Re: [FUG-BR] PF try learn...

[Saulo Bozzi]

so ta funfando o redirecionamento com o passrdr pass on xl0 etc
o pass é para fazer o redirecionamento e nao cair num block?!
o que seria ao certo?!
porque so com ele funfa?!


abraçosss...ate.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF try learn...

[Felippe de Meirelles Motta]

Saulo Bozzi wrote:
 so ta funfando o redirecionamento com o passrdr pass on xl0 etc
 o pass é para fazer o redirecionamento e nao cair num block?!
 o que seria ao certo?!
 porque so com ele funfa?!
 
 
 abraçosss...ate.
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Saulo,

O 'pass' num rdr somente implica em dizer que este trafego nao passara 
pelas regras de filtragem do seu firewall, tem praticamente o mesmo 
efeito do 'quick' que voce pode utilizar nas regras de filtragem.

Reveja suas regras abaixo, lembrando que a ideologia do PF e' totalmente 
contraria ao IPFW, primeiro bloqueia tudo (block in all), e depois 
libera o que voce deseja, pois ele e' 'last match', e nao 'first match' 
como IPFW, ao nao ser que seja utilizado o 'quick' ou 'pass' como neste 
caso acima.

-- 

Atenciosamente,
Felippe de Meirelles Motta
FreeBSD Brasil LTDA.
http://www.freebsdbrasil.com.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF try learn...

[Saulo Bozzi]

muito bem explicado, e compreendido.
grato..agora deu pra ilucidartalvez tenha um block no finalnao
sei.
o pass no rdr...é como dizer rdr e pass, redirecione e de passagem ne. duas
regras em uma so.

vou rever my pf.conf...e mando noticias.

abraços...ate.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF try learn...

[Saulo Bozzi]

snif snif...
a pergunta nao foi essae eu nao terminei de ler a faq...mas fui ate a
parte de nat e forwarding.
mas a tabela a questao é...
toda tabela é armazenada em arquivo?!
quando se cria:
table allow

para onde vai a tabela allow?! memoria?! arquivo?!

essa é a questao...

abraços, ate.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF try learn...

[Marcelo/Porks]

cara... ou você define a tabela no PF.CONF, então toda vez que você
reiniciar a máquina o PF.CONF carregar[a a tabela definida nele pra
memoria:
table goodguys { 192.0.2.0/24, !192.0.2.5 }

ou você diz no PF.CONF que é para pegar a tabela de um determinado
arquivo, então toda vez que você reiniciar a máquina o PF.CONF
carregará a tabela que está no arquivo para a memória:
table spammers persist file /etc/spammers




On 10/5/07, Saulo Bozzi [EMAIL PROTECTED] wrote:
 isso garoto..bom...foi o que pensei, mas nao conclui, pois criei a
 tabela...reiniciei a maquina, e ai?!
 foi embora a tabela?!
 estava so na memoria?!
 tenho que criar um arquivo com a tabela para sempre quando ele carregar a
 regra puxar do arquivo?!
 ou ele ja faz isso no momento da criacao?!

 abraçosate.
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 
Marcelo Rossi
This e-mail is provided AS IS with no warranties, and confers no rights.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF try learn...

[Saulo Bozzi]

isso garoto..bom...foi o que pensei, mas nao conclui, pois criei a
tabela...reiniciei a maquina, e ai?!
foi embora a tabela?!
estava so na memoria?!
tenho que criar um arquivo com a tabela para sempre quando ele carregar a
regra puxar do arquivo?!
ou ele ja faz isso no momento da criacao?!

abraçosate.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF try learn...

[William]

On 10/5/07, Saulo Bozzi [EMAIL PROTECTED] wrote:
 snif snif...
 a pergunta nao foi essae eu nao terminei de ler a faq...mas fui ate a
 parte de nat e forwarding.
 mas a tabela a questao é...
 toda tabela é armazenada em arquivo?!
 quando se cria:
 table allow

 para onde vai a tabela allow?! memoria?! arquivo?!

Obviamente fica na memoria enquanto o pf esta habilitado, como que
voce acha que seria o desempenho de um dos melhores filtros de pacotes
(PF) se simplesmente toda a consulta fosse feita diretamente em disco
e ainda nao houvesse cache ?


 essa é a questao...

 abraços, ate.
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 
William Grzybowski
--
Jabber: william88 at gmail dot com
Curitiba/PR - Brazil
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF try learn...

