[FUG-BR] Dúvida IPFW stateful

2015-11-06 Por tôpico Rafael Hasson 
Boa tarde, Pessoal.

Alguém conseguiria me ajudar neste mistério?

O IPFW está "segurando" as conexões, a regra stateful não está sendo
fechada propriamente.

As regras stateful / dinâmicas, *estão sendo renovadas sem ter atividade*
(Não para todos os ips, pelo menos comigo não acontece).

Por exemplo, o caso abaixo:

root@172.31.20.158:~ # ipfw -d show | grep 200.233.14.136

001003999 207940* (288s*) STATE tcp 172.31.20.158 51119 <->
200.233.14.136 443
001003993 201433 *(48s*) STATE tcp 172.31.20.158 54969 <->
200.233.14.136 443
001003997 207848* (48s)* STATE tcp 172.31.20.158 34713 <->
200.233.14.136 443
001001404  81901 *(93s) *STATE tcp 172.31.20.158 56292 <->
200.233.14.136 443
001001406  82437* (103s)* STATE tcp 172.31.20.158 35809 <->
200.233.14.136 443
001002688 141237 *(233s) *STATE tcp 172.31.20.158 17148 <->
200.233.14.136 443
001002661 139989* (43s) *STATE tcp 172.31.20.158 56575 <->
200.233.14.136 443
001001409  88800* (98s)* STATE tcp 172.31.20.158 21449 <->
200.233.14.136 443
001003995 201461* (288s) *STATE tcp 172.31.20.158 57818 <->
200.233.14.136 443
001003849 191221* (58s)* STATE tcp 172.31.20.158 49688 <->
200.233.14.136 443
001003994 201041* (288s)* STATE tcp 172.31.20.158 59483 <->
200.233.14.136 443
001003993 201353 *(48s*) STATE tcp 172.31.20.158 25947 <->
200.233.14.136 443
001001405  82305* (103s)* STATE tcp 172.31.20.158 22608 <->
200.233.14.136 443

Já está travado no limite de 15 conexões, e os segundos (em negrito, que
entendo ser a renovação da regra), ficam sempre sendo renovados.

Invstiguei com um  *tcpdump -i xn0 src host 200.233.14.136* e não acusa
nenhuma atividade, e* mesmo assim as regras dinâmicas acima continuam sendo
renovadas...*
Ou seja, o cliente não consegue acessar nosso site mais, pq o IPFW está
travando ele, entendendo que já atingiu o limite de conexões.

E a regra não tem nada de mais, está assim:

allow tcp from any to me dst-port 80,443 setup limit src-addr 30
allow tcp from me to any dst-port 80,443 setup keep-state

Agradeço desde já,


-- 
Rafael Hasson
Computer Engineer
Cel: + 55-41-99918090
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Dúvida ipfw + natd ou ipnat

2013-04-11 Por tôpico Joel Cappellesso 
Ola,

Estou com dúvidas em relação ao natd + ipfw

Tenho  a seguinte estrutura:

FW com:
 2 Ips válidos: x.x.x.a e x.x.x.b
DMZ 192.168.20.xx
Rede Internta: 192.168.1.xxx

natd.conf
redirect_port tcp 192.168.20.1:80 x.x.x.a:80
redirect_port tcp 192.168.20.2:80 x.x.x.b:80

no ipfw:

${fw} add set 4 divert natd all from any to any via ${IF_EXT}

${fw} add check-state
#Acesso IP_VALIDO_1
${fw} add pass tcp from any to $IP_VALIDO_1 80 in via ${IF_EXT} setup limit
src-addr 4 keep-state
${fw} add pass tcp from $IP_VALIDO_1 80 to any out via ${IF_EXT}

#Acesso rede interna  DMZ
${fw} add pass tcp from $NET_INT to 192.168.20.1 80
${fw} add pass tcp from 192.168.20.1 80 to $NET_INT
...

#Nega o resto
${fw} add 65000 deny log all from any to any

Está correto?
Como o natd faz o mascaramento correto dos ips internos para os externos,
exemplo:
192.168.20.1 mascarando com ip x.x.x.A
e
192.168.20.2 mascarando com ip x.x.x.B
?
Ele já faz isso automaticamente? ou preciso usar o ipnat.conf ?
bge0=interface externa

map bge0 192.168.20.1 - x.x.x.A/32

map bge0 192.168.20.2 - x.x.x.B/32

Tenho que usar os dois para fazer o que preciso? natd + ipnat ?
qual o modo correto?

Obrigado

Joel
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Dúvida ipfw fwd

2009-11-23 Por tôpico Breno BF 
 Acabei de pesquisar:

 http://www.freebsd.org/doc/en/books/faq/networking.html#IPFW-FWD


exato, o fwd do ipfw simplesmente redireciona o pacote exatamente como
ele chegou para o novo destino (em suma altera apenas o ip dst no 
cabecalho).

