[FUG-BR] A saga de FTP e PF
estou tendo alguns problemas com FTP por tras de um firewall PF tal como descrito no faq de PF http://www.openbsd.org/faq/pf/pt/ftp.html usei o ftp-proxy para que os usuários por tras do firewall possam acessar sites FTP, tanto pelo programa FTP em linha de comando, como também pelo Windows Explorer que é o padrão mais usado pelos usuários desktop segui a risca o tutorial, porém percebi que se eu deixar o block all e ir liberando o que eu preciso, tenho linhas de regras que permite pedidos de conexão interno para porta 21 tal como abaixo pass quick on $nic_interna proto tcp from any to any port 21 além das anchor e rdr para a porta 8021 de ftp-proxy se eu deixar comentado a linha block all, ai funciona pois fica tudo liberado dessa forma eu notei que no netstat que o usuário está conectado ao ftp-proxy do servidor pela porta 1446 que é aleatória portanto não tem como eu deixa uma específica então se alguém que ja passou por esse problema de ter usuários ftp por tras do firewall PF e precisa ter conexões ftp e puderem me dar um help eu ficarei grato abraços -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm FreeBSD -:- OpenBSD -:- Slackware Coleções Marcas de Cigarros Obi-Wan has taught you well - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] A saga de FTP e PF
2009/8/7 Enio Marconcini -:- www.Enio.Pro.Br -:- eni...@gmail.com: estou tendo alguns problemas com FTP por tras de um firewall PF tal como descrito no faq de PF http://www.openbsd.org/faq/pf/pt/ftp.html usei o ftp-proxy para que os usuários por tras do firewall possam acessar sites FTP, tanto pelo programa FTP em linha de comando, como também pelo Windows Explorer que é o padrão mais usado pelos usuários desktop segui a risca o tutorial, porém percebi que se eu deixar o block all e ir liberando o que eu preciso, tenho linhas de regras que permite pedidos de conexão interno para porta 21 tal como abaixo pass quick on $nic_interna proto tcp from any to any port 21 além das anchor e rdr para a porta 8021 de ftp-proxy se eu deixar comentado a linha block all, ai funciona pois fica tudo liberado dessa forma eu notei que no netstat que o usuário está conectado ao ftp-proxy do servidor pela porta 1446 que é aleatória portanto não tem como eu deixa uma específica então se alguém que ja passou por esse problema de ter usuários ftp por tras do firewall PF e precisa ter conexões ftp e puderem me dar um help eu ficarei grato Você não tem que liberar o acesso das máquinas internas à porta 21, você deve redirecioná-las para a porta do ftp-proxy com uma regra de rdr, quem vai se conectar à porta 21 dos servidores externos é o proxy. Nos seus testes você está utilizando conexão ativa ou passiva? -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] A saga de FTP e PF
2009/8/7 Renato Botelho rbga...@gmail.com Você não tem que liberar o acesso das máquinas internas à porta 21, você deve redirecioná-las para a porta do ftp-proxy com uma regra de rdr, quem vai se conectar à porta 21 dos servidores externos é o proxy. Nos seus testes você está utilizando conexão ativa ou passiva? -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Renato achei o problema, ativei o pflog e fui rastreando, no rdr da porta 21 para 8021 estava sendo bloqueada pelo block all que é a política padrão que eu estou testando o que eu fiz foi acrescentar o pass no rdr (rdr pass on .) e resolveu tanto o ftp em linha de comando como tbm o Explorer estão acessando pensei nisso pois regras nat e rdr ainda passam pelo sistema de filtragem, abraços -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm FreeBSD -:- OpenBSD -:- Slackware Coleções Marcas de Cigarros Obi-Wan has taught you well - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] A saga de FTP e PF
Em Fri, 7 Aug 2009 10:18:17 -0300 Enio Marconcini -:- www.Enio.Pro.Br -:- eni...@gmail.com, conhecido consumidor de drogas (BigMac's com Coke) escreveu: pass quick on $nic_interna proto tcp from any to any port 21 acho que está faltando qualquer coisa parecida com keep-state; não estou bem lembrado da sintaxe mas principalmente em ftp faz diferença porque o ftp é uma mixórdia de portas baixas com portas altas não associáveis diretamente. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free A advocacia é uma maneira legal de burlar a justiça. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] A saga de FTP e PF
Em Fri, 7 Aug 2009 10:18:17 -0300 Enio Marconcini -:- www.Enio.Pro.Br -:- eni...@gmail.com, conhecido consumidor de drogas (BigMac's com Coke) escreveu: então se alguém que ja passou por esse problema de ter usuários ftp por tras do firewall PF e precisa ter conexões ftp e puderem me dar um help eu ficarei grato bem, eu saí pesquisando por aí - já usei pf+ftp-proxy, mas tanto tempo que realmente preferi buscar fora - e encontrei êste link que (imagino) possa auxiliar. http://www.cyberciti.biz/faq/freebsd-opebsd-pf-firewall-ftp-configuration/ sugiro uma boa leitura e aplicação/teste flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free O homem deve ter prazer naquilo que faz, estou procurando vaga de porteiro de zona - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] A saga de FTP e PF
Em Fri, 7 Aug 2009 10:48:49 -0300 Renato Botelho rbga...@gmail.com, conhecido consumidor de drogas (BigMac's com Coke) escreveu: O keep state não é mais necessário, quando não colocado na linha ele é considerado por padrão. putz... acho que estou afastado há tempo demais das regras de fwll.. ou talvez até tenha faltado nessa aula - risos. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Entre as três coisas melhores desta vida, comer está em segundo e dormir em terceiro [apud Stanislaw Ponte Preta - Sergio Porto - in maximas inéditas da Tia Zulmira] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] A saga de FTP e PF
2009/8/7 irado furioso com tudo ir...@bsd.com.br bem, eu saí pesquisando por aí - já usei pf+ftp-proxy, mas tanto tempo que realmente preferi buscar fora - e encontrei êste link que (imagino) possa auxiliar. http://www.cyberciti.biz/faq/freebsd-opebsd-pf-firewall-ftp-configuration/ sugiro uma boa leitura e aplicação/teste flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free O homem deve ter prazer naquilo que faz, estou procurando vaga de porteiro de zona - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd quanto ao FTP funcionou, como disse, acrescentei um pass no rdr para passar direto, e o keep state é como o Renato mencionou mesmo! agora o que eu estou achando estranho é que, deixei um IP de um note para ser nateado direto, nat pass on $nic_externa from $ip_notebook to any - ($nic_externa) porém percebi que o messenger não funciona, mais uma vez fui cavar no pflog e vi que a porta usada está sendo bloqueada pelo block log all padrão 503147 rule 0/0(match): block in on vge3: 172.16.30.10.1511 65.54.52.254.1863: S 408649028:408649028(0) win 65535 mss 1460,nop,nop,sackOK o estranho é que eu pensei que o nat pass seria suficiente para natear e pular as regras de filtragem -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm FreeBSD -:- OpenBSD -:- Slackware Coleções Marcas de Cigarros Obi-Wan has taught you well - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] A saga de FTP e PF
2009/8/7 irado furioso com tudo ir...@bsd.com.br: Em Fri, 7 Aug 2009 10:18:17 -0300 Enio Marconcini -:- www.Enio.Pro.Br -:- eni...@gmail.com, conhecido consumidor de drogas (BigMac's com Coke) escreveu: pass quick on $nic_interna proto tcp from any to any port 21 acho que está faltando qualquer coisa parecida com keep-state; não estou bem lembrado da sintaxe mas principalmente em ftp faz diferença porque o ftp é uma mixórdia de portas baixas com portas altas não associáveis diretamente. O keep state não é mais necessário, quando não colocado na linha ele é considerado por padrão. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] A saga de FTP e PF
2009/8/7 Enio Marconcini -:- www.Enio.Pro.Br -:- eni...@gmail.com: 2009/8/7 irado furioso com tudo ir...@bsd.com.br bem, eu saí pesquisando por aí - já usei pf+ftp-proxy, mas tanto tempo que realmente preferi buscar fora - e encontrei êste link que (imagino) possa auxiliar. http://www.cyberciti.biz/faq/freebsd-opebsd-pf-firewall-ftp-configuration/ sugiro uma boa leitura e aplicação/teste flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free O homem deve ter prazer naquilo que faz, estou procurando vaga de porteiro de zona - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd quanto ao FTP funcionou, como disse, acrescentei um pass no rdr para passar direto, e o keep state é como o Renato mencionou mesmo! agora o que eu estou achando estranho é que, deixei um IP de um note para ser nateado direto, nat pass on $nic_externa from $ip_notebook to any - ($nic_externa) porém percebi que o messenger não funciona, mais uma vez fui cavar no pflog e vi que a porta usada está sendo bloqueada pelo block log all padrão 503147 rule 0/0(match): block in on vge3: 172.16.30.10.1511 65.54.52.254.1863: S 408649028:408649028(0) win 65535 mss 1460,nop,nop,sackOK o estranho é que eu pensei que o nat pass seria suficiente para natear e pular as regras de filtragem Você está trocando as bolas, faz o nat da rede e libera ou bloqueia os acessos via regras, senao seu firewall vai ficar ilegivel. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] A saga de FTP e PF
2009/8/7 Renato Botelho rbga...@gmail.com Você está trocando as bolas, faz o nat da rede e libera ou bloqueia os acessos via regras, senao seu firewall vai ficar ilegivel. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd entendi fiz nat para toda rede, a ordem está assim então nat block log all pass porém quando eu nao fazia nat pra toda a rede, navegação ficava forçada pelo squid, nateando tudo eu navego sem proxy, que eu uso autenticado -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm FreeBSD -:- OpenBSD -:- Slackware Coleções Marcas de Cigarros Obi-Wan has taught you well - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] A saga de FTP e PF
2009/8/7 Enio Marconcini -:- www.Enio.Pro.Br -:- eni...@gmail.com: 2009/8/7 Renato Botelho rbga...@gmail.com Você está trocando as bolas, faz o nat da rede e libera ou bloqueia os acessos via regras, senao seu firewall vai ficar ilegivel. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd entendi fiz nat para toda rede, a ordem está assim então nat block log all pass porém quando eu nao fazia nat pra toda a rede, navegação ficava forçada pelo squid, nateando tudo eu navego sem proxy, que eu uso autenticado Só nateou porque tinha regras liberando a passagem da saída pra portas 80 e 443. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] A saga de FTP e PF
acompanhado os outros emails seu enio voce achou que pq a regra de nat vem antes das rules o nat nao respeitaria a filtragem né ? Em 07/08/09, Enio Marconcini -:- www.Enio.Pro.Br -:-eni...@gmail.com escreveu: 2009/8/7 irado furioso com tudo ir...@bsd.com.br bem, eu saí pesquisando por aí - já usei pf+ftp-proxy, mas tanto tempo que realmente preferi buscar fora - e encontrei êste link que (imagino) possa auxiliar. http://www.cyberciti.biz/faq/freebsd-opebsd-pf-firewall-ftp-configuration/ sugiro uma boa leitura e aplicação/teste flames /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free O homem deve ter prazer naquilo que faz, estou procurando vaga de porteiro de zona - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd quanto ao FTP funcionou, como disse, acrescentei um pass no rdr para passar direto, e o keep state é como o Renato mencionou mesmo! agora o que eu estou achando estranho é que, deixei um IP de um note para ser nateado direto, nat pass on $nic_externa from $ip_notebook to any - ($nic_externa) porém percebi que o messenger não funciona, mais uma vez fui cavar no pflog e vi que a porta usada está sendo bloqueada pelo block log all padrão 503147 rule 0/0(match): block in on vge3: 172.16.30.10.1511 65.54.52.254.1863: S 408649028:408649028(0) win 65535 mss 1460,nop,nop,sackOK o estranho é que eu pensei que o nat pass seria suficiente para natear e pular as regras de filtragem -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm FreeBSD -:- OpenBSD -:- Slackware Coleções Marcas de Cigarros Obi-Wan has taught you well - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] A saga de FTP e PF
Enio, é como o Renato disse, mesmo que você tenho feito NAT pra sua rede toda, nas regras de filtragem você bloqueia a saída da porta 80, forçando a galera sair pelo squid. 2009/8/7 Enio Marconcini -:- www.Enio.Pro.Br -:- eni...@gmail.com 2009/8/7 Renato Botelho rbga...@gmail.com Você está trocando as bolas, faz o nat da rede e libera ou bloqueia os acessos via regras, senao seu firewall vai ficar ilegivel. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd entendi fiz nat para toda rede, a ordem está assim então nat block log all pass porém quando eu nao fazia nat pra toda a rede, navegação ficava forçada pelo squid, nateando tudo eu navego sem proxy, que eu uso autenticado -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm FreeBSD -:- OpenBSD -:- Slackware Coleções Marcas de Cigarros Obi-Wan has taught you well - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] A saga de FTP e PF
2009/8/7 renato martins renato...@gmail.com acompanhado os outros emails seu enio voce achou que pq a regra de nat vem antes das rules o nat nao respeitaria a filtragem né ? não Renato, isso eu entendi sim, depois de nat ou rdr ainda passa pelas regras de filtragem... agora com sua ajuda e do amigo Rogerio ja consegui criar o cenário no meu cérebro de como devo proceder, porém vamos aos testes quando ao msn, notei isso, em testes fiz um nat assim (para testes) nat pass log on $nic_externa from any to any - ($nic_externa) e acrescentei ao lugar de block log all, para pass quick all mesmo assim a pqp do msn nao conecta meu pflog diz: 191951 rule 0/0(match): nat out on vr0: 192.168.0.13.50844 65.54.52.254.1863: tcp 28 [bad hdr length 0 - too short, 20] abraços -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm FreeBSD -:- OpenBSD -:- Slackware Coleções Marcas de Cigarros Obi-Wan has taught you well - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] A saga de FTP e PF
Você disse que usa o squid autenticaco né? acho eu então que o IP do squid está marcado no navegador dos seus clientes se sim, o MSN vai perguntar o squid pra sair pra NET. É uma hipótese 2009/8/7 Enio Marconcini -:- www.Enio.Pro.Br -:- eni...@gmail.com 2009/8/7 renato martins renato...@gmail.com acompanhado os outros emails seu enio voce achou que pq a regra de nat vem antes das rules o nat nao respeitaria a filtragem né ? não Renato, isso eu entendi sim, depois de nat ou rdr ainda passa pelas regras de filtragem... agora com sua ajuda e do amigo Rogerio ja consegui criar o cenário no meu cérebro de como devo proceder, porém vamos aos testes quando ao msn, notei isso, em testes fiz um nat assim (para testes) nat pass log on $nic_externa from any to any - ($nic_externa) e acrescentei ao lugar de block log all, para pass quick all mesmo assim a pqp do msn nao conecta meu pflog diz: 191951 rule 0/0(match): nat out on vr0: 192.168.0.13.50844 65.54.52.254.1863: tcp 28 [bad hdr length 0 - too short, 20] abraços -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm FreeBSD -:- OpenBSD -:- Slackware Coleções Marcas de Cigarros Obi-Wan has taught you well - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] A saga de FTP e PF
2009/8/7 Rogério Moura roger...@gmail.com Você disse que usa o squid autenticaco né? acho eu então que o IP do squid está marcado no navegador dos seus clientes se sim, o MSN vai perguntar o squid pra sair pra NET. É uma hipótese matou a pau! era isso mesmo, o que mais me deixou confuso foi que meu squid não possui regras acl ainda, portanto está aberto, abraços -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm FreeBSD -:- OpenBSD -:- Slackware Coleções Marcas de Cigarros Obi-Wan has taught you well - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd