Re: [FUG-BR] [Off-topic] pf não redireciona com route-to
Em 5 de novembro de 2014 16:51, spiderslack spidersl...@yahoo.com.br escreveu: Em 11/05/2014 03:10 PM, EnioRM escreveu: Senhores! apenas por curiosidade: spiderslack, como está os options do seu pf.conf set state-policy if-bound ou floating (que é o default)? att Ola Enio Ja tentei as duas opções mas esta como default atualmente. Att. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Bom dia a todos, meu exemplo. rdr on $ext_if1 proto tcp from any to any port 25255 - 200.0.0.1 rdr on $ext_if1 proto tcp from any to any port 21 - 200.0.0.1 rdr on $ext_if1 proto tcp from any to any port 20 - 200.0.0.1 rdr on $ext_if1 proto tcp from any to any port 48000 - 200.0.0.1 rdr on $ext_if1 proto tcp from any to any port 49005 - 200.0.0.1 rdr on $ext_if1 proto tcp from any to any port 6900 - 200.0.0.6 rdr on $ext_if1 proto tcp from any to any port 5900 - 200.0.0.90 rdr on $ext_if1 proto tcp from any to any port 5800 - 200.0.0.139 rdr on $ext_if1 proto tcp from any to any port 3389 - 200.0.0.66 rdr on $ext_if1 proto tcp from any to any port 5901 - 200.0.0.17 rdr on $ext_if1 proto tcp from any to any port 49006 - 200.0.0.1 rdr on $ext_if1 proto tcp from any to any port 35999 - 200.0.0.20 rdr on $ext_if1 proto tcp from any to any port 35000 - 200.0.0.20 -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Off-topic] pf não redireciona com route-to
On Nov 5, 2014, at 14:10, spiderslack spidersl...@yahoo.com.br wrote: Ola pessoal. Se o assunto for off-topic me desculpe. Por nao se tratar especificamente de FreeBSD. Mas axo já tentei de tudo. Estou tentando fazer um redirecionamento de porta 80 para um proxy. Tenho um FreeBSD com 3 interfaces. 1 re0 - wan 2 re1 - lan 3 alc0 - rede do proxy Todas as interfaces são ips válidos não tenho nat nesse FreeBSD. O endereço IP do proxy é 200.1.1.1(IP exemplo) pass in quick on re1 route-to (alc0 200.1.1.1) proto tcp from any to any port 80 pass in quick on re0 route-to (alc0 200.1.1.1) proto tcp from any port 80 to any Vou fazer umas perguntas, mais pra entender o seu cenário e tentar entender o que tá dando errado. 1. O seu proxy roda em um equipamento separado de onde roda o firewall, certo? 2. Se a resposta da #1 for sim, em qual rede ele está? na alc0? 3. O seu proxy atende na porta 80? 4. Você quer que todas as conexões vindas da re1, com destino a qualquer host na porta 80 seja redirecionado para o proxy, correto? []s -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Off-topic] pf não redireciona com route-to
Bom dia Renato Vou fazer umas perguntas, mais pra entender o seu cenário e tentar entender o que tá dando errado. 1. O seu proxy roda em um equipamento separado de onde roda o firewall, certo? Sim, mara cache 2. Se a resposta da #1 for sim, em qual rede ele está? na alc0? digamos que a rede seja 201.2.2.0/24. E uma rede válida. 3. O seu proxy atende na porta 80? Segundo o suporte mara cache sim 4. Você quer que todas as conexões vindas da re1, com destino a qualquer host na porta 80 seja redirecionado para o proxy, correto? Sim correto. Nesse firewall não tenho NAT somente roteamento. Tanto a LAN como a WAN são ips válidos. Att. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Off-topic] pf não redireciona com route-to
On Nov 6, 2014, at 10:36, spiderslack spidersl...@yahoo.com.br wrote: Bom dia Renato Vou fazer umas perguntas, mais pra entender o seu cenário e tentar entender o que tá dando errado. 1. O seu proxy roda em um equipamento separado de onde roda o firewall, certo? Sim, mara cache 2. Se a resposta da #1 for sim, em qual rede ele está? na alc0? digamos que a rede seja 201.2.2.0/24. E uma rede válida. 3. O seu proxy atende na porta 80? Segundo o suporte mara cache sim 4. Você quer que todas as conexões vindas da re1, com destino a qualquer host na porta 80 seja redirecionado para o proxy, correto? Sim correto. Nesse firewall não tenho NAT somente roteamento. Tanto a LAN como a WAN são ips válidos. Certo, então na minha opinião você deveria usar uma regra de rdr pra fazer esse redirect, e tem que lembrar de negar o IP do proxy, seria algo mais ou menos assim: rdr pass on re1 inet proto tcp from re1:network to ! IP_DO_PROXY port 80 - IP_DO_PROXY port 80 -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Off-topic] pf não redireciona com route-to
On Nov 6, 2014, at 16:05, spiderslack spidersl...@yahoo.com.br wrote: Certo, então na minha opinião você deveria usar uma regra de rdr pra fazer esse redirect, e tem que lembrar de negar o IP do proxy, seria algo mais ou menos assim: rdr pass on re1 inet proto tcp from re1:network to ! IP_DO_PROXY port 80 - IP_DO_PROXY port 80 -- Obrigado por responder Renato, Mas não funciona o redirecioamento até funciona,porém ele muda o destino do pacote vai com destino ao mara cache e nao ao site o site vai no header htttp Eu acho que descobri a razão do problema, mas e apenas uma teoria. Imaginemos que um cliente faz um request na porta 80 com destino ao google O mara cache fica em modo transparente ou seja como o modulo tproxy funciona, Quando o request passa pelo meu freebsd com destino ao google e porta de destino a 80 ele usa o route-to redireciona para o mara cache porque o destino do pacote NÃO está diretamente conectado. O mara cache faz o spoofing do ip do google e fecha o three way handshake com o cliente. A partir dai o Mara cache não possuir o objeto em cache abre uma nova conexão para o google para buscar este objeto. O mara cache envia um SYN para o google com origem no ip do cliente não no seu proprio IP(isso para quando o pacote voltar com destino ao cliente e não ter um unico ip acessando a internet) O google responde com um SYN/ACK para o ip cliente spoofado pelo mara cache. Quando esse SYN/ACK chega no freeBSD ele possue a regra para o retorno devolver ao mara cache conforme abaixo. pass in log quick on re0route-to (alc0 200.1.1.1) proto tcp from any port 80 to $rede_lan A minha teoria e aqui meu freebsd esta diretamente conectado ao cliente então nao usa o route-to, o route-to somente seria usado para destino não diretamente conectado(estou preparando um ambiente para testar isso, assim que tiver resposta retorno) e o pacote SYN/ACK chega ao cliente(chega porque monitorei via tcpdump). E o cliente recebe um pacote fora de contexto/ordem tipo ele anteriormente fechou o three way handshake com o google spoofado pelo mara cache e ai chega outro SYN/ACK ai ele Reseta a conexão. Tudo que eu descrevi acima eu constatei olhando os logs do tcpdump. E na interface onde esta o proxy mara cache vejo varios pacotes SYN saindo e os SYN/ACK indo direto para o cliente. Nao uso o rdr porque não tenho nat nesse freebsd somente ip's válidos. Se alguém tiver alguma dica ou passou por algo parecido desde já agradeço. Não tinha me ligado que vc tava usando TPROXY, falha minha. Essa fico devendo pq nunca pus a mão. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] [Off-topic] pf não redireciona com route-to
Ola pessoal. Se o assunto for off-topic me desculpe. Por nao se tratar especificamente de FreeBSD. Mas axo já tentei de tudo. Estou tentando fazer um redirecionamento de porta 80 para um proxy. Tenho um FreeBSD com 3 interfaces. 1 re0 - wan 2 re1 - lan 3 alc0 - rede do proxy Todas as interfaces são ips válidos não tenho nat nesse FreeBSD. O endereço IP do proxy é 200.1.1.1(IP exemplo) pass in quick on re1 route-to (alc0 200.1.1.1) proto tcp from any to any port 80 pass in quick on re0 route-to (alc0 200.1.1.1) proto tcp from any port 80 to any A ida e volta porem notei via tcpdump a volta nao é redirecionada (fiz testes tentando acessar o site da Cisco: 23.216.160.170): * **captura na re1**- LAN* 14:02:31.529558 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 74: 200.2.2.2.59297 23.216.160.170.80: Flags [S], seq 2881852864, win 14600, options [mss 1460,sackOK,TS val 8945318 ecr 0,nop,wscale 7], length 0 14:02:31.529733 00:1a:3f:b1:51:05 00:22:57:64:08:c5, ethertype IPv4 (0x0800), length 74: 23.216.160.170.80 200.2.2.2.59297: Flags [S.], seq 2813051021, ack 2881852865, win 28960, options [mss 1460,sackOK,TS val 50571790 ecr 8945318,nop,wscale 7], length 0 14:02:31.533785 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 66: 200.2.2.2.59297 23.216.160.170.80: Flags [.], ack 1, win 115, options [nop,nop,TS val 8945322 ecr 50571790], length 0 *Three way handshake feito* 14:02:32.181023 00:1a:3f:b1:51:05 00:22:57:64:08:c5, ethertype IPv4 (0x0800), length 74: 23.216.160.170.80 200.2.2.2.24450: Flags [S.], seq 1894693316, ack 299551138, win 14480, options [mss 1460,sackOK,TS val 2263835919 ecr 50571844,nop,wscale 5], length 0 14:02:32.182614 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 60: 200.2.2.2.24450 23.216.160.170.80: Flags [R], seq 299551138, win 0, length 0 * **Quando o site da cisco responde com SYN/ACK o cliente responde com um Reset, ou seja não esta encaminhando a volta para o proxy minha regra de volta não esta funcionando**. O que não entendo porque o cliente envia o RST. Sera que ele considera uma nova conexão? e como nao tem three way handshake feito ele reseta? E o processo ocorre algumas vezes enquanto o cliente tenta*. 14:02:33.324284 00:1a:3f:b1:51:05 00:22:57:64:08:c5, ethertype IPv4 (0x0800), length 74: 23.216.160.170.80 200.2.2.2.24450: Flags [S.], seq 1910248059, ack 299551138, win 14480, options [mss 1460,sackOK,TS val 2263836914 ecr 50571944,nop,wscale 5], length 0 14:02:33.325800 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 60: 200.2.2.2.24450 23.216.160.170.80: Flags [R], seq 299551138, win 0, length 0 14:02:35.215487 00:1a:3f:b1:51:05 00:22:57:64:08:c5, ethertype IPv4 (0x0800), length 74: 23.216.160.170.80 200.2.2.2.24450: Flags [S.], seq 28856710, ack 299551138, win 14480, options [mss 1460,sackOK,TS val 2227668864 ecr 50572144,nop,wscale 5], length 0 14:02:35.216626 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 60: 200.2.2.2.24450 23.216.160.170.80: Flags [R], seq 299551138, win 0, length 0 14:02:35.668511 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 66: 200.2.2.2.59297 23.216.160.170.80: Flags [F.], seq 112, ack 1, win 115, options [nop,nop,TS val 8949456 ecr 50571790], length 0 14:02:35.668802 00:1a:3f:b1:51:05 00:22:57:64:08:c5, ethertype IPv4 (0x0800), length 66: 23.216.160.170.80 200.2.2.2.59297: Flags [F.], seq 1, ack 113, win 227, options [nop,nop,TS val 50572204 ecr 8949456], length 0 14:02:35.709774 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 66: 200.2.2.2.59297 23.216.160.170.80: Flags [.], ack 2, win 115, options [nop,nop,TS val 8949498 ecr 50572204], length 0 *captura na alc0**- Interface onde o proxy esta conectado * 14:02:31.529573 00:1a:3f:b1:51:05 40:f2:e9:db:6b:23, ethertype IPv4 (0x0800), length 74: 200.2.2.2.59297 23.216.160.170.80: Flags [S], seq 2881852864, win 14600, options [mss 1460,sackOK,TS val 8945318 ecr 0,nop,wscale 7], length 0 14:02:31.529726 40:f2:e9:db:6b:23 00:00:5e:00:01:0f, ethertype IPv4 (0x0800), length 74: 23.216.160.170.80 200.2.2.2.59297: Flags [S.], seq 2813051021, ack 2881852865, win 28960, options [mss 1460,sackOK,TS val 50571790 ecr 8945318,nop,wscale 7], length 0 14:02:31.533789 00:1a:3f:b1:51:05 40:f2:e9:db:6b:23, ethertype IPv4 (0x0800), length 66: 200.2.2.2.59297 23.216.160.170.80: Flags [.], ack 1, win 115, options [nop,nop,TS val 8945322 ecr 50571790], length 0 *Three way handshake feito** **Aqui noto que o proxy tenta sair creio que ele abre 2 conexão uma para o cliente outra para o server tipo como o modulo tproxy do linux/squid faz.** * 14:02:32.070663 40:f2:e9:db:6b:23 00:00:5e:00:01:0f, ethertype IPv4 (0x0800), length 74: 200.2.2.2.24450 23.216.160.170.80: Flags [S], seq 299551137, win 29200, options [mss 1460,sackOK,TS val 50571844 ecr 0,nop,wscale 7], length
Re: [FUG-BR] [Off-topic] pf não redireciona com route-to
Um tiro no escuro... Mas não uso regras assim com any any em proxy transparente... Sao perigosas... Vamos travar sua origem da regra q intercepta as requisições pra jogar no proxy. Faz algo tipo: Pass from $lan_NET to any 80 Tenta fazer isso no outro redirect tb. Ou vê se um só resolve. Tenta migrar pra ipfw e vê se o bug se apresenta Vou ler seu tcpdump antes de falar o proximo teste Fabricio Em quarta-feira, 5 de novembro de 2014, spiderslack spidersl...@yahoo.com.br escreveu: Ola pessoal. Se o assunto for off-topic me desculpe. Por nao se tratar especificamente de FreeBSD. Mas axo já tentei de tudo. Estou tentando fazer um redirecionamento de porta 80 para um proxy. Tenho um FreeBSD com 3 interfaces. 1 re0 - wan 2 re1 - lan 3 alc0 - rede do proxy Todas as interfaces são ips válidos não tenho nat nesse FreeBSD. O endereço IP do proxy é 200.1.1.1(IP exemplo) pass in quick on re1 route-to (alc0 200.1.1.1) proto tcp from any to any port 80 pass in quick on re0 route-to (alc0 200.1.1.1) proto tcp from any port 80 to any A ida e volta porem notei via tcpdump a volta nao é redirecionada (fiz testes tentando acessar o site da Cisco: 23.216.160.170): * **captura na re1**- LAN* 14:02:31.529558 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 74: 200.2.2.2.59297 23.216.160.170.80: Flags [S], seq 2881852864, win 14600, options [mss 1460,sackOK,TS val 8945318 ecr 0,nop,wscale 7], length 0 14:02:31.529733 00:1a:3f:b1:51:05 00:22:57:64:08:c5, ethertype IPv4 (0x0800), length 74: 23.216.160.170.80 200.2.2.2.59297: Flags [S.], seq 2813051021, ack 2881852865, win 28960, options [mss 1460,sackOK,TS val 50571790 ecr 8945318,nop,wscale 7], length 0 14:02:31.533785 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 66: 200.2.2.2.59297 23.216.160.170.80: Flags [.], ack 1, win 115, options [nop,nop,TS val 8945322 ecr 50571790], length 0 *Three way handshake feito* 14:02:32.181023 00:1a:3f:b1:51:05 00:22:57:64:08:c5, ethertype IPv4 (0x0800), length 74: 23.216.160.170.80 200.2.2.2.24450: Flags [S.], seq 1894693316, ack 299551138, win 14480, options [mss 1460,sackOK,TS val 2263835919 ecr 50571844,nop,wscale 5], length 0 14:02:32.182614 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 60: 200.2.2.2.24450 23.216.160.170.80: Flags [R], seq 299551138, win 0, length 0 * **Quando o site da cisco responde com SYN/ACK o cliente responde com um Reset, ou seja não esta encaminhando a volta para o proxy minha regra de volta não esta funcionando**. O que não entendo porque o cliente envia o RST. Sera que ele considera uma nova conexão? e como nao tem three way handshake feito ele reseta? E o processo ocorre algumas vezes enquanto o cliente tenta*. 14:02:33.324284 00:1a:3f:b1:51:05 00:22:57:64:08:c5, ethertype IPv4 (0x0800), length 74: 23.216.160.170.80 200.2.2.2.24450: Flags [S.], seq 1910248059, ack 299551138, win 14480, options [mss 1460,sackOK,TS val 2263836914 ecr 50571944,nop,wscale 5], length 0 14:02:33.325800 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 60: 200.2.2.2.24450 23.216.160.170.80: Flags [R], seq 299551138, win 0, length 0 14:02:35.215487 00:1a:3f:b1:51:05 00:22:57:64:08:c5, ethertype IPv4 (0x0800), length 74: 23.216.160.170.80 200.2.2.2.24450: Flags [S.], seq 28856710, ack 299551138, win 14480, options [mss 1460,sackOK,TS val 2227668864 ecr 50572144,nop,wscale 5], length 0 14:02:35.216626 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 60: 200.2.2.2.24450 23.216.160.170.80: Flags [R], seq 299551138, win 0, length 0 14:02:35.668511 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 66: 200.2.2.2.59297 23.216.160.170.80: Flags [F.], seq 112, ack 1, win 115, options [nop,nop,TS val 8949456 ecr 50571790], length 0 14:02:35.668802 00:1a:3f:b1:51:05 00:22:57:64:08:c5, ethertype IPv4 (0x0800), length 66: 23.216.160.170.80 200.2.2.2.59297: Flags [F.], seq 1, ack 113, win 227, options [nop,nop,TS val 50572204 ecr 8949456], length 0 14:02:35.709774 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 66: 200.2.2.2.59297 23.216.160.170.80: Flags [.], ack 2, win 115, options [nop,nop,TS val 8949498 ecr 50572204], length 0 *captura na alc0**- Interface onde o proxy esta conectado * 14:02:31.529573 00:1a:3f:b1:51:05 40:f2:e9:db:6b:23, ethertype IPv4 (0x0800), length 74: 200.2.2.2.59297 23.216.160.170.80: Flags [S], seq 2881852864, win 14600, options [mss 1460,sackOK,TS val 8945318 ecr 0,nop,wscale 7], length 0 14:02:31.529726 40:f2:e9:db:6b:23 00:00:5e:00:01:0f, ethertype IPv4 (0x0800), length 74: 23.216.160.170.80 200.2.2.2.59297: Flags [S.], seq 2813051021, ack 2881852865, win 28960, options [mss 1460,sackOK,TS val 50571790 ecr 8945318,nop,wscale 7], length 0 14:02:31.533789 00:1a:3f:b1:51:05 40:f2:e9:db:6b:23, ethertype IPv4 (0x0800), length 66: 200.2.2.2.59297
Re: [FUG-BR] [Off-topic] pf não redireciona com route-to
Repensando... voce NAO precisa do 2o redirect... quando um usuario na lan faz a requisiçao pra web, voce joga pro proxy. ele agora vai receber, processar, e matar esta conexao ele irá gerar uma nova conexao, a partir do IP dele, pra web... e o fw vai rotear certinho. Se voce bota um redirect nesta volta, pode induzir o reset. Ou seja, use APENAS um redirect, e como meu email anterior, TRAVANDO a origem: pass in quick on re1 route-to (alc0 200.1.1.1) proto tcp from $LOCAL_LAN to any port 80 isso jogará pro proxy e ele trata o resto, e devolve pra estação. [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb. Em 5 de novembro de 2014 14:27, Fabricio Lima lis...@fabriciolima.com.br escreveu: Um tiro no escuro... Mas não uso regras assim com any any em proxy transparente... Sao perigosas... Vamos travar sua origem da regra q intercepta as requisições pra jogar no proxy. Faz algo tipo: Pass from $lan_NET to any 80 Tenta fazer isso no outro redirect tb. Ou vê se um só resolve. Tenta migrar pra ipfw e vê se o bug se apresenta Vou ler seu tcpdump antes de falar o proximo teste Fabricio Em quarta-feira, 5 de novembro de 2014, spiderslack spidersl...@yahoo.com.br escreveu: Ola pessoal. Se o assunto for off-topic me desculpe. Por nao se tratar especificamente de FreeBSD. Mas axo já tentei de tudo. Estou tentando fazer um redirecionamento de porta 80 para um proxy. Tenho um FreeBSD com 3 interfaces. 1 re0 - wan 2 re1 - lan 3 alc0 - rede do proxy Todas as interfaces são ips válidos não tenho nat nesse FreeBSD. O endereço IP do proxy é 200.1.1.1(IP exemplo) pass in quick on re1 route-to (alc0 200.1.1.1) proto tcp from any to any port 80 pass in quick on re0 route-to (alc0 200.1.1.1) proto tcp from any port 80 to any A ida e volta porem notei via tcpdump a volta nao é redirecionada (fiz testes tentando acessar o site da Cisco: 23.216.160.170): * **captura na re1**- LAN* 14:02:31.529558 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 74: 200.2.2.2.59297 23.216.160.170.80: Flags [S], seq 2881852864, win 14600, options [mss 1460,sackOK,TS val 8945318 ecr 0,nop,wscale 7], length 0 14:02:31.529733 00:1a:3f:b1:51:05 00:22:57:64:08:c5, ethertype IPv4 (0x0800), length 74: 23.216.160.170.80 200.2.2.2.59297: Flags [S.], seq 2813051021, ack 2881852865, win 28960, options [mss 1460,sackOK,TS val 50571790 ecr 8945318,nop,wscale 7], length 0 14:02:31.533785 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 66: 200.2.2.2.59297 23.216.160.170.80: Flags [.], ack 1, win 115, options [nop,nop,TS val 8945322 ecr 50571790], length 0 *Three way handshake feito* 14:02:32.181023 00:1a:3f:b1:51:05 00:22:57:64:08:c5, ethertype IPv4 (0x0800), length 74: 23.216.160.170.80 200.2.2.2.24450: Flags [S.], seq 1894693316, ack 299551138, win 14480, options [mss 1460,sackOK,TS val 2263835919 ecr 50571844,nop,wscale 5], length 0 14:02:32.182614 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 60: 200.2.2.2.24450 23.216.160.170.80: Flags [R], seq 299551138, win 0, length 0 * **Quando o site da cisco responde com SYN/ACK o cliente responde com um Reset, ou seja não esta encaminhando a volta para o proxy minha regra de volta não esta funcionando**. O que não entendo porque o cliente envia o RST. Sera que ele considera uma nova conexão? e como nao tem three way handshake feito ele reseta? E o processo ocorre algumas vezes enquanto o cliente tenta*. 14:02:33.324284 00:1a:3f:b1:51:05 00:22:57:64:08:c5, ethertype IPv4 (0x0800), length 74: 23.216.160.170.80 200.2.2.2.24450: Flags [S.], seq 1910248059, ack 299551138, win 14480, options [mss 1460,sackOK,TS val 2263836914 ecr 50571944,nop,wscale 5], length 0 14:02:33.325800 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 60: 200.2.2.2.24450 23.216.160.170.80: Flags [R], seq 299551138, win 0, length 0 14:02:35.215487 00:1a:3f:b1:51:05 00:22:57:64:08:c5, ethertype IPv4 (0x0800), length 74: 23.216.160.170.80 200.2.2.2.24450: Flags [S.], seq 28856710, ack 299551138, win 14480, options [mss 1460,sackOK,TS val 2227668864 ecr 50572144,nop,wscale 5], length 0 14:02:35.216626 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 60: 200.2.2.2.24450 23.216.160.170.80: Flags [R], seq 299551138, win 0, length 0 14:02:35.668511 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 66: 200.2.2.2.59297 23.216.160.170.80: Flags [F.], seq 112, ack 1, win 115, options [nop,nop,TS val 8949456 ecr 50571790], length 0 14:02:35.668802 00:1a:3f:b1:51:05 00:22:57:64:08:c5, ethertype IPv4 (0x0800), length 66: 23.216.160.170.80 200.2.2.2.59297: Flags [F.], seq 1, ack 113, win 227, options [nop,nop,TS val 50572204 ecr 8949456], length 0 14:02:35.709774 00:22:57:64:08:c5 00:00:5e:00:01:0c, ethertype IPv4 (0x0800), length 66: 200.2.2.2.59297 23.216.160.170.80: Flags [.], ack 2,
Re: [FUG-BR] [Off-topic] pf não redireciona com route-to
Em 11/05/2014 01:27 PM, Fabricio Lima escreveu: Um tiro no escuro... Mas não uso regras assim com any any em proxy transparente... Sao perigosas... Vamos travar sua origem da regra q intercepta as requisições pra jogar no proxy. Faz algo tipo: Pass from $lan_NET to any 80 Obrigado por responder Fabricio, Mas o any any foi somente para teste o ultimo teste que fiz, na verdade estou redirecionando somente meu ip para não parar o resto da rede Tenta fazer isso no outro redirect tb. Ou vê se um só resolve. Não resolveu Tenta migrar pra ipfw e vê se o bug se apresenta hum ipfw?! nunca trabalhei com ele, vou pesquisar e ver como se comporta. Vou ler seu tcpdump antes de falar o proximo teste Ok, obrigado . - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Off-topic] pf não redireciona com route-to
2014-11-05 14:10 GMT-02:00 spiderslack spidersl...@yahoo.com.br: Ola pessoal. Se o assunto for off-topic me desculpe. Por nao se tratar especificamente de FreeBSD. Mas axo já tentei de tudo. Estou tentando fazer um redirecionamento de porta 80 para um proxy. Tenho um FreeBSD com 3 interfaces. 1 re0 - wan 2 re1 - lan 3 alc0 - rede do proxy Todas as interfaces são ips válidos não tenho nat nesse FreeBSD. O endereço IP do proxy é 200.1.1.1(IP exemplo) pass in quick on re1 route-to (alc0 200.1.1.1) proto tcp from any to any port 80 pass in quick on re0 route-to (alc0 200.1.1.1) proto tcp from any port 80 to any A ida e volta porem notei via tcpdump a volta nao é redirecionada (fiz testes tentando acessar o site da Cisco: 23.216.160.170): Desculpe pelo e-mail longo. Mas ja tentei de tudo. Tentei ao invés de route-to o reply-to sem sucesso tentei o divert-to tentei o rdr tambem sem sucesso o problema do RDR ele manda direto com destino ao proxy na verdade o destino e o site da cisco. Se alguem já passou por isso. Algum palpite que possa me ajuda desde já agradeço. Att. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Senhores! apenas por curiosidade: spiderslack, como está os options do seu pf.conf set state-policy if-bound ou floating (que é o default)? att -- *[]'* *EnioRM * *B**ackup na nuvem **com o Dropbox http://db.tt/VfwUj00m* *Não perca suas anotações. Use o Evernote https://www.evernote.com/referral/Registration.action?uid=51621327sig=309c50439fa60945a84ebe86b0f542f9* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Off-topic] pf não redireciona com route-to
Em 11/05/2014 02:20 PM, Fabricio Lima escreveu: Repensando... voce NAO precisa do 2o redirect... quando um usuario na lan faz a requisiçao pra web, voce joga pro proxy. ele agora vai receber, processar, e matar esta conexao ele irá gerar uma nova conexao, a partir do IP dele, pra web... Então segundo o suporte do proxy, ele não faz assim sai do proxy spoofado com meu ip(200.2.2.3 por exemplo), porque quando voltar, o pacote retorna em direção ao cliente ai preciso interceptar e jogar para o proxy.(isso para não sair com um único somente). O proxy é o mara cache. e o fw vai rotear certinho. Se voce bota um redirect nesta volta, pode induzir o reset. Com o redirect ou sem o reset acontece Ou seja, use APENAS um redirect, e como meu email anterior, TRAVANDO a origem: pass in quick on re1 route-to (alc0 200.1.1.1) proto tcp from $LOCAL_LAN to any port 80 isso jogará pro proxy e ele trata o resto, e devolve pra estação. Estou estudando como o ipfw funciona para ver se é possivel fazer isso. Att. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Off-topic] pf não redireciona com route-to
ipfw: # Ativando Transparent Proxy ipfw add fwd 200.1.1.1,8080 tcp from 192.168.0.0/16 to any 80 ainda nao acreditei 100% de q seu proxy precisa spoofar algo tipo o websense com port mirror. fluxo segue assim: user1 pede a pagina www.uol.com.br:80 ao sair pelo fw1, ele redireciona pro proxy o proxy recebe a conexao from user1, destino uol (um socket aberto aqui, apos 3 way handshake) ele inicia uma NOVA conexao para uol, usando como origem o IP dele.. (proxy) ao receber de volta a pagina, ele devolve pela conexao com o usuario q ainda estava aberta o socket (repara q nao houve o 2o redirect) [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb. Em 5 de novembro de 2014 16:12, spiderslack spidersl...@yahoo.com.br escreveu: Em 11/05/2014 02:20 PM, Fabricio Lima escreveu: Repensando... voce NAO precisa do 2o redirect... quando um usuario na lan faz a requisiçao pra web, voce joga pro proxy. ele agora vai receber, processar, e matar esta conexao ele irá gerar uma nova conexao, a partir do IP dele, pra web... Então segundo o suporte do proxy, ele não faz assim sai do proxy spoofado com meu ip(200.2.2.3 por exemplo), porque quando voltar, o pacote retorna em direção ao cliente ai preciso interceptar e jogar para o proxy.(isso para não sair com um único somente). O proxy é o mara cache. e o fw vai rotear certinho. Se voce bota um redirect nesta volta, pode induzir o reset. Com o redirect ou sem o reset acontece Ou seja, use APENAS um redirect, e como meu email anterior, TRAVANDO a origem: pass in quick on re1 route-to (alc0 200.1.1.1) proto tcp from $LOCAL_LAN to any port 80 isso jogará pro proxy e ele trata o resto, e devolve pra estação. Estou estudando como o ipfw funciona para ver se é possivel fazer isso. Att. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [Off-topic] pf não redireciona com route-to
Em 11/05/2014 03:10 PM, EnioRM escreveu: Senhores! apenas por curiosidade: spiderslack, como está os options do seu pf.conf set state-policy if-bound ou floating (que é o default)? att Ola Enio Ja tentei as duas opções mas esta como default atualmente. Att. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet - Nã o resolvido
Senhores,
Venho mais uma vez pedir ajuda dos senhores, estou montando um servidor
Freebsd 8.1 para 1 LAN e 2 WAN, mas os pacotes que saem da LAN não são
direcionado para a WAN que não é a rota default, e quando entram na placa
que não é a rota dafaul não consegue chegar no destino mesmo passando ok
pelo firewall, alguém poderia me dar uma luz? Seguem os arquivos:
-- PF.CONF --
lan_net = 192.168.26.0/24
ip_fw = 192.168.26.5
int_if = vr0
operadora_A = rl0 # EBT
operadora_B = wb0 # GVT [ROTA DEFAULT]
gw_operadora_A = 200.YYY.XXX.1 #EBT [ROTA OPR2]
gw_operadora_B = 192.168.1.1 #GVT [ROTA DEFAULT]
nat on $operadora_A from $lan_net to any - ($operadora_A)
nat on $operadora_B from $lan_net to any - ($operadora_B)
block log all
set skip on lo
pass out log on $operadora_A proto tcp from any to any flags S/SA modulate
state
pass out log on $operadora_A proto { udp, icmp } from any to any keep state
pass out log on $operadora_B proto tcp from any to any flags S/SA modulate
state
pass out log on $operadora_B proto { udp, icmp } from any to any keep state
pass out log on $int_if route-to ($operadora_A $gw_operadora_A) proto tcp
from any to any port 2 keep state rtable 1
pass in log on $int_if route-to ($operadora_A $gw_operadora_A) proto tcp
from any to any port 2 keep state rtable 1
-- TESTE PF.CONF --
pass out log on $int_if route-to ($operadora_A $gw_operadora_A) proto tcp
from any to any port 2 keep state
pass in log on $int_if route-to ($operadora_A $gw_operadora_A) proto tcp
from any to any port 2 keep state
pass out log on $int_if reply-to ($operadora_A $gw_operadora_A) proto tcp
from any to any port 2 keep state
pass in log on $int_if reply-to ($operadora_A $gw_operadora_A) proto tcp
from any to any port 2 keep state
pass out log on $int_if reply-to ($operadora_A $gw_operadora_A) proto tcp
from any to any port 2 keep state rtable 1
pass in log on $int_if reply-to ($operadora_A $gw_operadora_A) proto tcp
from any to any port 2 keep stat rtable 1
pass out log on $int_if proto tcp from any to any port 2 keep state
rtable 1
pass in log on $int_if proto tcp from any to any port 2 keep stat rtable
1
-- LOG SEMPRE O MESMO --
00:00:01.891550 rule 4/0(match): pass out on wb0: 192.168.1.10.29354
AAA.BBB.CCC.DDD.2: tcp 40 [bad hdr length 0 - too short, 20]
-- RC.CONF --
#defaultrouter=192.168.1.1
#defaultrouter=200.YYY.XXX.1
hostname=fw-contec-vix
ifconfig_vr0=inet 192.168.26.5 netmask 255.255.255.0
ifconfig_wb0=192.168.1.10 netmask 255.255.255.0
ifconfig_rl0=inet 200.YYY.XXX.2 netmask 255.255.255.0
gateway_enable=YES
pf_enable=YES
pf_rules=/etc/pf.conf
pf_flags=
syslogd_flags=-ss
pflog_enable=YES
pflog_logfile=/var/log/pflog
pflog_flags=
keymap=br275.iso.acc
-- SYSCTL.CONF --
net.inet.ip.forwarding=1
-- LOADER.CONF --
net.fibs=6
-- setfib -0 netstat -nr --
Internet:
DestinationGatewayFlagsRefs Use Netif Expire
default192.168.1.1UGS 1 138wb0
127.0.0.1 link#4 UH 00lo0
192.168.1.0/24 link#2 U 0 20wb0
192.168.1.10 link#2 UHS 00lo0
192.168.26.0/24link#3 U 0 688vr0
192.168.26.5 link#3 UHS 00lo0
200.YYY.XXX.0/24 link#1 U 00rl0
200.YYY.XXX.2 link#1 UHS 00lo0
-- setfib -1 netstat -nr --
Internet:
DestinationGatewayFlagsRefs Use Netif Expire
default200.YYY.XXX.1 UGS 00rl0
127.0.0.1 link#4 UH 00lo0
192.168.1.0/24 link#2 U 00wb0
192.168.26.0/24link#3 U 00vr0
200.YYY.XXX.0/24 link#1 U 00rl0
-- netstat -nr --
Internet:
DestinationGatewayFlagsRefs Use Netif Expire
default192.168.1.1UGS 1 189wb0
127.0.0.1 link#4 UH 00lo0
192.168.1.0/24 link#2 U 0 20wb0
192.168.1.10 link#2 UHS 00lo0
192.168.26.0/24link#3 U 1 690vr0
192.168.26.5 link#3 UHS 00lo0
200.YYY.XXX.0/24 link#1 U 00rl0
200..XXX.2 link#1 UHS 00lo0
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista:
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet - Nã o resolvido
Em Thu, 7 Oct 2010 16:29:11 -0300 Bruno Torres Viana btvi...@gmail.com, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: Senhores, Venho mais uma vez pedir ajuda dos senhores, estou montando um servidor Freebsd 8.1 para 1 LAN e 2 WAN, mas os pacotes que saem da LAN não são direcionado para a WAN que não é a rota default, e quando entram na placa que não é a rota dafaul não consegue chegar no destino mesmo passando ok pelo firewall, alguém poderia me dar uma luz? Seguem os arquivos: ou eu estou fazendo enorme confusão ou (eventualmente) as coisas não são bem assim como vc coloca. vc tem duas wan e uma lan. Ok, isso eu entendi. Digamos que wan1 seja sua rota default e wan2 não. quando vc (sei lá de que modo) encaminha pacotinhos para algum lugar fora, via wan2, vc não obtém resposta então (supostamente) os pacotinhos não sabem voltar pra vc. é isso? Se for isso então coloquemos assim: lá fora, no mundo, os roteadores não tem a minima idéia do SEU rota default. A única coisa que êles sabem é enviar o seu pacotinho, vindo da wan2, para o next-hop dêles e sucessivamente, até que chegue ao destino. se vc não obtém resposta, não é pela sua rota default e sim por alguma coisa entre sua wan2 e algum lugar, sabe deus onde. Quem sabe até um fio entupido? desculpe, não li suas configurações e etc pq eu me aborreço facilmente com tanta letrinha junta. (na verdade, dado - IMHO - haver um conceito equivocado, preferi não ler mesmo). reavalie seu problema, use o tcpdump para analise de pacotinhos, use um host EXTERNO para um traceroute para sua wan2. flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Época triste a nossa, mais fácil quebrar um átomo do que o preconceito! (Albert Einstein) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet - Nã o resolvido
Em Thu, 7 Oct 2010 16:29:11 -0300 Bruno Torres Viana btvi...@gmail.com, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: não consegue chegar no destino mesmo passando ok pelo firewall, alguém poderia me dar uma luz? Seguem os arquivos: esqueci, mas já que falou do fwll eu entendo que (na sua análise) os pacotes tem permissão para SAIR pela wan2.. mas e ENTRAR por ela (em retorno)?? Eu vi (claro) um monte de pass out no seu pf.conf mas vc não diz se analisou os logs; sugiro (por exemplo) aceitar TUDO o que vier de um host em particular EXTERNO e tentar acessar a partir de lá, só pra conferir. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free A Bíblia é um manual de maus costumes, um catálogo de crueldade e do pior da natureza humana [Jose Saramago] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet - Nã o resolvido
Grande Irado, Na realidade acontece que: Normal, o pacote a lan sai para a wan GVT roda default normalmente *A* - Se eu forçar o pacote da lan para sair para a wan2 EBT ele não sai, sempre sai pela rota padrão wan1 GVT *B* - Se eu forçar o pacote da wan2 EBT para qq máquina com RDR, ele não chega no destino Já montei vários FW com apenas duas placas lan e wan, mas agora está complicado achar o ponto G, já analisei os logs tcpdump para todos os lados, por isso que eu coloquei os arquivos de configuração e até o LOG do pf. Inclusive compilei o kernel com a opção routetables para trabalhar com o setfibs. []'s Em 7 de outubro de 2010 16:57, irado furioso com tudo ir...@bsd.com.brescreveu: Em Thu, 7 Oct 2010 16:29:11 -0300 Bruno Torres Viana btvi...@gmail.com, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: não consegue chegar no destino mesmo passando ok pelo firewall, alguém poderia me dar uma luz? Seguem os arquivos: esqueci, mas já que falou do fwll eu entendo que (na sua análise) os pacotes tem permissão para SAIR pela wan2.. mas e ENTRAR por ela (em retorno)?? Eu vi (claro) um monte de pass out no seu pf.conf mas vc não diz se analisou os logs; sugiro (por exemplo) aceitar TUDO o que vier de um host em particular EXTERNO e tentar acessar a partir de lá, só pra conferir. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free A Bíblia é um manual de maus costumes, um catálogo de crueldade e do pior da natureza humana [Jose Saramago] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet - Nã o resolvido
Irado, Obrigado por escrever tudo e não escrever nada.. rs... pena que não leu, pq a galera sempre pede para documentar ao máximo quando se tem um problema! Qto a história dos pacotinhos não sei se eles sabem voltar pra mim, mas em via de regra está tudo teoricamente certo. Olhe as observações em seu comentário. Em 7 de outubro de 2010 16:48, irado furioso com tudo ir...@bsd.com.brescreveu: Em Thu, 7 Oct 2010 16:29:11 -0300 Bruno Torres Viana btvi...@gmail.com, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: Senhores, Venho mais uma vez pedir ajuda dos senhores, estou montando um servidor Freebsd 8.1 para 1 LAN e 2 WAN, mas os pacotes que saem da LAN não são direcionado para a WAN que não é a rota default, e quando entram na placa que não é a rota dafaul não consegue chegar no destino mesmo passando ok pelo firewall, alguém poderia me dar uma luz? Seguem os arquivos: ou eu estou fazendo enorme confusão ou (eventualmente) as coisas não são bem assim como vc coloca. vc tem duas wan e uma lan. Ok, isso eu entendi. Digamos que wan1 seja sua rota default e wan2 não. quando vc (sei lá de que modo) encaminha pacotinhos para algum lugar fora, via wan2, vc não obtém resposta então (supostamente) os pacotinhos não sabem voltar pra vc. *Quando eu encaminho os pacotes via wan2 eles não vão, continuam saindo pela wan1, foi isso que escrevi.* é isso? Se for isso então coloquemos assim: lá fora, no mundo, os roteadores não tem a minima idéia do SEU rota default. A única coisa que êles sabem é enviar o seu pacotinho, vindo da wan2, para o next-hop dêles e sucessivamente, até que chegue ao destino. se vc não obtém resposta, não é pela sua rota default e sim por alguma coisa entre sua wan2 e algum lugar, sabe deus onde. Quem sabe até um fio entupido? *Cara na boa, se eu soubesse isso eu teria acertado e não compartilhado com a galera pedindo ajuda* desculpe, não li suas configurações e etc pq eu me aborreço facilmente com tanta letrinha junta. (na verdade, dado - IMHO - haver um conceito equivocado, preferi não ler mesmo). reavalie seu problema, use o tcpdump para analise de pacotinhos, use um host EXTERNO para um traceroute para sua wan2. flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Época triste a nossa, mais fácil quebrar um átomo do que o preconceito! (Albert Einstein) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet [Resolvido]
Senhores, Após iniciar uma instalação do zero com a versão 8.1 e compilar o kernel com a opção ROUTERTABLES adicionei as regras abaixo e resolveu meu problema. pass out log on $ext_if1 reply-to ($ext_if1 $ext_gw1) proto tcp from any to 200.241.YYY.XXX port 22 keep state rtable 1 pass in log on $ext_if1 reply-to ($ext_if1 $ext_gw1) proto tcp from any to any port 22 keep state rtable 1 Obrigado a todos! Em 5 de outubro de 2010 18:19, Bruno Torres Viana btvi...@gmail.comescreveu: Adalberto, Estou verificando agora o SETFIB, vou recompilar o kernel e verificar aqui, mais tarde posto novamente. Em 5 de outubro de 2010 17:55, Adalberto Gonçalves adalbe...@bsd.com.brescreveu: Nem precisa de regra de out se a conexão vem e sai do servidor, eu só uso os reply-to e funcionam de boa. E no lugar do route-to compensa usar rtable, pra trabalhar com multiplas tabelas de roteamento. Só dar uma lida em SETFIB. Em 5 de outubro de 2010 17:47, Anderson Eduardo lis...@secover.com.br escreveu: Em 5/10/2010 17:03, Bruno Torres Viana escreveu: Isto é o que esta estranho, esta assim e este é o log: 026992 rule 0/0(match): rdr in on rl0: 187.58.185.168.21720 192.168.26.2.3389: [|tcp] 20 rule 3/0(match): pass out on vr0: 187.58.185.168.21720 192.168.26.2.3389: [|tcp] porem o pacote não chega no servidor Já fez teste com outro protocolo? udp/tcp/icmp? Fiz um teste com pf aqui no meu ambiente, realmente tcp não funcionou, mas o icmp funcionou sem problemas. Regra que funciona com icmp. pass out on tun0 route-to ($ext_if2 $ext_gw2) inet proto icmp from 201.XXX.XXX. to any keep state Regra que não funciona com tcp. laboratory# cat /etc/firewall/pfctl.conf pass out on tun0 route-to ($ext_if2 $ext_gw2) inet proto tcp from 201.XXX.XXX.XXX to any laboratory# pfctl -sr pass out on tun0 route-to ($ext_if2 $ext_gw2) inet proto tcp from 201.XXX.XXX.XXX to any 'flags S/SA keep state' laboratory# A opção flags é adicionada automaticamente pelo pf. -- Anderson Eduardo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- === Adalberto Gonçalves - Network and Systems Administrator Tel: 19 3351 3301 Cel: 19 9213 6392 === - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ___ Bruno Torres Viana Consultor em TI Celular: (27) 9225-4766 Celular: (27) 8823-0751 SKYPE/MSN: btorres_viana Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! -- ___ Bruno Torres Viana Consultor em TI Celular: (27) 9225-4766 Celular: (27) 8823-0751 SKYPE/MSN: btorres_viana Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Senhores, Estou montando um servidor FreeBSD com 3 Ethernet sendo 1 LAN e 2 WAN [WAN1 - GVT ; WAN2 - EBT], a rota padrão é GVT, porém quando acesso o IP fixo da EBT por exemplo SSH o pacote passa pelo PF mas não me retorna a tela de login. Acredito que o pacote não está achando rota de saída para voltar com a resposta, mas verifiquei tudo e não encontrei nada. Alguém poderia me dar uma luz para encontrar a solução? DADOS: SO: FreeBSD 7.3-RELEASE-p3 Firewall: PF LOG DO FIREWALL fw# tcpdump -nettti pflog0 tcpdump: WARNING: pflog0: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 96 bytes 00 rule 15/0(match): pass in on rl0: 187.58.185.168.12819 200.XXX.0.YYY.22: tcp 32 [bad hdr length 0 - too short, 20] 10. 436593 rule 0/0(match): block in on wb0: 192.168.1.1.520 192.168.1.255.520: RIPv1, Response, length: 24 2. 696563 rule 0/0(match): block in on vr0: 192.168.26.57.138 192.168.26.255.138: NBT UDP PACKET(138) 6. 644800 rule 0/0(match): block in on wb0: 192.168.1.1 224.0.0.1: igmp query v3 Obrigado! -- ___ Bruno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
não tem que usar route-to na regra que tem o gateway que não é o padrão? []s -Mensagem Original- From: Bruno Torres Viana Sent: Tuesday, October 05, 2010 10:15 AM To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet Senhores, Estou montando um servidor FreeBSD com 3 Ethernet sendo 1 LAN e 2 WAN [WAN1 - GVT ; WAN2 - EBT], a rota padrão é GVT, porém quando acesso o IP fixo da EBT por exemplo SSH o pacote passa pelo PF mas não me retorna a tela de login. Acredito que o pacote não está achando rota de saída para voltar com a resposta, mas verifiquei tudo e não encontrei nada. Alguém poderia me dar uma luz para encontrar a solução? DADOS: SO: FreeBSD 7.3-RELEASE-p3 Firewall: PF LOG DO FIREWALL fw# tcpdump -nettti pflog0 tcpdump: WARNING: pflog0: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 96 bytes 00 rule 15/0(match): pass in on rl0: 187.58.185.168.12819 200.XXX.0.YYY.22: tcp 32 [bad hdr length 0 - too short, 20] 10. 436593 rule 0/0(match): block in on wb0: 192.168.1.1.520 192.168.1.255.520: RIPv1, Response, length: 24 2. 696563 rule 0/0(match): block in on vr0: 192.168.26.57.138 192.168.26.255.138: NBT UDP PACKET(138) 6. 644800 rule 0/0(match): block in on wb0: 192.168.1.1 224.0.0.1: igmp query v3 Obrigado! -- ___ Bruno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Então Renato, está assim # Permite conexões ssh pass in log on $ext_if1 route-to ($ext_if1 $ext_gw1) proto tcp from any to any port ssh keep state pass in log on $ext_if2 proto tcp from any to any port 22 keep state Em 5 de outubro de 2010 10:36, Renato Frederick ren...@frederick.eti.brescreveu: não tem que usar route-to na regra que tem o gateway que não é o padrão? []s -Mensagem Original- From: Bruno Torres Viana Sent: Tuesday, October 05, 2010 10:15 AM To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet Senhores, Estou montando um servidor FreeBSD com 3 Ethernet sendo 1 LAN e 2 WAN [WAN1 - GVT ; WAN2 - EBT], a rota padrão é GVT, porém quando acesso o IP fixo da EBT por exemplo SSH o pacote passa pelo PF mas não me retorna a tela de login. Acredito que o pacote não está achando rota de saída para voltar com a resposta, mas verifiquei tudo e não encontrei nada. Alguém poderia me dar uma luz para encontrar a solução? DADOS: SO: FreeBSD 7.3-RELEASE-p3 Firewall: PF LOG DO FIREWALL fw# tcpdump -nettti pflog0 tcpdump: WARNING: pflog0: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 96 bytes 00 rule 15/0(match): pass in on rl0: 187.58.185.168.12819 200.XXX.0.YYY.22: tcp 32 [bad hdr length 0 - too short, 20] 10. 436593 rule 0/0(match): block in on wb0: 192.168.1.1.520 192.168.1.255.520: RIPv1, Response, length: 24 2. 696563 rule 0/0(match): block in on vr0: 192.168.26.57.138 192.168.26.255.138: NBT UDP PACKET(138) 6. 644800 rule 0/0(match): block in on wb0: 192.168.1.1 224.0.0.1: igmp query v3 Obrigado! -- ___ Bruno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ___ Bruno Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Aqui os route-to estão na regra de pass out: pass out quick on $pub_if route-to ($ext_phy_if $_gw) inet proto tcp from $aA to BB port 3389 keep state -Mensagem Original- From: Bruno Torres Viana Sent: Tuesday, October 05, 2010 10:44 AM To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet Então Renato, está assim # Permite conexões ssh pass in log on $ext_if1 route-to ($ext_if1 $ext_gw1) proto tcp from any to any port ssh keep state pass in log on $ext_if2 proto tcp from any to any port 22 keep state Em 5 de outubro de 2010 10:36, Renato Frederick ren...@frederick.eti.brescreveu: não tem que usar route-to na regra que tem o gateway que não é o padrão? []s -Mensagem Original- From: Bruno Torres Viana Sent: Tuesday, October 05, 2010 10:15 AM To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet Senhores, Estou montando um servidor FreeBSD com 3 Ethernet sendo 1 LAN e 2 WAN [WAN1 - GVT ; WAN2 - EBT], a rota padrão é GVT, porém quando acesso o IP fixo da EBT por exemplo SSH o pacote passa pelo PF mas não me retorna a tela de login. Acredito que o pacote não está achando rota de saída para voltar com a resposta, mas verifiquei tudo e não encontrei nada. Alguém poderia me dar uma luz para encontrar a solução? DADOS: SO: FreeBSD 7.3-RELEASE-p3 Firewall: PF LOG DO FIREWALL fw# tcpdump -nettti pflog0 tcpdump: WARNING: pflog0: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 96 bytes 00 rule 15/0(match): pass in on rl0: 187.58.185.168.12819 200.XXX.0.YYY.22: tcp 32 [bad hdr length 0 - too short, 20] 10. 436593 rule 0/0(match): block in on wb0: 192.168.1.1.520 192.168.1.255.520: RIPv1, Response, length: 24 2. 696563 rule 0/0(match): block in on vr0: 192.168.26.57.138 192.168.26.255.138: NBT UDP PACKET(138) 6. 644800 rule 0/0(match): block in on wb0: 192.168.1.1 224.0.0.1: igmp query v3 Obrigado! -- ___ Bruno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ___ Bruno Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Pois é, mas se no caso vc queira receber uma conexão SSH em seu IP, agora tem que configurar NATD ou Route no server, pelo que vi já fiz isso, já adicionei as rotas mas nada. Em 5 de outubro de 2010 10:49, Renato Frederick ren...@frederick.eti.brescreveu: Aqui os route-to estão na regra de pass out: pass out quick on $pub_if route-to ($ext_phy_if $_gw) inet proto tcp from $aA to BB port 3389 keep state -Mensagem Original- From: Bruno Torres Viana Sent: Tuesday, October 05, 2010 10:44 AM To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet Então Renato, está assim # Permite conexões ssh pass in log on $ext_if1 route-to ($ext_if1 $ext_gw1) proto tcp from any to any port ssh keep state pass in log on $ext_if2 proto tcp from any to any port 22 keep state Em 5 de outubro de 2010 10:36, Renato Frederick ren...@frederick.eti.brescreveu: não tem que usar route-to na regra que tem o gateway que não é o padrão? []s -Mensagem Original- From: Bruno Torres Viana Sent: Tuesday, October 05, 2010 10:15 AM To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet Senhores, Estou montando um servidor FreeBSD com 3 Ethernet sendo 1 LAN e 2 WAN [WAN1 - GVT ; WAN2 - EBT], a rota padrão é GVT, porém quando acesso o IP fixo da EBT por exemplo SSH o pacote passa pelo PF mas não me retorna a tela de login. Acredito que o pacote não está achando rota de saída para voltar com a resposta, mas verifiquei tudo e não encontrei nada. Alguém poderia me dar uma luz para encontrar a solução? DADOS: SO: FreeBSD 7.3-RELEASE-p3 Firewall: PF LOG DO FIREWALL fw# tcpdump -nettti pflog0 tcpdump: WARNING: pflog0: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 96 bytes 00 rule 15/0(match): pass in on rl0: 187.58.185.168.12819 200.XXX.0.YYY.22: tcp 32 [bad hdr length 0 - too short, 20] 10. 436593 rule 0/0(match): block in on wb0: 192.168.1.1.520 192.168.1.255.520: RIPv1, Response, length: 24 2. 696563 rule 0/0(match): block in on vr0: 192.168.26.57.138 192.168.26.255.138: NBT UDP PACKET(138) 6. 644800 rule 0/0(match): block in on wb0: 192.168.1.1 224.0.0.1: igmp query v3 Obrigado! -- ___ Bruno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ___ Bruno Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ___ Bruno Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Vc pode utilizar o reply-to que funciona. Eu utilizo assim para 3 conexões wan: pass in on $fera_if reply-to ($fera_if $fera_gw) inet proto tcp to port 222 flags S/SA keep state pass in on $speedy_if reply-to ($speedy_if $speedy_gw) inet proto tcp to port 222 flags S/SA keep state pass in on $link_if inet proto tcp to port 222 flags S/SA keep state Sendo $link_if minha conexão da rota default. []'s Em 5 de outubro de 2010 10:15, Bruno Torres Viana btvi...@gmail.comescreveu: Senhores, Estou montando um servidor FreeBSD com 3 Ethernet sendo 1 LAN e 2 WAN [WAN1 - GVT ; WAN2 - EBT], a rota padrão é GVT, porém quando acesso o IP fixo da EBT por exemplo SSH o pacote passa pelo PF mas não me retorna a tela de login. Acredito que o pacote não está achando rota de saída para voltar com a resposta, mas verifiquei tudo e não encontrei nada. Alguém poderia me dar uma luz para encontrar a solução? DADOS: SO: FreeBSD 7.3-RELEASE-p3 Firewall: PF LOG DO FIREWALL fw# tcpdump -nettti pflog0 tcpdump: WARNING: pflog0: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 96 bytes 00 rule 15/0(match): pass in on rl0: 187.58.185.168.12819 200.XXX.0.YYY.22: tcp 32 [bad hdr length 0 - too short, 20] 10. 436593 rule 0/0(match): block in on wb0: 192.168.1.1.520 192.168.1.255.520: RIPv1, Response, length: 24 2. 696563 rule 0/0(match): block in on vr0: 192.168.26.57.138 192.168.26.255.138: NBT UDP PACKET(138) 6. 644800 rule 0/0(match): block in on wb0: 192.168.1.1 224.0.0.1: igmp query v3 Obrigado! -- ___ Bruno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- === Adalberto Gonçalves - Network and Systems Administrator Tel: 19 3351 3301 Cel: 19 9213 6392 === - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Adalberto, Fiz o que falou, mas continua da mesma forma, o pacote chega no firewall, mas parece que se perde em algum lugar que não estou sabendo identificar. 00 rule 15/0(match): pass in on rl0: 187.58.185.168.15402 200.XXX.0.YYY.22: tcp 32 [bad hdr length 0 - too short, 20] Em 5 de outubro de 2010 11:15, Adalberto Gonçalves adalbe...@bsd.com.brescreveu: Vc pode utilizar o reply-to que funciona. Eu utilizo assim para 3 conexões wan: pass in on $fera_if reply-to ($fera_if $fera_gw) inet proto tcp to port 222 flags S/SA keep state pass in on $speedy_if reply-to ($speedy_if $speedy_gw) inet proto tcp to port 222 flags S/SA keep state pass in on $link_if inet proto tcp to port 222 flags S/SA keep state Sendo $link_if minha conexão da rota default. []'s Em 5 de outubro de 2010 10:15, Bruno Torres Viana btvi...@gmail.com escreveu: Senhores, Estou montando um servidor FreeBSD com 3 Ethernet sendo 1 LAN e 2 WAN [WAN1 - GVT ; WAN2 - EBT], a rota padrão é GVT, porém quando acesso o IP fixo da EBT por exemplo SSH o pacote passa pelo PF mas não me retorna a tela de login. Acredito que o pacote não está achando rota de saída para voltar com a resposta, mas verifiquei tudo e não encontrei nada. Alguém poderia me dar uma luz para encontrar a solução? DADOS: SO: FreeBSD 7.3-RELEASE-p3 Firewall: PF LOG DO FIREWALL fw# tcpdump -nettti pflog0 tcpdump: WARNING: pflog0: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 96 bytes 00 rule 15/0(match): pass in on rl0: 187.58.185.168.12819 200.XXX.0.YYY.22: tcp 32 [bad hdr length 0 - too short, 20] 10. 436593 rule 0/0(match): block in on wb0: 192.168.1.1.520 192.168.1.255.520: RIPv1, Response, length: 24 2. 696563 rule 0/0(match): block in on vr0: 192.168.26.57.138 192.168.26.255.138: NBT UDP PACKET(138) 6. 644800 rule 0/0(match): block in on wb0: 192.168.1.1 224.0.0.1: igmp query v3 Obrigado! -- ___ Bruno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- === Adalberto Gonçalves - Network and Systems Administrator Tel: 19 3351 3301 Cel: 19 9213 6392 === - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ___ Bruno Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Em 5 de outubro de 2010 11:52, Bruno Torres Viana btvi...@gmail.comescreveu: Adalberto, Fiz o que falou, mas continua da mesma forma, o pacote chega no firewall, mas parece que se perde em algum lugar que não estou sabendo identificar. 00 rule 15/0(match): pass in on rl0: 187.58.185.168.15402 200.XXX.0.YYY.22: tcp 32 [bad hdr length 0 - too short, 20] Em 5 de outubro de 2010 11:15, Adalberto Gonçalves adalbe...@bsd.com.brescreveu: Vc pode utilizar o reply-to que funciona. Eu utilizo assim para 3 conexões wan: pass in on $fera_if reply-to ($fera_if $fera_gw) inet proto tcp to port 222 flags S/SA keep state pass in on $speedy_if reply-to ($speedy_if $speedy_gw) inet proto tcp to port 222 flags S/SA keep state pass in on $link_if inet proto tcp to port 222 flags S/SA keep state Sendo $link_if minha conexão da rota default. []'s Em 5 de outubro de 2010 10:15, Bruno Torres Viana btvi...@gmail.com escreveu: Senhores, Estou montando um servidor FreeBSD com 3 Ethernet sendo 1 LAN e 2 WAN [WAN1 - GVT ; WAN2 - EBT], a rota padrão é GVT, porém quando acesso o IP fixo da EBT por exemplo SSH o pacote passa pelo PF mas não me retorna a tela de login. Acredito que o pacote não está achando rota de saída para voltar com a resposta, mas verifiquei tudo e não encontrei nada. Alguém poderia me dar uma luz para encontrar a solução? DADOS: SO: FreeBSD 7.3-RELEASE-p3 Firewall: PF LOG DO FIREWALL fw# tcpdump -nettti pflog0 tcpdump: WARNING: pflog0: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 96 bytes 00 rule 15/0(match): pass in on rl0: 187.58.185.168.12819 200.XXX.0.YYY.22: tcp 32 [bad hdr length 0 - too short, 20] 10. 436593 rule 0/0(match): block in on wb0: 192.168.1.1.520 192.168.1.255.520: RIPv1, Response, length: 24 2. 696563 rule 0/0(match): block in on vr0: 192.168.26.57.138 192.168.26.255.138: NBT UDP PACKET(138) 6. 644800 rule 0/0(match): block in on wb0: 192.168.1.1 224.0.0.1: igmp query v3 Obrigado! -- ___ Bruno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- === Adalberto Gonçalves - Network and Systems Administrator Tel: 19 3351 3301 Cel: 19 9213 6392 === - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ___ Bruno Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Tente utilizar route-to após os reply-to para garantir o encaminhamento dos pacotes. Mais ou menos assim: pass in quick on $if_gvt reply-to ( $if_gvt $gw_gvt ) proto tcp to port 222 pass in quick on $if_embratel reply-to ( $if_embratel $gw_embratel ) proto tcp to port 222 pass out quick on $if_gvt route-to ( $if_embratel $gw_embratel ) from $ip_embratel pass out quick on $if_embratel route-to ( $if_gvt $gw_gvt ) from $ip_gvt Espero que ajude. Depois nos de um feedback se funcionou. Boa sorte! Att. Gabriel ethX Fonseca - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Gabriel, Não funcionou, se eu colocar o gw da EBT como default funciona, mas este não é o propósito. Em 5 de outubro de 2010 13:41, Gabriel Fonseca gabr...@ethx.com.brescreveu: Em 5 de outubro de 2010 11:52, Bruno Torres Viana btvi...@gmail.com escreveu: Adalberto, Fiz o que falou, mas continua da mesma forma, o pacote chega no firewall, mas parece que se perde em algum lugar que não estou sabendo identificar. 00 rule 15/0(match): pass in on rl0: 187.58.185.168.15402 200.XXX.0.YYY.22: tcp 32 [bad hdr length 0 - too short, 20] Em 5 de outubro de 2010 11:15, Adalberto Gonçalves adalbe...@bsd.com.brescreveu: Vc pode utilizar o reply-to que funciona. Eu utilizo assim para 3 conexões wan: pass in on $fera_if reply-to ($fera_if $fera_gw) inet proto tcp to port 222 flags S/SA keep state pass in on $speedy_if reply-to ($speedy_if $speedy_gw) inet proto tcp to port 222 flags S/SA keep state pass in on $link_if inet proto tcp to port 222 flags S/SA keep state Sendo $link_if minha conexão da rota default. []'s Em 5 de outubro de 2010 10:15, Bruno Torres Viana btvi...@gmail.com escreveu: Senhores, Estou montando um servidor FreeBSD com 3 Ethernet sendo 1 LAN e 2 WAN [WAN1 - GVT ; WAN2 - EBT], a rota padrão é GVT, porém quando acesso o IP fixo da EBT por exemplo SSH o pacote passa pelo PF mas não me retorna a tela de login. Acredito que o pacote não está achando rota de saída para voltar com a resposta, mas verifiquei tudo e não encontrei nada. Alguém poderia me dar uma luz para encontrar a solução? DADOS: SO: FreeBSD 7.3-RELEASE-p3 Firewall: PF LOG DO FIREWALL fw# tcpdump -nettti pflog0 tcpdump: WARNING: pflog0: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 96 bytes 00 rule 15/0(match): pass in on rl0: 187.58.185.168.12819 200.XXX.0.YYY.22: tcp 32 [bad hdr length 0 - too short, 20] 10. 436593 rule 0/0(match): block in on wb0: 192.168.1.1.520 192.168.1.255.520: RIPv1, Response, length: 24 2. 696563 rule 0/0(match): block in on vr0: 192.168.26.57.138 192.168.26.255.138: NBT UDP PACKET(138) 6. 644800 rule 0/0(match): block in on wb0: 192.168.1.1 224.0.0.1: igmp query v3 Obrigado! -- ___ Bruno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- === Adalberto Gonçalves - Network and Systems Administrator Tel: 19 3351 3301 Cel: 19 9213 6392 === - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ___ Bruno Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Tente utilizar route-to após os reply-to para garantir o encaminhamento dos pacotes. Mais ou menos assim: pass in quick on $if_gvt reply-to ( $if_gvt $gw_gvt ) proto tcp to port 222 pass in quick on $if_embratel reply-to ( $if_embratel $gw_embratel ) proto tcp to port 222 pass out quick on $if_gvt route-to ( $if_embratel $gw_embratel ) from $ip_embratel pass out quick on $if_embratel route-to ( $if_gvt $gw_gvt ) from $ip_gvt Espero que ajude. Depois nos de um feedback se funcionou. Boa sorte! Att. Gabriel ethX Fonseca - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ___ Bruno Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Em 5/10/2010 14:01, Bruno Torres Viana escreveu: Gabriel, Não funcionou, se eu colocar o gw da EBT como default funciona, mas este não é o propósito. Em 5 de outubro de 2010 13:41, Gabriel Fonsecagabr...@ethx.com.brescreveu: Em 5 de outubro de 2010 11:52, Bruno Torres Vianabtvi...@gmail.com escreveu: Adalberto, Fiz o que falou, mas continua da mesma forma, o pacote chega no firewall, mas parece que se perde em algum lugar que não estou sabendo identificar. 00 rule 15/0(match): pass in on rl0: 187.58.185.168.15402 200.XXX.0.YYY.22: tcp 32 [bad hdr length 0 - too short, 20] Em 5 de outubro de 2010 11:15, Adalberto Gonçalves adalbe...@bsd.com.brescreveu: Vc pode utilizar o reply-to que funciona. Eu utilizo assim para 3 conexões wan: pass in on $fera_if reply-to ($fera_if $fera_gw) inet proto tcp to port 222 flags S/SA keep state pass in on $speedy_if reply-to ($speedy_if $speedy_gw) inet proto tcp to port 222 flags S/SA keep state pass in on $link_if inet proto tcp to port 222 flags S/SA keep state Sendo $link_if minha conexão da rota default. []'s Em 5 de outubro de 2010 10:15, Bruno Torres Vianabtvi...@gmail.com escreveu: Senhores, Estou montando um servidor FreeBSD com 3 Ethernet sendo 1 LAN e 2 WAN [WAN1 - GVT ; WAN2 - EBT], a rota padrão é GVT, porém quando acesso o IP fixo da EBT por exemplo SSH o pacote passa pelo PF mas não me retorna a tela de login. Acredito que o pacote não está achando rota de saída para voltar com a resposta, mas verifiquei tudo e não encontrei nada. Alguém poderia me dar uma luz para encontrar a solução? DADOS: SO: FreeBSD 7.3-RELEASE-p3 Firewall: PF LOG DO FIREWALL fw# tcpdump -nettti pflog0 tcpdump: WARNING: pflog0: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 96 bytes 00 rule 15/0(match): pass in on rl0: 187.58.185.168.12819 200.XXX.0.YYY.22: tcp 32 [bad hdr length 0 - too short, 20] 10. 436593 rule 0/0(match): block in on wb0: 192.168.1.1.520 192.168.1.255.520: RIPv1, Response, length: 24 2. 696563 rule 0/0(match): block in on vr0: 192.168.26.57.138 192.168.26.255.138: NBT UDP PACKET(138) 6. 644800 rule 0/0(match): block in on wb0: 192.168.1.1 224.0.0.1: igmp query v3 Obrigado! -- ___ Bruno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- === Adalberto Gonçalves - Network and Systems Administrator Tel: 19 3351 3301 Cel: 19 9213 6392 === - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ___ Bruno Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Tente utilizar route-to após os reply-to para garantir o encaminhamento dos pacotes. Mais ou menos assim: pass in quick on $if_gvt reply-to ( $if_gvt $gw_gvt ) proto tcp to port 222 pass in quick on $if_embratel reply-to ( $if_embratel $gw_embratel ) proto tcp to port 222 pass out quick on $if_gvt route-to ( $if_embratel $gw_embratel ) from $ip_embratel pass out quick on $if_embratel route-to ( $if_gvt $gw_gvt ) from $ip_gvt Espero que ajude. Depois nos de um feedback se funcionou. Boa sorte! Att. Gabriel ethX Fonseca - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Tenho o mesmo ambiente aqui e somente precisei de um forward no ipfw. fwd 201.XXX.XXX.XXX tcp from 201.XXX.XXX.XXX to any Não testei nada no pf,mas tenta adaptar sua regra. Qualquer coisa dar uma lida sobre policy routing. -- Anderson Eduardo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Em 5/10/2010 10:15, Bruno Torres Viana escreveu: Senhores, Estou montando um servidor FreeBSD com 3 Ethernet sendo 1 LAN e 2 WAN [WAN1 - GVT ; WAN2 - EBT], a rota padrão é GVT, porém quando acesso o IP fixo da EBT por exemplo SSH o pacote passa pelo PF mas não me retorna a tela de login. Acredito que o pacote não está achando rota de saída para voltar com a resposta, mas verifiquei tudo e não encontrei nada. Boa tarde, [1]. http://www.openbsd.org/faq/pf/pools.html - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Márcio, Obrigado, mas foi baseado exatamente nisto que comecei o trabalho com o servidor. Inclusive as regras ali são para saida de pacote e não para a entrada, inclusive a sintaxe do PF entre os SO são diferentes. Estou pensado que possa ser alguma coisa com relacao a rota, ainda que aparentemente esteja correto, pois fiz um rdr do ip externo ebt para outro servidor na porta 3389 e não chegou o pacote, apesar do log apresentar normal quanto a liberação. Voce tem alguma outro idéia? Obrigado! Em 5 de outubro de 2010 15:55, Márcio Luciano Donada mdon...@gmail.comescreveu: Em 5/10/2010 10:15, Bruno Torres Viana escreveu: Senhores, Estou montando um servidor FreeBSD com 3 Ethernet sendo 1 LAN e 2 WAN [WAN1 - GVT ; WAN2 - EBT], a rota padrão é GVT, porém quando acesso o IP fixo da EBT por exemplo SSH o pacote passa pelo PF mas não me retorna a tela de login. Acredito que o pacote não está achando rota de saída para voltar com a resposta, mas verifiquei tudo e não encontrei nada. Boa tarde, [1]. http://www.openbsd.org/faq/pf/pools.html - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ___ Bruno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Em 5 de outubro de 2010 16:24, Bruno Torres Viana btvi...@gmail.com escreveu: Márcio, Obrigado, mas foi baseado exatamente nisto que comecei o trabalho com o servidor. Inclusive as regras ali são para saida de pacote e não para a entrada, inclusive a sintaxe do PF entre os SO são diferentes. No OpenBSD 4.6 houve uma mudança nas regras de NAT que se incorporaram às regras de filtro Ainda no 4.6 permitia as syntax antiga, mas na versão 4.7 só aceita a nova syntax Esse faq no momento só atende o OpenBSD4.7, pois os demais SO que portaram o PF, rodam o 4.3 ou 4.5 Estou pensado que possa ser alguma coisa com relacao a rota, ainda que aparentemente esteja correto, pois fiz um rdr do ip externo ebt para outro servidor na porta 3389 e não chegou o pacote, apesar do log apresentar normal quanto a liberação. Voce tem alguma outro idéia? Obrigado! Em 5 de outubro de 2010 15:55, Márcio Luciano Donada mdon...@gmail.comescreveu: Em 5/10/2010 10:15, Bruno Torres Viana escreveu: Senhores, Estou montando um servidor FreeBSD com 3 Ethernet sendo 1 LAN e 2 WAN [WAN1 - GVT ; WAN2 - EBT], a rota padrão é GVT, porém quando acesso o IP fixo da EBT por exemplo SSH o pacote passa pelo PF mas não me retorna a tela de login. Acredito que o pacote não está achando rota de saída para voltar com a resposta, mas verifiquei tudo e não encontrei nada. Boa tarde, [1]. http://www.openbsd.org/faq/pf/pools.html - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ___ Bruno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Em 5/10/2010 16:24, Bruno Torres Viana escreveu: Márcio, Obrigado, mas foi baseado exatamente nisto que comecei o trabalho com o servidor. Inclusive as regras ali são para saida de pacote e não para a entrada, inclusive a sintaxe do PF entre os SO são diferentes. Estou pensado que possa ser alguma coisa com relacao a rota, ainda que aparentemente esteja correto, pois fiz um rdr do ip externo ebt para outro servidor na porta 3389 e não chegou o pacote, apesar do log apresentar normal quanto a liberação. Bruno, Tem como você rodar o netstat -rn e o pfctl -a pra gente? obrigado, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Em 5 de outubro de 2010 16:24, Bruno Torres Viana btvi...@gmail.com escreveu: Estou pensado que possa ser alguma coisa com relacao a rota, ainda que aparentemente esteja correto, pois fiz um rdr do ip externo ebt para outro servidor na porta 3389 e não chegou o pacote, apesar do log apresentar normal quanto a liberação. Voce tem alguma outro idéia? Já tentou usar TAG nos pacotes? rdr on $ext_if1 from any to $ext_if1 port 3389 tag LINK1- $srv rdr on $ext_if2 from any to $ext_if2 port 3389 tag LINK2- $srv ... nat on $ext_if1 from $srv to any tagged LINK1 - $ext_if1 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Márcio, segue ai. DestinationGatewayFlagsRefs Use Netif Expire default192.168.1.1UGS 0 1508wb0 127.0.0.1 127.0.0.1 UH 01lo0 192.168.1.0/24 link#2 UC 00wb0 192.168.1.1link#2 UHLW12wb0 192.168.1.10 00:00:e8:20:52:80 UHLW11lo0 192.168.26.0/24link#3 UC 00vr0 192.168.26.2 00:40:33:e3:19:8e UHLW1 6950vr0 1137 200.241.0.0/24 link#1 UC 00rl0 200.241.0.184/29 200.241.0.185 UGS 00rl0 Em 5 de outubro de 2010 16:48, Márcio Luciano Donada mdon...@gmail.comescreveu: Em 5/10/2010 16:24, Bruno Torres Viana escreveu: Márcio, Obrigado, mas foi baseado exatamente nisto que comecei o trabalho com o servidor. Inclusive as regras ali são para saida de pacote e não para a entrada, inclusive a sintaxe do PF entre os SO são diferentes. Estou pensado que possa ser alguma coisa com relacao a rota, ainda que aparentemente esteja correto, pois fiz um rdr do ip externo ebt para outro servidor na porta 3389 e não chegou o pacote, apesar do log apresentar normal quanto a liberação. Bruno, Tem como você rodar o netstat -rn e o pfctl -a pra gente? obrigado, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ___ Bruno Torres Viana Consultor em TI Celular: (27) 9225-4766 Celular: (27) 8823-0751 SKYPE/MSN: btorres_viana Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Isto é o que esta estranho, esta assim e este é o log: 026992 rule 0/0(match): rdr in on rl0: 187.58.185.168.21720 192.168.26.2.3389: [|tcp] 20 rule 3/0(match): pass out on vr0: 187.58.185.168.21720 192.168.26.2.3389: [|tcp] porem o pacote não chega no servidor Em 5 de outubro de 2010 16:51, Rodrigo Mosconi free...@mosconi.mat.brescreveu: Em 5 de outubro de 2010 16:24, Bruno Torres Viana btvi...@gmail.com escreveu: Estou pensado que possa ser alguma coisa com relacao a rota, ainda que aparentemente esteja correto, pois fiz um rdr do ip externo ebt para outro servidor na porta 3389 e não chegou o pacote, apesar do log apresentar normal quanto a liberação. Voce tem alguma outro idéia? Já tentou usar TAG nos pacotes? rdr on $ext_if1 from any to $ext_if1 port 3389 tag LINK1- $srv rdr on $ext_if2 from any to $ext_if2 port 3389 tag LINK2- $srv ... nat on $ext_if1 from $srv to any tagged LINK1 - $ext_if1 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ___ Bruno Torres Viana Consultor em TI Celular: (27) 9225-4766 Celular: (27) 8823-0751 SKYPE/MSN: btorres_viana Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Em 5/10/2010 17:03, Bruno Torres Viana escreveu: Isto é o que esta estranho, esta assim e este é o log: 026992 rule 0/0(match): rdr in on rl0: 187.58.185.168.21720 192.168.26.2.3389: [|tcp] 20 rule 3/0(match): pass out on vr0: 187.58.185.168.21720 192.168.26.2.3389: [|tcp] porem o pacote não chega no servidor Já fez teste com outro protocolo? udp/tcp/icmp? Fiz um teste com pf aqui no meu ambiente, realmente tcp não funcionou, mas o icmp funcionou sem problemas. Regra que funciona com icmp. pass out on tun0 route-to ($ext_if2 $ext_gw2) inet proto icmp from 201.XXX.XXX. to any keep state Regra que não funciona com tcp. laboratory# cat /etc/firewall/pfctl.conf pass out on tun0 route-to ($ext_if2 $ext_gw2) inet proto tcp from 201.XXX.XXX.XXX to any laboratory# pfctl -sr pass out on tun0 route-to ($ext_if2 $ext_gw2) inet proto tcp from 201.XXX.XXX.XXX to any 'flags S/SA keep state' laboratory# A opção flags é adicionada automaticamente pelo pf. -- Anderson Eduardo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Em 5/10/2010 16:57, Bruno Torres Viana escreveu: Márcio, segue ai. DestinationGatewayFlagsRefs Use Netif Expire default192.168.1.1UGS 0 1508wb Bruno, O seu default é um modem adsl, certo? O modem está com o endereço IP reteável na Internet, dessa forma, o modem já está fazendo NAT para você, ao marcar o pacote, o pf não deve estar mais recebendo o retorno correto, pois o pacote está sendo marcado já. Existe a possibilidade de trazer o IP roteável para o servidor? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Nem precisa de regra de out se a conexão vem e sai do servidor, eu só uso os reply-to e funcionam de boa. E no lugar do route-to compensa usar rtable, pra trabalhar com multiplas tabelas de roteamento. Só dar uma lida em SETFIB. Em 5 de outubro de 2010 17:47, Anderson Eduardo lis...@secover.com.brescreveu: Em 5/10/2010 17:03, Bruno Torres Viana escreveu: Isto é o que esta estranho, esta assim e este é o log: 026992 rule 0/0(match): rdr in on rl0: 187.58.185.168.21720 192.168.26.2.3389: [|tcp] 20 rule 3/0(match): pass out on vr0: 187.58.185.168.21720 192.168.26.2.3389: [|tcp] porem o pacote não chega no servidor Já fez teste com outro protocolo? udp/tcp/icmp? Fiz um teste com pf aqui no meu ambiente, realmente tcp não funcionou, mas o icmp funcionou sem problemas. Regra que funciona com icmp. pass out on tun0 route-to ($ext_if2 $ext_gw2) inet proto icmp from 201.XXX.XXX. to any keep state Regra que não funciona com tcp. laboratory# cat /etc/firewall/pfctl.conf pass out on tun0 route-to ($ext_if2 $ext_gw2) inet proto tcp from 201.XXX.XXX.XXX to any laboratory# pfctl -sr pass out on tun0 route-to ($ext_if2 $ext_gw2) inet proto tcp from 201.XXX.XXX.XXX to any 'flags S/SA keep state' laboratory# A opção flags é adicionada automaticamente pelo pf. -- Anderson Eduardo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- === Adalberto Gonçalves - Network and Systems Administrator Tel: 19 3351 3301 Cel: 19 9213 6392 === - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] PF + 2 LINK Internet
Adalberto, Estou verificando agora o SETFIB, vou recompilar o kernel e verificar aqui, mais tarde posto novamente. Em 5 de outubro de 2010 17:55, Adalberto Gonçalves adalbe...@bsd.com.brescreveu: Nem precisa de regra de out se a conexão vem e sai do servidor, eu só uso os reply-to e funcionam de boa. E no lugar do route-to compensa usar rtable, pra trabalhar com multiplas tabelas de roteamento. Só dar uma lida em SETFIB. Em 5 de outubro de 2010 17:47, Anderson Eduardo lis...@secover.com.br escreveu: Em 5/10/2010 17:03, Bruno Torres Viana escreveu: Isto é o que esta estranho, esta assim e este é o log: 026992 rule 0/0(match): rdr in on rl0: 187.58.185.168.21720 192.168.26.2.3389: [|tcp] 20 rule 3/0(match): pass out on vr0: 187.58.185.168.21720 192.168.26.2.3389: [|tcp] porem o pacote não chega no servidor Já fez teste com outro protocolo? udp/tcp/icmp? Fiz um teste com pf aqui no meu ambiente, realmente tcp não funcionou, mas o icmp funcionou sem problemas. Regra que funciona com icmp. pass out on tun0 route-to ($ext_if2 $ext_gw2) inet proto icmp from 201.XXX.XXX. to any keep state Regra que não funciona com tcp. laboratory# cat /etc/firewall/pfctl.conf pass out on tun0 route-to ($ext_if2 $ext_gw2) inet proto tcp from 201.XXX.XXX.XXX to any laboratory# pfctl -sr pass out on tun0 route-to ($ext_if2 $ext_gw2) inet proto tcp from 201.XXX.XXX.XXX to any 'flags S/SA keep state' laboratory# A opção flags é adicionada automaticamente pelo pf. -- Anderson Eduardo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- === Adalberto Gonçalves - Network and Systems Administrator Tel: 19 3351 3301 Cel: 19 9213 6392 === - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ___ Bruno Torres Viana Consultor em TI Celular: (27) 9225-4766 Celular: (27) 8823-0751 SKYPE/MSN: btorres_viana Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] PF no FreeBSD baisco
Paulo Henrique escreveu: 2009/12/17 Luis ...@gmail.com: obrigado amigos, mais tenho outra duvida...para fazer o nat como posso fazer...posso usar pelo ipfw? ou e melhor fazer pelo pf Bom dia Luis, Vou ti passar um link que me ajudou (e ajuda até hoje) muito no FreeBSD: http://www2.unijui.edu.br/~heini/freebsd/ Use também o histórico da lista, tem MUITA coisa sobre bsd: www.mail-archive.com/free...@*fug.com.br Boa sorte! (leia os materiais, segure a ansiedade =) * -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] PF no FreeBSD baisco
obrigado amigos, mais tenho outra duvida...para fazer o nat como posso fazer...posso usar pelo ipfw? ou e melhor fazer pelo pf - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] PF no FreeBSD baisco
2009/12/17 Luis ...@gmail.com: obrigado amigos, mais tenho outra duvida...para fazer o nat como posso fazer...posso usar pelo ipfw? ou e melhor fazer pelo pf - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Seja bem vindo ao mundo do: Primeiro Pesquise, pesquisou ?, leia o que pesquisou, leu o que pesquisou ?, implemente o que tem interesse, implementou?, ótimo, agora teste, testou ?, gostou do resultado ?, implemente a segunda opção segue o algoritmo descrito todo novamente, no final compare com suas próprias conclusões. O que você ganhou com isso ? R: Conhecimento, experiência, familiariedade com a aplicação. O que a lista ganhou com isso ? R: Uma thread a menos contendo informações já amplamente disponivel na internet. Apenas para dizer que não escrevi coisas desnecessários que se todos ler e seguir as regras da lista não seria necessário. LINK 01 - Abordagem da tecnologia Packet Filter ( PF ) http://www.openbsd.org/faq/pf/pt/index.html LINK 02 - Abordagem da tecnologia IP Firewall ( IPFW ) http://www.freebsdbrasil.com.br/fbsdbr_files/File/public_docs/ipfw-howto.pdf Sem qualquer outro cometário. Por mim considero tal thread encerrada. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] [OFF TOPIC] PF no FreeBSD baisco
Ola amigos, alguem tem algum bom material de preferencia em portugues sobre como implamta o PF no freebsd basico. se presica compila kernel, regras, o nat, obrigado a todos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] PF no FreeBSD baisco
Fala Luis, Ola amigos, alguem tem algum bom material de preferencia em portugues sobre como implamta o PF no freebsd basico. A melhor referencia seria o próprio handbook do FreeBSD, em [1]. No entanto, você pediu por um tutorial em português e acho que esse [2] já vai te ajudar bastante. [1] - http://www.freebsd.org/doc/en/books/handbook/firewalls-pf.html [2] - http://www.vivaolinux.com.br/dica/FreeBSD-com-Packet-Filter Abraços, -- Davi Vercillo C. Garcia B.Sc. Student - DCC-IM/UFRJ Trainee (SysAdmin) - NACAD/COPPE http://www.google.com/profiles/davivercillo A computer lets you make more mistakes faster than any invention in human history with the possible exceptions of handguns and tequila. - Unknown - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] PF no FreeBSD baisco
Em Sun, 13 Dec 2009 21:16:24 -0200 Luis ...@gmail.com, conhecido consumidor de drogas (BigMac's com Coke) escreveu: alguem tem algum bom material de preferencia em portugues sobre como implamta o PF no freebsd basico. se presica compila kernel, regras, o nat, http://www.openbsd.org/faq/pf/pt/ -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free mais crimes são cometidos em nome das religiões do que em nome do ateismo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] PF no FreeBSD baisco
Luis, http://www.openbsd.org/faq/pf/pt/index.html --- Wesley Miranda FreeBSD Consult www.freebsdconsult.com.br - Original Message - From: Luis ...@gmail.com To: freebsd@fug.com.br Sent: Sunday, December 13, 2009 9:16 PM Subject: [FUG-BR] [OFF TOPIC] PF no FreeBSD baisco Ola amigos, alguem tem algum bom material de preferencia em portugues sobre como implamta o PF no freebsd basico. se presica compila kernel, regras, o nat, obrigado a todos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] OFF-TOPIC - PF + IPSEC
Enganada? Você é mulher? Abraço Em 28/02/08, ThOLOko[EMAIL PROTECTED] escreveu: Se eu nao estiver enganada,,, precisa compilar o kernel com as opçoes: options IPFIREWALL options IPDIVERT Abraços!!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OFF-TOPIC - PF + IPSEC
Acho que foi o meu lado feminino!!! akuakauakuaa 2008/2/28, Filipe Alvarez [EMAIL PROTECTED]: Enganada? Você é mulher? Abraço Em 28/02/08, ThOLOko[EMAIL PROTECTED] escreveu: Se eu nao estiver enganada,,, precisa compilar o kernel com as opçoes: options IPFIREWALL options IPDIVERT Abraços!!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ThOLOko ThOmaz BeLgine -FrEEBSD- UniX TeaM (LeT's MaKe InStaLL ClEan) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] [OFF TOPIC] - PF.
Ola,
Tenho um firewall com um tráfego maior que 20 mbps com mais de 1500
NATs usando PF.
No meu log estou encontrando as seguintes mensagens:
Jun 28 07:00:09 teste2 pf: BAD state: TCP 190.84.94.146:3954
190.84.94.146:3954 200.250.23.90:59791 [lo=907875297 high=907940832
win=65535 modulator=0] [lo=600059029 high=600124564 win=65535
modulator=0] 10:10 SA seq=600733653 ack=907875297 len=0 ackskew=0
pkts=4:2 dir=in,rev
Jun 28 07:00:09 teste2 pf: State failure on: 1 | 5
Jun 28 07:00:12 teste2 pf: BAD state: TCP 61.228.148.232:21588
61.228.148.232:21588 10.52.15.2:3859 [lo=2649072363 high=2649072365
win=64240 modulator=0] [lo=0 high=1 win=1 modulator=0] 2:0 S
seq=3741585167 ack=0 len=0 ackskew=0 pkts=1:0 dir=in,fwd
Jun 28 07:00:12 teste2 pf: State failure on: 1 | 5
Jun 28 07:00:12 teste2 pf: BAD state: TCP 190.84.94.146:3954
190.84.94.146:3954 200.250.23.90:59791 [lo=907875297 high=907940832
win=65535 modulator=0] [lo=600059029 high=600124564 win=65535
modulator=0] 10:10 SA seq=600733653 ack=907875297 len=0 ackskew=0
pkts=4:2 dir=in,rev
As opções no meu PF são:
set debug misc
set timeout { interval 10, frag 30 ,src.track 0 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 100, src-nodes 100, frags 5 }
set loginterface em0
set optimization conservative
set block-policy drop
set require-order yes
set state-policy floating
As vezes o firewall quebra todas as conexões durante algum tempo e
depois volta sozinho.
Procurei algo na net sobre isso e não encontrei.
Alguém já teve algum problema desse?? Será que pode ser algo em alguma
variável do sistema??
Abraços
--
Gilberto Villani Brito
System Administrator
Londrina - PR
Brazil
gilbertovb(a)gmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] - PF.
Talvez voce precise passar DE set optimization conservative PARA set
optimization aggressive, OU entao deixar o padrao mesmo que é: set
optimization normal.
Tente fazer isso!!!
Cleyton Bertolim.
Em 28/06/07, Gilberto Villani Brito[EMAIL PROTECTED] escreveu:
Ola,
Tenho um firewall com um tráfego maior que 20 mbps com mais de 1500
NATs usando PF.
No meu log estou encontrando as seguintes mensagens:
Jun 28 07:00:09 teste2 pf: BAD state: TCP 190.84.94.146:3954
190.84.94.146:3954 200.250.23.90:59791 [lo=907875297 high=907940832
win=65535 modulator=0] [lo=600059029 high=600124564 win=65535
modulator=0] 10:10 SA seq=600733653 ack=907875297 len=0 ackskew=0
pkts=4:2 dir=in,rev
Jun 28 07:00:09 teste2 pf: State failure on: 1 | 5
Jun 28 07:00:12 teste2 pf: BAD state: TCP 61.228.148.232:21588
61.228.148.232:21588 10.52.15.2:3859 [lo=2649072363 high=2649072365
win=64240 modulator=0] [lo=0 high=1 win=1 modulator=0] 2:0 S
seq=3741585167 ack=0 len=0 ackskew=0 pkts=1:0 dir=in,fwd
Jun 28 07:00:12 teste2 pf: State failure on: 1 | 5
Jun 28 07:00:12 teste2 pf: BAD state: TCP 190.84.94.146:3954
190.84.94.146:3954 200.250.23.90:59791 [lo=907875297 high=907940832
win=65535 modulator=0] [lo=600059029 high=600124564 win=65535
modulator=0] 10:10 SA seq=600733653 ack=907875297 len=0 ackskew=0
pkts=4:2 dir=in,rev
As opções no meu PF são:
set debug misc
set timeout { interval 10, frag 30 ,src.track 0 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 100, src-nodes 100, frags 5 }
set loginterface em0
set optimization conservative
set block-policy drop
set require-order yes
set state-policy floating
As vezes o firewall quebra todas as conexões durante algum tempo e
depois volta sozinho.
Procurei algo na net sobre isso e não encontrei.
Alguém já teve algum problema desse?? Será que pode ser algo em alguma
variável do sistema??
Abraços
--
Gilberto Villani Brito
System Administrator
Londrina - PR
Brazil
gilbertovb(a)gmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] - PF.
Ola,
você efetuou algum tipo de tunning nas variaveis (sysctl) de kernel ?
[]'s.
On Thu, 2007-06-28 at 10:29 -0300, Gilberto Villani Brito wrote:
Ola,
Tenho um firewall com um tráfego maior que 20 mbps com mais de 1500
NATs usando PF.
No meu log estou encontrando as seguintes mensagens:
.
Jun 28 07:00:09 teste2 pf: BAD state: TCP 190.84.94.146:3954
190.84.94.146:3954 200.250.23.90:59791 [lo=907875297 high=907940832
win=65535 modulator=0] [lo=600059029 high=600124564 win=65535
modulator=0] 10:10 SA seq=600733653 ack=907875297 len=0 ackskew=0
pkts=4:2 dir=in,rev
Jun 28 07:00:09 teste2 pf: State failure on: 1 | 5
Jun 28 07:00:12 teste2 pf: BAD state: TCP 61.228.148.232:21588
61.228.148.232:21588 10.52.15.2:3859 [lo=2649072363 high=2649072365
win=64240 modulator=0] [lo=0 high=1 win=1 modulator=0] 2:0 S
seq=3741585167 ack=0 len=0 ackskew=0 pkts=1:0 dir=in,fwd
Jun 28 07:00:12 teste2 pf: State failure on: 1 | 5
Jun 28 07:00:12 teste2 pf: BAD state: TCP 190.84.94.146:3954
190.84.94.146:3954 200.250.23.90:59791 [lo=907875297 high=907940832
win=65535 modulator=0] [lo=600059029 high=600124564 win=65535
modulator=0] 10:10 SA seq=600733653 ack=907875297 len=0 ackskew=0
pkts=4:2 dir=in,rev
.
As opções no meu PF são:
set debug misc
set timeout { interval 10, frag 30 ,src.track 0 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 100, src-nodes 100, frags 5 }
set loginterface em0
set optimization conservative
set block-policy drop
set require-order yes
set state-policy floating
As vezes o firewall quebra todas as conexões durante algum tempo e
depois volta sozinho.
Procurei algo na net sobre isso e não encontrei.
Alguém já teve algum problema desse?? Será que pode ser algo em alguma
variável do sistema??
Abraços
--
Joao Victor da Costa.
Depto. de Suporte Unix
http://www.techmaster.com.br http://www.openit.com.br
http://www.myfreebsd.com.br
Tel.: 2517-6001 e 2517-6002
E-mail: [EMAIL PROTECTED], [EMAIL PROTECTED]
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] - PF.
Não, tudo padrão.
Abraços
--
Gilberto Villani Brito
System Administrator
Londrina - PR
Brazil
gilbertovb(a)gmail.com
On 28/06/07, Joao Victor da Costa [EMAIL PROTECTED] wrote:
Ola,
você efetuou algum tipo de tunning nas variaveis (sysctl) de kernel ?
[]'s.
On Thu, 2007-06-28 at 10:29 -0300, Gilberto Villani Brito wrote:
Ola,
Tenho um firewall com um tráfego maior que 20 mbps com mais de 1500
NATs usando PF.
No meu log estou encontrando as seguintes mensagens:
.
Jun 28 07:00:09 teste2 pf: BAD state: TCP 190.84.94.146:3954
190.84.94.146:3954 200.250.23.90:59791 [lo=907875297 high=907940832
win=65535 modulator=0] [lo=600059029 high=600124564 win=65535
modulator=0] 10:10 SA seq=600733653 ack=907875297 len=0 ackskew=0
pkts=4:2 dir=in,rev
Jun 28 07:00:09 teste2 pf: State failure on: 1 | 5
Jun 28 07:00:12 teste2 pf: BAD state: TCP 61.228.148.232:21588
61.228.148.232:21588 10.52.15.2:3859 [lo=2649072363 high=2649072365
win=64240 modulator=0] [lo=0 high=1 win=1 modulator=0] 2:0 S
seq=3741585167 ack=0 len=0 ackskew=0 pkts=1:0 dir=in,fwd
Jun 28 07:00:12 teste2 pf: State failure on: 1 | 5
Jun 28 07:00:12 teste2 pf: BAD state: TCP 190.84.94.146:3954
190.84.94.146:3954 200.250.23.90:59791 [lo=907875297 high=907940832
win=65535 modulator=0] [lo=600059029 high=600124564 win=65535
modulator=0] 10:10 SA seq=600733653 ack=907875297 len=0 ackskew=0
pkts=4:2 dir=in,rev
.
As opções no meu PF são:
set debug misc
set timeout { interval 10, frag 30 ,src.track 0 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 100, src-nodes 100, frags 5 }
set loginterface em0
set optimization conservative
set block-policy drop
set require-order yes
set state-policy floating
As vezes o firewall quebra todas as conexões durante algum tempo e
depois volta sozinho.
Procurei algo na net sobre isso e não encontrei.
Alguém já teve algum problema desse?? Será que pode ser algo em alguma
variável do sistema??
Abraços
--
Joao Victor da Costa.
Depto. de Suporte Unix
http://www.techmaster.com.br http://www.openit.com.br
http://www.myfreebsd.com.br
Tel.: 2517-6001 e 2517-6002
E-mail: [EMAIL PROTECTED], [EMAIL PROTECTED]
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] - PF.
Eu diria para inicialmente para baixar o valor tcp.closed. Talvez aumentar o ip.portrange no sysctl. Por curiosidade, seu conjunto de regras e' muito grande ? Qual a regra que esta dando match ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] - PF.
Realmente, Uma vez que você trabalha com essa quantidade de conexões é interessante efetuar tunning no kernel naquilo que se refere a conexões. Na documentação do freebsd tem exemplos de tunning nas conexões assim como habilitar o polling na interface. Segue um exemplo : ## Descomente para maquinas MUITO Robustas ## PS: Os valores default de instalacao sao ## baseados em maquinas com 256 de memoria. ##kern.maxuser=384 ##kern.ipc.nmbclusters=32768 ##kern.ipc.somaxconn=1024 ##kern.maxfilesperproc=65535 ##kern.maxfiles=65535 ##kern.maxvnodes=65536 kern.polling.enable=1 kern.polling.idle_poll=1 []'s. On Thu, 2007-06-28 at 08:28 -0700, Douglas Santos wrote: Eu diria para inicialmente para baixar o valor tcp.closed. Talvez aumentar o ip.portrange no sysctl. Por curiosidade, seu conjunto de regras e' muito grande ? Qual a regra que esta dando match ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd !DSPAM:4683d35665107217877! -- Joao Victor da Costa. Depto. de Suporte Unix http://www.techmaster.com.br http://www.openit.com.br http://www.myfreebsd.com.br Tel.: 2517-6001 e 2517-6002 E-mail: [EMAIL PROTECTED], [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] - PF.
On 28/06/07, Douglas Santos [EMAIL PROTECTED] wrote: Eu diria para inicialmente para baixar o valor tcp.closed. Talvez aumentar o ip.portrange no sysctl. Por curiosidade, seu conjunto de regras e' muito grande ? Qual a regra que esta dando match ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Douglas, A maioria das regras são de nat, mas deve ser um total de umas 200 linhas. Esse tipo de erro não é relacionado a nenhuma regra específica, é relacionado aos nats e redirecionamentos (várias regras). mesmo que eu coloque somente um nat para TODOS, os erros aparecem, por isso acho que pode ser algo no kernel ou na opções do PF. Muito obrigado pela ajuda. Abraços -- Gilberto Villani Brito System Administrator Londrina - PR Brazil gilbertovb(a)gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
