[FUG-BR] RES: VPN PF
-Mensagem original-
De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Igor
Enviada em: domingo, 21 de outubro de 2007 17:22
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: [FUG-BR] VPN PF
Oi pessoal,
Depois de passar o dia inteiro fazendo testes (infelizmente mal sucedidos) e
preciso da ajuda de voces...
Estou montando um firewall simples: pf, nat, squid e openvpn
O openvpn ja esta conectando e estou fazendo os testes com ele no momento,
mas minha dificuldade é tratar os pacotes dessa interface (tun0)
A unica forma que consegui deixar acessivel foi colocar um
set skip on tun0
Ai tudo funcionou perfeito, mas por consequencia, nao consegui bloquear nada
depois heheh :-)
Segue abaixo um pedaco do log, numa tentativa de conexao SSH sem o set skip
on tun0
00 rule 1/0(match): block unkn(255) on tun0: 10.0.2.6.1562 10.0.1.1.22:
tcp 28 [bad hdr length 0 - too short, 20]
3. 018822 rule 1/0(match): block unkn(255) on tun0: 10.0.2.6.1562
10.0.1.1.22: tcp 28 [bad hdr length 0 - too short, 20]
6. 037354 rule 1/0(match): block unkn(255) on tun0: 10.0.2.6.1562
10.0.1.1.22: tcp 28 [bad hdr length 0 - too short, 20]
E agora o meu pf.conf para analise:
###
## Definindo nome das interfaces e Gateways ###
###
int_if=re0 # interface da rede interna
ext_if=nfe0 # interface internet
lan_net=10.0.1.0/24 # rede interna
vpn_net=10.0.2.0/24 # rede vpn
ext_gw=192.168.1.1 # gateway da internet
# autoriza a rede interna acessar esses servicos externos
allow_tcp={ ftp ftp-data ssh domain https }
allow_udp={ ftp ftp-data domain }
# autoriza conexoes nesse servidor para rede externa e interna
services_ext_tcp={ ssh http }
services_int_tcp={ ftp ssh http }
# Diretoria
table diretoria { 192.168.1.59 }
# nao filtra na interface loopback
set skip on lo0
# faz scrub em pacotes que chegam
scrub in all
# SQUID - redireciona acessos http para squid (3128)
#rdr on $ext_if inet proto tcp from any to any port www - 127.0.0.1 port
3128
# redireciona todos os pacotes enviados para o servidor atraves da vpn para
o ip interno
rdr on tun0 inet from any to 10.0.2.1 - 10.0.1.1
# nat
#nat on $ext_if from !($ext_if) to any - ($ext_if)
# define o politica padrao (bloqueia tudo)
block log all
# Antispoof para rede interna
antispoof log quick for $int_if inet
# vpn
set skip on tun0
block in quick proto tcp from 10.0.2.6 to 10.0.1.1 port 22
# aceita conexoes de computadores da diretoria (VPN)
pass in quick on $ext_if from diretoria
pass out quick on $ext_if from diretoria
# permite conexoes ssh na interface externa
pass in quick on $ext_if proto tcp from any \
to port ssh flags S/SA synproxy state
# libera os servicos para internet (services_ext)
pass in on $ext_if proto tcp from any to port $services_ext_tcp
# libera servicos para a rede interna (services_int)
pass in on $int_if proto tcp from any to port $services_int_tcp
# aceita trafego indo e vindo para a rede interna
pass in on $int_if from $lan_net to any
pass out on $int_if from any to $lan_net
# libera tcp, udp e icmp saindo pela interface externa (Internet)
# para portas definidas em allow_[tcp/udp]
# mantem o estado em udp e icmp e usa modulate state em tcp.
pass out on $ext_if proto tcp from any to port $allow_tcp modulate state
flags S/SA
pass out on $ext_if proto udp from any to port $allow_udp keep state
pass out on $ext_if proto icmp all keep state
-
Muito obrigado pela ajuda
Abracos
Igor
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Igor,
Cria uma interface para a tun0 tipo:
Vpn_if=tun0
E depois aplica as regras como vc esta fazendo nas outras interfaces.
Há outra coisa, a opção block log all eu costumo colocar no final do Arquivo,
não tenho muita experiência com PF. O pessoal da lista pode dizer qual o melhor
local para colocar o bloqueio de tudo.
No resto do Firewall preciso de mais informações sobre o ambiente e o que vc
quer liberar ou bloquear para dar uma opinião correta.
Bom, espero ter ajudado.
Atenciosamente.
Rodrigo Roberto Barros
Analista de Sistemas - NIE
[EMAIL PROTECTED]
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: VPN + PF
Veja pra fazer proxyarp. Acho que isso resolve. []s Andrei de Oliveira Mosman Mosman Consultoria e Desenvolvimento http://www.mosman.com.br/ MSN: [EMAIL PROTECTED] Fones: (19) 3481-2656 / (11) 9564-0861 -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Gilberto Villani Brito Enviada em: quinta-feira, 22 de março de 2007 15:51 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] VPN + PF On 06/03/07, Rafael - Gmail [EMAIL PROTECTED] wrote: Boa tarde pessoal, Estou precisando da ajuda de vocês na seguinte tarefa: Eu configurei VPN em dois servidores Free, está funcionando legal, os dois se enxergam e as rotas foram adicionadas. Agora a dúvida : Eu consigo através do PF ou alguma outra maneira, juntar duas redes internas (matriz + filial) iguais (ambas 192.168.0.0) ? Pela lógica acho que não seria possível, porém, pergunto aos amigos. Aceito sugestões. Att, Rafael Simão - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Rafael, eu acho que é possível, porém não sei exatamente como fazer. A teoria seria essa: deixe a VPN funcionando e depois crie interfaces do tipo bridge em cada ponta da VPN e redirecione todo pacote de broadcast e rede 192.168.0.0 para a VPN. Por favor, me corrijam se estiver errado. Abraços -- Gilberto Villani Brito System Administrator Londrina - PR Brazil gilbertovb(a)gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: VPN + PF
Rafael, Pesquisa sobre BINAT com PF... veja nesse artigo: http://www.dicas-l.com.br/dicas-l/20060316.php Veja no tópico 2.2, conflito: redes iguais. Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Andrei de Oliveira Mosman [EMAIL PROTECTED] To: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' freebsd@fug.com.br Sent: Thursday, March 22, 2007 3:56 PM Subject: [FUG-BR] RES: VPN + PF Veja pra fazer proxyarp. Acho que isso resolve. []s Andrei de Oliveira Mosman Mosman Consultoria e Desenvolvimento http://www.mosman.com.br/ MSN: [EMAIL PROTECTED] Fones: (19) 3481-2656 / (11) 9564-0861 -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Gilberto Villani Brito Enviada em: quinta-feira, 22 de março de 2007 15:51 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] VPN + PF On 06/03/07, Rafael - Gmail [EMAIL PROTECTED] wrote: Boa tarde pessoal, Estou precisando da ajuda de vocês na seguinte tarefa: Eu configurei VPN em dois servidores Free, está funcionando legal, os dois se enxergam e as rotas foram adicionadas. Agora a dúvida : Eu consigo através do PF ou alguma outra maneira, juntar duas redes internas (matriz + filial) iguais (ambas 192.168.0.0) ? Pela lógica acho que não seria possível, porém, pergunto aos amigos. Aceito sugestões. Att, Rafael Simão - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Rafael, eu acho que é possível, porém não sei exatamente como fazer. A teoria seria essa: deixe a VPN funcionando e depois crie interfaces do tipo bridge em cada ponta da VPN e redirecione todo pacote de broadcast e rede 192.168.0.0 para a VPN. Por favor, me corrijam se estiver errado. Abraços -- Gilberto Villani Brito System Administrator Londrina - PR Brazil gilbertovb(a)gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: VPN + PF
Obrigado pela resposta, Estarei testando sua sugestão ! Abraços, - Original Message - From: Andrei de Oliveira Mosman [EMAIL PROTECTED] To: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' freebsd@fug.com.br Sent: Thursday, March 22, 2007 3:56 PM Subject: [FUG-BR] RES: VPN + PF Veja pra fazer proxyarp. Acho que isso resolve. []s Andrei de Oliveira Mosman Mosman Consultoria e Desenvolvimento http://www.mosman.com.br/ MSN: [EMAIL PROTECTED] Fones: (19) 3481-2656 / (11) 9564-0861 -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Gilberto Villani Brito Enviada em: quinta-feira, 22 de março de 2007 15:51 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] VPN + PF On 06/03/07, Rafael - Gmail [EMAIL PROTECTED] wrote: Boa tarde pessoal, Estou precisando da ajuda de vocês na seguinte tarefa: Eu configurei VPN em dois servidores Free, está funcionando legal, os dois se enxergam e as rotas foram adicionadas. Agora a dúvida : Eu consigo através do PF ou alguma outra maneira, juntar duas redes internas (matriz + filial) iguais (ambas 192.168.0.0) ? Pela lógica acho que não seria possível, porém, pergunto aos amigos. Aceito sugestões. Att, Rafael Simão - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Rafael, eu acho que é possível, porém não sei exatamente como fazer. A teoria seria essa: deixe a VPN funcionando e depois crie interfaces do tipo bridge em cada ponta da VPN e redirecione todo pacote de broadcast e rede 192.168.0.0 para a VPN. Por favor, me corrijam se estiver errado. Abraços -- Gilberto Villani Brito System Administrator Londrina - PR Brazil gilbertovb(a)gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: VPN + PF
Blz Rafael. Atualmente tenho 1 bsd com openvpn e dois clientes com windows (Win2003 e outro WinXP)... no meu caso as redes estão em classes de ip diferentes (192.168.4.0, 192.168.5.0 e a rede do freebsd 192.168.0.0), funcionou perfeitamente... mas estou pensando em fazer uns testes no binat, pois outro dia tentei adicionar um novo client na vpn utilizando o notebook em casa, e por coincidência do destino o provedor que utilizo em casa misteriosamente consegue pingar um ip 192.168.0.254 que é exatamente o ip do meu bsd (deve ser ip de algum roteador do provedor, não sei)... devido a isso a vpn conecta, mas a rota não funciona... Se alguém da lista já usou binat e puder postar o trecho do pf.conf e algumas dicas para fazer funcionar... Proxy-arp não conheço... já vi falar, mas não faço idéia de como funciona ou para que serve. Abraço a todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Rafael - Gmail [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Thursday, March 22, 2007 5:54 PM Subject: Re: [FUG-BR] RES: VPN + PF Welkson, Muito obrigado pelo artigo, muito útil. Hoje eu tenho 3 servidores em VPN entre eles sendo 1 OpenVPN-Server e 2 OpenVPN-Clients que se comunicam entre eles, mas ainda não mudei as redes das filiais por motivos de tempo. Assim que eu realizar essas mudanças, acredito que minhas redes se enchergarão. Vou utilizar o binat pra efeitos de testes Welkson. Vou testar também proxyarp sugerido pelo Andrei. Eu posto os resultados. Abraço, - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Thursday, March 22, 2007 4:58 PM Subject: Re: [FUG-BR] RES: VPN + PF Rafael, Pesquisa sobre BINAT com PF... veja nesse artigo: http://www.dicas-l.com.br/dicas-l/20060316.php Veja no tópico 2.2, conflito: redes iguais. Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Andrei de Oliveira Mosman [EMAIL PROTECTED] To: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' freebsd@fug.com.br Sent: Thursday, March 22, 2007 3:56 PM Subject: [FUG-BR] RES: VPN + PF Veja pra fazer proxyarp. Acho que isso resolve. []s Andrei de Oliveira Mosman Mosman Consultoria e Desenvolvimento http://www.mosman.com.br/ MSN: [EMAIL PROTECTED] Fones: (19) 3481-2656 / (11) 9564-0861 -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Gilberto Villani Brito Enviada em: quinta-feira, 22 de março de 2007 15:51 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] VPN + PF On 06/03/07, Rafael - Gmail [EMAIL PROTECTED] wrote: Boa tarde pessoal, Estou precisando da ajuda de vocês na seguinte tarefa: Eu configurei VPN em dois servidores Free, está funcionando legal, os dois se enxergam e as rotas foram adicionadas. Agora a dúvida : Eu consigo através do PF ou alguma outra maneira, juntar duas redes internas (matriz + filial) iguais (ambas 192.168.0.0) ? Pela lógica acho que não seria possível, porém, pergunto aos amigos. Aceito sugestões. Att, Rafael Simão - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Rafael, eu acho que é possível, porém não sei exatamente como fazer. A teoria seria essa: deixe a VPN funcionando e depois crie interfaces do tipo bridge em cada ponta da VPN e redirecione todo pacote de broadcast e rede 192.168.0.0 para a VPN. Por favor, me corrijam se estiver errado. Abraços -- Gilberto Villani Brito System Administrator Londrina - PR Brazil gilbertovb(a)gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html
[FUG-BR] RES: VPN + PF
Ter tem ... Crie e VPN e junte as redes, aponte o DHCP para a matriz :) Se for domínio faca a consolidação entre os DCs :) Porem .. se a VPN cair a filial cai :P Atenciosamente, Marcel Souza Figueiredo Departamento de TI http://www.grupopcl.com.br -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Rafael - Gmail Enviada em: terça-feira, 6 de março de 2007 15:36 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] VPN + PF Irado, Você teria alguma sugestão ? Obrigado pela atenção. Att, Rafael Simão - Original Message - From: irado furioso com tudo [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Tuesday, March 06, 2007 3:08 PM Subject: Re: [FUG-BR] VPN + PF Em Tue, 6 Mar 2007 13:32:23 -0300 Rafael - Gmail [EMAIL PROTECTED] escreveu: Eu consigo através do PF ou alguma outra maneira, juntar duas redes internas (matriz + filial) iguais (ambas 192.168.0.0) ? Pela lógica acho que não seria possível, porém, pergunto aos amigos. como é que vc faria o roteamento daqui pra lá? o gateway-vpn ficaria confuso em saber onde determinada máquina estaria, se dêste lado, se do outro, uma vez que a rede é a mesma. -- flames /dev/null saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Não é evidente que Deus exista. (San Tomaz de Aquino) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- No virus found in this incoming message. Checked by AVG Free Edition. Version: 7.5.446 / Virus Database: 268.18.7/711 - Release Date: 5/3/2007 09:41 -- No virus found in this outgoing message. Checked by AVG Free Edition. Version: 7.5.446 / Virus Database: 268.18.7/711 - Release Date: 5/3/2007 09:41 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
