[FUG-BR] Dúvida IPFW stateful
Boa tarde, Pessoal. Alguém conseguiria me ajudar neste mistério? O IPFW está "segurando" as conexões, a regra stateful não está sendo fechada propriamente. As regras stateful / dinâmicas, *estão sendo renovadas sem ter atividade* (Não para todos os ips, pelo menos comigo não acontece). Por exemplo, o caso abaixo: root@172.31.20.158:~ # ipfw -d show | grep 200.233.14.136 001003999 207940* (288s*) STATE tcp 172.31.20.158 51119 <-> 200.233.14.136 443 001003993 201433 *(48s*) STATE tcp 172.31.20.158 54969 <-> 200.233.14.136 443 001003997 207848* (48s)* STATE tcp 172.31.20.158 34713 <-> 200.233.14.136 443 001001404 81901 *(93s) *STATE tcp 172.31.20.158 56292 <-> 200.233.14.136 443 001001406 82437* (103s)* STATE tcp 172.31.20.158 35809 <-> 200.233.14.136 443 001002688 141237 *(233s) *STATE tcp 172.31.20.158 17148 <-> 200.233.14.136 443 001002661 139989* (43s) *STATE tcp 172.31.20.158 56575 <-> 200.233.14.136 443 001001409 88800* (98s)* STATE tcp 172.31.20.158 21449 <-> 200.233.14.136 443 001003995 201461* (288s) *STATE tcp 172.31.20.158 57818 <-> 200.233.14.136 443 001003849 191221* (58s)* STATE tcp 172.31.20.158 49688 <-> 200.233.14.136 443 001003994 201041* (288s)* STATE tcp 172.31.20.158 59483 <-> 200.233.14.136 443 001003993 201353 *(48s*) STATE tcp 172.31.20.158 25947 <-> 200.233.14.136 443 001001405 82305* (103s)* STATE tcp 172.31.20.158 22608 <-> 200.233.14.136 443 Já está travado no limite de 15 conexões, e os segundos (em negrito, que entendo ser a renovação da regra), ficam sempre sendo renovados. Invstiguei com um *tcpdump -i xn0 src host 200.233.14.136* e não acusa nenhuma atividade, e* mesmo assim as regras dinâmicas acima continuam sendo renovadas...* Ou seja, o cliente não consegue acessar nosso site mais, pq o IPFW está travando ele, entendendo que já atingiu o limite de conexões. E a regra não tem nada de mais, está assim: allow tcp from any to me dst-port 80,443 setup limit src-addr 30 allow tcp from me to any dst-port 80,443 setup keep-state Agradeço desde já, -- Rafael Hasson Computer Engineer Cel: + 55-41-99918090 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Dúvida ipfw + natd ou ipnat
Ola, Estou com dúvidas em relação ao natd + ipfw Tenho a seguinte estrutura: FW com: 2 Ips válidos: x.x.x.a e x.x.x.b DMZ 192.168.20.xx Rede Internta: 192.168.1.xxx natd.conf redirect_port tcp 192.168.20.1:80 x.x.x.a:80 redirect_port tcp 192.168.20.2:80 x.x.x.b:80 no ipfw: ${fw} add set 4 divert natd all from any to any via ${IF_EXT} ${fw} add check-state #Acesso IP_VALIDO_1 ${fw} add pass tcp from any to $IP_VALIDO_1 80 in via ${IF_EXT} setup limit src-addr 4 keep-state ${fw} add pass tcp from $IP_VALIDO_1 80 to any out via ${IF_EXT} #Acesso rede interna DMZ ${fw} add pass tcp from $NET_INT to 192.168.20.1 80 ${fw} add pass tcp from 192.168.20.1 80 to $NET_INT ... #Nega o resto ${fw} add 65000 deny log all from any to any Está correto? Como o natd faz o mascaramento correto dos ips internos para os externos, exemplo: 192.168.20.1 mascarando com ip x.x.x.A e 192.168.20.2 mascarando com ip x.x.x.B ? Ele já faz isso automaticamente? ou preciso usar o ipnat.conf ? bge0=interface externa map bge0 192.168.20.1 - x.x.x.A/32 map bge0 192.168.20.2 - x.x.x.B/32 Tenho que usar os dois para fazer o que preciso? natd + ipnat ? qual o modo correto? Obrigado Joel - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida ipfw fwd
Acabei de pesquisar: http://www.freebsd.org/doc/en/books/faq/networking.html#IPFW-FWD exato, o fwd do ipfw simplesmente redireciona o pacote exatamente como ele chegou para o novo destino (em suma altera apenas o ip dst no cabecalho). [...] Aos conhecedores do PF, é possível esse redirect usando o PF ao invés do ipfw? sim, http://www.openbsd.org/faq/pf/rdr.html. - breno bf - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida ipfw fwd