[...]

 Aos conhecedores do PF, é possível esse redirect usando o PF ao invés do 
 ipfw?

sim, http://www.openbsd.org/faq/pf/rdr.html.

- breno bf 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Dúvida ipfw fwd

2009-11-18 Por tôpico Wanderson Tinti 
2009/11/17 N Guerra nguerr...@gmail.com

 Pessoal,

 Já vi que pelo IPFW não consigo fazer esse redirecionamento para um
 destino externo. Pelo PF é possível?

 --

 []s,

 Guerra


Guerra, Bom Dia.

Acho que você precisaria é de um PREROUTING, o que não acontece com o fwd do
IPFW. Uma alternativa seria utilizar regras de redirecionamento usando o NAT
pelo IPFW ou NATD.

No PF, veja um exemplo:
rdr on $ext_if proto tcp from 189.10.10.10 to 200.200.200.8 port 25 -
200.200.200.9

Consulte o FAQ no PF.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Dúvida ipfw fwd

2009-11-17 Por tôpico N Guerra 
Pessoal,

Já vi que pelo IPFW não consigo fazer esse redirecionamento para um
destino externo. Pelo PF é possível?

-- 

[]s,

Guerra
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Dúvida ipfw fwd

2009-11-16 Por tôpico N Guerra 
Acabei de pesquisar:

http://www.freebsd.org/doc/en/books/faq/networking.html#IPFW-FWD

12.18. Why is my ipfw “fwd” rule to redirect a service to another
machine not working?

Possibly because you want to do network address translation (NAT) and
not just forward packets. A “fwd” rule does exactly what it says; it
forwards packets. It does not actually change the data inside the
packet. Say we have a rule like:

01000 fwd 10.0.0.1 from any to foo 21
When a packet with a destination address of foo arrives at the machine
with this rule, the packet is forwarded to 10.0.0.1, but it still has
the destination address of foo! The destination address of the packet
is not changed to 10.0.0.1. Most machines would probably drop a packet
that they receive with a destination address that is not their own.
Therefore, using a “fwd” rule does not often work the way the user
expects. This behavior is a feature and not a bug.

See the FAQ about redirecting services, the natd(8) manual, or one of
the several port redirecting utilities in the Ports Collection for a
correct way to do this.

Aos conhecedores do PF, é possível esse redirect usando o PF ao invés do ipfw?

Obrigado,

Guerra


2009/11/15 N Guerra nguerr...@gmail.com:
 Trober,

 Mas no meu caso a porta é 25 nas duas máquinas, não deveria funcionar?

 Obrigado,

 Guerra


 2009/11/15 Trober tro...@trober.com:

 Pessoal,

 Tenho a seguinte situação:

 FreeBSD como firewall com 2 placas de rede:

 bge0: 200.10.10.2 -- link da operadora e gateway default também
 bge1: 200.200.200.1/26 -- rede interna do datacenter

 Temos 2 servidores de e-mail internos:
 200.200.200.8 e 200.200.200.9

 Tentei rodar no firewall:

 ipfw add fwd 200.200.200.9,25 tcp from 187.10.10.10 to 200.200.200.8 25

 Ou seja, gostaria de desviar o tráfego do IP 187.10.10.10 p/ a porta
 25 to 200.200.200.8 para o 200.200.200.9 na porta 25 também.

 Como fazer isso? Onde está errada a regra acima?

 Antes de colocar a regra do ipfw fwd, eu consigo fazer telnet para a
 porta 25 nos 2 servidores 200.200.200.8 e 200.200.200.9.

 --

 []s,

 Guerra
 -


 Salve Guerra!

 O equívoco está no uso do atributo porta no FWD. Quando o encaminhamento
 (FWD) é feito para um destino não local, esse parâmetro é ignorado.

 A explicação está na documentação do IPFW[1], que destaco abaixo:

 If ipaddr is a local address, then matching packets will be forwarded to
 port (or the port number in the packet if one is not specified in the
 rule) on the local machine.

 If ipaddr is not a local address, then the port number (if specified) is
 ignored, and the packet will be forwarded to the remote address, using the
 route as found in the local routing table for that IP.

 [1] http://www.freebsd.org/cgi/man.cgi?query=ipfwsektion=8

 Saudações,

 Trober
 -
 -
 -
 -
 -


 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd




 --

 []s,

 Guerra




-- 

[]s,

Guerra
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Dúvida ipfw fwd

2009-11-15 Por tôpico N Guerra 
Pessoal,

Tenho a seguinte situação:

FreeBSD como firewall com 2 placas de rede:

bge0: 200.10.10.2 -- link da operadora e gateway default também
bge1: 200.200.200.1/26 -- rede interna do datacenter

Temos 2 servidores de e-mail internos:
200.200.200.8 e 200.200.200.9

Tentei rodar no firewall:

ipfw add fwd 200.200.200.9,25 tcp from 187.10.10.10 to 200.200.200.8 25

Ou seja, gostaria de desviar o tráfego do IP 187.10.10.10 p/ a porta
25 to 200.200.200.8 para o 200.200.200.9 na porta 25 também.

Como fazer isso? Onde está errada a regra acima?

Antes de colocar a regra do ipfw fwd, eu consigo fazer telnet para a
porta 25 nos 2 servidores 200.200.200.8 e 200.200.200.9.

-- 

[]s,

Guerra
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Dúvida ipfw fwd

2009-11-15 Por tôpico Trober 

 Pessoal,

 Tenho a seguinte situação:

 FreeBSD como firewall com 2 placas de rede:

 bge0: 200.10.10.2 -- link da operadora e gateway default também
 bge1: 200.200.200.1/26 -- rede interna do datacenter

 Temos 2 servidores de e-mail internos:
 200.200.200.8 e 200.200.200.9

 Tentei rodar no firewall:

 ipfw add fwd 200.200.200.9,25 tcp from 187.10.10.10 to 200.200.200.8 25

 Ou seja, gostaria de desviar o tráfego do IP 187.10.10.10 p/ a porta
 25 to 200.200.200.8 para o 200.200.200.9 na porta 25 também.

 Como fazer isso? Onde está errada a regra acima?

 Antes de colocar a regra do ipfw fwd, eu consigo fazer telnet para a
 porta 25 nos 2 servidores 200.200.200.8 e 200.200.200.9.

 --

 []s,

 Guerra
 -


Salve Guerra!

O equívoco está no uso do atributo porta no FWD. Quando o encaminhamento
(FWD) é feito para um destino não local, esse parâmetro é ignorado.

A explicação está na documentação do IPFW[1], que destaco abaixo:

If ipaddr is a local address, then matching packets will be forwarded to
port (or the port number in the packet if one is not specified in the
rule) on the local machine.

If ipaddr is not a local address, then the port number (if specified) is
ignored, and the packet will be forwarded to the remote address, using the
route as found in the local routing table for that IP.

[1] http://www.freebsd.org/cgi/man.cgi?query=ipfwsektion=8

Saudações,

Trober
-
-
-
-
-


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Dúvida ipfw fwd

2009-11-15 Por tôpico N Guerra 
Trober,

Mas no meu caso a porta é 25 nas duas máquinas, não deveria funcionar?

Obrigado,

Guerra


2009/11/15 Trober tro...@trober.com:

 Pessoal,

 Tenho a seguinte situação:

 FreeBSD como firewall com 2 placas de rede:

 bge0: 200.10.10.2 -- link da operadora e gateway default também
 bge1: 200.200.200.1/26 -- rede interna do datacenter

 Temos 2 servidores de e-mail internos:
 200.200.200.8 e 200.200.200.9

 Tentei rodar no firewall:

 ipfw add fwd 200.200.200.9,25 tcp from 187.10.10.10 to 200.200.200.8 25

 Ou seja, gostaria de desviar o tráfego do IP 187.10.10.10 p/ a porta
 25 to 200.200.200.8 para o 200.200.200.9 na porta 25 também.

 Como fazer isso? Onde está errada a regra acima?

 Antes de colocar a regra do ipfw fwd, eu consigo fazer telnet para a
 porta 25 nos 2 servidores 200.200.200.8 e 200.200.200.9.

 --

 []s,

 Guerra
 -


 Salve Guerra!

 O equívoco está no uso do atributo porta no FWD. Quando o encaminhamento
 (FWD) é feito para um destino não local, esse parâmetro é ignorado.

 A explicação está na documentação do IPFW[1], que destaco abaixo:

 If ipaddr is a local address, then matching packets will be forwarded to
 port (or the port number in the packet if one is not specified in the
 rule) on the local machine.

 If ipaddr is not a local address, then the port number (if specified) is
 ignored, and the packet will be forwarded to the remote address, using the
 route as found in the local routing table for that IP.

 [1] http://www.freebsd.org/cgi/man.cgi?query=ipfwsektion=8

 Saudações,

 Trober
 -
 -
 -
 -
 -


 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd




-- 

[]s,

Guerra
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Dúvida IPFW

2007-02-04 Por tôpico Rafael Busetti 
Pessoal to brincando aqui com minha rede interna, pra montar uma
firewallzinha, ai assim, lancei a regra para liberar tudo ... para ir
testando as configs...

Minha rede está montada assim, a internet se liga em um computador e
esse computador se liga em um hub, e o hub distribui. Ai as máquinas
que estão ligadas no modem não podem enxergar o meu modem, só o
servidor pode, não consegui adicionar essa acl, existe algumas acl's
mais ou menos padrão para deixar uma rede segura? Outro problema que
tive, se eu não lanço a 1º acl com any to any, que que eu preciso
liberar para minha internet voltar a funcionar.

Agradeço se alguém puder ajudar!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd