Re: [FUG-BR] Packet filter.

[Enio Marconcini]

2011/4/29 Bruno Torres Viana 

> Opa, tá na mão!
>
> http://www.openbsd.org/faq/pf/index.html
>
> Neste link tem tudo que precisa para estudar!
>
> Em 29 de abril de 2011 16:53, Enio Marconcini  escreveu:
>
> > 2011/4/28 Bruno Torres Viana 
> >
> > > Enio é isso mesmo!
> > >
> > > Mandei o comando dessa forma para não gerar mais duas linhas para
> > liberação
> > > de acesso, se for necessário posso te passar, mas se for só isso, já
> > > resolve.
> > >
> > > Abraço!
> > >
> > > Em 28 de abril de 2011 14:10, Enio Marconcini 
> > escreveu:
> > >
> > > > 2011/4/28 Enio Marconcini 
> > > >
> > > > >
> > > > >
> > > > > 2011/4/28 Bruno Torres Viana 
> > > > >
> > > > >> Enio, bom dia!
> > > > >>
> > > > >> Simples assim, coloca a regra direto.
> > > > >>
> > > > >> rdr pass log on $ext_if inet proto tcp from any to $IP_EXTERNO
> port
> > > 3389
> > > > >> ->
> > > > >> $IP_INTERNO port 3389
> > > > >>
> > > > >> Lembra que se tiver utilizando modem / router, tem que fazer o NAT
> > > nele
> > > > >> para
> > > > >> o IP interno da EXT do seu firewall.
> > > > >>
> > > > >>
> > > > >>
> > > > >>
> > > > >>
> > > >
> > > > Bruno, apesar de ter funcionado, eu percebi que se eu não colocar o
> > pass
> > > > junto com o rdr não funciona
> > > >
> > > > rdr pass on $nic_externa inet proto tcp from any to $nic_externa port
> > > 3389
> > > > -> 192.168.0.10 port 3389
> > > > funciona perfeitamente
> > > >
> > > > porém me obriga colocar o pass junto, já que tentei fazer em duas
> > regras
> > > e
> > > > setar flags e o modulate state daí não funcionou
> > > >
> > > > rdr on $nic_externa inet proto tcp from any to $nic_externa port 3389
> > tag
> > > > RDP -> 192.168.0.10 port 3389
> > > > # nos filters
> > > > pass tagged RDP flags S/SA modulate state
> > > >
> > > >
> > > >
> > > >
> > > > --
> > > > *ENIO RODRIGO MARCONCINI*
> > > > @eniomarconcini 
> > > > skype: eniorm
> > > >
> > > > "*UNIX was not designed to stop its users from doing stupid things,
> > > > as that would also stop them from doing clever things.*"
> > > > -
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > >
> > >
> > >
> > > --
> > > ___
> > > Bruno Torres Viana
> > > Consultor em TI
> > > Celular: (27) 9225-4766
> > > SKYPE/MSN:  btorres_viana
> > >
> > >
> > >
> > > Todos nós somos ignorantes, porém em assuntos diferentes. Não seja
> > > ignorante
> > > por opção!
> > > -
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> >
> > cara, então me passa como foi a forma em duas linhas, pra eu estudar
> >
> > abraço
> >
> > --
> > *ENIO RODRIGO MARCONCINI*
> > @eniomarconcini 
> > skype: eniorm
> >
> > "*UNIX was not designed to stop its users from doing stupid things,
> > as that would also stop them from doing clever things.*"
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
>
> --
> ___
> Bruno Torres Viana
> Consultor em TI
> Celular: (27) 9225-4766
> SKYPE/MSN:  btorres_viana
>
>
>
> Todos nós somos ignorantes, porém em assuntos diferentes. Não seja
> ignorante
> por opção!
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


foi por ai que eu estudei mesmo cara, rsrs

abraço

-- 
*ENIO RODRIGO MARCONCINI*
@eniomarconcini 
skype: eniorm
facebook.com/eniomarconcini 

*"UNIX was not designed to stop its users from doing stupid things,
as that would also stop them from doing clever things."
*
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet filter.

[Bruno Torres Viana]

Opa, tá na mão!

http://www.openbsd.org/faq/pf/index.html

Neste link tem tudo que precisa para estudar!

Em 29 de abril de 2011 16:53, Enio Marconcini  escreveu:

> 2011/4/28 Bruno Torres Viana 
>
> > Enio é isso mesmo!
> >
> > Mandei o comando dessa forma para não gerar mais duas linhas para
> liberação
> > de acesso, se for necessário posso te passar, mas se for só isso, já
> > resolve.
> >
> > Abraço!
> >
> > Em 28 de abril de 2011 14:10, Enio Marconcini 
> escreveu:
> >
> > > 2011/4/28 Enio Marconcini 
> > >
> > > >
> > > >
> > > > 2011/4/28 Bruno Torres Viana 
> > > >
> > > >> Enio, bom dia!
> > > >>
> > > >> Simples assim, coloca a regra direto.
> > > >>
> > > >> rdr pass log on $ext_if inet proto tcp from any to $IP_EXTERNO port
> > 3389
> > > >> ->
> > > >> $IP_INTERNO port 3389
> > > >>
> > > >> Lembra que se tiver utilizando modem / router, tem que fazer o NAT
> > nele
> > > >> para
> > > >> o IP interno da EXT do seu firewall.
> > > >>
> > > >>
> > > >>
> > > >>
> > > >>
> > >
> > > Bruno, apesar de ter funcionado, eu percebi que se eu não colocar o
> pass
> > > junto com o rdr não funciona
> > >
> > > rdr pass on $nic_externa inet proto tcp from any to $nic_externa port
> > 3389
> > > -> 192.168.0.10 port 3389
> > > funciona perfeitamente
> > >
> > > porém me obriga colocar o pass junto, já que tentei fazer em duas
> regras
> > e
> > > setar flags e o modulate state daí não funcionou
> > >
> > > rdr on $nic_externa inet proto tcp from any to $nic_externa port 3389
> tag
> > > RDP -> 192.168.0.10 port 3389
> > > # nos filters
> > > pass tagged RDP flags S/SA modulate state
> > >
> > >
> > >
> > >
> > > --
> > > *ENIO RODRIGO MARCONCINI*
> > > @eniomarconcini 
> > > skype: eniorm
> > >
> > > "*UNIX was not designed to stop its users from doing stupid things,
> > > as that would also stop them from doing clever things.*"
> > > -
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> >
> >
> > --
> > ___
> > Bruno Torres Viana
> > Consultor em TI
> > Celular: (27) 9225-4766
> > SKYPE/MSN:  btorres_viana
> >
> >
> >
> > Todos nós somos ignorantes, porém em assuntos diferentes. Não seja
> > ignorante
> > por opção!
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
> cara, então me passa como foi a forma em duas linhas, pra eu estudar
>
> abraço
>
> --
> *ENIO RODRIGO MARCONCINI*
> @eniomarconcini 
> skype: eniorm
>
> "*UNIX was not designed to stop its users from doing stupid things,
> as that would also stop them from doing clever things.*"
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
___
Bruno Torres Viana
Consultor em TI
Celular: (27) 9225-4766
SKYPE/MSN:  btorres_viana



Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante
por opção!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet filter.

[Enio Marconcini]

2011/4/28 Bruno Torres Viana 

> Enio é isso mesmo!
>
> Mandei o comando dessa forma para não gerar mais duas linhas para liberação
> de acesso, se for necessário posso te passar, mas se for só isso, já
> resolve.
>
> Abraço!
>
> Em 28 de abril de 2011 14:10, Enio Marconcini  escreveu:
>
> > 2011/4/28 Enio Marconcini 
> >
> > >
> > >
> > > 2011/4/28 Bruno Torres Viana 
> > >
> > >> Enio, bom dia!
> > >>
> > >> Simples assim, coloca a regra direto.
> > >>
> > >> rdr pass log on $ext_if inet proto tcp from any to $IP_EXTERNO port
> 3389
> > >> ->
> > >> $IP_INTERNO port 3389
> > >>
> > >> Lembra que se tiver utilizando modem / router, tem que fazer o NAT
> nele
> > >> para
> > >> o IP interno da EXT do seu firewall.
> > >>
> > >>
> > >>
> > >>
> > >>
> >
> > Bruno, apesar de ter funcionado, eu percebi que se eu não colocar o pass
> > junto com o rdr não funciona
> >
> > rdr pass on $nic_externa inet proto tcp from any to $nic_externa port
> 3389
> > -> 192.168.0.10 port 3389
> > funciona perfeitamente
> >
> > porém me obriga colocar o pass junto, já que tentei fazer em duas regras
> e
> > setar flags e o modulate state daí não funcionou
> >
> > rdr on $nic_externa inet proto tcp from any to $nic_externa port 3389 tag
> > RDP -> 192.168.0.10 port 3389
> > # nos filters
> > pass tagged RDP flags S/SA modulate state
> >
> >
> >
> >
> > --
> > *ENIO RODRIGO MARCONCINI*
> > @eniomarconcini 
> > skype: eniorm
> >
> > "*UNIX was not designed to stop its users from doing stupid things,
> > as that would also stop them from doing clever things.*"
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
>
> --
> ___
> Bruno Torres Viana
> Consultor em TI
> Celular: (27) 9225-4766
> SKYPE/MSN:  btorres_viana
>
>
>
> Todos nós somos ignorantes, porém em assuntos diferentes. Não seja
> ignorante
> por opção!
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


cara, então me passa como foi a forma em duas linhas, pra eu estudar

abraço

-- 
*ENIO RODRIGO MARCONCINI*
@eniomarconcini 
skype: eniorm

"*UNIX was not designed to stop its users from doing stupid things,
as that would also stop them from doing clever things.*"
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet filter.

[Bruno Torres Viana]

Enio é isso mesmo!

Mandei o comando dessa forma para não gerar mais duas linhas para liberação
de acesso, se for necessário posso te passar, mas se for só isso, já
resolve.

Abraço!

Em 28 de abril de 2011 14:10, Enio Marconcini  escreveu:

> 2011/4/28 Enio Marconcini 
>
> >
> >
> > 2011/4/28 Bruno Torres Viana 
> >
> >> Enio, bom dia!
> >>
> >> Simples assim, coloca a regra direto.
> >>
> >> rdr pass log on $ext_if inet proto tcp from any to $IP_EXTERNO port 3389
> >> ->
> >> $IP_INTERNO port 3389
> >>
> >> Lembra que se tiver utilizando modem / router, tem que fazer o NAT nele
> >> para
> >> o IP interno da EXT do seu firewall.
> >>
> >>
> >>
> >>
> >>
>
> Bruno, apesar de ter funcionado, eu percebi que se eu não colocar o pass
> junto com o rdr não funciona
>
> rdr pass on $nic_externa inet proto tcp from any to $nic_externa port 3389
> -> 192.168.0.10 port 3389
> funciona perfeitamente
>
> porém me obriga colocar o pass junto, já que tentei fazer em duas regras e
> setar flags e o modulate state daí não funcionou
>
> rdr on $nic_externa inet proto tcp from any to $nic_externa port 3389 tag
> RDP -> 192.168.0.10 port 3389
> # nos filters
> pass tagged RDP flags S/SA modulate state
>
>
>
>
> --
> *ENIO RODRIGO MARCONCINI*
> @eniomarconcini 
> skype: eniorm
>
> "*UNIX was not designed to stop its users from doing stupid things,
> as that would also stop them from doing clever things.*"
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
___
Bruno Torres Viana
Consultor em TI
Celular: (27) 9225-4766
SKYPE/MSN:  btorres_viana



Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante
por opção!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet filter.

[Enio Marconcini]

2011/4/28 Enio Marconcini 

>
>
> 2011/4/28 Bruno Torres Viana 
>
>> Enio, bom dia!
>>
>> Simples assim, coloca a regra direto.
>>
>> rdr pass log on $ext_if inet proto tcp from any to $IP_EXTERNO port 3389
>> ->
>> $IP_INTERNO port 3389
>>
>> Lembra que se tiver utilizando modem / router, tem que fazer o NAT nele
>> para
>> o IP interno da EXT do seu firewall.
>>
>>
>>
>>
>>

Bruno, apesar de ter funcionado, eu percebi que se eu não colocar o pass
junto com o rdr não funciona

rdr pass on $nic_externa inet proto tcp from any to $nic_externa port 3389
-> 192.168.0.10 port 3389
funciona perfeitamente

porém me obriga colocar o pass junto, já que tentei fazer em duas regras e
setar flags e o modulate state daí não funcionou

rdr on $nic_externa inet proto tcp from any to $nic_externa port 3389 tag
RDP -> 192.168.0.10 port 3389
# nos filters
pass tagged RDP flags S/SA modulate state




-- 
*ENIO RODRIGO MARCONCINI*
@eniomarconcini 
skype: eniorm

"*UNIX was not designed to stop its users from doing stupid things,
as that would also stop them from doing clever things.*"
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet filter.

[Enio Marconcini]

2011/4/28 Bruno Torres Viana 

> Enio, bom dia!
>
> Simples assim, coloca a regra direto.
>
> rdr pass log on $ext_if inet proto tcp from any to $IP_EXTERNO port 3389 ->
> $IP_INTERNO port 3389
>
> Lembra que se tiver utilizando modem / router, tem que fazer o NAT nele
> para
> o IP interno da EXT do seu firewall.
>
>
>
>
> Em 28 de abril de 2011 11:45, Enio Marconcini  escreveu:
>
> > 2010/8/11 Giovani Poletto 
> >
> > > Bom dia,
> > >
> > > vc pode redirecionar o IP válido para o IP da rede interna com uma
> regra
> > do
> > > tipo rdr.
> > >
> > > ex.:
> > >
> > > rdr pass on $ext_if proto tcp from  to  port
> > > 
> > > -> 
> > >
> > > espero ter ajudado!
> > >
> > > []s
> > >
> > >
> > > 2010/8/11 
> > >
> > > > Bom dia pessoal, algum especialista no PF poderia me dar uma ajuda?
> > > > Tenho um servidor FreeBSD com acesso à Internet com um IP real e tem
> > uma
> > > > máquina na minha rede
> > > > que roda um aplicativo de uma terceirizada e precisa de acesso (Web)
> > > > remoto.
> > > > Como eu deveria proceder pra que o pessoal via Web acessasse esse
> > > > computador
> > > > através do meu firewall?
> > > >
> > > > Desde já agradeço,
> > > > Akkamai
> > > >
> > > > -
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > >
> > >
> > >
> > > --
> > > Atenciosamente,
> > >
> > > Giovani V. Poletto
> > > -
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> >
> > estou ressucitando esse post aqui,
> > estou precisando redirecionar do ip externo para um ip interno a porta
> 3389
> > do RDP do Windão
> >
> > um cliente precisa disponibilizar acesso remoto de fora para o servidor
> RDP
> > da rede
> >
> >
> > rdr on $nic_externa proto tcp from any to $nic_externa port 3389 tag RDP
> ->
> > 192.168.0.249
> >
> > na sessão filter eu usei só pra complementar
> >
> > pass quick tagged RDP flags S/SA modulate state
> >
> >
> > porém eu não consigo acessar,
> >
> > --
> > *ENIO RODRIGO MARCONCINI*
> > @eniomarconcini 
> > skype: eniorm
> >
> > "*UNIX was not designed to stop its users from doing stupid things,
> > as that would also stop them from doing clever things.*"
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
>
> --
> ___
> Bruno Torres Viana
> Consultor em TI
> Celular: (27) 9225-4766
> SKYPE/MSN:  btorres_viana
>
>
>
> Todos nós somos ignorantes, porém em assuntos diferentes. Não seja
> ignorante
> por opção!
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


cara valeu, deu certo
obrigado



-- 
*ENIO RODRIGO MARCONCINI*
@eniomarconcini 
skype: eniorm

"*UNIX was not designed to stop its users from doing stupid things,
as that would also stop them from doing clever things.*"
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet filter.

[Bruno Torres Viana]

Enio, bom dia!

Simples assim, coloca a regra direto.

rdr pass log on $ext_if inet proto tcp from any to $IP_EXTERNO port 3389 ->
$IP_INTERNO port 3389

Lembra que se tiver utilizando modem / router, tem que fazer o NAT nele para
o IP interno da EXT do seu firewall.




Em 28 de abril de 2011 11:45, Enio Marconcini  escreveu:

> 2010/8/11 Giovani Poletto 
>
> > Bom dia,
> >
> > vc pode redirecionar o IP válido para o IP da rede interna com uma regra
> do
> > tipo rdr.
> >
> > ex.:
> >
> > rdr pass on $ext_if proto tcp from  to  port
> > 
> > -> 
> >
> > espero ter ajudado!
> >
> > []s
> >
> >
> > 2010/8/11 
> >
> > > Bom dia pessoal, algum especialista no PF poderia me dar uma ajuda?
> > > Tenho um servidor FreeBSD com acesso à Internet com um IP real e tem
> uma
> > > máquina na minha rede
> > > que roda um aplicativo de uma terceirizada e precisa de acesso (Web)
> > > remoto.
> > > Como eu deveria proceder pra que o pessoal via Web acessasse esse
> > > computador
> > > através do meu firewall?
> > >
> > > Desde já agradeço,
> > > Akkamai
> > >
> > > -
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> >
> >
> > --
> > Atenciosamente,
> >
> > Giovani V. Poletto
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
> estou ressucitando esse post aqui,
> estou precisando redirecionar do ip externo para um ip interno a porta 3389
> do RDP do Windão
>
> um cliente precisa disponibilizar acesso remoto de fora para o servidor RDP
> da rede
>
>
> rdr on $nic_externa proto tcp from any to $nic_externa port 3389 tag RDP ->
> 192.168.0.249
>
> na sessão filter eu usei só pra complementar
>
> pass quick tagged RDP flags S/SA modulate state
>
>
> porém eu não consigo acessar,
>
> --
> *ENIO RODRIGO MARCONCINI*
> @eniomarconcini 
> skype: eniorm
>
> "*UNIX was not designed to stop its users from doing stupid things,
> as that would also stop them from doing clever things.*"
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
___
Bruno Torres Viana
Consultor em TI
Celular: (27) 9225-4766
SKYPE/MSN:  btorres_viana



Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante
por opção!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet filter.

[Enio Marconcini]

2010/8/11 Giovani Poletto 

> Bom dia,
>
> vc pode redirecionar o IP válido para o IP da rede interna com uma regra do
> tipo rdr.
>
> ex.:
>
> rdr pass on $ext_if proto tcp from  to  port
> 
> -> 
>
> espero ter ajudado!
>
> []s
>
>
> 2010/8/11 
>
> > Bom dia pessoal, algum especialista no PF poderia me dar uma ajuda?
> > Tenho um servidor FreeBSD com acesso à Internet com um IP real e tem uma
> > máquina na minha rede
> > que roda um aplicativo de uma terceirizada e precisa de acesso (Web)
> > remoto.
> > Como eu deveria proceder pra que o pessoal via Web acessasse esse
> > computador
> > através do meu firewall?
> >
> > Desde já agradeço,
> > Akkamai
> >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
>
> --
> Atenciosamente,
>
> Giovani V. Poletto
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


estou ressucitando esse post aqui,
estou precisando redirecionar do ip externo para um ip interno a porta 3389
do RDP do Windão

um cliente precisa disponibilizar acesso remoto de fora para o servidor RDP
da rede


rdr on $nic_externa proto tcp from any to $nic_externa port 3389 tag RDP ->
192.168.0.249

na sessão filter eu usei só pra complementar

pass quick tagged RDP flags S/SA modulate state


porém eu não consigo acessar,

-- 
*ENIO RODRIGO MARCONCINI*
@eniomarconcini 
skype: eniorm

"*UNIX was not designed to stop its users from doing stupid things,
as that would also stop them from doing clever things.*"
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet Filter + Ftp-proxy

[Rogério Moura]

Segue essa dica...
https://calomel.org/ftp_proxy.html

nesse site também tem muita documentação sobre PF



Em 19 de outubro de 2010 10:17, Fabiano Carlos Heringer <
b...@grupoheringer.com.br> escreveu:

>  Pessoal,
>
> Eu de novo, estou utilizando o PF para bloquear todas as portas que
> "chegam" na minha interface externa. So libero algumas que necessito,
> como dns, emails etc etc.
>
> Minha ideia que o ftp-proxy seria uma especie de squid onde o ftp
> rodasse sobre o proxy.
>
> Quando desbloqueio as portas de entrada, o ftp funciona normal, se
> bloqueio, eu consigo logar no ftp e tudo, mas quando dou um um ls por
> exemplo, da o seguinte:
>
> ftp> ls
> 200 EPRT command successful. Consider using EPSV.
> 150 Here comes the directory listing.
> ftp: poll timeout waiting before accept: Invalid argument
> 426 Failure writing network stream.
> 225 No transfer to ABOR.
>
>
> Quando libero, funciona, ou seja, sei que o problema sao os bloqueios.
> Mas eu achava que utilizando o ftp-proxy eu nao precisasse liberar
> portas > 1024 ? eu preciso mesmo fazer isso? como posso fazer de um
> jeito que nao fique tao vulneravel?
>
> Obrigado!
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet Filter + Ftp-proxy

[Danilo Egea]

Não sei se este patch pode te ajudar, mas aí vai 
http://www.fug.com.br/historico/html/freebsd/2010-07/msg00171.html


On 10/19/10 11:17, Fabiano Carlos Heringer wrote:
>Pessoal,
>
> Eu de novo, estou utilizando o PF para bloquear todas as portas que
> "chegam" na minha interface externa. So libero algumas que necessito,
> como dns, emails etc etc.
>
> Minha ideia que o ftp-proxy seria uma especie de squid onde o ftp
> rodasse sobre o proxy.
>
> Quando desbloqueio as portas de entrada, o ftp funciona normal, se
> bloqueio, eu consigo logar no ftp e tudo, mas quando dou um um ls por
> exemplo, da o seguinte:
>
> ftp>  ls
> 200 EPRT command successful. Consider using EPSV.
> 150 Here comes the directory listing.
> ftp: poll timeout waiting before accept: Invalid argument
> 426 Failure writing network stream.
> 225 No transfer to ABOR.
>
>
> Quando libero, funciona, ou seja, sei que o problema sao os bloqueios.
> Mas eu achava que utilizando o ftp-proxy eu nao precisasse liberar
> portas>  1024 ? eu preciso mesmo fazer isso? como posso fazer de um
> jeito que nao fique tao vulneravel?
>
> Obrigado!
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>


-- 
Danilo Egêa Gondolfo
Email/MSN - daniloe...@yahoo.com.br
Skype - daniloegea
Twitter - http://twitter.com/daniloegea
Blog - http://daniloegea.wordpress.com

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Packet Filter + Ftp-proxy

[Fabiano Carlos Heringer]

  Pessoal,

Eu de novo, estou utilizando o PF para bloquear todas as portas que 
"chegam" na minha interface externa. So libero algumas que necessito, 
como dns, emails etc etc.

Minha ideia que o ftp-proxy seria uma especie de squid onde o ftp 
rodasse sobre o proxy.

Quando desbloqueio as portas de entrada, o ftp funciona normal, se 
bloqueio, eu consigo logar no ftp e tudo, mas quando dou um um ls por 
exemplo, da o seguinte:

ftp> ls
200 EPRT command successful. Consider using EPSV.
150 Here comes the directory listing.
ftp: poll timeout waiting before accept: Invalid argument
426 Failure writing network stream.
225 No transfer to ABOR.


Quando libero, funciona, ou seja, sei que o problema sao os bloqueios. 
Mas eu achava que utilizando o ftp-proxy eu nao precisasse liberar 
portas > 1024 ? eu preciso mesmo fazer isso? como posso fazer de um 
jeito que nao fique tao vulneravel?

Obrigado!

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet filter.

[irado furioso com tudo]

Em Wed, 11 Aug 2010 10:55:58 -0300
, conhecido consumidor/usuário de drogas (Windows e
BigMac com Coke) escreveu:

> uma máquina na minha rede
> que roda um aplicativo de uma terceirizada e precisa de acesso (Web)
> remoto. 

bem.. embora o pessoal tenha sugerido rdr ou redir, eu iria para um
apache-proxy porque (IMHO) vc mantém a segurança ao não permitir acesso
direto a um servidor interno.

-- 
 saudações,
 irado furioso com tudo
 Linux User 179402/FreeBSD BSD50853/FUG-BR 154
 Não uso drogas - 100% Miko$hit-free
Deus é uma hipótese, e, como tal, depende de prova: o ônus da prova
cabe ao teísta
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet filter.

[Giovani Poletto]

Bom dia,

vc pode redirecionar o IP válido para o IP da rede interna com uma regra do
tipo rdr.

ex.:

rdr pass on $ext_if proto tcp from  to  port 
-> 

espero ter ajudado!

[]s


2010/8/11 

> Bom dia pessoal, algum especialista no PF poderia me dar uma ajuda?
> Tenho um servidor FreeBSD com acesso à Internet com um IP real e tem uma
> máquina na minha rede
> que roda um aplicativo de uma terceirizada e precisa de acesso (Web)
> remoto.
> Como eu deveria proceder pra que o pessoal via Web acessasse esse
> computador
> através do meu firewall?
>
> Desde já agradeço,
> Akkamai
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Atenciosamente,

Giovani V. Poletto
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet filter.

[Rodrigo Mosconi]

Em 11 de agosto de 2010 10:55,   escreveu:
> Bom dia pessoal, algum especialista no PF poderia me dar uma ajuda?
> Tenho um servidor FreeBSD com acesso à Internet com um IP real e tem uma
> máquina na minha rede
> que roda um aplicativo de uma terceirizada e precisa de acesso (Web) remoto.
> Como eu deveria proceder pra que o pessoal via Web acessasse esse computador
> através do meu firewall?
Sim
regras rdr
>
> Desde já agradeço,
> Akkamai
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet filter.

[Oscar Marques]

Veja o redir.

http://www.linuxbsd.com.br/portal/?q=node/65

2010/8/11 

> Bom dia pessoal, algum especialista no PF poderia me dar uma ajuda?
> Tenho um servidor FreeBSD com acesso à Internet com um IP real e tem uma
> máquina na minha rede
> que roda um aplicativo de uma terceirizada e precisa de acesso (Web)
> remoto.
> Como eu deveria proceder pra que o pessoal via Web acessasse esse
> computador
> através do meu firewall?
>
> Desde já agradeço,
> Akkamai
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Packet filter.

[cdmb_]

Bom dia pessoal, algum especialista no PF poderia me dar uma ajuda?
Tenho um servidor FreeBSD com acesso à Internet com um IP real e tem uma 
máquina na minha rede
que roda um aplicativo de uma terceirizada e precisa de acesso (Web) remoto.
Como eu deveria proceder pra que o pessoal via Web acessasse esse computador 
através do meu firewall?

Desde já agradeço,
Akkamai 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet Filter

[Cristofe rocha]

na realidade o problema todo e para resolver os enderecos

Em 04/03/10, Cristofe rocha escreveu:
> PEssoal acabei de implementar um proxy, mas estou tendo problemas/
> Seguinte esta autenticando blz. Mas estou tendo problemas com pf, pq
> como e autenticado via ncsa_auth preciso redirecionar as portas tanto
> do DNS 53 como 3128
> alguem pode me ajudar
>


-- 
Prof. Cristofe Rocha
Ciência da Computação
Analista de Sistemas
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Packet Filter

[Cristofe rocha]

PEssoal acabei de implementar um proxy, mas estou tendo problemas/
Seguinte esta autenticando blz. Mas estou tendo problemas com pf, pq
como e autenticado via ncsa_auth preciso redirecionar as portas tanto
do DNS 53 como 3128
alguem pode me ajudar
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet Filter

[Marcello Barreto de Medeiros]

Olá Enio e CMDB,
na verdade é mais fácil ser problema de recursão do que de resolução de 
nomes local.
Teste liberar o recursion no /etc/namedb/named.conf:

allow-recursion {sua_rede/24; };

ou ainda

allow-recursion {any;}; // Isso é pra teste .. Não deixe desta forma



On Wed, 3 Mar 2010 16:38:13 -0300
Enio Marconcini  wrote:

> 2010/3/3 CDMB . 
> 
> >
> > Boa tarde a todos.
> > Bem, minha dúvida pode parecer simples mas, acho que nao to achando
> > o fio da meada pra resolver um pequeno problema com o PF.
> > Configurei o NAT de acordo com um tutorial que achei na NET e
> > consigo fazer o host da rede "pingar" um IP externo através do meu
> > servidor. Porém não consigo resolver nomes, já coloquei o IP do servidor,
> > no caso o GATEWAY como DNS no host, já utilizei um DNS externo mas, mesmo
> > assim,
> > não resolve os nomes. Como devo proceder? Como faço pra que o host resolva
> > os nomes?
> >
> > Akkamai Shami
> >
> > _
> > Com o Internet Explorer 8 você fica mais protegido contra ameaças da web.
> > Saiba mais.
> > http://go.microsoft.com/?linkid=9707132
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> 
> 
> se vc ta rodando junto ai um named como cache, coloca no seu resolv.conf a
> linha
> 
> nameserver 127.0.0.1
> 
> e na conf dos clientes coloca o dns como o ip do seu server
> 
> caso contrário, como você tá fazendo nat, coloca um ip de algum dns público,
> da telefônica ou google e testa
> 
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet Filter

[Enio Marconcini]

2010/3/3 CDMB . 

>
> Boa tarde a todos.
> Bem, minha dúvida pode parecer simples mas, acho que nao to achando
> o fio da meada pra resolver um pequeno problema com o PF.
> Configurei o NAT de acordo com um tutorial que achei na NET e
> consigo fazer o host da rede "pingar" um IP externo através do meu
> servidor. Porém não consigo resolver nomes, já coloquei o IP do servidor,
> no caso o GATEWAY como DNS no host, já utilizei um DNS externo mas, mesmo
> assim,
> não resolve os nomes. Como devo proceder? Como faço pra que o host resolva
> os nomes?
>
> Akkamai Shami
>
> _
> Com o Internet Explorer 8 você fica mais protegido contra ameaças da web.
> Saiba mais.
> http://go.microsoft.com/?linkid=9707132
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


se vc ta rodando junto ai um named como cache, coloca no seu resolv.conf a
linha

nameserver 127.0.0.1

e na conf dos clientes coloca o dns como o ip do seu server

caso contrário, como você tá fazendo nat, coloca um ip de algum dns público,
da telefônica ou google e testa

-- 
ENIO RODRIGO MARCONCINI
gtalk: eni...@gmail.com
skype: eniorm
msn: /dev/null

.: FreeBSD -:- OpenBSD -:-Slackware Linux :.
Have trouble with Windows - reboot!
Have trouble with Unix - be root!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Packet Filter

[CDMB .]

Boa tarde a todos.
Bem, minha dúvida pode parecer simples mas, acho que nao to achando 
o fio da meada pra resolver um pequeno problema com o PF.
Configurei o NAT de acordo com um tutorial que achei na NET e
consigo fazer o host da rede "pingar" um IP externo através do meu 
servidor. Porém não consigo resolver nomes, já coloquei o IP do servidor,
no caso o GATEWAY como DNS no host, já utilizei um DNS externo mas, mesmo assim,
não resolve os nomes. Como devo proceder? Como faço pra que o host resolva os 
nomes?

Akkamai Shami 
  
_
Com o Internet Explorer 8 você fica mais protegido contra ameaças da web. Saiba 
mais.
http://go.microsoft.com/?linkid=9707132
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet Filter em Freebsd 5.2 como instalar ?

[irado furioso com tudo]

Em Mon, 11 May 2009 10:55:14 -0300
Juliano Oliveira , conhecido consumidor de
drogas (BigMac's com Coke) escreveu:

> Packet Filter em Freebsd 5.2 como instalar ?

já está na base do sistema desde 03/2004, veja em:

http://pf4freebsd.love2party.net/

destaco:

Status

The port is part of the base system of FreeBSD 5.X as of March, 8th
2004. 

-- 
 saudações,
 irado furioso com tudo
 Linux User 179402/FreeBSD BSD50853/FUG-BR 154
 Não uso drogas - 100% Miko$hit-free
Rico com chofer: Milionário
Pobre com chofer: Preso
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet Filter em Freebsd 5.2 como instalar ?

[Paulo Henrique]

Juliano Oliveira escreveu:
> Packet Filter em Freebsd 5.2 como instalar ?
>
> vcs sabem como devo fazer para instalar o pf no 5.2 ?
>
>   
O Pf apartir da versão 5.x pelo que me lembro é base do sistema, antes 
usava-se um port verifica em /usr/ports/net*/ ou /usr/ports/security/ 
não me recordo o caminho.

Até mais.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Packet Filter em Freebsd 5.2 como instalar ?

[Juliano Oliveira]

Packet Filter em Freebsd 5.2 como instalar ?

vcs sabem como devo fazer para instalar o pf no 5.2 ?

-- 
Juliano
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet Filter com PFW

[Leandro Malaquias]

me fala ai o q esta pegando.
acabo de colocar um para funcionar, entao estou bem vacinado. hehe



On 6/22/07, BSDUX - Christopher Giese <[EMAIL PROTECTED]> wrote:
>
> Ótima tarde pessoal
>
> Faz tempo que não apareço aqui na lista.. estou bem atarefado
> ultimamente.
>
> Estou tentando usar o PFW (http://www.allard.nu/pfw/) interface web de
> gerenciamento do PF.
> Tentei utilizar a versao do ports (.0.7.8) que o GARGA colocou
> e tb tentei utilizar a versao 0.7.4 direto do site mesmo
>
> Em ambas estou com varios e varios problemas...
> Desde problemas com o sqlite (nao sei se é código ou não) ja fucei
> muito no código (rs)...
>
> Sera que alguem ai ja utilizou o pfw e queira trocar figurinhas ???
>
> Obrigado
>
> --
> Christopher Giese
> System Network Security Administrator (BSD/Unix/Linux/Cisco/network)
> http://www.bsdux.com.br - [EMAIL PROTECTED] - icq 16032802
> fones: 047 8814-4776 - 047 3121-9183
>
>
> "O gênio se compõe de dois por cento de talento e
> noventa e oito por cento de perseverante aplicação".
> (Ludwig Van Beethoven)
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Packet Filter com PFW

[BSDUX - Christopher Giese]

Ótima tarde pessoal

Faz tempo que não apareço aqui na lista.. estou bem atarefado 
ultimamente.

Estou tentando usar o PFW (http://www.allard.nu/pfw/) interface web de 
gerenciamento do PF.
Tentei utilizar a versao do ports (.0.7.8) que o GARGA colocou
e tb tentei utilizar a versao 0.7.4 direto do site mesmo

Em ambas estou com varios e varios problemas...
Desde problemas com o sqlite (nao sei se é código ou não) ja fucei 
muito no código (rs)...

Sera que alguem ai ja utilizou o pfw e queira trocar figurinhas ???

Obrigado

-- 
Christopher Giese 
System Network Security Administrator (BSD/Unix/Linux/Cisco/network)
http://www.bsdux.com.br - [EMAIL PROTECTED] - icq 16032802
fones: 047 8814-4776 - 047 3121-9183 


"O gênio se compõe de dois por cento de talento e
noventa e oito por cento de perseverante aplicação".
(Ludwig Van Beethoven)

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet Filter

[Alisson]

All,

Primeiro vlw a todos pela ajuda no assunto.

Concordo com os dizeres de todos e acho q criar uma documentão ou melhor 
dizendo um estudo de caso sobre o assunto seria de multíssima valia.

Talvez seja eu um dos q menos poderei agregar ao assunto. Mas no q 
depender d mim corro pra ajudar tbém.

Abaixo um exemplo do PF q tentamos.

Está fazendo o balanceamento de forma correta. Apenas não trata as 
questões de exclusão para casos de https, proxy transparente, ftp, entre 
outros.

Aqueles q puderem agregar algo a ele, será interessante e me coloco a 
disposição para testes aq. Tendo resultados posto pra todos.

[]'s

Alisson

rede_externa = "z.z.z.z/30"
int_if  = "rl1"
eth_link1 = "rl0"
eth_link2 = "rl2"
eth_serv = "rl3"
ext_gwlink1 = "x.x.x.x"
ext_gwlink2 = "y.y.y.y"

#  faz nat em ambas as interfaces da internet

nat on $eth_tlmr from $rede_externa to k.k.k.k/28 -> ($eth_tlmr)

nat on $eth_dmz from $rede_externa to k.k.k.k/28 -> ($eth_dmz)
nat on $eth_tlmr from $rede_externa to any -> ($eth_tlmr)
nat on $eth_embt from $rede_externa to any -> ($eth_embt)

#  passa todo trafego de saida na interface interna
pass out on $int_if from any to $rede_externa

#  aceita (quick) quaisquer pacotes destinados ao proprio gateway
pass in quick on $int_if from $rede_externa to $int_if

#  faz balanceamento de carga no trafego da rede interna.
pass in on $int_if route-to \
{ ($eth_link1 $ext_gwlink1), ($eth_link2 $ext_gwlink2) } round-robin \
proto tcp from $rede_externa to any flags S/SA modulate state

#  balanceamento de carga em pacotes udp e icmp vindos da rede interna
pass in on $int_if route-to \
{ ($eth_link1 $ext_gwlink1), ($eth_link2 $ext_gwlink2) } round-robin \
proto { udp, icmp } from $rede_externa to any keep state

#  regras gerais "pass out" para as interfaces externas
pass out on $eth_link1 proto tcp from any to any flags S/SA modulate state
pass out on $eth_link1 proto { udp, icmp } from any to any keep state
pass out on $eth_link2 proto tcp from any to any flags S/SA modulate state
pass out on $eth_link2 proto { udp, icmp } from any to any keep state

#  roteia pacotes de qualquer IP na $eth_tlmr para $ext_gwtlmr e o mesmo 
para

#  $eth_embt e $ext_gwembt
pass out on $eth_link1 route-to ($eth_link2 $ext_gwlink2) from 
$eth_link2 to any
pass out on $eth_link2 route-to ($eth_link1 $ext_gwlink1) from 
$eth_link1 to any

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet Filter

[Gilberto Villani Brito]

É isso aí, manda a sua regra de balanceamento para podermos estudar.

Abraços
Gilberto

Em 14/12/06, Listas SourceWeb<[EMAIL PROTECTED]> escreveu:
> Alisson,
>
> Por favor nos forneça maiores detalhes de como fez este balance, como
> por exemplo com regras do pf:
>
> rdr on em0 inet proto tcp from any to any port = http -> { 10.0.0.1,
> 10.0.0.2, 10.0.0.3 } round-robin
>
> Ou utilizou o PF + CARP ...
>
> Para que possamos tentar entender esta situação e assim  auxiliá-lo.
>
> Att,
>
> Pedro Vinicius
>
>
>
> On Wed, 2006-12-13 at 20:48 -0200, Alisson wrote:
> > All,
> >
> > Boa noite!
> >
> > Preciso de um help aq.
> >
> > Ativamos PF aqui pra fazer balanceamento entre dois link. Até aí tudo
> > funcionando bem.
> >
> > Só que estamos com problema com determinados serviços e determinados
> > sites que não podem ser balançeados.
> >
> > Exemplo de bancos como Bradesco, Caixa, etc.. pois eles exigem
> > confirmação de certificado e confirmação de senha. Observamos então que
> > o balanceamento força hora saída por um e hora saída por dois.
> > Conclusão... ele se perde e dá falha de autenticação.
> >
> > Outra questão grave q estamos tendo é qto ao FTP. Temos que implementar
> > o PROXY-FTP pra q ele funcione.
> >
> > Falando em Proxy observamos q o proxy através de regras de IPFW não tem
> > funcionado direito. Vamos ter q repensar pra uso via PF.
> >
> > Alguém já passou por essa situação q possa dar algum help? Caso tenham
> > tbém algum PF.CONF pra demonstrar como exemplo seria legal.
> >
> > []'s
> >
> > Alisson
> >
> >
> >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet Filter

[Listas SourceWeb]

Alisson,

Por favor nos forneça maiores detalhes de como fez este balance, como
por exemplo com regras do pf:

rdr on em0 inet proto tcp from any to any port = http -> { 10.0.0.1,
10.0.0.2, 10.0.0.3 } round-robin

Ou utilizou o PF + CARP ...

Para que possamos tentar entender esta situação e assim  auxiliá-lo.

Att,

Pedro Vinicius



On Wed, 2006-12-13 at 20:48 -0200, Alisson wrote:
> All,
> 
> Boa noite!
> 
> Preciso de um help aq.
> 
> Ativamos PF aqui pra fazer balanceamento entre dois link. Até aí tudo 
> funcionando bem.
> 
> Só que estamos com problema com determinados serviços e determinados 
> sites que não podem ser balançeados.
> 
> Exemplo de bancos como Bradesco, Caixa, etc.. pois eles exigem 
> confirmação de certificado e confirmação de senha. Observamos então que 
> o balanceamento força hora saída por um e hora saída por dois. 
> Conclusão... ele se perde e dá falha de autenticação.
> 
> Outra questão grave q estamos tendo é qto ao FTP. Temos que implementar 
> o PROXY-FTP pra q ele funcione.
> 
> Falando em Proxy observamos q o proxy através de regras de IPFW não tem 
> funcionado direito. Vamos ter q repensar pra uso via PF.
> 
> Alguém já passou por essa situação q possa dar algum help? Caso tenham 
> tbém algum PF.CONF pra demonstrar como exemplo seria legal.
> 
> []'s
> 
> Alisson
> 
> 
> 
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Packet Filter

[Aristeu Gil Alves Jr]

> Só que estamos com problema com determinados serviços e determinados
> sites que não podem ser balançeados.
>
> Exemplo de bancos como Bradesco, Caixa, etc.. pois eles exigem
> confirmação de certificado e confirmação de senha. Observamos então que
> o balanceamento força hora saída por um e hora saída por dois.
> Conclusão... ele se perde e dá falha de autenticação.

Eu deixei o https saindo pela rota padrão do sistema. Se fosse aberta
apenas uma sessão TCP para cada sessão da aplicação, mas são várias
para o mesmo site na mesma sessão do usuário no banco. O sistema não
aceita isto, considerando como uma violação da comunicação.


>
> Outra questão grave q estamos tendo é qto ao FTP. Temos que implementar
> o PROXY-FTP pra q ele funcione.
>

O ftp-proxy (use o pftpx do ports) vai sair pela rota padrão do sistema tb.

Estou aguardando uma melhora nesta questão e outra questões no pf.
Outro problema que vc vai encontrar é que pacotes gerados pelo pf
obedecem obrigatoriamente a rota padrão. Logo usando reply-to com
syn-proxy ou gerando RST nos blocks, entre outros, vc vai ter um erro,
principalmente se estiver fazendo egress filtering nos roteadores, o
que é salutar.

[]'s
--Aristeu
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Packet Filter

[Alisson]

All,

Boa noite!

Preciso de um help aq.

Ativamos PF aqui pra fazer balanceamento entre dois link. Até aí tudo 
funcionando bem.

Só que estamos com problema com determinados serviços e determinados 
sites que não podem ser balançeados.

Exemplo de bancos como Bradesco, Caixa, etc.. pois eles exigem 
confirmação de certificado e confirmação de senha. Observamos então que 
o balanceamento força hora saída por um e hora saída por dois. 
Conclusão... ele se perde e dá falha de autenticação.

Outra questão grave q estamos tendo é qto ao FTP. Temos que implementar 
o PROXY-FTP pra q ele funcione.

Falando em Proxy observamos q o proxy através de regras de IPFW não tem 
funcionado direito. Vamos ter q repensar pra uso via PF.

Alguém já passou por essa situação q possa dar algum help? Caso tenham 
tbém algum PF.CONF pra demonstrar como exemplo seria legal.

[]'s

Alisson



-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: RES: [FUG-BR] Packet Filter X FTP (nao funciona)

[Luiz Otávio Souza]

Olá Ricardo,

São programas proprietários. Citei o exemplo das empresas de seguro pois
tenho dois clientes que estao com problemas na transferencia de dados para
as empresas através dos softwares que as próprias empresas desenvolveram e
que usam FTP pra transferir os dados para as seguradoras. São as
seguradoras (Liberty, Porto Seguro, etc) que desenvolvem estes programas e
mandam para as corretoras.

Não tem como mudar isto.



Entre em contato em pvt, tbm trabalho com corretores de seguros e tenho tudo 
isso funcionando aqui.


luiz 



___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Re: RES: [FUG-BR] Packet Filter X FTP (nao funciona)

[Pablo Sánchez]

Pois é bem provável que eles estejam usando a porta 20 também. Libere essa 
porta e veja o resultado. Se não resolver, entre em contato com tais 
empresas (já que é proprietário deles, eles poderão te ajudar com maior 
facilidade).

Um abc!

On 8/31/05, Vitor Renato Alves de Brito <[EMAIL PROTECTED]> wrote:
> 
> Olá Ricardo,
> 
> São programas proprietários. Citei o exemplo das empresas de seguro pois
> tenho dois clientes que estao com problemas na transferencia de dados para
> as empresas através dos softwares que as próprias empresas desenvolveram e
> que usam FTP pra transferir os dados para as seguradoras. São as
> seguradoras (Liberty, Porto Seguro, etc) que desenvolvem estes programas e
> mandam para as corretoras.
> 
> Não tem como mudar isto.
> 
> Falou
> 
> On Wed, 31 Aug 2005, Ricardo Nascimento Ferreira wrote:
> 
> > Vitor, existem programas de transferência que utilizam SCP/SFTP abertos.
> > Você não poderia propor a mudança destes aplicativos ?
> >
> > On 8/31/05, Vitor Renato Alves de Brito <[EMAIL PROTECTED]> 
> wrote:
> > >
> > > Olá Éderson,
> > >
> > > Eu nao posso mudar isto pois funcionaria somente aqui pro meu 
> servidor.
> > >
> > > O problema são clientes que usam FTPs externos, por exemplo, 
> corretoras de
> > > seguro que usam aqueles softwares das empresas e eles já vem com FTP
> > > configurado e transmitem os dados direto para as empresas via FTP.
> > >
> > > Isto nao funciona aqui de jeito nenhum.
> > >
> > > Falou
> >
> >
> > atenciosamente,
> > > --
> > > Ricardo Nascimento Ferreira
> > > Analista de Redes e Segurança
> > > Solaris Certified System Administrator
> > > Chave pública PGP / PGP public key:
> > > http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x741F3B25
> > ___
> > Freebsd mailing list
> > Freebsd@fug.com.br
> > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> >
> >
> >
> > ---
> > Esta mensagem foi verificada pelo e-mail protegido Arte Final
> > Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 30-Ago-2005
> > Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br
> >
> 
> Até mais,
> 
> ---
> Vitor Renato Alves de Brito - System Manager
> Arte Final Provedor Internet - http://www.artefinal.com.br
> Alfenas - Sul de Minas Gerais
> 
> 
> 
> 
> ---
> Esta mensagem foi verificada pelo e-mail protegido Arte Final
> Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 30-Ago-2005
> Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br
> 
> 
> ___
> Freebsd mailing list
> Freebsd@fug.com.br
> http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
>
___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Re: RES: [FUG-BR] Packet Filter X FTP (nao funciona)

[Vitor Renato Alves de Brito]

Olá Ricardo,

São programas proprietários. Citei o exemplo das empresas de seguro pois
tenho dois clientes que estao com problemas na transferencia de dados para
as empresas através dos softwares que as próprias empresas desenvolveram e
que usam FTP pra transferir os dados para as seguradoras. São as
seguradoras (Liberty, Porto Seguro, etc) que desenvolvem estes programas e
mandam para as corretoras.

Não tem como mudar isto.

Falou

On Wed, 31 Aug 2005, Ricardo Nascimento Ferreira wrote:

> Vitor, existem programas de transferência que utilizam SCP/SFTP abertos.
> Você não poderia propor a mudança destes aplicativos ?
> 
>  On 8/31/05, Vitor Renato Alves de Brito <[EMAIL PROTECTED]> wrote: 
> > 
> > Olá Éderson,
> > 
> > Eu nao posso mudar isto pois funcionaria somente aqui pro meu servidor.
> > 
> > O problema são clientes que usam FTPs externos, por exemplo, corretoras de
> > seguro que usam aqueles softwares das empresas e eles já vem com FTP
> > configurado e transmitem os dados direto para as empresas via FTP.
> > 
> > Isto nao funciona aqui de jeito nenhum.
> > 
> > Falou
> 
>   
> atenciosamente,
> > -- 
> > Ricardo Nascimento Ferreira
> > Analista de Redes e Segurança
> > Solaris Certified System Administrator
> > Chave pública PGP / PGP public key:
> > http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x741F3B25
> ___
> Freebsd mailing list
> Freebsd@fug.com.br
> http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> 
> 
> 
> ---
> Esta mensagem foi verificada pelo e-mail protegido Arte Final
> Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 30-Ago-2005
> Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br
> 

Até mais,

---
Vitor Renato Alves de Brito - System Manager
Arte Final Provedor Internet - http://www.artefinal.com.br
Alfenas - Sul de Minas Gerais




---
Esta mensagem foi verificada pelo e-mail protegido Arte Final
Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 30-Ago-2005
Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br


___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Re: RES: [FUG-BR] Packet Filter X FTP (nao funciona)

[Pablo Sánchez]

Tem outra: existe FTP ativo e FTP passivo. O ativo requer que vc abra outra 
porta além da 21, que é a porta 20. Se as duas não estão abertas, alguns 
servidores podem recusar mesmo.

On 8/31/05, Ricardo Nascimento Ferreira <[EMAIL PROTECTED]> wrote:
> 
> Vitor, existem programas de transferência que utilizam SCP/SFTP abertos.
> Você não poderia propor a mudança destes aplicativos ?
> 
> On 8/31/05, Vitor Renato Alves de Brito <[EMAIL PROTECTED]> wrote:
> >
> > Olá Éderson,
> >
> > Eu nao posso mudar isto pois funcionaria somente aqui pro meu servidor.
> >
> > O problema são clientes que usam FTPs externos, por exemplo, corretoras 
> de
> > seguro que usam aqueles softwares das empresas e eles já vem com FTP
> > configurado e transmitem os dados direto para as empresas via FTP.
> >
> > Isto nao funciona aqui de jeito nenhum.
> >
> > Falou
> 
> 
> atenciosamente,
> > --
> > Ricardo Nascimento Ferreira
> > Analista de Redes e Segurança
> > Solaris Certified System Administrator
> > Chave pública PGP / PGP public key:
> > http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x741F3B25
> ___
> Freebsd mailing list
> Freebsd@fug.com.br
> http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
>
___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Re: RES: [FUG-BR] Packet Filter X FTP (nao funciona)

[Ricardo Nascimento Ferreira]

Vitor, existem programas de transferência que utilizam SCP/SFTP abertos.
Você não poderia propor a mudança destes aplicativos ?

 On 8/31/05, Vitor Renato Alves de Brito <[EMAIL PROTECTED]> wrote: 
> 
> Olá Éderson,
> 
> Eu nao posso mudar isto pois funcionaria somente aqui pro meu servidor.
> 
> O problema são clientes que usam FTPs externos, por exemplo, corretoras de
> seguro que usam aqueles softwares das empresas e eles já vem com FTP
> configurado e transmitem os dados direto para as empresas via FTP.
> 
> Isto nao funciona aqui de jeito nenhum.
> 
> Falou

  
atenciosamente,
> -- 
> Ricardo Nascimento Ferreira
> Analista de Redes e Segurança
> Solaris Certified System Administrator
> Chave pública PGP / PGP public key:
> http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x741F3B25
___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Re: RES: [FUG-BR] Packet Filter X FTP (nao funciona)

[Vitor Renato Alves de Brito]

Olá Éderson,

Eu nao posso mudar isto pois funcionaria somente aqui pro meu servidor.

O problema são clientes que usam FTPs externos, por exemplo, corretoras de
seguro que usam aqueles softwares das empresas e eles já vem com FTP
configurado e transmitem os dados direto para as empresas via FTP.

Isto nao funciona aqui de jeito nenhum.

Falou

On Wed, 31 Aug 2005, Éderson Chimbida wrote:

> Pois é cara vc continua barrando alguma porta ( > 1024 ) em algum
> lugar... talvez o router/modem nao está direcionando todas as portas
> para o firewall, tenta mudar de active pra passive !
> 
> Em 31/08/05, Vitor Renato Alves de Brito<[EMAIL PROTECTED]> escreveu:
> > Continua nao funcionando.
> > 
> > Tá tudo rodando, ftp-proxy, inetd, etc.
> > O cliente faz a conexão com o servidor, coloca usuário, senha (se a senha
> > estiver errada dá erro, quer dizer que a conexão com o servidor é feita),
> > porém, quando dou um ls por exemplo, nao vai. fica, fica, fica até cair a
> > conexao.
> > 
> > Valeu pela tentativa de ajuda.
> > 
> > Falou
> > 
> > 
> > On Mon, 29 Aug 2005, Éderson Chimbida wrote:
> > 
> > > Bem... pergunta boba !
> > > Vc já olhou c o ftp-proxy está realmente rodando ?
> > > Confere lá no seu inetd.conf c a linha está assim:
> > >
> > > 127.0.0.1:8021 stream tcp   nowait  root/usr/libexec/ftp-proxy
> > > ftp-proxy -V -D 3 -u proxy -t 180
> > >
> > > Se não estiver coloque deste geito, ah... confere também c ele
> > > realmente está em /usr/libexec/ftp-proxy, dai vc reinicia o inetd e da
> > > um "netstat -an |grep 8021" dai tem que aparecer algo assim:
> > >
> > > tcp0  0  127.0.0.1.8021 *.*LISTEN
> > >
> > > O LISTEN é que o ftp-proxy já ta excutando ! Bem até ai foi ?
> > >
> > > Como tu só tem o nat e nenhuma politica block, deixa o firewall (pf.conf) 
> > > assim:
> > >
> > > --
> > > ext1_if="fxp0"
> > > int1_if="fxp1"
> > > ext1_net'="200.x.x.x/26"
> > > int1_net="192.168.0.0/24"
> > > ext1_addr="200.x.x.1"
> > > int1_addr="192.168.0.1"
> > >
> > > set timeout { tcp.first 60, tcp.opening 15, tcp.established 86400, \
> > > tcp.closing 300, tcp.finwait 15, tcp.closed 15 }
> > > set timeout { udp.first 30, udp.single 15, udp.multiple 30 }
> > > set timeout { icmp.first 10, icmp.error 5 }
> > > set timeout { other.first 30, other.single 15, other.multiple 30 }
> > > set timeout { frag 30, interval 10 }
> > > set limit { states 5, frags 25000 }
> > > #set optimization aggressive
> > > set require-order yes
> > > #set block-policy drop
> > > set optimization normal
> > > set fingerprints "/arquivos/firewall/pf.os"
> > > set loginterface fxp0
> > > scrub in on $ext1_if all fragment reassemble
> > > nat on $ext1_if from $int1_net to any -> $ext1_addr
> > > rdr on $int1_if proto tcp from $int1_net to any port ftp -> 127.0.0.1 
> > > port 8021
> > > pass all
> > > --
> > >
> > > Bem dai só muda os nomes e ips das interfaces ! Na ultima linha vc
> > > pode trocar por "pass log all" e dar uma olhada nos logs... isso é
> > > mais util nas politicas block !
> > >
> > >
> > > 2005/8/29, Renato Botelho <[EMAIL PROTECTED]>:
> > > > -BEGIN PGP SIGNED MESSAGE-
> > > > Hash: SHA1
> > > >
> > > > On Mon, Aug 29, 2005 at 03:59:31PM -0300, Sérgio José Ferreira wrote:
> > > > > Isso é realmente engraçadoaqui também não funciona nem a pau.
> > > >
> > > > To achando estranho tb, pois tenho isso implementado em algumas maquinas
> > > > e funcionando.
> > > >
> > > > Meu inetd.conf:
> > > >
> > > > ftp-proxy   stream  tcp nowait  root/usr/libexec/ftp-proxy 
> > > > ftp-proxy -n -u proxy -a MEU_IP_EXTERNO
> > > >
> > > > Meu pf.conf:
> > > >
> > > > rdr on $int_if proto tcp \
> > > > from any to !  port ftp -> 127.0.0.1 port ftp-proxy
> > > >
> > > > pass in quick on $ext_if inet proto tcp \
> > > >  from any to $ext_if:0 port ftp flags S/SA keep state
> > > >
> > > > pass in quick on $ext_if inet proto tcp \
> > > >  from any to $ext_if:0 port 3 >< 5 flags S/SA keep state
> > > >
> > > > pass in quick on $ext_if inet proto tcp \
> > > >  from any port ftp-data to $ext_if:0 flags S/SA keep state user proxy
> > > >
> > > > Meu pure-ftpd tá configurado para usar o range de portas 3 - 5.
> > > >
> > > > Dessa maneira meu servidor FTP é acessado de fora ativo e passivo e
> > > > minha rede interna acessa ftp's externos ativo e passivo.
> > > >
> > > > []'s
> > > > - --
> > > > Renato Botelho 
> > > >
> > > > GnuPG Key: http://www.FreeBSD.org/~garga/pubkey.asc
> > > >
> > > > "Yeah, but you're taking the universe out of context."
> > > > -BEGIN PGP SIGNATURE-
> > > > Version: GnuPG v1.4.2 (FreeBSD)
> > > >
> > > > iD8DBQFDE14Q6CRbiSJE7akRAjXYAJ9KuOuYzC+xxKQAJatFceLN/NpL/ACfRwub
> > > > dDUbTfBXwhSrvkBrfmuMWbY=
> > > > =yyjc
> > > > -END PGP SIGNATURE-
> > > >
> > > > ___
> > > > Freebsd mailing list
> > > > Freebsd@fug.com.br
>

Re: RES: [FUG-BR] Packet Filter X FTP (nao funciona)

[Éderson Chimbida]

Pois é cara vc continua barrando alguma porta ( > 1024 ) em algum
lugar... talvez o router/modem nao está direcionando todas as portas
para o firewall, tenta mudar de active pra passive !

Em 31/08/05, Vitor Renato Alves de Brito<[EMAIL PROTECTED]> escreveu:
> Continua nao funcionando.
> 
> Tá tudo rodando, ftp-proxy, inetd, etc.
> O cliente faz a conexão com o servidor, coloca usuário, senha (se a senha
> estiver errada dá erro, quer dizer que a conexão com o servidor é feita),
> porém, quando dou um ls por exemplo, nao vai. fica, fica, fica até cair a
> conexao.
> 
> Valeu pela tentativa de ajuda.
> 
> Falou
> 
> 
> On Mon, 29 Aug 2005, Éderson Chimbida wrote:
> 
> > Bem... pergunta boba !
> > Vc já olhou c o ftp-proxy está realmente rodando ?
> > Confere lá no seu inetd.conf c a linha está assim:
> >
> > 127.0.0.1:8021 stream tcp   nowait  root/usr/libexec/ftp-proxy
> > ftp-proxy -V -D 3 -u proxy -t 180
> >
> > Se não estiver coloque deste geito, ah... confere também c ele
> > realmente está em /usr/libexec/ftp-proxy, dai vc reinicia o inetd e da
> > um "netstat -an |grep 8021" dai tem que aparecer algo assim:
> >
> > tcp0  0  127.0.0.1.8021 *.*LISTEN
> >
> > O LISTEN é que o ftp-proxy já ta excutando ! Bem até ai foi ?
> >
> > Como tu só tem o nat e nenhuma politica block, deixa o firewall (pf.conf) 
> > assim:
> >
> > --
> > ext1_if="fxp0"
> > int1_if="fxp1"
> > ext1_net'="200.x.x.x/26"
> > int1_net="192.168.0.0/24"
> > ext1_addr="200.x.x.1"
> > int1_addr="192.168.0.1"
> >
> > set timeout { tcp.first 60, tcp.opening 15, tcp.established 86400, \
> > tcp.closing 300, tcp.finwait 15, tcp.closed 15 }
> > set timeout { udp.first 30, udp.single 15, udp.multiple 30 }
> > set timeout { icmp.first 10, icmp.error 5 }
> > set timeout { other.first 30, other.single 15, other.multiple 30 }
> > set timeout { frag 30, interval 10 }
> > set limit { states 5, frags 25000 }
> > #set optimization aggressive
> > set require-order yes
> > #set block-policy drop
> > set optimization normal
> > set fingerprints "/arquivos/firewall/pf.os"
> > set loginterface fxp0
> > scrub in on $ext1_if all fragment reassemble
> > nat on $ext1_if from $int1_net to any -> $ext1_addr
> > rdr on $int1_if proto tcp from $int1_net to any port ftp -> 127.0.0.1 port 
> > 8021
> > pass all
> > --
> >
> > Bem dai só muda os nomes e ips das interfaces ! Na ultima linha vc
> > pode trocar por "pass log all" e dar uma olhada nos logs... isso é
> > mais util nas politicas block !
> >
> >
> > 2005/8/29, Renato Botelho <[EMAIL PROTECTED]>:
> > > -BEGIN PGP SIGNED MESSAGE-
> > > Hash: SHA1
> > >
> > > On Mon, Aug 29, 2005 at 03:59:31PM -0300, Sérgio José Ferreira wrote:
> > > > Isso é realmente engraçadoaqui também não funciona nem a pau.
> > >
> > > To achando estranho tb, pois tenho isso implementado em algumas maquinas
> > > e funcionando.
> > >
> > > Meu inetd.conf:
> > >
> > > ftp-proxy   stream  tcp nowait  root/usr/libexec/ftp-proxy 
> > > ftp-proxy -n -u proxy -a MEU_IP_EXTERNO
> > >
> > > Meu pf.conf:
> > >
> > > rdr on $int_if proto tcp \
> > > from any to !  port ftp -> 127.0.0.1 port ftp-proxy
> > >
> > > pass in quick on $ext_if inet proto tcp \
> > >  from any to $ext_if:0 port ftp flags S/SA keep state
> > >
> > > pass in quick on $ext_if inet proto tcp \
> > >  from any to $ext_if:0 port 3 >< 5 flags S/SA keep state
> > >
> > > pass in quick on $ext_if inet proto tcp \
> > >  from any port ftp-data to $ext_if:0 flags S/SA keep state user proxy
> > >
> > > Meu pure-ftpd tá configurado para usar o range de portas 3 - 5.
> > >
> > > Dessa maneira meu servidor FTP é acessado de fora ativo e passivo e
> > > minha rede interna acessa ftp's externos ativo e passivo.
> > >
> > > []'s
> > > - --
> > > Renato Botelho 
> > >
> > > GnuPG Key: http://www.FreeBSD.org/~garga/pubkey.asc
> > >
> > > "Yeah, but you're taking the universe out of context."
> > > -BEGIN PGP SIGNATURE-
> > > Version: GnuPG v1.4.2 (FreeBSD)
> > >
> > > iD8DBQFDE14Q6CRbiSJE7akRAjXYAJ9KuOuYzC+xxKQAJatFceLN/NpL/ACfRwub
> > > dDUbTfBXwhSrvkBrfmuMWbY=
> > > =yyjc
> > > -END PGP SIGNATURE-
> > >
> > > ___
> > > Freebsd mailing list
> > > Freebsd@fug.com.br
> > > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> > >
> >
> > ___
> > Freebsd mailing list
> > Freebsd@fug.com.br
> > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> >
> >
> >
> > ---
> > Esta mensagem foi verificada pelo e-mail protegido Arte Final
> > Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 29-Ago-2005
> > Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br
> >
> 
> Até mais,
> 
> ---
> Vitor Renato Alves de Brito - System Manager
> Arte Final Provedor Internet - http://www.artefinal.com.br
> Alfenas - Sul de Minas Gerais
> 
> 
> 

Re: RES: [FUG-BR] Packet Filter X FTP (nao funciona)

[Vitor Renato Alves de Brito]

Continua nao funcionando.

Tá tudo rodando, ftp-proxy, inetd, etc.
O cliente faz a conexão com o servidor, coloca usuário, senha (se a senha
estiver errada dá erro, quer dizer que a conexão com o servidor é feita),
porém, quando dou um ls por exemplo, nao vai. fica, fica, fica até cair a
conexao.

Valeu pela tentativa de ajuda.

Falou


On Mon, 29 Aug 2005, Éderson Chimbida wrote:

> Bem... pergunta boba !
> Vc já olhou c o ftp-proxy está realmente rodando ?
> Confere lá no seu inetd.conf c a linha está assim:
> 
> 127.0.0.1:8021 stream tcp   nowait  root/usr/libexec/ftp-proxy
> ftp-proxy -V -D 3 -u proxy -t 180
> 
> Se não estiver coloque deste geito, ah... confere também c ele
> realmente está em /usr/libexec/ftp-proxy, dai vc reinicia o inetd e da
> um "netstat -an |grep 8021" dai tem que aparecer algo assim:
> 
> tcp0  0  127.0.0.1.8021 *.*LISTEN
> 
> O LISTEN é que o ftp-proxy já ta excutando ! Bem até ai foi ? 
> 
> Como tu só tem o nat e nenhuma politica block, deixa o firewall (pf.conf) 
> assim:
> 
> --
> ext1_if="fxp0"
> int1_if="fxp1"
> ext1_net'="200.x.x.x/26"
> int1_net="192.168.0.0/24"
> ext1_addr="200.x.x.1"
> int1_addr="192.168.0.1"
> 
> set timeout { tcp.first 60, tcp.opening 15, tcp.established 86400, \
> tcp.closing 300, tcp.finwait 15, tcp.closed 15 }
> set timeout { udp.first 30, udp.single 15, udp.multiple 30 }
> set timeout { icmp.first 10, icmp.error 5 }
> set timeout { other.first 30, other.single 15, other.multiple 30 }
> set timeout { frag 30, interval 10 }
> set limit { states 5, frags 25000 }
> #set optimization aggressive
> set require-order yes
> #set block-policy drop
> set optimization normal
> set fingerprints "/arquivos/firewall/pf.os"
> set loginterface fxp0
> scrub in on $ext1_if all fragment reassemble
> nat on $ext1_if from $int1_net to any -> $ext1_addr
> rdr on $int1_if proto tcp from $int1_net to any port ftp -> 127.0.0.1 port 
> 8021
> pass all
> --
> 
> Bem dai só muda os nomes e ips das interfaces ! Na ultima linha vc
> pode trocar por "pass log all" e dar uma olhada nos logs... isso é
> mais util nas politicas block !
> 
> 
> 2005/8/29, Renato Botelho <[EMAIL PROTECTED]>:
> > -BEGIN PGP SIGNED MESSAGE-
> > Hash: SHA1
> > 
> > On Mon, Aug 29, 2005 at 03:59:31PM -0300, Sérgio José Ferreira wrote:
> > > Isso é realmente engraçadoaqui também não funciona nem a pau.
> > 
> > To achando estranho tb, pois tenho isso implementado em algumas maquinas
> > e funcionando.
> > 
> > Meu inetd.conf:
> > 
> > ftp-proxy   stream  tcp nowait  root/usr/libexec/ftp-proxy 
> > ftp-proxy -n -u proxy -a MEU_IP_EXTERNO
> > 
> > Meu pf.conf:
> > 
> > rdr on $int_if proto tcp \
> > from any to !  port ftp -> 127.0.0.1 port ftp-proxy
> > 
> > pass in quick on $ext_if inet proto tcp \
> >  from any to $ext_if:0 port ftp flags S/SA keep state
> > 
> > pass in quick on $ext_if inet proto tcp \
> >  from any to $ext_if:0 port 3 >< 5 flags S/SA keep state
> > 
> > pass in quick on $ext_if inet proto tcp \
> >  from any port ftp-data to $ext_if:0 flags S/SA keep state user proxy
> > 
> > Meu pure-ftpd tá configurado para usar o range de portas 3 - 5.
> > 
> > Dessa maneira meu servidor FTP é acessado de fora ativo e passivo e
> > minha rede interna acessa ftp's externos ativo e passivo.
> > 
> > []'s
> > - --
> > Renato Botelho 
> >
> > GnuPG Key: http://www.FreeBSD.org/~garga/pubkey.asc
> > 
> > "Yeah, but you're taking the universe out of context."
> > -BEGIN PGP SIGNATURE-
> > Version: GnuPG v1.4.2 (FreeBSD)
> > 
> > iD8DBQFDE14Q6CRbiSJE7akRAjXYAJ9KuOuYzC+xxKQAJatFceLN/NpL/ACfRwub
> > dDUbTfBXwhSrvkBrfmuMWbY=
> > =yyjc
> > -END PGP SIGNATURE-
> > 
> > ___
> > Freebsd mailing list
> > Freebsd@fug.com.br
> > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> >
> 
> ___
> Freebsd mailing list
> Freebsd@fug.com.br
> http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> 
> 
> 
> ---
> Esta mensagem foi verificada pelo e-mail protegido Arte Final
> Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 29-Ago-2005
> Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br
> 

Até mais,

---
Vitor Renato Alves de Brito - System Manager
Arte Final Provedor Internet - http://www.artefinal.com.br
Alfenas - Sul de Minas Gerais




---
Esta mensagem foi verificada pelo e-mail protegido Arte Final
Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 30-Ago-2005
Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br


___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Re: RES: [FUG-BR] Packet Filter X FTP (nao funciona)

[Éderson Chimbida]

Bem... pergunta boba !
Vc já olhou c o ftp-proxy está realmente rodando ?
Confere lá no seu inetd.conf c a linha está assim:

127.0.0.1:8021 stream tcp   nowait  root/usr/libexec/ftp-proxy
ftp-proxy -V -D 3 -u proxy -t 180

Se não estiver coloque deste geito, ah... confere também c ele
realmente está em /usr/libexec/ftp-proxy, dai vc reinicia o inetd e da
um "netstat -an |grep 8021" dai tem que aparecer algo assim:

tcp0  0  127.0.0.1.8021 *.*LISTEN

O LISTEN é que o ftp-proxy já ta excutando ! Bem até ai foi ? 

Como tu só tem o nat e nenhuma politica block, deixa o firewall (pf.conf) assim:

--
ext1_if="fxp0"
int1_if="fxp1"
ext1_net'="200.x.x.x/26"
int1_net="192.168.0.0/24"
ext1_addr="200.x.x.1"
int1_addr="192.168.0.1"

set timeout { tcp.first 60, tcp.opening 15, tcp.established 86400, \
tcp.closing 300, tcp.finwait 15, tcp.closed 15 }
set timeout { udp.first 30, udp.single 15, udp.multiple 30 }
set timeout { icmp.first 10, icmp.error 5 }
set timeout { other.first 30, other.single 15, other.multiple 30 }
set timeout { frag 30, interval 10 }
set limit { states 5, frags 25000 }
#set optimization aggressive
set require-order yes
#set block-policy drop
set optimization normal
set fingerprints "/arquivos/firewall/pf.os"
set loginterface fxp0
scrub in on $ext1_if all fragment reassemble
nat on $ext1_if from $int1_net to any -> $ext1_addr
rdr on $int1_if proto tcp from $int1_net to any port ftp -> 127.0.0.1 port 8021
pass all
--

Bem dai só muda os nomes e ips das interfaces ! Na ultima linha vc
pode trocar por "pass log all" e dar uma olhada nos logs... isso é
mais util nas politicas block !


2005/8/29, Renato Botelho <[EMAIL PROTECTED]>:
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA1
> 
> On Mon, Aug 29, 2005 at 03:59:31PM -0300, Sérgio José Ferreira wrote:
> > Isso é realmente engraçadoaqui também não funciona nem a pau.
> 
> To achando estranho tb, pois tenho isso implementado em algumas maquinas
> e funcionando.
> 
> Meu inetd.conf:
> 
> ftp-proxy   stream  tcp nowait  root/usr/libexec/ftp-proxy 
> ftp-proxy -n -u proxy -a MEU_IP_EXTERNO
> 
> Meu pf.conf:
> 
> rdr on $int_if proto tcp \
> from any to !  port ftp -> 127.0.0.1 port ftp-proxy
> 
> pass in quick on $ext_if inet proto tcp \
>  from any to $ext_if:0 port ftp flags S/SA keep state
> 
> pass in quick on $ext_if inet proto tcp \
>  from any to $ext_if:0 port 3 >< 5 flags S/SA keep state
> 
> pass in quick on $ext_if inet proto tcp \
>  from any port ftp-data to $ext_if:0 flags S/SA keep state user proxy
> 
> Meu pure-ftpd tá configurado para usar o range de portas 3 - 5.
> 
> Dessa maneira meu servidor FTP é acessado de fora ativo e passivo e
> minha rede interna acessa ftp's externos ativo e passivo.
> 
> []'s
> - --
> Renato Botelho 
>
> GnuPG Key: http://www.FreeBSD.org/~garga/pubkey.asc
> 
> "Yeah, but you're taking the universe out of context."
> -BEGIN PGP SIGNATURE-
> Version: GnuPG v1.4.2 (FreeBSD)
> 
> iD8DBQFDE14Q6CRbiSJE7akRAjXYAJ9KuOuYzC+xxKQAJatFceLN/NpL/ACfRwub
> dDUbTfBXwhSrvkBrfmuMWbY=
> =yyjc
> -END PGP SIGNATURE-
> 
> ___
> Freebsd mailing list
> Freebsd@fug.com.br
> http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
>

___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Re: RES: [FUG-BR] Packet Filter X FTP (nao funciona)

[Renato Botelho]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

On Mon, Aug 29, 2005 at 03:59:31PM -0300, Sérgio José Ferreira wrote:
> Isso é realmente engraçadoaqui também não funciona nem a pau.

To achando estranho tb, pois tenho isso implementado em algumas maquinas
e funcionando.

Meu inetd.conf:

ftp-proxy   stream  tcp nowait  root/usr/libexec/ftp-proxy 
ftp-proxy -n -u proxy -a MEU_IP_EXTERNO

Meu pf.conf:

rdr on $int_if proto tcp \
from any to !  port ftp -> 127.0.0.1 port ftp-proxy

pass in quick on $ext_if inet proto tcp \
 from any to $ext_if:0 port ftp flags S/SA keep state

pass in quick on $ext_if inet proto tcp \
 from any to $ext_if:0 port 3 >< 5 flags S/SA keep state

pass in quick on $ext_if inet proto tcp \
 from any port ftp-data to $ext_if:0 flags S/SA keep state user proxy

Meu pure-ftpd tá configurado para usar o range de portas 3 - 5.

Dessa maneira meu servidor FTP é acessado de fora ativo e passivo e
minha rede interna acessa ftp's externos ativo e passivo.

[]'s
- -- 
Renato Botelho 
   
GnuPG Key: http://www.FreeBSD.org/~garga/pubkey.asc

"Yeah, but you're taking the universe out of context."
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.2 (FreeBSD)

iD8DBQFDE14Q6CRbiSJE7akRAjXYAJ9KuOuYzC+xxKQAJatFceLN/NpL/ACfRwub
dDUbTfBXwhSrvkBrfmuMWbY=
=yyjc
-END PGP SIGNATURE-

___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Re: [FUG-BR] Packet Filter X FTP (nao funciona)

[Renato Botelho]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

On Mon, Aug 29, 2005 at 03:53:04PM -0300, Vitor Renato Alves de Brito wrote:
> Olá Éderson,
> 
> NÃO FUNCIONOU.
> 
> Não sei se tem alguma coisa mais a ser feita. Já tentei de tudo.
> 
> Será que tem que colocar alguma coisa no kernel?
> 
> Aqui eu nao tenho política de block. Meu pf.conf só tem a linha nat e a
> linha rdr e depois pass in all pass out all. Tirei ipfw tb.

Vamos ser extremistas, coloca isso no seu inetd.conf

ftp-proxy   stream  tcp nowait  root/usr/libexec/ftp-proxy 
ftp-proxy -n -u proxy

Se você tiver mais de um ip na sua placa externa e quiser que ele use
apenas 1 deles, adiciona no final da linha -a SEU_IP

Restarte o inetd e tente novamente.

[]s
- -- 
Renato Botelho 
   
GnuPG Key: http://www.FreeBSD.org/~garga/pubkey.asc

Grandpa Charnock's Law:
You never really learn to swear until you learn to drive.
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.2 (FreeBSD)

iD8DBQFDE1tN6CRbiSJE7akRAiSqAJ9K+ulZKhcFm9SXyUI4KGBwlJWVFwCeJ91D
mMS6wz2plbKTuFaINAyzCNY=
=I7pR
-END PGP SIGNATURE-

___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

RES: [FUG-BR] Packet Filter X FTP (nao funciona)

[Sérgio José Ferreira]

Isso é realmente engraçadoaqui também não funciona nem a pau.


Sérgio José Ferreira
WGO Telecom

-Mensagem original-
De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em
nome de Vitor Renato Alves de Brito
Enviada em: segunda-feira, 29 de agosto de 2005 15:53
Para: Lista de discussao do grupo FUG-BR
Assunto: Re: [FUG-BR] Packet Filter X FTP (nao funciona)


Olá Éderson,

NÃO FUNCIONOU.

Não sei se tem alguma coisa mais a ser feita. Já tentei de tudo.

Será que tem que colocar alguma coisa no kernel?

Aqui eu nao tenho política de block. Meu pf.conf só tem a linha nat e a
linha rdr e depois pass in all pass out all. Tirei ipfw tb.

Qualquer ajuda é bem-vinda.

Falou.

On Fri, 26 Aug 2005, Éderson Chimbida wrote:

> Tenta lá !
> 
> Inicia teu ftp-proxy no inetd !
> 
> dai no pf.conf:
> 
> rdr on $int_if proto tcp from $int_net to \
> any port ftp -> 127.0.0.1 port 8021
> 
> pass in quick on $ext_if inet proto tcp from any \
> to $ext_if user proxy keep state
> 
> pass in quick on $int_if inet proto tcp from \
>  any to any user proxy keep state
> 
> Pra olhar o que ta rolando da um log nas politicas block e depois com 
> o tcpdump vc ve c barra algo ! ( tcpdump -e -n -ttt -i pflog0 )
> 
> Ou ainda vc pode especificar as portas que quer usar!
> 
> no inetd.conf:
> 127.0.0.1:8021 stream tcp   nowait  root/usr/libexec/ftp-proxy
> ftp-proxy -V -D 3 -u proxy -m 55000 -M 59000 -t 180
> 
> dai vc libera esse range de portas no braço ! Alguns servidores ftp 
> seguem um padrao ( man ftpd ) ou tipo o proftpd vc pode configurar 
> isso !
> 
> Em 26/08/05, Alexandre Vasconcelos<[EMAIL PROTECTED]> escreveu:
> > Vitor Renato Alves de Brito wrote:
> > > Renato,
> > >
> > > Beleza?
> > >
> > > Olha, nao vai...
> > >
> > > Usei o ftp-proxy conforme seu conselho e tb. nao foi. Usei o 
> > > próprio exemplo do man ftp-proxy para redirecionar e alias era 
> > > igual ao que já estava usando. Já tinha lido tudo naquela página 
> > > que passou e tb. nao vai.
> > 
> > Faz um teste aí pra gente, configura seu cliente de FTP pra usar o 
> > modo passivo.
> > 
> > --
> > Alexandre Vasconcelos
> > Unix Admin
> > SSP/GO
> 
> ___
> Freebsd mailing list
> Freebsd@fug.com.br 
> http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> 
> 
> 
> ---
> Esta mensagem foi verificada pelo e-mail protegido Arte Final
> Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 25-Ago-2005 Proteja

> o seu e-mail com a Arte Final - http://www.artefinal.com.br
> 

Até mais,

---
Vitor Renato Alves de Brito - System Manager
Arte Final Provedor Internet - http://www.artefinal.com.br Alfenas - Sul
de Minas Gerais




---
Esta mensagem foi verificada pelo e-mail protegido Arte Final
Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 29-Ago-2005 Proteja o
seu e-mail com a Arte Final - http://www.artefinal.com.br


___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br


___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Re: [FUG-BR] Packet Filter X FTP (nao funciona)

[Vitor Renato Alves de Brito]

Olá Éderson,

NÃO FUNCIONOU.

Não sei se tem alguma coisa mais a ser feita. Já tentei de tudo.

Será que tem que colocar alguma coisa no kernel?

Aqui eu nao tenho política de block. Meu pf.conf só tem a linha nat e a
linha rdr e depois pass in all pass out all. Tirei ipfw tb.

Qualquer ajuda é bem-vinda.

Falou.

On Fri, 26 Aug 2005, Éderson Chimbida wrote:

> Tenta lá !
> 
> Inicia teu ftp-proxy no inetd !
> 
> dai no pf.conf:
> 
> rdr on $int_if proto tcp from $int_net to \
> any port ftp -> 127.0.0.1 port 8021
> 
> pass in quick on $ext_if inet proto tcp from any \
> to $ext_if user proxy keep state
> 
> pass in quick on $int_if inet proto tcp from \
>  any to any user proxy keep state
> 
> Pra olhar o que ta rolando da um log nas politicas block e depois com
> o tcpdump vc ve c barra algo ! ( tcpdump -e -n -ttt -i pflog0 )
> 
> Ou ainda vc pode especificar as portas que quer usar!
> 
> no inetd.conf:
> 127.0.0.1:8021 stream tcp   nowait  root/usr/libexec/ftp-proxy
> ftp-proxy -V -D 3 -u proxy -m 55000 -M 59000 -t 180
> 
> dai vc libera esse range de portas no braço ! Alguns servidores ftp
> seguem um padrao ( man ftpd ) ou tipo o proftpd vc pode configurar
> isso !
> 
> Em 26/08/05, Alexandre Vasconcelos<[EMAIL PROTECTED]> escreveu:
> > Vitor Renato Alves de Brito wrote:
> > > Renato,
> > >
> > > Beleza?
> > >
> > > Olha, nao vai...
> > >
> > > Usei o ftp-proxy conforme seu conselho e tb. nao foi. Usei o próprio
> > > exemplo do man ftp-proxy para redirecionar e alias era igual ao que já
> > > estava usando. Já tinha lido tudo naquela página que passou e tb. nao vai.
> > 
> > Faz um teste aí pra gente, configura seu cliente de FTP pra usar o modo
> > passivo.
> > 
> > --
> > Alexandre Vasconcelos
> > Unix Admin
> > SSP/GO
> 
> ___
> Freebsd mailing list
> Freebsd@fug.com.br
> http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> 
> 
> 
> ---
> Esta mensagem foi verificada pelo e-mail protegido Arte Final
> Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 25-Ago-2005
> Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br
> 

Até mais,

---
Vitor Renato Alves de Brito - System Manager
Arte Final Provedor Internet - http://www.artefinal.com.br
Alfenas - Sul de Minas Gerais




---
Esta mensagem foi verificada pelo e-mail protegido Arte Final
Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 29-Ago-2005
Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br


___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Re: [FUG-BR] Packet Filter X FTP (nao funciona)

[Éderson Chimbida]

Tenta lá !

Inicia teu ftp-proxy no inetd !

dai no pf.conf:

rdr on $int_if proto tcp from $int_net to \
any port ftp -> 127.0.0.1 port 8021

pass in quick on $ext_if inet proto tcp from any \
to $ext_if user proxy keep state

pass in quick on $int_if inet proto tcp from \
 any to any user proxy keep state

Pra olhar o que ta rolando da um log nas politicas block e depois com
o tcpdump vc ve c barra algo ! ( tcpdump -e -n -ttt -i pflog0 )

Ou ainda vc pode especificar as portas que quer usar!

no inetd.conf:
127.0.0.1:8021 stream tcp   nowait  root/usr/libexec/ftp-proxy
ftp-proxy -V -D 3 -u proxy -m 55000 -M 59000 -t 180

dai vc libera esse range de portas no braço ! Alguns servidores ftp
seguem um padrao ( man ftpd ) ou tipo o proftpd vc pode configurar
isso !

Em 26/08/05, Alexandre Vasconcelos<[EMAIL PROTECTED]> escreveu:
> Vitor Renato Alves de Brito wrote:
> > Renato,
> >
> > Beleza?
> >
> > Olha, nao vai...
> >
> > Usei o ftp-proxy conforme seu conselho e tb. nao foi. Usei o próprio
> > exemplo do man ftp-proxy para redirecionar e alias era igual ao que já
> > estava usando. Já tinha lido tudo naquela página que passou e tb. nao vai.
> 
> Faz um teste aí pra gente, configura seu cliente de FTP pra usar o modo
> passivo.
> 
> --
> Alexandre Vasconcelos
> Unix Admin
> SSP/GO

___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Re: [FUG-BR] Packet Filter X FTP (nao funciona)

[Alexandre Vasconcelos]

Vitor Renato Alves de Brito wrote:
Renato, 


Beleza?

Olha, nao vai...

Usei o ftp-proxy conforme seu conselho e tb. nao foi. Usei o próprio
exemplo do man ftp-proxy para redirecionar e alias era igual ao que já
estava usando. Já tinha lido tudo naquela página que passou e tb. nao vai.


Faz um teste aí pra gente, configura seu cliente de FTP pra usar o modo 
passivo.


--
Alexandre Vasconcelos
Unix Admin
SSP/GO


___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Re: [FUG-BR] Packet Filter X FTP (nao funciona)

[Vitor Renato Alves de Brito]

Renato, 

Beleza?

Olha, nao vai...

Usei o ftp-proxy conforme seu conselho e tb. nao foi. Usei o próprio
exemplo do man ftp-proxy para redirecionar e alias era igual ao que já
estava usando. Já tinha lido tudo naquela página que passou e tb. nao vai.

Meu pf.conf nao tem nada. Veja:
...
scrub in all
nat on $ext_if1 from  to any -> ($ext_if1)
rdr on $int_if1 proto tcp from any to any port 21 -> 127.0.0.1 port 10021
pass in all
pass out all

Já coloquei o servico no /etc/services:
ftp-proxy   10021/tcp   # ftpproxy

E o inetd.conf:
ftp-proxy stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy

O cliente loga no servidor mas quando dá um ls/get/put... o servidor corta
a conexao.

Pelo tcpdump eu vejo que pacotes ftp-data entram e saem do meu servidor
mas nao vao para o cliente.

Qualquer ajuda é bem-vinda.

Falou.


On Fri, 26 Aug 2005, Renato Botelho wrote:

> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA1
> 
> On Thu, Aug 25, 2005 at 06:05:02PM -0300, Vitor Renato Alves de Brito wrote:
> > Olá Pessoal,
> > 
> > To fazendo NAT com o PF no FreeBSD 5.4-p6.
> > 
> > To tendo problemas com clientes e FTP. Instalei os seguintes proxys de FTP
> > e nenhum funcionou: jftpgw, ftp.proxy, frox
> > 
> > Estou usando esta regra logo abaixo da regra de nat no pf.conf:
> > rdr on $int_if1 proto tcp from any to any port ftp -> 127.0.0.1 port 10021
> > 
> > Alguém tem alguma dica?
> 
> Use o ftp-proxy nativo, basta descomentar uma linha no seu
> /etc/inetd.conf.
> 
> A parte do PF você tem uma excelente documentação em:
> 
> http://www.openbsd.org/faq/pf/pt/ftp.html
> 
> []'s
> - -- 
> Renato Botelho 
>
> GnuPG Key: http://www.FreeBSD.org/~garga/pubkey.asc
> 
> "The subspace _W inherits the other 8 properties of _V. And there aren't
> even any property taxes."
>   -- J. MacKay, Mathematics 134b
> -BEGIN PGP SIGNATURE-
> Version: GnuPG v1.4.2 (FreeBSD)
> 
> iD8DBQFDDuo26CRbiSJE7akRAmmKAKCSg9UISpNDl7su+7BXm+NBjEV89gCgm+L5
> pRWhNRTrdzGqkrrG0Qw0BQk=
> =o1bG
> -END PGP SIGNATURE-
> 
> ___
> Freebsd mailing list
> Freebsd@fug.com.br
> http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> 
> 
> 
> ---
> Esta mensagem foi verificada pelo e-mail protegido Arte Final
> Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 25-Ago-2005
> Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br
> 

Até mais,

---
Vitor Renato Alves de Brito - System Manager
Arte Final Provedor Internet - http://www.artefinal.com.br
Alfenas - Sul de Minas Gerais




---
Esta mensagem foi verificada pelo e-mail protegido Arte Final
Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 25-Ago-2005
Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br


___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Re: [FUG-BR] Packet Filter X FTP

[Renato Botelho]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

On Thu, Aug 25, 2005 at 06:05:02PM -0300, Vitor Renato Alves de Brito wrote:
> Olá Pessoal,
> 
> To fazendo NAT com o PF no FreeBSD 5.4-p6.
> 
> To tendo problemas com clientes e FTP. Instalei os seguintes proxys de FTP
> e nenhum funcionou: jftpgw, ftp.proxy, frox
> 
> Estou usando esta regra logo abaixo da regra de nat no pf.conf:
> rdr on $int_if1 proto tcp from any to any port ftp -> 127.0.0.1 port 10021
> 
> Alguém tem alguma dica?

Use o ftp-proxy nativo, basta descomentar uma linha no seu
/etc/inetd.conf.

A parte do PF você tem uma excelente documentação em:

http://www.openbsd.org/faq/pf/pt/ftp.html

[]'s
- -- 
Renato Botelho 
   
GnuPG Key: http://www.FreeBSD.org/~garga/pubkey.asc

"The subspace _W inherits the other 8 properties of _V. And there aren't
even any property taxes."
-- J. MacKay, Mathematics 134b
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.2 (FreeBSD)

iD8DBQFDDuo26CRbiSJE7akRAmmKAKCSg9UISpNDl7su+7BXm+NBjEV89gCgm+L5
pRWhNRTrdzGqkrrG0Qw0BQk=
=o1bG
-END PGP SIGNATURE-

___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Re: [FUG-BR] Packet Filter X FTP

[dvdcoopermine]

   nunca usei o pf mais se vc quizer usar o ipfw e so criar um script no 
/usr/local/etc/rc.d como este conteudo 
#!/bin/sh 
/sbin/ipfw add 50 divert natd all from any to any via (sua placa com net) 
/sbin/natd -l -f /etc/natd.conf 
nao esquece de setar no script chmod +x natd.sh e 
no natd.conf 
interface (inteface com net) 
dynamic yes 
same_ports yes 
use_sockets yes 

colocar no /etc/rc.conf 

gateway_enabled="YES" 
firewall_enabled="YES" 
firewall_type="OPEN" 
natd_enabled="YES" 

naum esquece de compilar o kernel com o ipfw. 

assim vc naum vai ter problemas com ftp. 





Em (18:05:02), Lista de discussao do grupo FUG-BR escreveu: 


>Olá Pessoal, 
> 
>To fazendo NAT com o PF no FreeBSD 5.4-p6. 
> 
>To tendo problemas com clientes e FTP. Instalei os seguintes proxys de FTP 
>e nenhum funcionou: jftpgw, ftp.proxy, frox 
> 
>Estou usando esta regra logo abaixo da regra de nat no pf.conf: 
>rdr on $int_if1 proto tcp from any to any port ftp -> 127.0.0.1 port 10021 
> 
>Alguém tem alguma dica? 
> 
>Até mais, 
> 
>--- 
>Vitor Renato Alves de Brito - System Manager 
>Arte Final Provedor Internet - http://www.artefinal.com.br 
>Alfenas - Sul de Minas Gerais 
> 
>--- 
>Esta mensagem foi verificada pelo e-mail protegido Arte Final 
>Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 25-Ago-2005 
>Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br 
> 
>___ 
>Freebsd mailing list 
>Freebsd@fug.com.br 
>http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br 
> 
>-- 
___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

[FUG-BR] Packet Filter X FTP

[Vitor Renato Alves de Brito]

Olá Pessoal,

To fazendo NAT com o PF no FreeBSD 5.4-p6.

To tendo problemas com clientes e FTP. Instalei os seguintes proxys de FTP
e nenhum funcionou: jftpgw, ftp.proxy, frox

Estou usando esta regra logo abaixo da regra de nat no pf.conf:
rdr on $int_if1 proto tcp from any to any port ftp -> 127.0.0.1 port 10021

Alguém tem alguma dica?

Até mais,

---
Vitor Renato Alves de Brito - System Manager
Arte Final Provedor Internet - http://www.artefinal.com.br
Alfenas - Sul de Minas Gerais




---
Esta mensagem foi verificada pelo e-mail protegido Arte Final
Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 25-Ago-2005
Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br


___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br