2009/11/17 N Guerra nguerr...@gmail.com Pessoal, Já vi que pelo IPFW não consigo fazer esse redirecionamento para um destino externo. Pelo PF é possível? -- []s, Guerra Guerra, Bom Dia. Acho que você precisaria é de um PREROUTING, o que não acontece com o fwd do IPFW. Uma alternativa seria utilizar regras de redirecionamento usando o NAT pelo IPFW ou NATD. No PF, veja um exemplo: rdr on $ext_if proto tcp from 189.10.10.10 to 200.200.200.8 port 25 - 200.200.200.9 Consulte o FAQ no PF. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida ipfw fwd
Pessoal, Já vi que pelo IPFW não consigo fazer esse redirecionamento para um destino externo. Pelo PF é possível? -- []s, Guerra - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida ipfw fwd
Acabei de pesquisar: http://www.freebsd.org/doc/en/books/faq/networking.html#IPFW-FWD 12.18. Why is my ipfw “fwd” rule to redirect a service to another machine not working? Possibly because you want to do network address translation (NAT) and not just forward packets. A “fwd” rule does exactly what it says; it forwards packets. It does not actually change the data inside the packet. Say we have a rule like: 01000 fwd 10.0.0.1 from any to foo 21 When a packet with a destination address of foo arrives at the machine with this rule, the packet is forwarded to 10.0.0.1, but it still has the destination address of foo! The destination address of the packet is not changed to 10.0.0.1. Most machines would probably drop a packet that they receive with a destination address that is not their own. Therefore, using a “fwd” rule does not often work the way the user expects. This behavior is a feature and not a bug. See the FAQ about redirecting services, the natd(8) manual, or one of the several port redirecting utilities in the Ports Collection for a correct way to do this. Aos conhecedores do PF, é possível esse redirect usando o PF ao invés do ipfw? Obrigado, Guerra 2009/11/15 N Guerra nguerr...@gmail.com: Trober, Mas no meu caso a porta é 25 nas duas máquinas, não deveria funcionar? Obrigado, Guerra 2009/11/15 Trober tro...@trober.com: Pessoal, Tenho a seguinte situação: FreeBSD como firewall com 2 placas de rede: bge0: 200.10.10.2 -- link da operadora e gateway default também bge1: 200.200.200.1/26 -- rede interna do datacenter Temos 2 servidores de e-mail internos: 200.200.200.8 e 200.200.200.9 Tentei rodar no firewall: ipfw add fwd 200.200.200.9,25 tcp from 187.10.10.10 to 200.200.200.8 25 Ou seja, gostaria de desviar o tráfego do IP 187.10.10.10 p/ a porta 25 to 200.200.200.8 para o 200.200.200.9 na porta 25 também. Como fazer isso? Onde está errada a regra acima? Antes de colocar a regra do ipfw fwd, eu consigo fazer telnet para a porta 25 nos 2 servidores 200.200.200.8 e 200.200.200.9. -- []s, Guerra - Salve Guerra! O equívoco está no uso do atributo porta no FWD. Quando o encaminhamento (FWD) é feito para um destino não local, esse parâmetro é ignorado. A explicação está na documentação do IPFW[1], que destaco abaixo: If ipaddr is a local address, then matching packets will be forwarded to port (or the port number in the packet if one is not specified in the rule) on the local machine. If ipaddr is not a local address, then the port number (if specified) is ignored, and the packet will be forwarded to the remote address, using the route as found in the local routing table for that IP. [1] http://www.freebsd.org/cgi/man.cgi?query=ipfwsektion=8 Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- []s, Guerra -- []s, Guerra - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Dúvida ipfw fwd
Pessoal, Tenho a seguinte situação: FreeBSD como firewall com 2 placas de rede: bge0: 200.10.10.2 -- link da operadora e gateway default também bge1: 200.200.200.1/26 -- rede interna do datacenter Temos 2 servidores de e-mail internos: 200.200.200.8 e 200.200.200.9 Tentei rodar no firewall: ipfw add fwd 200.200.200.9,25 tcp from 187.10.10.10 to 200.200.200.8 25 Ou seja, gostaria de desviar o tráfego do IP 187.10.10.10 p/ a porta 25 to 200.200.200.8 para o 200.200.200.9 na porta 25 também. Como fazer isso? Onde está errada a regra acima? Antes de colocar a regra do ipfw fwd, eu consigo fazer telnet para a porta 25 nos 2 servidores 200.200.200.8 e 200.200.200.9. -- []s, Guerra - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida ipfw fwd
Pessoal, Tenho a seguinte situação: FreeBSD como firewall com 2 placas de rede: bge0: 200.10.10.2 -- link da operadora e gateway default também bge1: 200.200.200.1/26 -- rede interna do datacenter Temos 2 servidores de e-mail internos: 200.200.200.8 e 200.200.200.9 Tentei rodar no firewall: ipfw add fwd 200.200.200.9,25 tcp from 187.10.10.10 to 200.200.200.8 25 Ou seja, gostaria de desviar o tráfego do IP 187.10.10.10 p/ a porta 25 to 200.200.200.8 para o 200.200.200.9 na porta 25 também. Como fazer isso? Onde está errada a regra acima? Antes de colocar a regra do ipfw fwd, eu consigo fazer telnet para a porta 25 nos 2 servidores 200.200.200.8 e 200.200.200.9. -- []s, Guerra - Salve Guerra! O equívoco está no uso do atributo porta no FWD. Quando o encaminhamento (FWD) é feito para um destino não local, esse parâmetro é ignorado. A explicação está na documentação do IPFW[1], que destaco abaixo: If ipaddr is a local address, then matching packets will be forwarded to port (or the port number in the packet if one is not specified in the rule) on the local machine. If ipaddr is not a local address, then the port number (if specified) is ignored, and the packet will be forwarded to the remote address, using the route as found in the local routing table for that IP. [1] http://www.freebsd.org/cgi/man.cgi?query=ipfwsektion=8 Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida ipfw fwd
Trober, Mas no meu caso a porta é 25 nas duas máquinas, não deveria funcionar? Obrigado, Guerra 2009/11/15 Trober tro...@trober.com: Pessoal, Tenho a seguinte situação: FreeBSD como firewall com 2 placas de rede: bge0: 200.10.10.2 -- link da operadora e gateway default também bge1: 200.200.200.1/26 -- rede interna do datacenter Temos 2 servidores de e-mail internos: 200.200.200.8 e 200.200.200.9 Tentei rodar no firewall: ipfw add fwd 200.200.200.9,25 tcp from 187.10.10.10 to 200.200.200.8 25 Ou seja, gostaria de desviar o tráfego do IP 187.10.10.10 p/ a porta 25 to 200.200.200.8 para o 200.200.200.9 na porta 25 também. Como fazer isso? Onde está errada a regra acima? Antes de colocar a regra do ipfw fwd, eu consigo fazer telnet para a porta 25 nos 2 servidores 200.200.200.8 e 200.200.200.9. -- []s, Guerra - Salve Guerra! O equívoco está no uso do atributo porta no FWD. Quando o encaminhamento (FWD) é feito para um destino não local, esse parâmetro é ignorado. A explicação está na documentação do IPFW[1], que destaco abaixo: If ipaddr is a local address, then matching packets will be forwarded to port (or the port number in the packet if one is not specified in the rule) on the local machine. If ipaddr is not a local address, then the port number (if specified) is ignored, and the packet will be forwarded to the remote address, using the route as found in the local routing table for that IP. [1] http://www.freebsd.org/cgi/man.cgi?query=ipfwsektion=8 Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- []s, Guerra - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Dúvida IPFW
Pessoal to brincando aqui com minha rede interna, pra montar uma firewallzinha, ai assim, lancei a regra para liberar tudo ... para ir testando as configs... Minha rede está montada assim, a internet se liga em um computador e esse computador se liga em um hub, e o hub distribui. Ai as máquinas que estão ligadas no modem não podem enxergar o meu modem, só o servidor pode, não consegui adicionar essa acl, existe algumas acl's mais ou menos padrão para deixar uma rede segura? Outro problema que tive, se eu não lanço a 1º acl com any to any, que que eu preciso liberar para minha internet voltar a funcionar. Agradeço se alguém puder ajudar! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd