson


- Original Message - 
From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Thursday, October 02, 2008 8:35 AM
Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI 
NOVU)


A minha configuracao funcionou. Tanto UDP quanto TCP.
Estava tendo dificuldades porque esta redirecionado os pacotes para uma rede 
DMZ.
Entao tambem tive que fazer uma regra reply-to na interface de acesso a DMZ.
ficou td +- assim :

route0="(" $ext_if0 $router0 ")"
route1="(" $ext_if1 $router1 ")"

rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag 
ROUTE0 -> $web_server
rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag 
ROUTE1 -> $web_server

pass in quick on $ext_if0 reply-to $route0 proto {tcp,udp} from any to 
$ext_ip0 keep state
pass in quick on $ext_if1 reply-to $route1 proto {tcp,udp} from any to 
$ext_ip1 keep state


#The reply-to option is similar to route-to, but routes packets that
#pass in the ***opposite*** direction (replies) to the specified inter-
#face.
pass out quick on $dmz_if reply-to $route0 from any to any tagged ROUTE0 
keep state
pass out quick on $dmz_if reply-to $route1 from any to any tagged ROUTE1 
keep state

pass out on $ext_if0 route-to $ext_if1 from $ext_if1 to any
pass out on $ext_if1 route-to $ext_if0 from $ext_if0 to any

basicamento o segredo estava na direcao da regra da interface dmz. na 
configuracao anterior
anterior eu estava coloando "pass in".

valeu ...!

- Mensagem original - 
De: "Alexandre Biancalana" <[EMAIL PROTECTED]>
Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Enviadas: Quarta-feira, 1 de Outubro de 2008 17:23:15 GMT -03:00 Argentina
Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI 
NOVU)

On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um
> exemplo com udp, porque aqui não funciona nem a pau... =)
>
> Coloca xxx nos ips em produção.
>
> Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para
> udp, e de 65517 para 1194
>
> # tcp que funciona
>
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to
>
> any port 65517 keep state
>
> # udp que NAO funciona
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to
> any port 1194 keep state
>

Manda seu pf.conf completo.

O que pode estar acontecendo é que o pf cria o estado pela ultima
regra que fizer o match ou seja, se você tem a regra com reply-to e
depois tem uma com o pass normal ele cria o estado pela ultima regra e
não funciona mesmo.
- 
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-- 
Wildes Miranda

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-01 Por tôpico Alexandre Biancalana
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um
>  exemplo com udp, porque aqui não funciona nem a pau... =)
>
>  Coloca xxx nos ips em produção.
>
>  Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para
>  udp, e de 65517 para 1194
>
>  # tcp que funciona
>
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to
>
> any port 65517 keep state
>
>  # udp que NAO funciona
>  pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to
>  any port 1194 keep state
>

Manda seu pf.conf completo.

O que pode estar acontecendo é que o pf cria o estado pela ultima
regra que fizer o match ou seja, se você tem a regra com reply-to e
depois tem uma com o pass normal ele cria o estado pela ultima regra e
não funciona mesmo.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-01 Por tôpico Welkson Renny de Medeiros
Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um 
exemplo com udp, porque aqui não funciona nem a pau... =)

Coloca xxx nos ips em produção.

Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para 
udp, e de 65517 para 1194

# tcp que funciona
pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to 
any port 65517 keep state

# udp que NAO funciona
pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to 
any port 1194 keep state

Manda as regras.

Abraço,

Welkson




- Original Message - 
From: "Alexandre Biancalana" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Wednesday, October 01, 2008 5:03 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI 
NOVU)


On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Alexandre,
>
>  Você usa só com TCP, certo?
>  Com TCP o meu funciona.

Tenho configurações com TCP e UDP em produção.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-01 Por tôpico Alexandre Biancalana
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Cria o "estado" mas não funfa o reply-to ;-)

O "Não criar o estado" com certeza é o motivo de não funcionar o
reply-to, pois ele funciona justamente em cima da tabela de estados
para saber por onde a conexão entrou e por onde ela deve sair.

Debugar esse tipo de situação é chato mesmo.

Coloque log nas suas regras (todas) e veja os logs com
 tcpdump -nei pflog0

para ver o que está passando no momento ou

 tcpdump -ner /var/log/pflog

para ver oq já passou.

preste atenção no log, restrinja a visualização às conexões que você
está tendo problemas com os paramentros host, port

e utilize o pfctl -s rules -vv para comparar os logs com a regras que
estão criando o estado. Não sei se você sabe mas o log do pf mostra o
número da regra que criou o estado, e o número da regra só é mostrado
pelo pfctl quando você usa opção -vv
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-01 Por tôpico Alexandre Biancalana
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Alexandre,
>
>  Você usa só com TCP, certo?
>  Com TCP o meu funciona.

Tenho configurações com TCP e UDP em produção.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-01 Por tôpico Welkson Renny de Medeiros
Cria o "estado" mas não funfa o reply-to ;-)

Fico na mesma.

Welkson

- Original Message - 
From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Wednesday, October 01, 2008 3:27 PM
Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI 
NOVU)


veridico :

http://www.openbsd.org/faq/pf/filter.html#udpstate

"PF simply keeps track of how long it has been since a matching packet has 
gone through. If the timeout is reached, the state is cleared. The timeout 
values can be set in the options section of the pf.conf file. "

" set timeout option value
Set various timeouts (in seconds). interval - seconds between purges of 
expired states and packet fragments. The default is 10 . frag - seconds 
before an unassembled fragment is expired. The default is 30 . src.track - 
seconds to keep a source tracking entry in memory after the last state 
expires. The default is 0 (zero). " Acredito que opcao utilizada seja 
src.track ...

- Mensagem original - 
De: "Alexandre Biancalana" <[EMAIL PROTECTED]>
Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Enviadas: Quarta-feira, 1 de Outubro de 2008 15:21:06 GMT -03:00 Brasília
Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI 
NOVU)

On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Fala Wildes, blz?
>
> Estou usando a 7.0 RELEASE
>
> Vendo agora o man fiquei desanimado... veja:
>
> "reply-to is useful only in rules that create state".
> Pelo que sei UDP não tem "estados"... acho que reply-to é só para TCP. Me
> corrijam se eu estiver errado.

Por natureza o UDP não estabelece conexão com o destino, mas mesmo
assim o pf cria um "estado" para este tipo de comunicação.
- 
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-- 
Wildes Miranda

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-01 Por tôpico Alexandre Biancalana
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Fala Wildes, blz?
>
>  Estou usando a 7.0 RELEASE
>
>  Vendo agora o man fiquei desanimado... veja:
>
>  "reply-to is useful only in rules that create state".
>  Pelo que sei UDP não tem "estados"... acho que reply-to é só para TCP. Me
>  corrijam se eu estiver errado.

Por natureza o UDP não estabelece conexão com o destino, mas mesmo
assim o pf cria um "estado" para este tipo de comunicação.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-01 Por tôpico Welkson Renny de Medeiros
Alexandre,

Você usa só com TCP, certo?
Com TCP o meu funciona.

Wildes, posta o trecho do conf!

Welkson


- Original Message - 
From: "Alexandre Biancalana" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Wednesday, October 01, 2008 3:16 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI 
NOVU)


On 10/1/08, Wildes Miranda de Oliveira <[EMAIL PROTECTED]> wrote:
> saudacoes !
>
>  Qual o versao do FreeBSD voce esta usando ?
>  tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada 
> nem com vela preta 
>  no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface 
> pflog0 :S ...

Funciona sim... utilizo desde o Free 6, a sua conf que deve ter algo 
errado

>  a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? 
> tipo tunN utilizadas por links PPP ??

Não vejo por que não funcionar
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-01 Por tôpico Alexandre Biancalana
On 10/1/08, Wildes Miranda de Oliveira <[EMAIL PROTECTED]> wrote:
> saudacoes !
>
>  Qual o versao do FreeBSD voce esta usando ?
>  tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada nem 
> com vela preta 
>  no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface pflog0 
> :S ...

Funciona sim... utilizo desde o Free 6, a sua conf que deve ter algo errado

>  a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? tipo 
> tunN utilizadas por links PPP ??

Não vejo por que não funcionar
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (MAIS UMA VEZ = UDP PROTOCOL)

2008-10-01 Por tôpico Renato Frederick
Você não vai conseguir fazer com UDP exatamente pelo que falou, o reply-to
não funciona neste caso porque a conexão não tem o 3 way handshake. Creio
que outras aplicações que usem UDP e que você precise de tráfego
entrante(SNMP, DNS) não irão funcionar, pelo mesmo motivo.



> -Original Message-
> From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On
> Behalf Of Welkson Renny de Medeiros
> Sent: Wednesday, October 01, 2008 2:36 PM
> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (MAIS
> UMA VEZ = UDP PROTOCOL)
> 
> Fala Irado!
> 
> Não é configuração. Se você ler os posts anteriores eu explico que estou
> incluíndo mais um link de internet, e de fora só fica acessível o
> primeiro eu quero deixar os dois... por isso estou usando o reply-
> to...
> porque os pacotes quando entram pelo segundo link insistem em voltar pelo
> primeiro (default gateway).
> 
> Consegui resolver quando o protocolo é TCP (fiz vários testes com Radmin,
> SSH, etc, todos funcionam), mas com UDP (OpenVPN) não funciona.
> 
> Vi agora que tem um PR para o reply-to, uma pena:
> http://www.freebsd.org/cgi/query-pr.cgi?pr=93825
> 
> Essa configuração tá idêntica a 2 anos... agora todos os clientes estão
> conectado pelo primeiro link (velox)... se eu alterar no conf do cliente
> para usar o segundo link (jetcom), ele tenta conectar (vejo no log do pf),
> mas não estabelece a vpn... no log dar pra ver que chega no ip do jetcom,
> mas volta pelo velox.
> 
> É isso, agora é só esperar que Max Laier tenha tempo pra ver isso ;-) como
> o
> próprio PR diz, não é crítico... talvez demore algum tempo para ser
> corrigido.
> 
> Engraçado que no PR foi reportado o problema com TCP e FreeBSD 6.1
> PRE-RELEASE, e tcp funciona pra mim... o meu é FreeBSD 7.0 RELEASE.
> 
> Vou continuar nos testes, qualquer dica será bem vinda.
> 
> Abraço,
> 
> Welkson
> 
> 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (MAIS UMA VEZ = UDP PROTOCOL)

2008-10-01 Por tôpico Welkson Renny de Medeiros
Fala Irado!

Não é configuração. Se você ler os posts anteriores eu explico que estou 
incluíndo mais um link de internet, e de fora só fica acessível o 
primeiro eu quero deixar os dois... por isso estou usando o reply-to... 
porque os pacotes quando entram pelo segundo link insistem em voltar pelo 
primeiro (default gateway).

Consegui resolver quando o protocolo é TCP (fiz vários testes com Radmin, 
SSH, etc, todos funcionam), mas com UDP (OpenVPN) não funciona.

Vi agora que tem um PR para o reply-to, uma pena:
http://www.freebsd.org/cgi/query-pr.cgi?pr=93825

Essa configuração tá idêntica a 2 anos... agora todos os clientes estão 
conectado pelo primeiro link (velox)... se eu alterar no conf do cliente 
para usar o segundo link (jetcom), ele tenta conectar (vejo no log do pf), 
mas não estabelece a vpn... no log dar pra ver que chega no ip do jetcom, 
mas volta pelo velox.

É isso, agora é só esperar que Max Laier tenha tempo pra ver isso ;-) como o 
próprio PR diz, não é crítico... talvez demore algum tempo para ser 
corrigido.

Engraçado que no PR foi reportado o problema com TCP e FreeBSD 6.1 
PRE-RELEASE, e tcp funciona pra mim... o meu é FreeBSD 7.0 RELEASE.

Vou continuar nos testes, qualquer dica será bem vinda.

Abraço,

Welkson



- Original Message - 
From: "irado furioso com tudo" <[EMAIL PROTECTED]>
To: 
Sent: Wednesday, October 01, 2008 2:22 PM
Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (MAIS 
UMA VEZ = UDP PROTOCOL)


Em Wed, 1 Oct 2008 14:01:11 -0300
"Welkson Renny de Medeiros" <[EMAIL PROTECTED]>, conhecido
consumidor de drogas (BigMac's com Coke) escreveu:

> (OpenVPN), não funfa.

>
> A conexão chega, mas retorna pelo ip errado. Lembrando que TCP funfa
> normal (outros serviços).

considerando-se que o OpenVPN é tunel em udp e, obrigatoriamente fecha
conexão ponta-a-ponta, isso me parece muito mais problemas de
configuração do OpenVPN do que do fwll.

-- saudações,
irado furioso com tudo
Linux User 179402/FreeBSD BSD50853/FUG-BR 154
Não uso drogas - 100% Miko$hit-free
se o país é democrático, por que razão sou obrigado a votar?
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-10-01 Por tôpico Welkson Renny de Medeiros
Fala Wildes, blz?

Estou usando a 7.0 RELEASE

Vendo agora o man fiquei desanimado... veja:

"reply-to is useful only in rules that create state".
Pelo que sei UDP não tem "estados"... acho que reply-to é só para TCP. Me 
corrijam se eu estiver errado.

Já usei a algum tempo o OpenVPN com TCP, mas ficou bem estranho... com udp 
funciona bem melhor.

E agora José? =)

Welkson

- Original Message - 
From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Wednesday, October 01, 2008 2:05 PM
Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI 
NOVU)


saudacoes !

Qual o versao do FreeBSD voce esta usando ?
tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada nem 
com vela preta 
no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface pflog0 
:S ...
a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? tipo 
tunN utilizadas por links PPP ??

value 

- Mensagem original - 
De: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]>
Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Enviadas: Terça-feira, 30 de Setembro de 2008 16:13:39 GMT -03:00 Brasília
Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI 
NOVU)

Obrigado Alexandre... deu certíssimo!

pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to
any port 2 keep state

Onde 189.3.15.1 é o gateway do jetcom.

Sabem dizer se já foi implementado o reply-to para synproxy? (tais aí
Aristeu?)
http://osdir.com/ml/freebsd.devel.pf4freebsd/2006-10/msg00035.html

Abraço,

Welkson



- Original Message - 
From: "Alexandre Biancalana" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"

Sent: Tuesday, September 30, 2008 3:35 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI
NOVU)


On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Pessoal,
>
> Também tenho esse mesmo problema.
>
> Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora
> consigo acessar qualquer porta que libere no firewall.
>
> Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no
> provedor, > 1024 são liberadas...
>
> Tento acessar de fora qualquer porta do link jetcom e não consigo (no
> firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o
> pacote chegando, mas não volta, ou volta pelo gateway default/velox, não
> sei).

Certamente você precisa de uma regra com reply-to para abrir a sessão
e fazer com que o pacote volte pela mesma interface por onde entrou.

>
> Fiz essa dica da Aline mas não funfou comigo.
>
> Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG,
> vejo
> o pacote chegando, mas a conexão não é estabelecida.

Você ve o pacote chegando pela interface certa mas deve ver também ele
saindo pela interface da rota default, isso vai acontecer se você não
tiver uma regra de reply-to criando a sessão no momento da entrada do
pacote pela interface não default.
- 
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

- 
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-- 
Wildes Miranda

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (MAIS UMA VEZ = UDP PROTOCOL)

2008-10-01 Por tôpico irado furioso com tudo
Em Wed, 1 Oct 2008 14:01:11 -0300
"Welkson Renny de Medeiros" <[EMAIL PROTECTED]>, conhecido
consumidor de drogas (BigMac's com Coke) escreveu:

> (OpenVPN), não funfa.

> 
> A conexão chega, mas retorna pelo ip errado. Lembrando que TCP funfa
> normal (outros serviços).

considerando-se que o OpenVPN é tunel em udp e, obrigatoriamente fecha
conexão ponta-a-ponta, isso me parece muito mais problemas de
configuração do OpenVPN do que do fwll.

-- saudações,
irado furioso com tudo
Linux User 179402/FreeBSD BSD50853/FUG-BR 154
Não uso drogas - 100% Miko$hit-free
se o país é democrático, por que razão sou obrigado a votar?
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (MAIS UMA VEZ = UDP PROTOCOL)

2008-10-01 Por tôpico Welkson Renny de Medeiros
Senhores,


Com protocolo TCP ficou show de bola, mas com UDP (OpenVPN), não funfa.

pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to 
any port 1194 keep state

# já testei sem o keep state

No log do PF:
00 rule 475/0(match): pass in on vr2: 189.124.129.x.1194 > 
189.3.15.x.1194: UDP, length 14

A conexão chega, mas retorna pelo ip errado. Lembrando que TCP funfa normal 
(outros serviços).

Sugestões?

Welkson


- Original Message - 
From: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Tuesday, September 30, 2008 4:13 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI 
NOVU)


Obrigado Alexandre... deu certíssimo!

pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to
any port 2 keep state

Onde 189.3.15.1 é o gateway do jetcom.

Sabem dizer se já foi implementado o reply-to para synproxy? (tais aí
Aristeu?)
http://osdir.com/ml/freebsd.devel.pf4freebsd/2006-10/msg00035.html

Abraço,

Welkson



- Original Message - 
From: "Alexandre Biancalana" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"

Sent: Tuesday, September 30, 2008 3:35 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI
NOVU)


On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Pessoal,
>
>  Também tenho esse mesmo problema.
>
>  Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora
>  consigo acessar qualquer porta que libere no firewall.
>
>  Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no
>  provedor, > 1024 são liberadas...
>
>  Tento acessar de fora qualquer porta do link jetcom e não consigo (no
>  firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o
>  pacote chegando, mas não volta, ou volta pelo gateway default/velox, não
>  sei).

Certamente você precisa de uma regra com reply-to para abrir a sessão
e fazer com que o pacote volte pela mesma interface por onde entrou.

>
>  Fiz essa dica da Aline mas não funfou comigo.
>
>  Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG,
> vejo
>  o pacote chegando, mas a conexão não é estabelecida.

Você ve o pacote chegando pela interface certa mas deve ver também ele
saindo pela interface da rota default, isso vai acontecer se você não
tiver uma regra de reply-to criando a sessão no momento da entrada do
pacote pela interface não default.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-09-30 Por tôpico Welkson Renny de Medeiros
Obrigado Alexandre... deu certíssimo!

pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to 
any port 2 keep state

Onde 189.3.15.1 é o gateway do jetcom.

Sabem dizer se já foi implementado o reply-to para synproxy? (tais aí 
Aristeu?)
http://osdir.com/ml/freebsd.devel.pf4freebsd/2006-10/msg00035.html

Abraço,

Welkson



- Original Message - 
From: "Alexandre Biancalana" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Tuesday, September 30, 2008 3:35 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI 
NOVU)


On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Pessoal,
>
>  Também tenho esse mesmo problema.
>
>  Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora
>  consigo acessar qualquer porta que libere no firewall.
>
>  Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no
>  provedor, > 1024 são liberadas...
>
>  Tento acessar de fora qualquer porta do link jetcom e não consigo (no
>  firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o
>  pacote chegando, mas não volta, ou volta pelo gateway default/velox, não
>  sei).

Certamente você precisa de uma regra com reply-to para abrir a sessão
e fazer com que o pacote volte pela mesma interface por onde entrou.

>
>  Fiz essa dica da Aline mas não funfou comigo.
>
>  Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, 
> vejo
>  o pacote chegando, mas a conexão não é estabelecida.

Você ve o pacote chegando pela interface certa mas deve ver também ele
saindo pela interface da rota default, isso vai acontecer se você não
tiver uma regra de reply-to criando a sessão no momento da entrada do
pacote pela interface não default.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-09-30 Por tôpico Welkson Renny de Medeiros
Alexandre, vou testar o reply-to e retorno pra vocês.

Valeuzzz.

Welkson

- Original Message - 
From: "Alexandre Biancalana" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Tuesday, September 30, 2008 3:35 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI 
NOVU)


On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Pessoal,
>
>  Também tenho esse mesmo problema.
>
>  Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora
>  consigo acessar qualquer porta que libere no firewall.
>
>  Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no
>  provedor, > 1024 são liberadas...
>
>  Tento acessar de fora qualquer porta do link jetcom e não consigo (no
>  firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o
>  pacote chegando, mas não volta, ou volta pelo gateway default/velox, não
>  sei).

Certamente você precisa de uma regra com reply-to para abrir a sessão
e fazer com que o pacote volte pela mesma interface por onde entrou.

>
>  Fiz essa dica da Aline mas não funfou comigo.
>
>  Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, 
> vejo
>  o pacote chegando, mas a conexão não é estabelecida.

Você ve o pacote chegando pela interface certa mas deve ver também ele
saindo pela interface da rota default, isso vai acontecer se você não
tiver uma regra de reply-to criando a sessão no momento da entrada do
pacote pela interface não default.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora

2008-09-30 Por tôpico João Paulo Just
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Welkson Renny de Medeiros wrote:
| Fala Just, blz?
|
| Na verdade nem sei quem postou essa thread... no dia eu até comentei
dizendo
| que pensava que tinha esse problema mas era bloqueio do provedor... como
| estava sem tempo acabei nem testando... ontem quando liguei para o
provedor
| falaram que só bloqueavam abaixo de 1024... testei com portas acima de
1024
| e realmente a conexão chega, mas não volta.
|
| Pior que uso PF... estou fazendo alguns testes com ROUTE-TO (eu uso para
| voip), mas não estou conseguindo...
|
| Por exemplo, meu SSH está na porta 2.
|
| Do velox funfa perfeito, do jetcom a conexão chega ao servidor,
aparece no
| log do pf, mas não volta...
|
| Já tentei analisar via tcpdump, mas não sei por qual interface está
| voltando...
|
| Meus testes estão assim:
| # ssh (via jetcom)
| pass in log quick on $ext_if2 proto tcp from any to any port 2 keep
| state #quando um cliente tenta conectar via putty vejo no log do pf a
| tentativa com o PASS, mas o cliente recebe um erro
|
| # tentei fazer esse RETORNO jogando para interface do jetcom (ext_if2)...
| mas não funfou, nem bateu no log
| pass out log quick on $ext_if2 route-to ($ext_if2 189.3.15.1) proto
tcp from
| any port 2 to any keep state

Já usei PF no passado, mas tem tanto tempo que nem lembro mais os
códigos das regras. Essa última regra sua faz o equivalente do fwd que
postei do ipfw?


- --
João Paulo Just
Diretor Executivo - Justsoft Informática Ltda.
http://www.justsoft.com.br/
- --
Feira de Santana, BA, Brasil.
+55 75 8104 8473
Blog: http://just.rg3.net/
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFI4kqtXL+vuN2d7ZwRArUNAJ9UCy6uAIDnd0ae5TccjsmEUa/6WwCfXHJH
ThXVOoZLR4U0/z9uyPC8vis=
=YYyz
-END PGP SIGNATURE-
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora

2008-09-30 Por tôpico Welkson Renny de Medeiros
Fala Just, blz?

Na verdade nem sei quem postou essa thread... no dia eu até comentei dizendo 
que pensava que tinha esse problema mas era bloqueio do provedor... como 
estava sem tempo acabei nem testando... ontem quando liguei para o provedor 
falaram que só bloqueavam abaixo de 1024... testei com portas acima de 1024 
e realmente a conexão chega, mas não volta.

Pior que uso PF... estou fazendo alguns testes com ROUTE-TO (eu uso para 
voip), mas não estou conseguindo...

Por exemplo, meu SSH está na porta 2.

Do velox funfa perfeito, do jetcom a conexão chega ao servidor, aparece no 
log do pf, mas não volta...

Já tentei analisar via tcpdump, mas não sei por qual interface está 
voltando...

Meus testes estão assim:
# ssh (via jetcom)
pass in log quick on $ext_if2 proto tcp from any to any port 2 keep 
state #quando um cliente tenta conectar via putty vejo no log do pf a 
tentativa com o PASS, mas o cliente recebe um erro

# tentei fazer esse RETORNO jogando para interface do jetcom (ext_if2)... 
mas não funfou, nem bateu no log
pass out log quick on $ext_if2 route-to ($ext_if2 189.3.15.1) proto tcp from 
any port 2 to any keep state


Welkson


- Original Message - 
From: "João Paulo Just" <[EMAIL PROTECTED]>
To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" 

Sent: Tuesday, September 30, 2008 12:32 PM
Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora


-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Aline Freitas wrote:
| Acabei descobrindo hoje como manter os dois links acessiveis por fora.
Bem
| simples. Fica registrado pro historico da lista:
|
| ip1 = aaa.aaa.aaa.aaa
| ip2 = bbb.bbb.bbb.bbb
|
| gw1 = xxx.xxx.xxx.xxx
| gw2 = yyy.yyy.yyy.yyy
|
| route add default $gw1
| route add -host $ip2 127.0.0.1
|
| Criando uma rota a partir do IP da interface não padrão para a
interface lo0
| torna esta interface não padrão acessivel de fora.
|
| Valeu para quem tentou ajudar,

Vi essa mensagem hoje, nem tinha visto logo quando você postou. Aqui uso
o seguinte comando no ipfw:

$cmd add fwd gw2 ip from rede_ip2/mascara to not rede_ip2/mascara out
via $pif

- --
João Paulo Just
Diretor Executivo - Justsoft Informática Ltda.
http://www.justsoft.com.br/
- --
Feira de Santana, BA, Brasil.
+55 75 8104 8473
Blog: http://just.rg3.net/
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFI4kakXL+vuN2d7ZwRAqT1AKDOAc4LfUdtNpL/dYF0WImUgfDWvQCfY2yP
aykP87oJEsLwGMhehYxivVY=
=s4Ic
-END PGP SIGNATURE-
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-09-30 Por tôpico Alexandre Biancalana
On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Pessoal,
>
>  Também tenho esse mesmo problema.
>
>  Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora
>  consigo acessar qualquer porta que libere no firewall.
>
>  Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no
>  provedor, > 1024 são liberadas...
>
>  Tento acessar de fora qualquer porta do link jetcom e não consigo (no
>  firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o
>  pacote chegando, mas não volta, ou volta pelo gateway default/velox, não
>  sei).

Certamente você precisa de uma regra com reply-to para abrir a sessão
e fazer com que o pacote volte pela mesma interface por onde entrou.

>
>  Fiz essa dica da Aline mas não funfou comigo.
>
>  Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, vejo
>  o pacote chegando, mas a conexão não é estabelecida.

Você ve o pacote chegando pela interface certa mas deve ver também ele
saindo pela interface da rota default, isso vai acontecer se você não
tiver uma regra de reply-to criando a sessão no momento da entrada do
pacote pela interface não default.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora

2008-09-30 Por tôpico João Paulo Just
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Aline Freitas wrote:
| Acabei descobrindo hoje como manter os dois links acessiveis por fora.
Bem
| simples. Fica registrado pro historico da lista:
|
| ip1 = aaa.aaa.aaa.aaa
| ip2 = bbb.bbb.bbb.bbb
|
| gw1 = xxx.xxx.xxx.xxx
| gw2 = yyy.yyy.yyy.yyy
|
| route add default $gw1
| route add -host $ip2 127.0.0.1
|
| Criando uma rota a partir do IP da interface não padrão para a
interface lo0
| torna esta interface não padrão acessivel de fora.
|
| Valeu para quem tentou ajudar,

Vi essa mensagem hoje, nem tinha visto logo quando você postou. Aqui uso
o seguinte comando no ipfw:

$cmd add fwd gw2 ip from rede_ip2/mascara to not rede_ip2/mascara out
via $pif

- --
João Paulo Just
Diretor Executivo - Justsoft Informática Ltda.
http://www.justsoft.com.br/
- --
Feira de Santana, BA, Brasil.
+55 75 8104 8473
Blog: http://just.rg3.net/
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFI4kakXL+vuN2d7ZwRAqT1AKDOAc4LfUdtNpL/dYF0WImUgfDWvQCfY2yP
aykP87oJEsLwGMhehYxivVY=
=s4Ic
-END PGP SIGNATURE-
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)

2008-09-30 Por tôpico Welkson Renny de Medeiros
Pessoal,

Também tenho esse mesmo problema.

Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora 
consigo acessar qualquer porta que libere no firewall.

Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no 
provedor, > 1024 são liberadas...

Tento acessar de fora qualquer porta do link jetcom e não consigo (no 
firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o 
pacote chegando, mas não volta, ou volta pelo gateway default/velox, não 
sei).

Fiz essa dica da Aline mas não funfou comigo.

Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, vejo 
o pacote chegando, mas a conexão não é estabelecida.

Tentei diversos outros serviços, e a mesma coisa.

Sugestões?

Welkson




- Original Message - 
From: "Aline Freitas" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Wednesday, August 27, 2008 12:09 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora


Acabei descobrindo hoje como manter os dois links acessiveis por fora. Bem
simples. Fica registrado pro historico da lista:

ip1 = aaa.aaa.aaa.aaa
ip2 = bbb.bbb.bbb.bbb

gw1 = xxx.xxx.xxx.xxx
gw2 = yyy.yyy.yyy.yyy

route add default $gw1
route add -host $ip2 127.0.0.1

Criando uma rota a partir do IP da interface não padrão para a interface lo0
torna esta interface não padrão acessivel de fora.

Valeu para quem tentou ajudar,

[]'s
Aline

2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>


Boa tarde!

Estou com dois links de internet:

(bge1) Virtua = 12 megas, IP Dinâmico
(bge2) Ajato = 2 megas, IP fixo

(bge0) Rede interna

A prioridade para uso interno é a bge2, por conta da banda alta.
Apenas para alguns
acessos que exigem autenticação por IP criei rotas via bge1. Pela rede
interna tenho os
dois gateways das duas interfaces acessíveis, mas o gateway default é
o via bge2. O
problema é que externamente, apenas o IP da bge2 (dinâmico) é
acessível. O IP da bge1
(fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
a ser acessível
externamente. Alguém conhece alguma forma de fazer com que ambas as
interfaces sejam
acessíveis externamente?

Aline
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



Firewall ? PF ?
Caso seja, basta liberar a porta que quer que seja acessivel na interface
desejada.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



Não me parece ser uma questão de portas, uma vez que de fora o IP nem pinga.

Minhas regras no pf.conf:

# Interfaces
EXT_IF1 = "bge1"
EXT_IF2 = "bge2"
INT_IF = "bge0"
VPN_IF = "tun0"

# Redes
LAN_NETWORK = "192.168.0.0/24"
VPN_NETWORK = "10.8.0.0/24"

# Portas publicas (abertas para Internet)
# 4222 = SSH
# 4280 = Apache (HTTP)
# 42443 = Apache (HTTPS)
# 8180 = Tomcat (HTTP)
# 8443 = Tomcat (HTTPS)
# 41194 = OpenVPN
PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }"

# Logar eventos em interface externa
set loginterface $EXT_IF1
set loginterface $EXT_IF2

# Politica padrao de envio de rst em block
set block-policy return

# Ignorando loopback
set skip on lo

# Normalizacao
scrub in all

# NAT de VPN
nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1)

# NAT de LAN
nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1)
nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2)

# Bloqueando toda entrada por padrao
block in

# Saida livre
pass out keep state

# Comunicacao livre com VPN
pass quick on $VPN_IF keep state

# Comunicacao livre com LAN
pass quick on $INT_IF keep state

# Permitiondo acesso a portas publicas

 pass in on $EXT_IF1 proto tcp from any to
($EXT_IF1)
port $PUB_PORTS flags S/SA keep state
pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2)
port $PUB_PORTS flags S/SA keep state

# Permitindo Ping
pass in inet proto icmp all icmp-type echoreq keep state

# Faz balanceamento de carga no trafego da rede interna
pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto tcp 
from
$LAN_NETWORK to any flags S/SA modulate state

pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto { udp,
icmp } from
$LAN_NETWORK to any keep state

# Regras gerais "pass out" para as interfaces externas
pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state
pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state
pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state
pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state

# Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para
# $EXT_IF2 e $EXT_GW2
pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any
pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora

2008-08-27 Por tôpico Mario Augusto Mania
Aline, o que vc entende por acessiveis por fora???
Pelo seguinte, uso 3 links num servidor, e os 3 sao acessiveis por
fora normal (no meu entender hehe, pingar, conectar nas portas
abertas, etc...)

m3

2008/8/27 Aline Freitas <[EMAIL PROTECTED]>:
> Acabei descobrindo hoje como manter os dois links acessiveis por fora. Bem
> simples. Fica registrado pro historico da lista:
>
> ip1 = aaa.aaa.aaa.aaa
> ip2 = bbb.bbb.bbb.bbb
>
> gw1 = xxx.xxx.xxx.xxx
> gw2 = yyy.yyy.yyy.yyy
>
> route add default $gw1
> route add -host $ip2 127.0.0.1
>
> Criando uma rota a partir do IP da interface não padrão para a interface lo0
> torna esta interface não padrão acessivel de fora.
>
> Valeu para quem tentou ajudar,
>
> []'s
> Aline
>
> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>
>
>
> Boa tarde!
>
> Estou com dois links de internet:
>
> (bge1) Virtua = 12 megas, IP Dinâmico
> (bge2) Ajato = 2 megas, IP fixo
>
> (bge0) Rede interna
>
> A prioridade para uso interno é a bge2, por conta da banda alta.
> Apenas para alguns
> acessos que exigem autenticação por IP criei rotas via bge1. Pela rede
> interna tenho os
> dois gateways das duas interfaces acessíveis, mas o gateway default é
> o via bge2. O
> problema é que externamente, apenas o IP da bge2 (dinâmico) é
> acessível. O IP da bge1
> (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
> a ser acessível
> externamente. Alguém conhece alguma forma de fazer com que ambas as
> interfaces sejam
> acessíveis externamente?
>
> Aline
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
>
> Firewall ? PF ?
> Caso seja, basta liberar a porta que quer que seja acessivel na interface
> desejada.
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
>
> Não me parece ser uma questão de portas, uma vez que de fora o IP nem pinga.
>
> Minhas regras no pf.conf:
>
> # Interfaces
> EXT_IF1 = "bge1"
> EXT_IF2 = "bge2"
> INT_IF = "bge0"
> VPN_IF = "tun0"
>
> # Redes
> LAN_NETWORK = "192.168.0.0/24"
> VPN_NETWORK = "10.8.0.0/24"
>
> # Portas publicas (abertas para Internet)
> # 4222 = SSH
> # 4280 = Apache (HTTP)
> # 42443 = Apache (HTTPS)
> # 8180 = Tomcat (HTTP)
> # 8443 = Tomcat (HTTPS)
> # 41194 = OpenVPN
> PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }"
>
> # Logar eventos em interface externa
> set loginterface $EXT_IF1
> set loginterface $EXT_IF2
>
> # Politica padrao de envio de rst em block
> set block-policy return
>
> # Ignorando loopback
> set skip on lo
>
> # Normalizacao
> scrub in all
>
> # NAT de VPN
> nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1)
>
> # NAT de LAN
> nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1)
> nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2)
>
> # Bloqueando toda entrada por padrao
> block in
>
> # Saida livre
> pass out keep state
>
> # Comunicacao livre com VPN
> pass quick on $VPN_IF keep state
>
> # Comunicacao livre com LAN
> pass quick on $INT_IF keep state
>
> # Permitiondo acesso a portas publicas
>
>  pass in on $EXT_IF1 proto tcp from any to
> ($EXT_IF1)
>port $PUB_PORTS flags S/SA keep state
> pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2)
>port $PUB_PORTS flags S/SA keep state
>
> # Permitindo Ping
> pass in inet proto icmp all icmp-type echoreq keep state
>
> # Faz balanceamento de carga no trafego da rede interna
> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto tcp from
> $LAN_NETWORK to any flags S/SA modulate state
>
> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto { udp,
> icmp } from
> $LAN_NETWORK to any keep state
>
> # Regras gerais "pass out" para as interfaces externas
> pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state
> pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state
> pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state
> pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state
>
> # Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para
> # $EXT_IF2 e $EXT_GW2
> pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any
> pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Atenciosmente

Mario Augusto Mania 
---
[EMAIL PROTECTED]
Cel.: (43) 9938-9629
Msn: [EMAIL PROTECTED]
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora

2008-08-27 Por tôpico Aline Freitas
Acabei descobrindo hoje como manter os dois links acessiveis por fora. Bem 
simples. Fica registrado pro historico da lista:

ip1 = aaa.aaa.aaa.aaa
ip2 = bbb.bbb.bbb.bbb

gw1 = xxx.xxx.xxx.xxx
gw2 = yyy.yyy.yyy.yyy

route add default $gw1
route add -host $ip2 127.0.0.1

Criando uma rota a partir do IP da interface não padrão para a interface lo0 
torna esta interface não padrão acessivel de fora.

Valeu para quem tentou ajudar,

[]'s
Aline

2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>


Boa tarde!

Estou com dois links de internet:

(bge1) Virtua = 12 megas, IP Dinâmico
(bge2) Ajato = 2 megas, IP fixo

(bge0) Rede interna

A prioridade para uso interno é a bge2, por conta da banda alta.
Apenas para alguns
acessos que exigem autenticação por IP criei rotas via bge1. Pela rede
interna tenho os
dois gateways das duas interfaces acessíveis, mas o gateway default é
o via bge2. O
problema é que externamente, apenas o IP da bge2 (dinâmico) é
acessível. O IP da bge1
(fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
a ser acessível
externamente. Alguém conhece alguma forma de fazer com que ambas as
interfaces sejam
acessíveis externamente?

Aline
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



Firewall ? PF ?
Caso seja, basta liberar a porta que quer que seja acessivel na interface
desejada.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



Não me parece ser uma questão de portas, uma vez que de fora o IP nem pinga.

Minhas regras no pf.conf:

# Interfaces
EXT_IF1 = "bge1"
EXT_IF2 = "bge2"
INT_IF = "bge0"
VPN_IF = "tun0"

# Redes
LAN_NETWORK = "192.168.0.0/24"
VPN_NETWORK = "10.8.0.0/24"

# Portas publicas (abertas para Internet)
# 4222 = SSH
# 4280 = Apache (HTTP)
# 42443 = Apache (HTTPS)
# 8180 = Tomcat (HTTP)
# 8443 = Tomcat (HTTPS)
# 41194 = OpenVPN
PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }"

# Logar eventos em interface externa
set loginterface $EXT_IF1
set loginterface $EXT_IF2

# Politica padrao de envio de rst em block
set block-policy return

# Ignorando loopback
set skip on lo

# Normalizacao
scrub in all

# NAT de VPN
nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1)

# NAT de LAN
nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1)
nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2)

# Bloqueando toda entrada por padrao
block in

# Saida livre
pass out keep state

# Comunicacao livre com VPN
pass quick on $VPN_IF keep state

# Comunicacao livre com LAN
pass quick on $INT_IF keep state

# Permitiondo acesso a portas publicas

 pass in on $EXT_IF1 proto tcp from any to 
($EXT_IF1)
port $PUB_PORTS flags S/SA keep state
pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2)
port $PUB_PORTS flags S/SA keep state

# Permitindo Ping
pass in inet proto icmp all icmp-type echoreq keep state

# Faz balanceamento de carga no trafego da rede interna
pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto tcp from
$LAN_NETWORK to any flags S/SA modulate state

pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto { udp, 
icmp } from 
$LAN_NETWORK to any keep state

# Regras gerais "pass out" para as interfaces externas
pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state
pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state
pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state
pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state

# Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para
# $EXT_IF2 e $EXT_GW2
pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any
pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora

2008-08-21 Por tôpico Welkson Renny de Medeiros
Giancarlo,

Esquece tudo que falei... lembrei que a algum tempo descobri que o próprio 
provedor (jetcom) filtrava algumas portas...

Abraço,

Welkson




- Original Message - 
From: "Giancarlo Rubio" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Thursday, August 21, 2008 1:10 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora


2008/8/21 Welkson Renny de Medeiros <[EMAIL PROTECTED]>:
> Realmente tem fundamento!
>
> Alguém sabe como resolver isso?

Route-to conforme vc mesmo havia dito acima. Se vc manda um pacote
sair pela interface 1 ele terá que retornar pela 1, não faz sentido
ele voltar na 2 (se está voltando na 2 existe alguma configuração
errada). Eu uso este mesmo cenário que está sendo proposto acima sem
problemas.

Conforme foi falado não existe no freebsd (até aonde sei) algo como
iproute do linux que permite ter mais de 1 gateway default. Sofri mais
consegui implementar com o pf o cenário. Tcpdump, como tambem foi
recomendado,  verifique na outra ponta se o pacote chega pelo link
certo, se ele está saindo pelo link certo..bla bla bla..

Estes 2 links do pf devem ser lidos com muita atenção, pois são eles
que irão resolver seu problema.

http://www.openbsd.org/faq/pf/pools.html#outgoing
http://www.openbsd.org/faq/pf/pools.html#incoming


-- 
Giancarlo Rubio
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora

2008-08-21 Por tôpico Welkson Renny de Medeiros
Realmente tem fundamento!

Alguém sabe como resolver isso?

Welkson

- Original Message - 
From: "Lucas Mocellin" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 

Sent: Thursday, August 21, 2008 12:35 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora


Amigo,

acho que o seu problema eh o seguinte, quando alguma conexão chega pela
bge2, a volta do pacote sai pela bge1, por ser o gateway default.

faca o teste com o tcpdump, rode um tcpdump nas duas interfaces e tente
pingar ou algo assim.

Ja passei por esse problema, mas infelizmente a solucao para freebsd eu
desconheco, hoje trabalho muito mais com linux que gfreebsd.

Se for isso, o que vc precisa fazer eh controlar as rotas mesmo(quem sabe o
colega que falou antes esteja correto sobre o source routing). "Dizer" ao
freebsd que tudo que entra pela bge2, TEM que sair pela bge2.(e nao pelo gw
padrao). Conheco essa implementacao somente para linux.

um abraco

Lucas.


Em 21/08/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]>
escreveu:
>
> Também tenho esse problema...
>
> Tenho um link do velox e outro da jetcom... internamente uso os dois
> (route-to do pf)... mas externo só consigo acessar pelo velox (que é o
> default gateway)... nada funciona pelo ip do jetcom.
>
> Welkson
>
> - Original Message -
> From: "Aline de Freitas" <[EMAIL PROTECTED]>
> To: 
> Sent: Thursday, August 21, 2008 11:39 AM
> Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora
>
>
> Citando Giancarlo Rubio <[EMAIL PROTECTED]>:
>
> > 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>:
> >> Citando Gule # <[EMAIL PROTECTED]>:
> >>
> >>> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>
> >>>
>  Boa tarde!
> 
>  Estou com dois links de internet:
> 
>  (bge1) Virtua = 12 megas, IP Dinâmico
>  (bge2) Ajato = 2 megas, IP fixo
> 
>  (bge0) Rede interna
> 
>  A prioridade para uso interno é a bge2, por conta da banda alta.
>  Apenas para alguns
>  acessos que exigem autenticação por IP criei rotas via bge1. Pela 
>  rede
>  interna tenho os
>  dois gateways das duas interfaces acessíveis, mas o gateway default é
>  o via bge2. O
>  problema é que externamente, apenas o IP da bge2 (dinâmico) é
>  acessível. O IP da bge1
>  (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
>  a ser acessível
>  externamente. Alguém conhece alguma forma de fazer com que ambas as
>  interfaces sejam
>  acessíveis externamente?
> 
>  Aline
>  -
>  Histórico: http://www.fug.com.br/historico/html/freebsd/
>  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
> >>>
> >>> Firewall ? PF ?
> >>> Caso seja, basta liberar a porta que quer que seja acessivel na
> >>> interface
> >>> desejada.
> >>> -
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>
> >>
> >> Não me parece ser uma questão de portas, uma vez que de fora o IP nem
> >> pinga.
> >>
> >> Minhas regras no pf.conf:
> >>
> >> # Interfaces
> >> EXT_IF1 = "bge1"
> >> EXT_IF2 = "bge2"
> >> INT_IF = "bge0"
> >> VPN_IF = "tun0"
> >>
> >> # Redes
> >> LAN_NETWORK = "192.168.0.0/24"
> >> VPN_NETWORK = "10.8.0.0/24"
> >>
> >> # Portas publicas (abertas para Internet)
> >> # 4222 = SSH
> >> # 4280 = Apache (HTTP)
> >> # 42443 = Apache (HTTPS)
> >> # 8180 = Tomcat (HTTP)
> >> # 8443 = Tomcat (HTTPS)
> >> # 41194 = OpenVPN
> >> PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }"
> >>
> >> # Logar eventos em interface externa
> >> set loginterface $EXT_IF1
> >> set loginterface $EXT_IF2
> >>
> >> # Politica padrao de envio de rst em block
> >> set block-policy return
> >>
> >> # Ignorando loopback
> >> set skip on lo
> >>
> >> # Normalizacao
> >> scrub in all
> >>
> >> # NAT de VPN
> >> nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1)
> >>
> >> # NAT de LAN
> >> nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1)
> >> nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2)
> >>
> >> # Bloqueando toda entrada por padrao
> >> block in
> >>
> >> # Saida livre
> >> pass out keep state
> >>
> >> # Comunicacao livre com VPN
> >> pass quick on $VPN_IF keep state
> >>
> >> # Comunicacao livre com LAN
> >> pass quick on $INT_IF keep state
> >>
> >> # Permitiondo acesso a portas publicas
> >>pass in on $EXT_IF1 proto tcp
> >> from any to
> >> ($EXT_IF1)
> >> port $PUB_PORTS flags S/SA keep state
> >> pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2)
> >> port $PUB_PORTS flags S/SA keep state
> >>
> >> # Permitindo Ping
> >> pass in inet proto icmp all icmp-type echoreq keep state
> >>
> >> # Faz balanceamento de carga no trafego da rede interna
> >> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin
> >> proto tcp from
> >> $LAN_NETWORK to any flags S/S

Re: [FUG-BR] Dois links de internet, um inacessíve l de fora

2008-08-21 Por tôpico Lucas Mocellin
Amigo,

acho que o seu problema eh o seguinte, quando alguma conexão chega pela
bge2, a volta do pacote sai pela bge1, por ser o gateway default.

faca o teste com o tcpdump, rode um tcpdump nas duas interfaces e tente
pingar ou algo assim.

Ja passei por esse problema, mas infelizmente a solucao para freebsd eu
desconheco, hoje trabalho muito mais com linux que gfreebsd.

Se for isso, o que vc precisa fazer eh controlar as rotas mesmo(quem sabe o
colega que falou antes esteja correto sobre o source routing). "Dizer" ao
freebsd que tudo que entra pela bge2, TEM que sair pela bge2.(e nao pelo gw
padrao). Conheco essa implementacao somente para linux.

um abraco

Lucas.


Em 21/08/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]>
escreveu:
>
> Também tenho esse problema...
>
> Tenho um link do velox e outro da jetcom... internamente uso os dois
> (route-to do pf)... mas externo só consigo acessar pelo velox (que é o
> default gateway)... nada funciona pelo ip do jetcom.
>
> Welkson
>
> - Original Message -
> From: "Aline de Freitas" <[EMAIL PROTECTED]>
> To: 
> Sent: Thursday, August 21, 2008 11:39 AM
> Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora
>
>
> Citando Giancarlo Rubio <[EMAIL PROTECTED]>:
>
> > 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>:
> >> Citando Gule # <[EMAIL PROTECTED]>:
> >>
> >>> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>
> >>>
>  Boa tarde!
> 
>  Estou com dois links de internet:
> 
>  (bge1) Virtua = 12 megas, IP Dinâmico
>  (bge2) Ajato = 2 megas, IP fixo
> 
>  (bge0) Rede interna
> 
>  A prioridade para uso interno é a bge2, por conta da banda alta.
>  Apenas para alguns
>  acessos que exigem autenticação por IP criei rotas via bge1. Pela rede
>  interna tenho os
>  dois gateways das duas interfaces acessíveis, mas o gateway default é
>  o via bge2. O
>  problema é que externamente, apenas o IP da bge2 (dinâmico) é
>  acessível. O IP da bge1
>  (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
>  a ser acessível
>  externamente. Alguém conhece alguma forma de fazer com que ambas as
>  interfaces sejam
>  acessíveis externamente?
> 
>  Aline
>  -
>  Histórico: http://www.fug.com.br/historico/html/freebsd/
>  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
> >>>
> >>> Firewall ? PF ?
> >>> Caso seja, basta liberar a porta que quer que seja acessivel na
> >>> interface
> >>> desejada.
> >>> -
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>
> >>
> >> Não me parece ser uma questão de portas, uma vez que de fora o IP nem
> >> pinga.
> >>
> >> Minhas regras no pf.conf:
> >>
> >> # Interfaces
> >> EXT_IF1 = "bge1"
> >> EXT_IF2 = "bge2"
> >> INT_IF = "bge0"
> >> VPN_IF = "tun0"
> >>
> >> # Redes
> >> LAN_NETWORK = "192.168.0.0/24"
> >> VPN_NETWORK = "10.8.0.0/24"
> >>
> >> # Portas publicas (abertas para Internet)
> >> # 4222 = SSH
> >> # 4280 = Apache (HTTP)
> >> # 42443 = Apache (HTTPS)
> >> # 8180 = Tomcat (HTTP)
> >> # 8443 = Tomcat (HTTPS)
> >> # 41194 = OpenVPN
> >> PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }"
> >>
> >> # Logar eventos em interface externa
> >> set loginterface $EXT_IF1
> >> set loginterface $EXT_IF2
> >>
> >> # Politica padrao de envio de rst em block
> >> set block-policy return
> >>
> >> # Ignorando loopback
> >> set skip on lo
> >>
> >> # Normalizacao
> >> scrub in all
> >>
> >> # NAT de VPN
> >> nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1)
> >>
> >> # NAT de LAN
> >> nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1)
> >> nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2)
> >>
> >> # Bloqueando toda entrada por padrao
> >> block in
> >>
> >> # Saida livre
> >> pass out keep state
> >>
> >> # Comunicacao livre com VPN
> >> pass quick on $VPN_IF keep state
> >>
> >> # Comunicacao livre com LAN
> >> pass quick on $INT_IF keep state
> >>
> >> # Permitiondo acesso a portas publicas
> >>pass in on $EXT_IF1 proto tcp
> >> from any to
> >> ($EXT_IF1)
> >> port $PUB_PORTS flags S/SA keep state
> >> pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2)
> >> port $PUB_PORTS flags S/SA keep state
> >>
> >> # Permitindo Ping
> >> pass in inet proto icmp all icmp-type echoreq keep state
> >>
> >> # Faz balanceamento de carga no trafego da rede interna
> >> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin
> >> proto tcp from
> >> $LAN_NETWORK to any flags S/SA modulate state
> >> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto {
> >> udp, icmp } from
> >> $LAN_NETWORK to any keep state
> >>
> >> # Regras gerais "pass out" para as interfaces externas
> >> pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state
> >> pass out on $EXT_IF1 pr

Re: [FUG-BR] Dois links de internet, um inacessíve l de fora

2008-08-21 Por tôpico Welkson Renny de Medeiros
Também tenho esse problema...

Tenho um link do velox e outro da jetcom... internamente uso os dois 
(route-to do pf)... mas externo só consigo acessar pelo velox (que é o 
default gateway)... nada funciona pelo ip do jetcom.

Welkson

- Original Message - 
From: "Aline de Freitas" <[EMAIL PROTECTED]>
To: 
Sent: Thursday, August 21, 2008 11:39 AM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora


Citando Giancarlo Rubio <[EMAIL PROTECTED]>:

> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>:
>> Citando Gule # <[EMAIL PROTECTED]>:
>>
>>> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>
>>>
 Boa tarde!

 Estou com dois links de internet:

 (bge1) Virtua = 12 megas, IP Dinâmico
 (bge2) Ajato = 2 megas, IP fixo

 (bge0) Rede interna

 A prioridade para uso interno é a bge2, por conta da banda alta.
 Apenas para alguns
 acessos que exigem autenticação por IP criei rotas via bge1. Pela rede
 interna tenho os
 dois gateways das duas interfaces acessíveis, mas o gateway default é
 o via bge2. O
 problema é que externamente, apenas o IP da bge2 (dinâmico) é
 acessível. O IP da bge1
 (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
 a ser acessível
 externamente. Alguém conhece alguma forma de fazer com que ambas as
 interfaces sejam
 acessíveis externamente?

 Aline
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

>>>
>>> Firewall ? PF ?
>>> Caso seja, basta liberar a porta que quer que seja acessivel na 
>>> interface
>>> desejada.
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>> Não me parece ser uma questão de portas, uma vez que de fora o IP nem 
>> pinga.
>>
>> Minhas regras no pf.conf:
>>
>> # Interfaces
>> EXT_IF1 = "bge1"
>> EXT_IF2 = "bge2"
>> INT_IF = "bge0"
>> VPN_IF = "tun0"
>>
>> # Redes
>> LAN_NETWORK = "192.168.0.0/24"
>> VPN_NETWORK = "10.8.0.0/24"
>>
>> # Portas publicas (abertas para Internet)
>> # 4222 = SSH
>> # 4280 = Apache (HTTP)
>> # 42443 = Apache (HTTPS)
>> # 8180 = Tomcat (HTTP)
>> # 8443 = Tomcat (HTTPS)
>> # 41194 = OpenVPN
>> PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }"
>>
>> # Logar eventos em interface externa
>> set loginterface $EXT_IF1
>> set loginterface $EXT_IF2
>>
>> # Politica padrao de envio de rst em block
>> set block-policy return
>>
>> # Ignorando loopback
>> set skip on lo
>>
>> # Normalizacao
>> scrub in all
>>
>> # NAT de VPN
>> nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1)
>>
>> # NAT de LAN
>> nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1)
>> nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2)
>>
>> # Bloqueando toda entrada por padrao
>> block in
>>
>> # Saida livre
>> pass out keep state
>>
>> # Comunicacao livre com VPN
>> pass quick on $VPN_IF keep state
>>
>> # Comunicacao livre com LAN
>> pass quick on $INT_IF keep state
>>
>> # Permitiondo acesso a portas publicas
>>pass in on $EXT_IF1 proto tcp
>> from any to
>> ($EXT_IF1)
>> port $PUB_PORTS flags S/SA keep state
>> pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2)
>> port $PUB_PORTS flags S/SA keep state
>>
>> # Permitindo Ping
>> pass in inet proto icmp all icmp-type echoreq keep state
>>
>> # Faz balanceamento de carga no trafego da rede interna
>> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin
>> proto tcp from
>> $LAN_NETWORK to any flags S/SA modulate state
>> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto {
>> udp, icmp } from
>> $LAN_NETWORK to any keep state
>>
>> # Regras gerais "pass out" para as interfaces externas
>> pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state
>> pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state
>> pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state
>> pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state
>>
>> # Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para
>> # $EXT_IF2 e $EXT_GW2
>> pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any
>> pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
> O que seu pflog diz quando é bloqueado o ping por exemplo?
>
> --
> Giancarlo Rubio
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Eu ainda não estou certa de que seja uma questão de firewall. Não se
trata de bloqueio de pings, no meu entender, mas de invisibilidade
total do IP por fora (100% packet loss)

Digamos

Re: [FUG-BR] Dois links de internet, um inacessíve l de fora

2008-08-21 Por tôpico Aline de Freitas
Citando Giancarlo Rubio <[EMAIL PROTECTED]>:

> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>:
>> Citando Gule # <[EMAIL PROTECTED]>:
>>
>>> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>
>>>
 Boa tarde!

 Estou com dois links de internet:

 (bge1) Virtua = 12 megas, IP Dinâmico
 (bge2) Ajato = 2 megas, IP fixo

 (bge0) Rede interna

 A prioridade para uso interno é a bge2, por conta da banda alta.
 Apenas para alguns
 acessos que exigem autenticação por IP criei rotas via bge1. Pela rede
 interna tenho os
 dois gateways das duas interfaces acessíveis, mas o gateway default é
 o via bge2. O
 problema é que externamente, apenas o IP da bge2 (dinâmico) é
 acessível. O IP da bge1
 (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
 a ser acessível
 externamente. Alguém conhece alguma forma de fazer com que ambas as
 interfaces sejam
 acessíveis externamente?

 Aline
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

>>>
>>> Firewall ? PF ?
>>> Caso seja, basta liberar a porta que quer que seja acessivel na interface
>>> desejada.
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>> Não me parece ser uma questão de portas, uma vez que de fora o IP nem pinga.
>>
>> Minhas regras no pf.conf:
>>
>> # Interfaces
>> EXT_IF1 = "bge1"
>> EXT_IF2 = "bge2"
>> INT_IF = "bge0"
>> VPN_IF = "tun0"
>>
>> # Redes
>> LAN_NETWORK = "192.168.0.0/24"
>> VPN_NETWORK = "10.8.0.0/24"
>>
>> # Portas publicas (abertas para Internet)
>> # 4222 = SSH
>> # 4280 = Apache (HTTP)
>> # 42443 = Apache (HTTPS)
>> # 8180 = Tomcat (HTTP)
>> # 8443 = Tomcat (HTTPS)
>> # 41194 = OpenVPN
>> PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }"
>>
>> # Logar eventos em interface externa
>> set loginterface $EXT_IF1
>> set loginterface $EXT_IF2
>>
>> # Politica padrao de envio de rst em block
>> set block-policy return
>>
>> # Ignorando loopback
>> set skip on lo
>>
>> # Normalizacao
>> scrub in all
>>
>> # NAT de VPN
>> nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1)
>>
>> # NAT de LAN
>> nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1)
>> nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2)
>>
>> # Bloqueando toda entrada por padrao
>> block in
>>
>> # Saida livre
>> pass out keep state
>>
>> # Comunicacao livre com VPN
>> pass quick on $VPN_IF keep state
>>
>> # Comunicacao livre com LAN
>> pass quick on $INT_IF keep state
>>
>> # Permitiondo acesso a portas publicas
>>pass in on $EXT_IF1 proto tcp
>> from any to
>> ($EXT_IF1)
>> port $PUB_PORTS flags S/SA keep state
>> pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2)
>> port $PUB_PORTS flags S/SA keep state
>>
>> # Permitindo Ping
>> pass in inet proto icmp all icmp-type echoreq keep state
>>
>> # Faz balanceamento de carga no trafego da rede interna
>> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin   
>> proto tcp from
>> $LAN_NETWORK to any flags S/SA modulate state
>> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto {
>> udp, icmp } from
>> $LAN_NETWORK to any keep state
>>
>> # Regras gerais "pass out" para as interfaces externas
>> pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state
>> pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state
>> pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state
>> pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state
>>
>> # Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para
>> # $EXT_IF2 e $EXT_GW2
>> pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any
>> pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
> O que seu pflog diz quando é bloqueado o ping por exemplo?
>
> --
> Giancarlo Rubio
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Eu ainda não estou certa de que seja uma questão de firewall. Não se  
trata de bloqueio de pings, no meu entender, mas de invisibilidade  
total do IP por fora (100% packet loss)

Digamos que
ip_bge1 = aaa.aaa.aaa.aaa
ip_bge2 = bbb.bbb.bbb.bbb

gw_bge1 = xxx.xxx.xxx.xxx
gw_bge2 = yyy.yyy.yyy.yyy

Como minha prioridade é pela bge2 eu tenho o gateway yyy.yyy.yyy.yyy  
como default na
tabela de rotas (netstat -rn)

Se eu fizer

route change default yyy.yyy.yyy.yyy

então de fora eu pingo e acesso os serviços pelas portas externas via  
$ip_bge1 mas não
pingo $ip_bge2, e vice-versa. Não existiria uma forma de sol

Re: [FUG-BR] Dois links de internet, um inacessíve l de fora

2008-08-20 Por tôpico Aline de Freitas
Citando Gule # <[EMAIL PROTECTED]>:

> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>
>
>> Boa tarde!
>>
>> Estou com dois links de internet:
>>
>> (bge1) Virtua = 12 megas, IP Dinâmico
>> (bge2) Ajato = 2 megas, IP fixo
>>
>> (bge0) Rede interna
>>
>> A prioridade para uso interno é a bge2, por conta da banda alta.
>> Apenas para alguns
>> acessos que exigem autenticação por IP criei rotas via bge1. Pela rede
>> interna tenho os
>> dois gateways das duas interfaces acessíveis, mas o gateway default é
>> o via bge2. O
>> problema é que externamente, apenas o IP da bge2 (dinâmico) é
>> acessível. O IP da bge1
>> (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
>> a ser acessível
>> externamente. Alguém conhece alguma forma de fazer com que ambas as
>> interfaces sejam
>> acessíveis externamente?
>>
>> Aline
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
> Firewall ? PF ?
> Caso seja, basta liberar a porta que quer que seja acessivel na interface
> desejada.
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Não me parece ser uma questão de portas, uma vez que de fora o IP nem pinga.

Minhas regras no pf.conf:

# Interfaces
EXT_IF1 = "bge1"
EXT_IF2 = "bge2"
INT_IF = "bge0"
VPN_IF = "tun0"

# Redes
LAN_NETWORK = "192.168.0.0/24"
VPN_NETWORK = "10.8.0.0/24"

# Portas publicas (abertas para Internet)
# 4222 = SSH
# 4280 = Apache (HTTP)
# 42443 = Apache (HTTPS)
# 8180 = Tomcat (HTTP)
# 8443 = Tomcat (HTTPS)
# 41194 = OpenVPN
PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }"

# Logar eventos em interface externa
set loginterface $EXT_IF1
set loginterface $EXT_IF2

# Politica padrao de envio de rst em block
set block-policy return

# Ignorando loopback
set skip on lo

# Normalizacao
scrub in all

# NAT de VPN
nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1)

# NAT de LAN
nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1)
nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2)

# Bloqueando toda entrada por padrao
block in

# Saida livre
pass out keep state

# Comunicacao livre com VPN
pass quick on $VPN_IF keep state

# Comunicacao livre com LAN
pass quick on $INT_IF keep state

# Permitiondo acesso a portas publicas
pass in on $EXT_IF1 proto tcp  
from any to
($EXT_IF1)
 port $PUB_PORTS flags S/SA keep state
pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2)
 port $PUB_PORTS flags S/SA keep state

# Permitindo Ping
pass in inet proto icmp all icmp-type echoreq keep state

# Faz balanceamento de carga no trafego da rede interna
pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto tcp from
$LAN_NETWORK to any flags S/SA modulate state
pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto {  
udp, icmp } from
$LAN_NETWORK to any keep state

# Regras gerais "pass out" para as interfaces externas
pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state
pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state
pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state
pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state

# Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para
# $EXT_IF2 e $EXT_GW2
pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any
pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora

2008-08-20 Por tôpico Helio Loureiro
> >
> > A prioridade para uso interno é a bge2, por conta da banda alta.
> > Apenas para alguns
> > acessos que exigem autenticação por IP criei rotas via bge1. Pela rede
> > interna tenho os
> > dois gateways das duas interfaces acessíveis, mas o gateway default é
> > o via bge2. O
> > problema é que externamente, apenas o IP da bge2 (dinâmico) é
> > acessível. O IP da bge1
> > (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
> > a ser acessível
> > externamente. Alguém conhece alguma forma de fazer com que ambas as
> > interfaces sejam
> > acessíveis externamente?
>

Vc precisa fazer source routing pra conseguir isso, utilizando pf:

 route-to
   The route-to option routes the packet to the specified interface
   with an optional address for the next hop.  When a route-to rule
   creates state, only packets that pass in the same direction as
the
   filter rule specifies will be routed in this way.  Packets
passing
   in the opposite direction (replies) are not affected and are
routed
   normally.

Vc poderia fazer via OSPF utilizando zebra ou quagga, mas acho que seria
mais difícil que a solução de source routing.

-- 
[]´s
Helio Loureiro
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Dois links de internet, um inacessíve l de fora

2008-08-20 Por tôpico Gule #
2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>

> Boa tarde!
>
> Estou com dois links de internet:
>
> (bge1) Virtua = 12 megas, IP Dinâmico
> (bge2) Ajato = 2 megas, IP fixo
>
> (bge0) Rede interna
>
> A prioridade para uso interno é a bge2, por conta da banda alta.
> Apenas para alguns
> acessos que exigem autenticação por IP criei rotas via bge1. Pela rede
> interna tenho os
> dois gateways das duas interfaces acessíveis, mas o gateway default é
> o via bge2. O
> problema é que externamente, apenas o IP da bge2 (dinâmico) é
> acessível. O IP da bge1
> (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
> a ser acessível
> externamente. Alguém conhece alguma forma de fazer com que ambas as
> interfaces sejam
> acessíveis externamente?
>
> Aline
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Firewall ? PF ?
Caso seja, basta liberar a porta que quer que seja acessivel na interface
desejada.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


[FUG-BR] Dois links de internet, um inacessíve l de fora

2008-08-20 Por tôpico Aline de Freitas
Boa tarde!

Estou com dois links de internet:

(bge1) Virtua = 12 megas, IP Dinâmico
(bge2) Ajato = 2 megas, IP fixo

(bge0) Rede interna

A prioridade para uso interno é a bge2, por conta da banda alta.  
Apenas para alguns
acessos que exigem autenticação por IP criei rotas via bge1. Pela rede  
interna tenho os
dois gateways das duas interfaces acessíveis, mas o gateway default é  
o via bge2. O
problema é que externamente, apenas o IP da bge2 (dinâmico) é  
acessível. O IP da bge1
(fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa  
a ser acessível
externamente. Alguém conhece alguma forma de fazer com que ambas as  
interfaces sejam
acessíveis externamente?

Aline
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd