[FUG-BR] rdr do pf para conexão entrante apenas
Essa aqui é para os mais antigos no PF. :) Pessoal eu tenho essas regras abaixo por causa de uma central telefônica aqui interno. Sendo que acontece o seguinte: desse servidor freebsd se eu tento fazer um csup dos fontes não rola porque as portas geradas de saída estão acima de 1 por default: net.inet.ip.portrange.last: 65535 net.inet.ip.portrange.first: 1 Mudando as confs acima para começar em 1024 e a última ser funciona mas não queria fazer isso. Tudo ocorre porque a resposta para o csup está batendo nas regras abaixo e sendo redirecionadas para o servidor 192.168.8.252. Eu tenho como fazer as regras abaixo para somente novas conexões entrantes ? No Netfilter/IPTables por exemplo isso é padrão para novas conexões mas acredito que no PF também exista alguma maneira do retorno de uma conexão não caír nas regras de rdr. rdr on $ext_if proto udp from any to 10.255.0.12 port 1:65535 - 192.168.8.252 rdr on $ext_if proto tcp from any to 10.255.0.12 port 1:65535 - 192.168.8.252 Grande abraço à todos Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr do pf para conexão entrante apenas
Olá Gondim bom dia. Não seria melhor você criar uma regra especifica para as portas dos serviços do seu PABX? Eu sempre evito criar regras muito genéricas. Você pode determinar conexões entrantes, como no exemplo: pass in on tl0 proto tcp from any to any port 5000:5500 rdr-to 192.168.1.20 port 6000 Segue o link: http://www.openbsd.org/faq/pf/pt/rdr.html [3] Abs Gilliatt On Wed, 27 Jun 2012 10:25:38 -0300, Marcelo Gondim wrote: Essa aqui é para os mais antigos no PF. :) Pessoal eu tenho essas regras abaixo por causa de uma central telefônica aqui interno. Sendo que acontece o seguinte: desse servidor freebsd se eu tento fazer um csup dos fontes não rola porque as portas geradas de saída estão acima de 1 por default: net.inet.ip.portrange.last: 65535 net.inet.ip.portrange.first: 1 Mudando as confs acima para começar em 1024 e a última ser funciona mas não queria fazer isso. Tudo ocorre porque a resposta para o csup está batendo nas regras abaixo e sendo redirecionadas para o servidor 192.168.8.252. Eu tenho como fazer as regras abaixo para somente novas conexões entrantes ? No Netfilter/IPTables por exemplo isso é padrão para novas conexões mas acredito que no PF também exista alguma maneira do retorno de uma conexão não caír nas regras de rdr. rdr on $ext_if proto udp from any to 10.255.0.12 port 1:65535 - 192.168.8.252 rdr on $ext_if proto tcp from any to 10.255.0.12 port 1:65535 - 192.168.8.252 Grande abraço à todos Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ [1] Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd [2] Links: -- [1] http://www.fug.com.br/historico/html/freebsd/ [2] https://www.fug.com.br/mailman/listinfo/freebsd [3] http://www.openbsd.org/faq/pf/pt/rdr.html - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr do pf para conexão entrante apenas
Em 27/06/2012 11:21, gilli...@atriumsp.com.br escreveu: Olá Gondim bom dia. Não seria melhor você criar uma regra especifica para as portas dos serviços do seu PABX? Eu sempre evito criar regras muito genéricas. Você pode determinar conexões entrantes, como no exemplo: pass in on tl0 proto tcp from any to any port 5000:5500 rdr-to 192.168.1.20 port 6000 Pois é mas esse foi o range solicitado pelo técnico da Central por causa do VoIP que segundo ele na hora de transferir uma chamada ele gera uma porta desse range na comunicação. Também gostaria muito de especificar. ;) Mas mesmo especificando ainda existe o problema porque vamos dizer que por um acaso o destino resolva na hora do csup tentar usar a mesma porta pra saída da conexão, aí ainda sim o retorno cairia no rdr e nessa hora falharia a conexão. Queria realmente encontrar uma solução para conexões entrantes no rdr do PF. Isso se agrava porque nessa mesma máquina tem um proxy e devido à isso as chances de ser gerada uma porta de saída igual à do rdr é muito maior. Segue o link: http://www.openbsd.org/faq/pf/pt/rdr.html [3] Vou dar uma olhada nesse link. :) valeu. Abs Gilliatt On Wed, 27 Jun 2012 10:25:38 -0300, Marcelo Gondim wrote: Essa aqui é para os mais antigos no PF. :) Pessoal eu tenho essas regras abaixo por causa de uma central telefônica aqui interno. Sendo que acontece o seguinte: desse servidor freebsd se eu tento fazer um csup dos fontes não rola porque as portas geradas de saída estão acima de 1 por default: net.inet.ip.portrange.last: 65535 net.inet.ip.portrange.first: 1 Mudando as confs acima para começar em 1024 e a última ser funciona mas não queria fazer isso. Tudo ocorre porque a resposta para o csup está batendo nas regras abaixo e sendo redirecionadas para o servidor 192.168.8.252. Eu tenho como fazer as regras abaixo para somente novas conexões entrantes ? No Netfilter/IPTables por exemplo isso é padrão para novas conexões mas acredito que no PF também exista alguma maneira do retorno de uma conexão não caír nas regras de rdr. rdr on $ext_if proto udp from any to 10.255.0.12 port 1:65535 - 192.168.8.252 rdr on $ext_if proto tcp from any to 10.255.0.12 port 1:65535 - 192.168.8.252 Grande abraço à todos Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ [1] Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd [2] Links: -- [1] http://www.fug.com.br/historico/html/freebsd/ [2] https://www.fug.com.br/mailman/listinfo/freebsd [3] http://www.openbsd.org/faq/pf/pt/rdr.html - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr do pf para conexão entrante apenas
Em Qua, 2012-06-27 às 11:32 -0300, Marcelo Gondim escreveu: Em 27/06/2012 11:21, gilli...@atriumsp.com.br escreveu: Olá Gondim bom dia. Não seria melhor você criar uma regra especifica para as portas dos serviços do seu PABX? Eu sempre evito criar regras muito genéricas. Você pode determinar conexões entrantes, como no exemplo: pass in on tl0 proto tcp from any to any port 5000:5500 rdr-to 192.168.1.20 port 6000 Estranho porque o keep-state é padrão no pf desde do 6.x (se não me engano) e poderia sanar esse seu problema... mas de qualquer forma, porque não migra pra subversion ? é que o source do freebsd esta usando agora. http://www.freebsd.org/doc/en_US.ISO8859-1/articles/committers-guide/subversion-primer.html -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr do pf para conexão entrante apenas
Em 27/06/2012 11:52, Luiz Gustavo escreveu: Em Qua, 2012-06-27 às 11:32 -0300, Marcelo Gondim escreveu: Em 27/06/2012 11:21,gilli...@atriumsp.com.br escreveu: Olá Gondim bom dia. Não seria melhor você criar uma regra especifica para as portas dos serviços do seu PABX? Eu sempre evito criar regras muito genéricas. Você pode determinar conexões entrantes, como no exemplo: pass in on tl0 proto tcp from any to any port 5000:5500 rdr-to 192.168.1.20 port 6000 Estranho porque o keep-state é padrão no pf desde do 6.x (se não me engano) e poderia sanar esse seu problema... mas de qualquer forma, porque não migra pra subversion ? é que o source do freebsd esta usando agora. http://www.freebsd.org/doc/en_US.ISO8859-1/articles/committers-guide/subversion-primer.html opa Guga, Ainda caio no mesmo problema. Saca só vou dar nome aos bois pra você ter uma idéia: [ Central Tel. 192.168.8.252 ] - [ 192.168.8.253 Proxy 10.255.0.12 ] -- Internet Olhando agora para essa regra onde em0 é a interface com IP 10.255.0.12: rdr on em0 proto tcp from any to 10.255.0.12 port 1:65535 - 192.168.8.252 Com a regra acima qualquer conexão tcp no IP 10.255.0.12 porta dentro do range entre 1 e 65535 é redirecionado para a mesma porta no 192.168.8.252. Até aqui show de bola e funciona como esperado. Agora se estou no meu notebook atrás desse proxy tentando acessar os sites eu não consigo. Para funcionar preciso colocar a seguinte regra antes da de cima: no rdr on $ext_if proto tcp from any port 1024 to 10.255.0.12 Ficando assim: no rdr on em0 proto tcp from any port 1024 to 10.255.0.12 rdr on em0 proto tcp from any to 10.255.0.12 port 1:65535 - 192.168.8.252 Desse jeito o proxy funciona porque estou dizendo para não redirecionar pacotes cuja porta origem seja menor que 1024. Se eu removo a primeira regra babau a navegação. Só posso deduzir que seja por causa da nova regra da Central. Na minha concepção pacotes retornados de uma conexão feita pelo proxy não deveriam entrar nesse redirect. Estou correto? :) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr do pf para conexão entrante apenas
Consegui visualizar mais ou menos sua rede (eu acho). Acredito que você esteja certo, essas conexões voltando não deveriam entrar no rdr. Mas uma dúvida: não seria mais simples criar mais um IP nessa interface e fazer esse redirecionamento somente nesse novo IP e deixar o IP do proxy apenas para o serviço do proxy? Não digo nem por esse problema, pois quero saber por que ele está acontecendo, falo isso para evitar mais problemas futuros. -- Atenciosamente, Antônio Pessoa - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr do pf para conexão entrante apenas
Em 27/06/2012 21:05, Antônio Pessoa escreveu: Consegui visualizar mais ou menos sua rede (eu acho). Acredito que você esteja certo, essas conexões voltando não deveriam entrar no rdr. Mas uma dúvida: não seria mais simples criar mais um IP nessa interface e fazer esse redirecionamento somente nesse novo IP e deixar o IP do proxy apenas para o serviço do proxy? Não digo nem por esse problema, pois quero saber por que ele está acontecendo, falo isso para evitar mais problemas futuros. Opa Antonio, Sim com um IP só para o redirecionamento fica 100%. Mas realmente fico encucado com isso. Por isso que estou tentando descobrir do porque disso acontecer e se tem solução real. :) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr no pf
parecem estar certas as regras de rdr. qual o problema!? Em 22/07/07, Thiago J. Ruiz[EMAIL PROTECTED] escreveu: http://www.openbsd.org/faq/pf/index.html []´z Em 21/07/07, Lincon Peretto[EMAIL PROTECTED] escreveu: Boa noite a todos, Sou novo no FreeBSD e gostaria de uma ajuda com o seguinte problematenho um firewall em PF e preciso liberar acesso externo para algumas câmeras que tenho na empresa. Dentro da minha rede local está funcionando perfeitamente e para isso me conecto através de um programa que veio com o equipamento. Ele utiliza o IP 192.168.1.100 e as seguintes portas 5000 e 5001. Olhei o histórico da lista e acrescentei o seguinte no meu pf.conf rdr on $ETH_EXT proto tcp from any to any port 5000 - 192.168.1.100 rdr on $ETH_EXT proto tcp from any to any port 5001 - 192.168.1.100 round-robin sticky-address Se alguém puder me ajudar serei muito grato... []'s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Thiago J. Ruiz http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr no pf
Aqui também uso sistemas de câmera e com acesso pela web... Geovision... tive o mesmo problema com o rdr... mas no meu caso é porque a máquina da câmera não estava com o gateway setado para o freebsd... quando coloquei o gateway a máquina funcionou... bem estranho já que a máquina da câmera e o freebsd estão na mesma rede... mas vi que só funciona nessas condições... até com outros programas, como os de acesso remoto (vnc/radmin). As regras estão realmente corretas... no meu não tem esse round-robin... # Geovision (MultPoint) rdr on sis0 proto tcp from any to any port 81 - \ 192.168.0.111 rdr on sis0 proto tcp from any to any port 4550 - \ 192.168.0.111 rdr on sis0 proto tcp from any to any port 5550 - \ 192.168.0.111 Sem mais, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Lutieri G. [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, July 23, 2007 7:59 AM Subject: Re: [FUG-BR] rdr no pf parecem estar certas as regras de rdr. qual o problema!? Em 22/07/07, Thiago J. Ruiz[EMAIL PROTECTED] escreveu: http://www.openbsd.org/faq/pf/index.html []´z Em 21/07/07, Lincon Peretto[EMAIL PROTECTED] escreveu: Boa noite a todos, Sou novo no FreeBSD e gostaria de uma ajuda com o seguinte problematenho um firewall em PF e preciso liberar acesso externo para algumas câmeras que tenho na empresa. Dentro da minha rede local está funcionando perfeitamente e para isso me conecto através de um programa que veio com o equipamento. Ele utiliza o IP 192.168.1.100 e as seguintes portas 5000 e 5001. Olhei o histórico da lista e acrescentei o seguinte no meu pf.conf rdr on $ETH_EXT proto tcp from any to any port 5000 - 192.168.1.100 rdr on $ETH_EXT proto tcp from any to any port 5001 - 192.168.1.100 round-robin sticky-address Se alguém puder me ajudar serei muito grato... []'s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Thiago J. Ruiz http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] rdr no pf
http://www.openbsd.org/faq/pf/index.html []´z Em 21/07/07, Lincon Peretto[EMAIL PROTECTED] escreveu: Boa noite a todos, Sou novo no FreeBSD e gostaria de uma ajuda com o seguinte problematenho um firewall em PF e preciso liberar acesso externo para algumas câmeras que tenho na empresa. Dentro da minha rede local está funcionando perfeitamente e para isso me conecto através de um programa que veio com o equipamento. Ele utiliza o IP 192.168.1.100 e as seguintes portas 5000 e 5001. Olhei o histórico da lista e acrescentei o seguinte no meu pf.conf rdr on $ETH_EXT proto tcp from any to any port 5000 - 192.168.1.100 rdr on $ETH_EXT proto tcp from any to any port 5001 - 192.168.1.100 round-robin sticky-address Se alguém puder me ajudar serei muito grato... []'s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Thiago J. Ruiz http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] rdr no pf
Boa noite a todos, Sou novo no FreeBSD e gostaria de uma ajuda com o seguinte problematenho um firewall em PF e preciso liberar acesso externo para algumas câmeras que tenho na empresa. Dentro da minha rede local está funcionando perfeitamente e para isso me conecto através de um programa que veio com o equipamento. Ele utiliza o IP 192.168.1.100 e as seguintes portas 5000 e 5001. Olhei o histórico da lista e acrescentei o seguinte no meu pf.conf rdr on $ETH_EXT proto tcp from any to any port 5000 - 192.168.1.100 rdr on $ETH_EXT proto tcp from any to any port 5001 - 192.168.1.100 round-robin sticky-address Se alguém puder me ajudar serei muito grato... []'s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR no PF
Em 26/06/07, Lutieri G.[EMAIL PROTECTED] escreveu: Eu já encontrei o problema era a máquina com o serviço de ftp que estava com o default gateway errado. Mas já testei e não funciona rdr PASS. até há algum tempo havíamos discutido isso na lista. obrigado a todos! Em 26/06/07, Thiago J. Ruiz[EMAIL PROTECTED] escreveu: experimenta rdr pass on . gera mantem o estado automaticamente liberando a inda e a vinda da conexao (Se eu estiver falando groselha me corrijam), mas pra mim funciona em vários servidores. abraço Em 26/06/07, Lutieri G.[EMAIL PROTECTED] escreveu: To montando um firewall e está assim: srv# pfctl -sn No ALTQ support in kernel ALTQ related functions disabled nat pass on em1 inet all - 201.xx.xx.161 rdr on em1 inet proto tcp from any to 201.xx.xx.161 port = ftp - 172.16.4.2 port 21 srv# srv# pfctl -sr No ALTQ support in kernel ALTQ related functions disabled pass in all keep state pass out all keep state pass in on em0 inet proto tcp from acessolocal to 172.16.4.240 port = ssh keep state srv# Empaquei aqui. Olha a situação: eu estou na máquina 201.xx.x.5(uma máquina na internet) tentando acessar o firewall(201.xx.xx.161) que deveria redirecionar a conexao ftp para 172.16.4.2. Não vai de jeito nenhum ... cheguei a liberar tudo pra ver se funciona e nada. Li nos histórico da lista mas não encontrei a solução, não pro meu caso. O mais interessantes é que as regras estão passado pelos filtros. Pois quando eu vou na estação quem tá rodando o ftp(172.16.4.2) e rodo o tcpdump eu vejo pacotes vindos do IP remoto de onde eu tento acessar. local# tcpdump -n host 201.xx.x.5 13:52:13.368172 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10779497[|tcp] 13:52:16.348249 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10779795[|tcp] 13:52:17.361694 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10779897[|tcp] 13:52:23.361246 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10780497[|tcp] 13:52:35.560319 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10781717[|tcp] 13:52:59.558496 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10784117[|tcp] Porém me parece, talvez eu esteja errado(tomara que sim), que a estação 172.16.4.2 está enviando pacotes SYN para a máquina remota 201.xx.x.5. e mais estranho que eu num vejo os pacotes vindo da máquina externa só indo para ela. Alguma sugestão? É incrível mas tem meia dúzia de linhas e não funciona... por favor se alguém puder ajudar fico grato. -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Thiago J. Ruiz http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd da uma olhda aki ver se servi rdr on $ext_if proto tcp from 200.221.2.0/24 to any port 80 - 192.168.0.0/24 rdr on $ext_if proto tcp from 200.221.5.0/24 to any port 80 - 192.168.0.0/24 rdr on $ext_if proto tcp from 200.221.8.0/24 to any port 80 - 192.168.0.0/24 rdr on $ext_if proto tcp from 200.221.5.0/24 to any port 80 - 192.168.0.0/24 rdr on $ext_if proto tcp from 200.221.8.0/24 to any port 80 - 192.168.0.0/2 rdr on $int_if proto tcp from any to any port 80 - 192.168.0.252 port 3128 rdr on $ext_if proto tcp from any to any port 6300 - 192.168.0.250 rdr on $ext_if proto tcp from any to any port 3389 - 192.168.0.250 nat on $ext_if from $int_if:network to any - ($ext_if) rdr on $ext_if proto tcp from any to any port 6300 - 192.168.0.250 \ round-robin sticky-address -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR no PF
Amigos, o ftp como todos sabem (ou deveriam) não funciona bem atrás de nat. Será necessario configurar o ftp-proxy na porta 21 da maquina de firewall e mais os anchors on-the-fly. Neste caso, o firewall deve redirecionar tráfego para o servidor FTP além de não bloquear as portas necessárias. Para conseguir isto, voltamos para o ftp-proxy(8). O ftp-proxy(8) pode rodar em um modo que faz com que ele redirecione todas as conexões FTP para um servidor FTP específico. Basicamente configuramos o proxy para escutar na porta 21 no firewall e redirecionamos todas as conexões de volta para o servidor. Edite o /etc/rc.conf e adicione o seguinte: inetd_enable=YES inetd_flags=-wW -C 60 Aqui ativamos o servidor inetd. Agora precisamos incializa-lo : /etc/rc.d/inetd start Edite o arquivo /etc/inetd.conf e adicione ao final do arquivo a seguinte linha : ftp stream tcp nowait root/usr/libexec/ftp-proxy ftp-proxy -R 10.10.10.1:21 -a 192.168.0.1 Aqui 10.10.10.1 é o endereço IP do atual servidor FTP, 21 é a porta para onde queremos que o ftp-proxy(8) redirecione as conexões e 192.168.0.1 é o endereço no firewall para o proxy (endereço externo). Agora para as regras pf.conf: ext_ip = 192.168.0.1 ftp_ip = 10.10.10.1 nat-anchor ftp-proxy/* nat on $ext_if inet from $int_if - ($ext_if) rdr-anchor ftp-proxy/* pass in on $ext_if inet proto tcp to $ext_ip port 21 \ flags S/SA keep state pass out on $int_if inet proto tcp to $ftp_ip port 21 \ user proxy flags S/SA keep state anchor ftp-proxy/* Aqui nós permitimos a conexão para a porta 21 na interface externa bem como a conexão de saída correspondente para o servidor FTP. O üser proxy na regra de saída garante que apenas as conexões iniciadas pelo ftp-proxy(8) sejam permitidas. Note que se você quer rodar o ftp-proxy(8) para proteger um servidor FTP bem como permitir clientes fazer FTP para fora do firewall, duas instâncias do ftp-proxy serão necessarias. Referencia: http://www.openbsd.org/faq/pf/pt/ftp.html []'s. On Wed, 2007-06-27 at 10:51 +, Alessandro de Souza Rocha wrote: Em 26/06/07, Lutieri G.[EMAIL PROTECTED] escreveu: Eu já encontrei o problema era a máquina com o serviço de ftp que estava com o default gateway errado. Mas já testei e não funciona rdr PASS. até há algum tempo havíamos discutido isso na lista. obrigado a todos! Em 26/06/07, Thiago J. Ruiz[EMAIL PROTECTED] escreveu: experimenta rdr pass on . gera mantem o estado automaticamente liberando a inda e a vinda da conexao (Se eu estiver falando groselha me corrijam), mas pra mim funciona em vários servidores. abraço Em 26/06/07, Lutieri G.[EMAIL PROTECTED] escreveu: To montando um firewall e está assim: srv# pfctl -sn No ALTQ support in kernel ALTQ related functions disabled nat pass on em1 inet all - 201.xx.xx.161 rdr on em1 inet proto tcp from any to 201.xx.xx.161 port = ftp - 172.16.4.2 port 21 srv# srv# pfctl -sr No ALTQ support in kernel ALTQ related functions disabled pass in all keep state pass out all keep state pass in on em0 inet proto tcp from acessolocal to 172.16.4.240 port = ssh keep state srv# Empaquei aqui. Olha a situação: eu estou na máquina 201.xx.x.5(uma máquina na internet) tentando acessar o firewall(201.xx.xx.161) que deveria redirecionar a conexao ftp para 172.16.4.2. Não vai de jeito nenhum ... cheguei a liberar tudo pra ver se funciona e nada. Li nos histórico da lista mas não encontrei a solução, não pro meu caso. O mais interessantes é que as regras estão passado pelos filtros. Pois quando eu vou na estação quem tá rodando o ftp(172.16.4.2) e rodo o tcpdump eu vejo pacotes vindos do IP remoto de onde eu tento acessar. local# tcpdump -n host 201.xx.x.5 13:52:13.368172 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10779497[|tcp] 13:52:16.348249 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10779795[|tcp] 13:52:17.361694 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10779897[|tcp] 13:52:23.361246 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10780497[|tcp] 13:52:35.560319 IP 172.16.4.2.21 201.xx.x.5.51007: S
[FUG-BR] RDR no PF
To montando um firewall e está assim: srv# pfctl -sn No ALTQ support in kernel ALTQ related functions disabled nat pass on em1 inet all - 201.xx.xx.161 rdr on em1 inet proto tcp from any to 201.xx.xx.161 port = ftp - 172.16.4.2 port 21 srv# srv# pfctl -sr No ALTQ support in kernel ALTQ related functions disabled pass in all keep state pass out all keep state pass in on em0 inet proto tcp from acessolocal to 172.16.4.240 port = ssh keep state srv# Empaquei aqui. Olha a situação: eu estou na máquina 201.xx.x.5(uma máquina na internet) tentando acessar o firewall(201.xx.xx.161) que deveria redirecionar a conexao ftp para 172.16.4.2. Não vai de jeito nenhum ... cheguei a liberar tudo pra ver se funciona e nada. Li nos histórico da lista mas não encontrei a solução, não pro meu caso. O mais interessantes é que as regras estão passado pelos filtros. Pois quando eu vou na estação quem tá rodando o ftp(172.16.4.2) e rodo o tcpdump eu vejo pacotes vindos do IP remoto de onde eu tento acessar. local# tcpdump -n host 201.xx.x.5 13:52:13.368172 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10779497[|tcp] 13:52:16.348249 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10779795[|tcp] 13:52:17.361694 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10779897[|tcp] 13:52:23.361246 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10780497[|tcp] 13:52:35.560319 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10781717[|tcp] 13:52:59.558496 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10784117[|tcp] Porém me parece, talvez eu esteja errado(tomara que sim), que a estação 172.16.4.2 está enviando pacotes SYN para a máquina remota 201.xx.x.5. e mais estranho que eu num vejo os pacotes vindo da máquina externa só indo para ela. Alguma sugestão? É incrível mas tem meia dúzia de linhas e não funciona... por favor se alguém puder ajudar fico grato. -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR no PF
experimenta rdr pass on . gera mantem o estado automaticamente liberando a inda e a vinda da conexao (Se eu estiver falando groselha me corrijam), mas pra mim funciona em vários servidores. abraço Em 26/06/07, Lutieri G.[EMAIL PROTECTED] escreveu: To montando um firewall e está assim: srv# pfctl -sn No ALTQ support in kernel ALTQ related functions disabled nat pass on em1 inet all - 201.xx.xx.161 rdr on em1 inet proto tcp from any to 201.xx.xx.161 port = ftp - 172.16.4.2 port 21 srv# srv# pfctl -sr No ALTQ support in kernel ALTQ related functions disabled pass in all keep state pass out all keep state pass in on em0 inet proto tcp from acessolocal to 172.16.4.240 port = ssh keep state srv# Empaquei aqui. Olha a situação: eu estou na máquina 201.xx.x.5(uma máquina na internet) tentando acessar o firewall(201.xx.xx.161) que deveria redirecionar a conexao ftp para 172.16.4.2. Não vai de jeito nenhum ... cheguei a liberar tudo pra ver se funciona e nada. Li nos histórico da lista mas não encontrei a solução, não pro meu caso. O mais interessantes é que as regras estão passado pelos filtros. Pois quando eu vou na estação quem tá rodando o ftp(172.16.4.2) e rodo o tcpdump eu vejo pacotes vindos do IP remoto de onde eu tento acessar. local# tcpdump -n host 201.xx.x.5 13:52:13.368172 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10779497[|tcp] 13:52:16.348249 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10779795[|tcp] 13:52:17.361694 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10779897[|tcp] 13:52:23.361246 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10780497[|tcp] 13:52:35.560319 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10781717[|tcp] 13:52:59.558496 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10784117[|tcp] Porém me parece, talvez eu esteja errado(tomara que sim), que a estação 172.16.4.2 está enviando pacotes SYN para a máquina remota 201.xx.x.5. e mais estranho que eu num vejo os pacotes vindo da máquina externa só indo para ela. Alguma sugestão? É incrível mas tem meia dúzia de linhas e não funciona... por favor se alguém puder ajudar fico grato. -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Thiago J. Ruiz http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RDR no PF
Eu já encontrei o problema era a máquina com o serviço de ftp que estava com o default gateway errado. Mas já testei e não funciona rdr PASS. até há algum tempo havíamos discutido isso na lista. obrigado a todos! Em 26/06/07, Thiago J. Ruiz[EMAIL PROTECTED] escreveu: experimenta rdr pass on . gera mantem o estado automaticamente liberando a inda e a vinda da conexao (Se eu estiver falando groselha me corrijam), mas pra mim funciona em vários servidores. abraço Em 26/06/07, Lutieri G.[EMAIL PROTECTED] escreveu: To montando um firewall e está assim: srv# pfctl -sn No ALTQ support in kernel ALTQ related functions disabled nat pass on em1 inet all - 201.xx.xx.161 rdr on em1 inet proto tcp from any to 201.xx.xx.161 port = ftp - 172.16.4.2 port 21 srv# srv# pfctl -sr No ALTQ support in kernel ALTQ related functions disabled pass in all keep state pass out all keep state pass in on em0 inet proto tcp from acessolocal to 172.16.4.240 port = ssh keep state srv# Empaquei aqui. Olha a situação: eu estou na máquina 201.xx.x.5(uma máquina na internet) tentando acessar o firewall(201.xx.xx.161) que deveria redirecionar a conexao ftp para 172.16.4.2. Não vai de jeito nenhum ... cheguei a liberar tudo pra ver se funciona e nada. Li nos histórico da lista mas não encontrei a solução, não pro meu caso. O mais interessantes é que as regras estão passado pelos filtros. Pois quando eu vou na estação quem tá rodando o ftp(172.16.4.2) e rodo o tcpdump eu vejo pacotes vindos do IP remoto de onde eu tento acessar. local# tcpdump -n host 201.xx.x.5 13:52:13.368172 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10779497[|tcp] 13:52:16.348249 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10779795[|tcp] 13:52:17.361694 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10779897[|tcp] 13:52:23.361246 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10780497[|tcp] 13:52:35.560319 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10781717[|tcp] 13:52:59.558496 IP 172.16.4.2.21 201.xx.x.5.51007: S 1550150509:1550150509(0) ack 2596759555 win 5792 mss 1460,sackOK,timestamp 10784117[|tcp] Porém me parece, talvez eu esteja errado(tomara que sim), que a estação 172.16.4.2 está enviando pacotes SYN para a máquina remota 201.xx.x.5. e mais estranho que eu num vejo os pacotes vindo da máquina externa só indo para ela. Alguma sugestão? É incrível mas tem meia dúzia de linhas e não funciona... por favor se alguém puder ajudar fico grato. -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Thiago J. Ruiz http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
