Re: [FUG-BR] PF + 3 Links
2008/7/24 Robson Peripolli Rodrigues <[EMAIL PROTECTED]>: > Certo, vo dar uma pesquisada sobre esse Routed. Já substituindo a opção > modulate state por keep state continuou mesma coisa. Será que não uma > solução para esse problema, e vou ter que ficar fazendo redirecionamento de > portas? > Problemas com bancos normalmente acontecem por utilização de IPs diferentes para uma mesma sessão da aplicação bancária. Duas dicas. 1- Verifica se o NAT não esta fazendo, para uma mesma interface usando aliases ou proxyarp, rotatividade de IPs. 2- Verifica se pacotes não iniciam a conexão em uma interface e depois saem por outra. Usa tcpdump nas três interfaces e verifica. Sobre suas regras: Vc não precisa colocar round-robin no route-to quando há apenas uma rota. É apenas por uma questão de simplicidade nas regras. Outra coisa, a mais importante que não havia percebido, falta keep state na suas regras de saída das interfaces WAN. Até e boa sorte -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + 3 Links
Certo, vo dar uma pesquisada sobre esse Routed. Já substituindo a opção modulate state por keep state continuou mesma coisa. Será que não uma solução para esse problema, e vou ter que ficar fazendo redirecionamento de portas? Abraço. 2008/7/24 Paulo Henrique <[EMAIL PROTECTED]>: > Verifica o daemon Routed... > Apenas estou estudando... tenho um problema parecido em um cliente.. > > Espero que a dica seja util... > > Até mais.. > > > -- > Atenciosamente Paulo Henrique. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Robson Peripolli Rodrigues [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + 3 Links
Verifica o daemon Routed... Apenas estou estudando... tenho um problema parecido em um cliente.. Espero que a dica seja util... Até mais.. -- Atenciosamente Paulo Henrique. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + 3 Links
O firewall não consegue trabalhar a rota de pacotes que ele mesmo cria, ou seja, syn-proxy, modulate state, pftpx, etc ..., vão sempre sair pela rota padrão. Experimente trocar o modulate state por keep state. Abs 2008/7/23 Robson Peripolli Rodrigues <[EMAIL PROTECTED]>: > nat on $WAN from to any -> WAN > nat on $WAN2 from to any -> WAN2 > nat on $WAN3 from to any -> WAN3 > > pass in quick on $LAN route-to ($WAN3 $GW3 ) round-robin inet proto tcp from > 10.13.0.0/16 to any flags S/SA modulate > pass in quick on $LAN route-to ($WAN3 $GW3 ) inet proto { udp, icmp } from > 10.13.0.0/16 to any keep state > pass out on $WAN3 route-to ($WAN3 $GW3 ) from $WAN3 to any > pass in quick on $LAN route-to ($WAN2 $GW2) round-robin inet proto tcp from > 10.12.0.0/16 to any flags S/SA modulate state > pass in quick on $LAN route-to ($WAN2 $GW2) inet proto { udp, icmp } from > 10.12.0.0/16 to any keep state > pass out on $WAN2 route-to ($WAN2 $GW2) from $WAN2 to any > Se alguem tem alguma dica, ficarei muito grato, estou a tempos tentando > achar uma solução mas não consigo. -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF + 3 Links
Olá pessoal, quero ver se alguem pode me ajudar referente a gerenciar 3 links de 3 operadoras diferentes numa mesma maquina com PF. Meu cenario é o seguinte, tenho 3 links e diversas subredes. Abaixo coloquei so tres como exemplo, mas hoje as subredes que redireciono para os outros dois links que não são as do gateway padrão da maquina, algumas paginas não abrem, principalmente as de banco, sistemas dos governos ou paginas que usam alguma outra porta. Sei que o certo seria fazer algum redirecionamento para sair por esse link que esta atribuido o gateway da maquina mas eu precisava achar uma solução mais concreta e definitiva. Precisava fazer eles sairem totalmente por onde eu definir, sem redirecionamentos. Abaixo tem um exemplo de como está meu firewall. nat on $WAN from to any -> WAN nat on $WAN2 from to any -> WAN2 nat on $WAN3 from to any -> WAN3 pass in quick on $LAN route-to ($WAN3 $GW3 ) round-robin inet proto tcp from 10.13.0.0/16 to any flags S/SA modulate pass in quick on $LAN route-to ($WAN3 $GW3 ) inet proto { udp, icmp } from 10.13.0.0/16 to any keep state pass out on $WAN3 route-to ($WAN3 $GW3 ) from $WAN3 to any pass in quick on $LAN route-to ($WAN2 $GW2) round-robin inet proto tcp from 10.12.0.0/16 to any flags S/SA modulate state pass in quick on $LAN route-to ($WAN2 $GW2) inet proto { udp, icmp } from 10.12.0.0/16 to any keep state pass out on $WAN2 route-to ($WAN2 $GW2) from $WAN2 to any Se alguem tem alguma dica, ficarei muito grato, estou a tempos tentando achar uma solução mas não consigo. Obrigado. -- Robson Peripolli Rodrigues [EMAIL PROTECTED] [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF+3 links adsl
> Olá, > > Bom existe uma forma de se fazer isso, não vou detalhar muito para não > fazer um copy past do autor do artigo :) > > http://stevenfettig.com/mythoughts/archives/000173.php > > Quem sabe não e possivel fazer isso com o trunk no OpenBSD? > > > -- > Rafael Floriano Sousa Sales > Segurança da Informação > Tompast IT Services > e-mail: [EMAIL PROTECTED] > +55-11-3207-2457 > +55-11-8433-2281 Opa Rafael, No trunk a ideia eh um pouco diferente, voce não faz o balanceamento links (redes) diferentes, voce faz o balanceamento/failover _fisico_ da sua conexão. Voce não tem um IP por placa, voce tem um unico IP no trunk, porque na realidade voce tem uma unica rede onde seu gateway pode ser alcançado com dois (ou mais) meios fisicos diferentes (duas ethernets, duas wifi, uma wifi e uma ethernet ou qualquer outra configuração absurda que voce possa imaginar e o sistema suporte !). Quando todos (os links fisicos) estão funcionando, o uso do round-robin acaba agragando a banda dos links (links de diferentes capacidades podem criar problemas com o round-robin) e quando algum link falha o(s) outro(s) assume(m) completamente. Quem ja fez load balance nos ciscos da vida pode esperar o mesmo "comportamento" do trunk, embora em interfaces diferentes (V35 X Ethernet). Claro que se voce instalar uma placa WAN no OpenBSD, pronto... tchau (pra nunca mais) cisco... esta demorando pra isso aparecer no freebsd... abracos, luiz ___ freebsd mailing list freebsd@fug.com.br https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF+3 links adsl
Olá, Bom existe uma forma de se fazer isso, não vou detalhar muito para não fazer um copy past do autor do artigo :) http://stevenfettig.com/mythoughts/archives/000173.php Quem sabe não e possivel fazer isso com o trunk no OpenBSD? -- Rafael Floriano Sousa Sales Segurança da Informação Tompast IT Services e-mail: [EMAIL PROTECTED] +55-11-3207-2457 +55-11-8433-2281 ___ freebsd mailing list freebsd@fug.com.br https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF+3 links adsl
eu consegui com dois :) mas fiz um gateway antes dos dsl, para nao ter que adivinhar os ips dos dsl. ( eu nao sei bulhufas de pf, so usei esse script com minimas alteracoes ). sim, nao sei se todos sabiam, mas o detalhe desse script eh voce adicionar uma rota para cada if. matheus --- Daniel Borges Quint�o <[EMAIL PROTECTED]> wrote: > Boa noite a todos > > Pessoal, usando pf eu conseguiria realizar load > balance + fail over de 3 > links de internet (3 adsl) ? Seria usando o ex.: > http://www.openbsd.org/faq/pf/pools.html#outgoing > apenas adaptando para > 3 interfaces ? > > Agrade�o toda ajuda. > > []'s > > Daniel Quint�o > ___ > freebsd mailing list > freebsd@fug.com.br > https://www.fug.com.br/mailman/listinfo/freebsd > "Throw off those chains of reason And your prison disappears." __ Do You Yahoo!? Tired of spam? Yahoo! Mail has the best spam protection around http://mail.yahoo.com ___ freebsd mailing list freebsd@fug.com.br https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF+3 links adsl
Boa noite a todos Pessoal, usando pf eu conseguiria realizar load balance + fail over de 3 links de internet (3 adsl) ? Seria usando o ex.: http://www.openbsd.org/faq/pf/pools.html#outgoing apenas adaptando para 3 interfaces ? Agradeço toda ajuda. []'s Daniel Quintão ___ freebsd mailing list freebsd@fug.com.br https://www.fug.com.br/mailman/listinfo/freebsd