[Saulo Bozzi]

Grato a todos...explicado e compreendido...
vamos continuar a discutir em torno do PF
ja implementei um firewall com pf, e routerta ficando finim...
mas ainda falta praticar, ler, e compreender melhor todas as possiveis
possibilidades de recursos do PF...
de resalta...
uma regra..

rdr on $ext_if proto tcp from any to any port $port_ssh_www - $ip_www
or
only...
rdr on $ext_if proto tcp to port $port_ssh_www - $ip_www

quero fazer um redirecionamento, de quando bater na placa externa do
firewall, porta do ssh www, direcionar para a maquina interna web server.
nao ta funfando.
nao tem block algo nas regras...
mas ja ouvi dizer que usando o pass no rdr, talvez funfe...pq , com o pass
no rdr e tb no nat ou outro local é usado...funciona?!

abraços,,,ate.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF try learn...

[Saulo Bozzi]

vou testar...pois omitindo o any to any, foi o que fiz...nao funfou
vou testar e retorno.

valeuuu

abraços, ate.

and pass in rdr, that so?!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF try learn...

[Marcelo/Porks]

On 10/5/07, Saulo Bozzi [EMAIL PROTECTED] wrote:
 quero fazer um redirecionamento, de quando bater na placa externa do
 firewall, porta do ssh www, direcionar para a maquina interna web server.

rdr on $EXT_IF proto tcp from any to any port $PORTA_EXT  - $COMP_INT
port $PORTA_COMP_INT

mastigando:

rdr on rl0 proto tcp from any to any port 80 - 192.168.1.10 port 80

onde:
- rl0 é minha placa de rede 'da internet'
- 192.168.1.10 é a máquina na minha rede interna que tem um web server

Obs: como a porta externa é igual a porta da maquina interna, você
pode omitir o segundo '80':
rdr on rl0 proto tcp from any to any port 80 - 192.168.1.10



-- 
Marcelo Rossi
This e-mail is provided AS IS with no warranties, and confers no rights.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF try learn...

[Lutieri G.]

Tchê, se tu realmente terminou de ler o faq do pf faltou um pouco de atenção:

---SNIP---
Tabelas também podem ser populadas via arquivos texto contendo listas
de endereços IP e redes:

table spammers persist file /etc/spammers

block in on fxp0 from spammers to any

O arquivo /etc/spammers deve conter uma lista de endereços IP e/ou
blocos de rede CIDR, um por linha. Qualquer linha começando com # é
tratado como comentário e ignorada.
---SNIP---

ainda retirado daqui: http://www.openbsd.org/faq/pf/pt/tables.html

[]'s

Em 02/10/07, Saulo Bozzi[EMAIL PROTECTED] escreveu:
 Lutieri...grado, veio a reforça meu pqno conhecimento.
 bem so nao foi falado a respeito do tal arquivo. ela pode vim a ficar em
 arquivo ou nao ne?!
 como seria isso?!

 abraços, ate.

 ahh a quem perguntou

 http://www.openbsd.org/faq/pf/pt/
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 
Att.
Lutieri G. B.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF try learn...

[Alessandro de Souza Rocha]

Em 01/10/07, Alexandre Biancalana[EMAIL PROTECTED] escreveu:
 
  e para começo uma pergunta boba.
  uma tabela parece que pode ser criada em arquivo?!


 uma tabela pode ser criada a partir de um arquivo...

 ou toda tabela no final gera um arquivo fisicamente?!


 nao

 ou nao...é posta em memoria e por la fica?!


 Depois que vc carrega o pf.conf ela fica em memória.

 como funciona essa situacao da tabela?!


 man  {pf,pf.conf}
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


coloca suas regras o arquivo pf.conf que a gente da uma ajuda.
-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF try learn...

[Saulo Bozzi]

 terminei a leitura do pf faq pt, ate a parte de forwardingbem legal.


ja implantei basicao um router(gateway) firewall in my home e ta finim
ja...agora tenho q ler apreender mais e ir melhorando.

poxa mais ninguem foi convicto no que disse em torno da table.

table allow_hosts persist

persist indica que ira para memoria é isso?!

ou const?!

e const diz que nao pode haver mudança por parte do usuario.

certo?!

ate ai criei a tabela...posso adicionar ips a ela ja na criaçao e depois via
pfctl ne?!
uma lista de ips, vira uma tabela...sendo mais rapida talvez por ser
colocada em memoria para consulta.
certo?!

abraços...ate.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF try learn...

[joao jamaicabsd]

E ai´ saulo blz, tbm estou muito interessado no pf e gostaria de saber onde
vc achou aquela faq que vc está falando, tbm quero lê-la.
Abraço

Em 02/10/07, Saulo Bozzi [EMAIL PROTECTED] escreveu:

 
  terminei a leitura do pf faq pt, ate a parte de forwardingbem legal.


 ja implantei basicao um router(gateway) firewall in my home e ta finim
 ja...agora tenho q ler apreender mais e ir melhorando.

 poxa mais ninguem foi convicto no que disse em torno da table.

 table allow_hosts persist

 persist indica que ira para memoria é isso?!

 ou const?!

 e const diz que nao pode haver mudança por parte do usuario.

 certo?!

 ate ai criei a tabela...posso adicionar ips a ela ja na criaçao e depois
 via
 pfctl ne?!
 uma lista de ips, vira uma tabela...sendo mais rapida talvez por ser
 colocada em memoria para consulta.
 certo?!

 abraços...ate.
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd




-- 
E-mail: [EMAIL PROTECTED]
MSN: [EMAIL PROTECTED]
Cel: (48) 9144 2326
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF try learn...

[Lutieri G.]

Em 02/10/07, Saulo Bozzi[EMAIL PROTECTED] escreveu:
 
  terminei a leitura do pf faq pt, ate a parte de forwardingbem legal.


 ja implantei basicao um router(gateway) firewall in my home e ta finim
 ja...agora tenho q ler apreender mais e ir melhorando.

 poxa mais ninguem foi convicto no que disse em torno da table.

 table allow_hosts persist

 persist indica que ira para memoria é isso?!

 ou const?!

 e const diz que nao pode haver mudança por parte do usuario.

 certo?!
isso sim!


 ate ai criei a tabela...posso adicionar ips a ela ja na criaçao e depois via
 pfctl ne?!

sim, ou outra aplicação que saiba fazer uso disso.

 uma lista de ips, vira uma tabela...sendo mais rapida talvez por ser
 colocada em memoria para consulta.
 certo?!

* const - o conteúdo da tabela não pode ser alterado, uma vez que
ela tenha sido criada. Quando este atributo não é especificado, o
pfctl(8) pode ser usado para adicionar ou remover endereços da tabela
a qualquer momento, mesmo quando o sistema estiver usando
securelevel(7) no nível dois ou maior.
* persist - faz com que o kernel mantenha a tabela em memória
mesmo quando nenhuma regra faça referência a mesma. Sem esse atributo,
o kernel removerá a tabela automaticamente quando a última regra
referenciando a tabela for removida.

retirado daqui:
http://www.openbsd.org/faq/pf/pt/tables.html

mas eu sou da opinião que tem coisas com as quais só devemos nos
preocupar quando for necessário. Por hora usa sem const e sem persist.
Se tu tiver algum aplicação que necessita de algum desses recursos, ou
tiver problemas que possam estar relacionados a tabelas, talvez isso
seja útil.


 abraços...ate.
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 
Att.
Lutieri G. B.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF try learn...

[Saulo Bozzi]

Lutieri...grado, veio a reforça meu pqno conhecimento.
bem so nao foi falado a respeito do tal arquivo. ela pode vim a ficar em
arquivo ou nao ne?!
como seria isso?!

abraços, ate.

ahh a quem perguntou

http://www.openbsd.org/faq/pf/pt/
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF try learn...

[Saulo Bozzi]

 nothing?!


kd os PF's man de plantao?!

nao ha?!

vixixixi

abraços a todos...
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] PF try learn...

[Alexandre Biancalana]

 e para começo uma pergunta boba.
 uma tabela parece que pode ser criada em arquivo?!


uma tabela pode ser criada a partir de um arquivo...

ou toda tabela no final gera um arquivo fisicamente?!


nao

ou nao...é posta em memoria e por la fica?!


Depois que vc carrega o pf.conf ela fica em memória.

como funciona essa situacao da tabela?!


man  {pf,pf.conf}
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd