Re: [FUG-BR] dúvida pf
Faz as duas coisas... Mas a sintaxe da sua regra está estranha, por você coloca a TAG port duas vezes e não é assim. Em 4 de março de 2010 23:53, Anderson Alves de Albuquerque anderso...@gmail.com escreveu: Eu estou acostumado com o tc do linux. agora estou convertendo as regras do meu tc+iptables para o linux. Quando eu escrevo a regra abaixo eu libero o acesso (via pass), apenas marco o pacote na fila ou faço as 2 coisas anteriores ao mesmo tempo? pass out on $PLACA_EXT inet proto tcp from $ME to $CONFIAVEIS port 1023 port 22 keep state queue ssh -- [], Anderson Alves de Albuquerque. --- E-mails: andersonalvesdealbuquerque#hotmail.com (replace # by @) andersonaa#gmail.com (replace # by @) ICQ: 73222660 --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] dúvida pf
2010/3/4 Anderson Alves de Albuquerque anderso...@gmail.com: Eu estou acostumado com o tc do linux. agora estou convertendo as regras do meu tc+iptables para o linux. Quando eu escrevo a regra abaixo eu libero o acesso (via pass), apenas marco o pacote na fila ou faço as 2 coisas anteriores ao mesmo tempo? pass out on $PLACA_EXT inet proto tcp from $ME to $CONFIAVEIS port 1023 port 22 keep state queue ssh As duas coisas, porém a sintaxe da sua regra está errada, acho que o que você gostaria de fazer é: pass out on $ext inet proto tcp from $me port 1023 to $conf port 22 keep state queue ssh -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] dúvida pf
erro de crtl+c e crtl+v 2010/3/5 Renato Botelho rbga...@gmail.com 2010/3/4 Anderson Alves de Albuquerque anderso...@gmail.com: Eu estou acostumado com o tc do linux. agora estou convertendo as regras do meu tc+iptables para o linux. Quando eu escrevo a regra abaixo eu libero o acesso (via pass), apenas marco o pacote na fila ou faço as 2 coisas anteriores ao mesmo tempo? pass out on $PLACA_EXT inet proto tcp from $ME to $CONFIAVEIS port 1023 port 22 keep state queue ssh As duas coisas, porém a sintaxe da sua regra está errada, acho que o que você gostaria de fazer é: pass out on $ext inet proto tcp from $me port 1023 to $conf port 22 keep state queue ssh -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- [], Anderson Alves de Albuquerque. --- E-mails: andersonalvesdealbuquerque#hotmail.com (replace # by @) andersonaa#gmail.com (replace # by @) ICQ: 73222660 --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] dúvida pf
Eu estou acostumado com o tc do linux. agora estou convertendo as regras do meu tc+iptables para o linux. Quando eu escrevo a regra abaixo eu libero o acesso (via pass), apenas marco o pacote na fila ou faço as 2 coisas anteriores ao mesmo tempo? pass out on $PLACA_EXT inet proto tcp from $ME to $CONFIAVEIS port 1023 port 22 keep state queue ssh -- [], Anderson Alves de Albuquerque. --- E-mails: andersonalvesdealbuquerque#hotmail.com (replace # by @) andersonaa#gmail.com (replace # by @) ICQ: 73222660 --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] dúvida PF
Olha, vendo uma regra na internet me deparei com esta para bloquear o gtalk Pode ser que der certo. block in on $int_int proto {tcp,udp} from $int_int:network to talk.google.com Faça as devidas modificações.. depois posta o resultado Em 27/06/07, Thiago J. Ruiz[EMAIL PROTECTED] escreveu: o FAQ do pf diz que ele aceita dns ao invez de IP: http://www.openbsd.org/faq/pf/pt/filter.html experimente não especificar direção e verifique se esta digitando corretamente o dominio. block on $ext_if proto ... []´z Em 27/06/07, Lutieri G.[EMAIL PROTECTED] escreveu: Hoje me deparei com isto! /etc/pf.conf:91: could not parse host specification linha 91: block out on $ext_if proto tcp from any to chatenableb.mail.google.com Entendo que não posso usar um hostname na regra. Mas vai ter casos que é necessário usar. Como por exemplo quando vou criar uma regra para um host registrado no no-ip. O ip é dinâmico e eu preciso que minha regra contenha o ip atualizado. Como proceder??!? -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Thiago J. Ruiz http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] dúvida PF
Lista! Como voces podem ver na minha pergunta eu havia colocado na regra chatenableB... ao invés de chatenableD... Portanto não era possível traduzir o host(informado errado por mim) para um IP. Sendo assim o PF não carregava e retornava aquela mensagem. Mas também descobri outra coisa. Se voce tem um fw, JÁ RODANDO, com filtragem block all(in e ou) que não permite consultas DNS nem do próprio fw e uma regra, neste fw, apontando para um host retornará o mesmo erro que apresentou para mim. Aí voce pode se perguntar: mas pq num carrega?!?! Bom. Em primeiro lugar, lembre-se, que o firewall atual não permite consultas DNS portanto o PF não vai conseguir traduzir de nome para ip quando voce carregar as regras. Logo você vai colocar a regra que permite consultas DNS. Porém o firewall não vai conseguir carregar AINDA e vai retornar o mesmo erro, pois ele ainda tah apontando pra um host e ainda num tem possibilidade de traduzir para IP uma vez que essas regras AINDA não entraram em vigor pois sempre deu problema no meio do processo. Para solucionar.. Deve deixar apenas a regra de libera consultas dns e depois dele carregado com sucesso inserir as regras que apontam para hosts ao inves de ips. Lendo com bastante calma é possível entender.. heuea eh um pouco complicado de explicar escrevendo... mas Obrigado a todos! como viria-se nas listas em inglês. cu calma... pra eles é see you!! -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] dúvida PF
Cara chatenabled.mail.google.com e nao chatenableb, de repente ele tentou fazer um hostname lookup e falhou valeu victor f. loureiro lima Em 28/06/07, Lutieri G.[EMAIL PROTECTED] escreveu: Lista! Como voces podem ver na minha pergunta eu havia colocado na regra chatenableB... ao invés de chatenableD... Portanto não era possível traduzir o host(informado errado por mim) para um IP. Sendo assim o PF não carregava e retornava aquela mensagem. Mas também descobri outra coisa. Se voce tem um fw, JÁ RODANDO, com filtragem block all(in e ou) que não permite consultas DNS nem do próprio fw e uma regra, neste fw, apontando para um host retornará o mesmo erro que apresentou para mim. Aí voce pode se perguntar: mas pq num carrega?!?! Bom. Em primeiro lugar, lembre-se, que o firewall atual não permite consultas DNS portanto o PF não vai conseguir traduzir de nome para ip quando voce carregar as regras. Logo você vai colocar a regra que permite consultas DNS. Porém o firewall não vai conseguir carregar AINDA e vai retornar o mesmo erro, pois ele ainda tah apontando pra um host e ainda num tem possibilidade de traduzir para IP uma vez que essas regras AINDA não entraram em vigor pois sempre deu problema no meio do processo. Para solucionar.. Deve deixar apenas a regra de libera consultas dns e depois dele carregado com sucesso inserir as regras que apontam para hosts ao inves de ips. Lendo com bastante calma é possível entender.. heuea eh um pouco complicado de explicar escrevendo... mas Obrigado a todos! como viria-se nas listas em inglês. cu calma... pra eles é see you!! -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] dúvida PF
Hoje me deparei com isto! /etc/pf.conf:91: could not parse host specification linha 91: block out on $ext_if proto tcp from any to chatenableb.mail.google.com Entendo que não posso usar um hostname na regra. Mas vai ter casos que é necessário usar. Como por exemplo quando vou criar uma regra para um host registrado no no-ip. O ip é dinâmico e eu preciso que minha regra contenha o ip atualizado. Como proceder??!? -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] dúvida PF
A unica ideia que tenho e utilizar uma table e montar um script qualquer que consulte seu host e insira no pf com pfctl -t table -T add ip Abraços -- Tompast IT Services LTDA. e-mail: [EMAIL PROTECTED] voip: [EMAIL PROTECTED] +55 11 4063-5759 +55 11 3207-2457 +55 11 8433-2281 +55 11 9979-6826 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida PF (mais uma) - Resolvido
Rogério Schneider wrote: é possível definir ainda: table ssh_hosts persist# aqui vc add os hosts que PODEM entrar, nao os servers. block on $ext_if proto tcp from any to any port 22 pass quick in on $ext_if proto tcp from ssh_hosts to any port 22 pfctl -t ssh_hosts -T add $IP pfctl -t ssh_hosts -T delete $IP Att, RS On 10/26/06, Aristeu Gil Alves Jr [EMAIL PROTECTED] wrote: Use anchors (http://www.openbsd.org/faq/pf/anchors.html). Ex do site: ext_if = fxp0 block on $ext_if all pass out on $ext_if all keep state anchor ssh in on $ext_if proto tcp from any to any port 22 # echo pass in from 192.0.2.10 to any | pfctl -a ssh -f - -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Amigos, Só pra constar: Testei das 2 maneiras e ambas funcionaram bem, mas preferi, por me parecer a mais clara e óbvia, a opção de trabalhar com tabelas. Muito grato a todos. -- Cordialmente, Rodolfo Zappa Archive TSP - Total Solution Provider Nosso negócio é garantir que a sua rede de informações não pare! (21) 2567-1842 [EMAIL PROTECTED] http://www.archive.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida PF (mais uma) - Resolvido
ehnois :) On 10/31/06, Rodolfo Zappa [EMAIL PROTECTED] wrote: Rogério Schneider wrote: é possível definir ainda: table ssh_hosts persist# aqui vc add os hosts que PODEM entrar, nao os servers. block on $ext_if proto tcp from any to any port 22 pass quick in on $ext_if proto tcp from ssh_hosts to any port 22 pfctl -t ssh_hosts -T add $IP pfctl -t ssh_hosts -T delete $IP Att, RS On 10/26/06, Aristeu Gil Alves Jr [EMAIL PROTECTED] wrote: Use anchors (http://www.openbsd.org/faq/pf/anchors.html). Ex do site: ext_if = fxp0 block on $ext_if all pass out on $ext_if all keep state anchor ssh in on $ext_if proto tcp from any to any port 22 # echo pass in from 192.0.2.10 to any | pfctl -a ssh -f - -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Amigos, Só pra constar: Testei das 2 maneiras e ambas funcionaram bem, mas preferi, por me parecer a mais clara e óbvia, a opção de trabalhar com tabelas. Muito grato a todos. -- Cordialmente, Rodolfo Zappa Archive TSP - Total Solution Provider Nosso negócio é garantir que a sua rede de informações não pare! (21) 2567-1842 [EMAIL PROTECTED] http://www.archive.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att, Rogério Schneider +55 (55) 9985 2127 +55 (55) 3332 5923 +55 (55) 3321 1535 MSN: [EMAIL PROTECTED] ICQ: 78778973 GTalk: [EMAIL PROTECTED] Skype: stockrt - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida PF (mais uma)
é possível definir ainda: table ssh_hosts persist# aqui vc add os hosts que PODEM entrar, nao os servers. block on $ext_if proto tcp from any to any port 22 pass quick in on $ext_if proto tcp from ssh_hosts to any port 22 pfctl -t ssh_hosts -T add $IP pfctl -t ssh_hosts -T delete $IP Att, RS On 10/26/06, Aristeu Gil Alves Jr [EMAIL PROTECTED] wrote: Use anchors (http://www.openbsd.org/faq/pf/anchors.html). Ex do site: ext_if = fxp0 block on $ext_if all pass out on $ext_if all keep state anchor ssh in on $ext_if proto tcp from any to any port 22 # echo pass in from 192.0.2.10 to any | pfctl -a ssh -f - -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att, Rogério Schneider +55 (55) 9985 2127 +55 (55) 3332 5923 +55 (55) 8158 +55 (55) 3321 1535 MSN: [EMAIL PROTECTED] ICQ: 78778973 GTalk: [EMAIL PROTECTED] Skype: stockrt - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Dúvida PF (mais uma)
Caros amigos da lista, Eu uso pf para montar minhas regras de firewall, e gostaria de usar o daemon KNOCK, para liberar portas sob demanda. Existe alguma maneira de carregar regras dinamicamente no pf, como é feito com o ipfw? -- Cordialmente, Rodolfo Zappa Archive TSP - Total Solution Provider Nosso negócio é garantir que a sua rede de informações não pare! (21) 2567-1842 [EMAIL PROTECTED] http://www.archive.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida PF (mais uma)
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 De uma olhada: http://www.openbsd.org/faq/pf/authpf.html []'s Nadal Não discuta com idiotas, eles te levam ate o nível deles e te vencem por serem experientes +---+ | Anderson Nadal [EMAIL PROTECTED] - RHCE | |Coordenador Tecnico| | Fone: + 55 41 3331 8200 | | FAX: + 55 41 3331 8256 | | OndaRPC | | www.ondarpc.com.br | |Registered Linux User: 56841 | | PGP KEY: www.keyserver.net KEY ID 6ABB668D| +---+ Rodolfo Zappa escreveu: Caros amigos da lista, Eu uso pf para montar minhas regras de firewall, e gostaria de usar o daemon KNOCK, para liberar portas sob demanda. Existe alguma maneira de carregar regras dinamicamente no pf, como é feito com o ipfw? -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org iD8DBQFFQSDKLQAusHT90XQRApakAKCocQUvFkhQZSbERbxHNJHaAnlF6QCdFdHq cfpEUzUtdmqjdrqW31D9+Kc= =AAqA -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida PF (mais uma)
Use anchors (http://www.openbsd.org/faq/pf/anchors.html). Ex do site: ext_if = fxp0 block on $ext_if all pass out on $ext_if all keep state anchor ssh in on $ext_if proto tcp from any to any port 22 # echo pass in from 192.0.2.10 to any | pfctl -a ssh -f - -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd