Re: [FUG-BR] firewall e sessão SSH

2014-04-30 Por tôpico Nicolas Wildner
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > 
> > +2. Uso o tmux como padrão com as funções mapeadas pra
> >  + F e deixo o screen em borda de filial como
> > coeficiente de cagaço para acesso a portas seriais de
> > ativos de rede que precisam ser configurados.
> > 
> > screen /dev/ttyU0 9600
> > 
> > Aí o  + F fica no tmux e o  + A no
> > screen :)
> 
> O padrão do tmux é ctrl+b, então nem teria a necessidade de
> alterar...
> 
> --
> Renato Botelho
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 

Apenas por uma questão de conforto ;)
Diversos splits por dia(Control + F, Shift + %) e menos
"abertura" de dedos.


Nícolas Wildner
Analista de Infraestrutura de TI
Transportes Bertolini Ltda.
www.tbl.com.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] firewall e sessão SSH

2014-04-30 Por tôpico Renato Botelho
On Tuesday, April 29, 2014 06:06:59 PM Nicolas Wildner wrote:
> - Mensagem original -
> 
> > De: "Renato Botelho" 
> > Para: Freebsd@fug.com.br
> > Cc: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> >  Enviadas: Terça-feira, 29 de Abril de 2014 17:01:35
> > Assunto: Re: [FUG-BR] firewall e sessão SSH
> > 
> > On Tuesday, April 29, 2014 04:48:10 PM Rafael Henrique Faria wrote:
> > > 2014-04-29 16:43 GMT-03:00 Márcio Elias :
> > > > Certeza que isso funciona? tive problemas a algum tempo e nunca
> > > > mais
> > > > testei...
> > > > 
> > > > --
> > > > Att.
> > > > __
> > > > Márcio Elias Hahn do Nascimento
> > > > 
> > > > Bacharel em Tecnologias da Informação e Comunicação - TIC
> > > > Cel:   (55) 48-8469-1819
> > > > Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
> > > > Skype: marcioeliash...@hotmail.com
> > > > FreeBSD - The Power To Serve
> > > > 
> > > > 2014-04-29 6:17 GMT-03:00 Wenderson Souza
> > > > 
> > > > :
> > > >> Em terça-feira, 29 de abril de 2014, Paulo Henrique - BSDs
> > > >> Brasil <
> > > >> 
> > > >> paulo.rd...@bsd.com.br> escreveu:
> > > >> > Em 29/04/2014 01:01, Márcio Elias escreveu:
> > > >> > > 2014-04-29 0:22 GMT-03:00 Renato Sousa  > > >> 
> > > >> 
> > > >> 
> > > >> > >> Boa noite a todos,
> > > >> > >> 
> > > >> > >> Estou implementando um firewall para um dos servidores
> > > >> > >> FreeBSD que
> > > >> > >> administro.  Alterei o script padrão (/etc/rc.firewall) com
> > > >> > >> as
> > > >> > >> regras
> > > >> > 
> > > >> > que
> > > >> > 
> > > >> > >> necessito utilizando firewall_type=client no arquivo
> > > >> > >> /etc/rc.conf
> > > >> > >> Toda vez que vou rodar o firewall para testar minha sessão
> > > >> > >> ssh é
> > > >> > 
> > > >> > terminada
> > > >> > 
> > > >> > >> e quando vejo na maquina fisicamente o firewall só tem a
> > > >> > >> ultima
> > > >> > >> regra
> > > >> > >> dropando todas as conexões.
> > > >> > >> Observei melhor e notei que a sessão trava quando o comando
> > > >> > >> ipfw -f
> > > >> > >> é
> > > >> > >> executado, limpando todas as regras e deixando a ultima
> > > >> > >> regra fixa
> > > >> > >> de
> > > >> > 
> > > >> > drop.
> > > >> > 
> > > >> > >> Lembro-me que já utilizei esse script em versões anteriores
> > > >> > >> do
> > > >> 
> > > >> FreeBSD e
> > > >> 
> > > >> > >> funcionava legal.  Como fazer para que o resto do script
> > > >> > >> seja
> > > >> 
> > > >> executado
> > > >> 
> > > >> > e o
> > > >> > 
> > > >> > >> comando " ${fwcmd} add pass tcp from any to any
> > > >> > >> established" garanta
> > > >> > >> o
> > > >> > >> funcionamento da sessão em andamento ?
> > > >> > >> 
> > > >> > >> Abraços,
> > > >> > >> 
> > > >> > >> Renato
> > > >> > >> -
> > > >> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > >> > >> Sair da lista:
> > > >> > >> https://www.fug.com.br/mailman/listinfo/freebsd
> > > >> > > 
> > > >> > > O que acontece é que quando vc executa um flush via ssh,
> > > >> > > antes de ele
> > > >> > > recarregar as regras ele já matou sua sessão e o comando de
> > > >> > 
> > > >> > reinicialização
> > > >> > 
> > > >> > > do firewall atrelado a e

Re: [FUG-BR] firewall e sessão SSH

2014-04-29 Por tôpico Nicolas Wildner
- Mensagem original -
> De: "Renato Botelho" 
> Para: Freebsd@fug.com.br
> Cc: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
> 
> Enviadas: Terça-feira, 29 de Abril de 2014 17:01:35
> Assunto: Re: [FUG-BR] firewall e sessão SSH
> 
> On Tuesday, April 29, 2014 04:48:10 PM Rafael Henrique Faria wrote:
> > 2014-04-29 16:43 GMT-03:00 Márcio Elias :
> > > Certeza que isso funciona? tive problemas a algum tempo e nunca
> > > mais
> > > testei...
> > > 
> > > --
> > > Att.
> > > __
> > > Márcio Elias Hahn do Nascimento
> > > 
> > > Bacharel em Tecnologias da Informação e Comunicação - TIC
> > > Cel:   (55) 48-8469-1819
> > > Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
> > > Skype: marcioeliash...@hotmail.com
> > > FreeBSD - The Power To Serve
> > > 
> > > 2014-04-29 6:17 GMT-03:00 Wenderson Souza
> > > :
> > >> Em terça-feira, 29 de abril de 2014, Paulo Henrique - BSDs
> > >> Brasil <
> > >> 
> > >> paulo.rd...@bsd.com.br> escreveu:
> > >> > Em 29/04/2014 01:01, Márcio Elias escreveu:
> > >> > > 2014-04-29 0:22 GMT-03:00 Renato Sousa  > >> 
> > >> 
> > >> 
> > >> > >> Boa noite a todos,
> > >> > >> 
> > >> > >> Estou implementando um firewall para um dos servidores
> > >> > >> FreeBSD que
> > >> > >> administro.  Alterei o script padrão (/etc/rc.firewall) com
> > >> > >> as
> > >> > >> regras
> > >> > 
> > >> > que
> > >> > 
> > >> > >> necessito utilizando firewall_type=client no arquivo
> > >> > >> /etc/rc.conf
> > >> > >> Toda vez que vou rodar o firewall para testar minha sessão
> > >> > >> ssh é
> > >> > 
> > >> > terminada
> > >> > 
> > >> > >> e quando vejo na maquina fisicamente o firewall só tem a
> > >> > >> ultima
> > >> > >> regra
> > >> > >> dropando todas as conexões.
> > >> > >> Observei melhor e notei que a sessão trava quando o comando
> > >> > >> ipfw -f
> > >> > >> é
> > >> > >> executado, limpando todas as regras e deixando a ultima
> > >> > >> regra fixa
> > >> > >> de
> > >> > 
> > >> > drop.
> > >> > 
> > >> > >> Lembro-me que já utilizei esse script em versões anteriores
> > >> > >> do
> > >> 
> > >> FreeBSD e
> > >> 
> > >> > >> funcionava legal.  Como fazer para que o resto do script
> > >> > >> seja
> > >> 
> > >> executado
> > >> 
> > >> > e o
> > >> > 
> > >> > >> comando " ${fwcmd} add pass tcp from any to any
> > >> > >> established" garanta
> > >> > >> o
> > >> > >> funcionamento da sessão em andamento ?
> > >> > >> 
> > >> > >> Abraços,
> > >> > >> 
> > >> > >> Renato
> > >> > >> -
> > >> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >> > >> Sair da lista:
> > >> > >> https://www.fug.com.br/mailman/listinfo/freebsd
> > >> > > 
> > >> > > O que acontece é que quando vc executa um flush via ssh,
> > >> > > antes de ele
> > >> > > recarregar as regras ele já matou sua sessão e o comando de
> > >> > 
> > >> > reinicialização
> > >> > 
> > >> > > do firewall atrelado a ela tmb.
> > >> > > 
> > >> > > Coloca isso na sua configuração de kernel:
> > >> > > 
> > >> > > options IPFIREWALL_DEFAULT_TO_ACCEPT
> > >> > > 
> > >> > > Com isso vc sempre terá a regra 65535 allow all from any to
> > >> > > any,
> > >> > > mesmo
> > >> > > rodando um ipfw -f flush. Durante aqueles instantes que o
> > >> > > seu script
> > >> 
>

Re: [FUG-BR] firewall e sessão SSH

2014-04-29 Por tôpico Renato Botelho
On Tuesday, April 29, 2014 04:48:10 PM Rafael Henrique Faria wrote:
> 2014-04-29 16:43 GMT-03:00 Márcio Elias :
> > Certeza que isso funciona? tive problemas a algum tempo e nunca mais
> > testei...
> > 
> > --
> > Att.
> > __
> > Márcio Elias Hahn do Nascimento
> > 
> > Bacharel em Tecnologias da Informação e Comunicação - TIC
> > Cel:   (55) 48-8469-1819
> > Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
> > Skype: marcioeliash...@hotmail.com
> > FreeBSD - The Power To Serve
> > 
> > 2014-04-29 6:17 GMT-03:00 Wenderson Souza :
> >> Em terça-feira, 29 de abril de 2014, Paulo Henrique - BSDs Brasil <
> >> 
> >> paulo.rd...@bsd.com.br> escreveu:
> >> > Em 29/04/2014 01:01, Márcio Elias escreveu:
> >> > > 2014-04-29 0:22 GMT-03:00 Renato Sousa  >> 
> >> 
> >> 
> >> > >> Boa noite a todos,
> >> > >> 
> >> > >> Estou implementando um firewall para um dos servidores FreeBSD que
> >> > >> administro.  Alterei o script padrão (/etc/rc.firewall) com as
> >> > >> regras
> >> > 
> >> > que
> >> > 
> >> > >> necessito utilizando firewall_type=client no arquivo /etc/rc.conf
> >> > >> Toda vez que vou rodar o firewall para testar minha sessão ssh é
> >> > 
> >> > terminada
> >> > 
> >> > >> e quando vejo na maquina fisicamente o firewall só tem a ultima
> >> > >> regra
> >> > >> dropando todas as conexões.
> >> > >> Observei melhor e notei que a sessão trava quando o comando ipfw -f
> >> > >> é
> >> > >> executado, limpando todas as regras e deixando a ultima regra fixa
> >> > >> de
> >> > 
> >> > drop.
> >> > 
> >> > >> Lembro-me que já utilizei esse script em versões anteriores do
> >> 
> >> FreeBSD e
> >> 
> >> > >> funcionava legal.  Como fazer para que o resto do script seja
> >> 
> >> executado
> >> 
> >> > e o
> >> > 
> >> > >> comando " ${fwcmd} add pass tcp from any to any established" garanta
> >> > >> o
> >> > >> funcionamento da sessão em andamento ?
> >> > >> 
> >> > >> Abraços,
> >> > >> 
> >> > >> Renato
> >> > >> -
> >> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> > > 
> >> > > O que acontece é que quando vc executa um flush via ssh, antes de ele
> >> > > recarregar as regras ele já matou sua sessão e o comando de
> >> > 
> >> > reinicialização
> >> > 
> >> > > do firewall atrelado a ela tmb.
> >> > > 
> >> > > Coloca isso na sua configuração de kernel:
> >> > > 
> >> > > options IPFIREWALL_DEFAULT_TO_ACCEPT
> >> > > 
> >> > > Com isso vc sempre terá a regra 65535 allow all from any to any,
> >> > > mesmo
> >> > > rodando um ipfw -f flush. Durante aqueles instantes que o seu script
> >> 
> >> está
> >> 
> >> > > aplicando as regras, seu firewall estará todo aberto, não chega a ser
> >> 
> >> um
> >> 
> >> > > problema já que é por um período muito curto de tempo, e sua sessão
> >> > > ssh
> >> > 
> >> > não
> >> > 
> >> > > vai cair.
> >> > > 
> >> > > Ai se vc quer aplicar uma politica de negação por padrão, acrescente
> >> > > no
> >> > 
> >> > seu
> >> > 
> >> > > script de firewall uma regra tipo:
> >> > > 
> >> > > ${fwcmd} add 65534 deny all from any to any
> >> > 
> >> > Ou para manter ainda a politica padrão do firewall para denied nada
> >> > mais
> >> > simples e confortavel que um belo shell
> >> > 
> >> > ipfw -f && /etc/rc.d/ipfw start
> >> > 
> >> > ou mais simples ainda,
> >> > 
> >> > Caso tenha configurado corretamente as variaveis do seu /etc/rc.conf
> >> > 
> >> > basta um /etc/rc.d/ipfw restart
> >> > 
> >> > Que ele mesmo irá dar um flush e carregar suas regras.
> >> > 
> >> > Att.
> >> > 
> >> > --
> >> > Paulo Henrique.
> >> > Grupo de Usuários do FreeBSD no Brasil.
> >> > Fone: (21) 96713-5042
> >> > 
> >> > -
> >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> 
> >> Isso mesmo, geralmente faço pelo service ipfw restart
> >> 
> >> 
> >> --
> >> Atenciosamente,
> >> 
> >> Wenderson Souza - wendersonso...@gmail.com
> >> Gerente de TI - 6P Telecom
> >> +55 (43) 3235-1720 Oi Fixo
> >> +55 (43) 9162-4333 Vivo Mobile
> >> Skype: wendersonsouza
> >> -
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > 
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
> Para resolver esses problemas com quedas de link, eu passei a usar o
> screen. E hoje eu não sei como fiquei tanto tempo se usar ele.
> Além de quebrar um galho quando tem uma desconexão, quando cai o link,
> ou qualquer coisa do tipo, no meio de uma compilação ou outras coisas,
> até mesmo poder continuar algum trabalho de casa, de algo que eu
> comecei no computador do trabalho.

+1, só que ao invés de screen uso o tmux, que é BSD e melhor estruturado que o

Re: [FUG-BR] firewall e sessão SSH

2014-04-29 Por tôpico Rafael Henrique Faria
2014-04-29 16:43 GMT-03:00 Márcio Elias :
> Certeza que isso funciona? tive problemas a algum tempo e nunca mais
> testei...
>
> --
> Att.
> __
> Márcio Elias Hahn do Nascimento
>
> Bacharel em Tecnologias da Informação e Comunicação - TIC
> Cel:   (55) 48-8469-1819
> Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
> Skype: marcioeliash...@hotmail.com
> FreeBSD - The Power To Serve
>
>
> 2014-04-29 6:17 GMT-03:00 Wenderson Souza :
>
>> Em terça-feira, 29 de abril de 2014, Paulo Henrique - BSDs Brasil <
>> paulo.rd...@bsd.com.br> escreveu:
>>
>> >
>> > Em 29/04/2014 01:01, Márcio Elias escreveu:
>> > > 2014-04-29 0:22 GMT-03:00 Renato Sousa > 
>> > >:
>> > >
>> > >> Boa noite a todos,
>> > >>
>> > >> Estou implementando um firewall para um dos servidores FreeBSD que
>> > >> administro.  Alterei o script padrão (/etc/rc.firewall) com as regras
>> > que
>> > >> necessito utilizando firewall_type=client no arquivo /etc/rc.conf
>> > >> Toda vez que vou rodar o firewall para testar minha sessão ssh é
>> > terminada
>> > >> e quando vejo na maquina fisicamente o firewall só tem a ultima regra
>> > >> dropando todas as conexões.
>> > >> Observei melhor e notei que a sessão trava quando o comando ipfw -f é
>> > >> executado, limpando todas as regras e deixando a ultima regra fixa de
>> > drop.
>> > >> Lembro-me que já utilizei esse script em versões anteriores do
>> FreeBSD e
>> > >> funcionava legal.  Como fazer para que o resto do script seja
>> executado
>> > e o
>> > >> comando " ${fwcmd} add pass tcp from any to any established" garanta o
>> > >> funcionamento da sessão em andamento ?
>> > >>
>> > >> Abraços,
>> > >>
>> > >> Renato
>> > >> -
>> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> > >>
>> > > O que acontece é que quando vc executa um flush via ssh, antes de ele
>> > > recarregar as regras ele já matou sua sessão e o comando de
>> > reinicialização
>> > > do firewall atrelado a ela tmb.
>> > >
>> > > Coloca isso na sua configuração de kernel:
>> > >
>> > > options IPFIREWALL_DEFAULT_TO_ACCEPT
>> > >
>> > > Com isso vc sempre terá a regra 65535 allow all from any to any, mesmo
>> > > rodando um ipfw -f flush. Durante aqueles instantes que o seu script
>> está
>> > > aplicando as regras, seu firewall estará todo aberto, não chega a ser
>> um
>> > > problema já que é por um período muito curto de tempo, e sua sessão ssh
>> > não
>> > > vai cair.
>> > >
>> > > Ai se vc quer aplicar uma politica de negação por padrão, acrescente no
>> > seu
>> > > script de firewall uma regra tipo:
>> > >
>> > > ${fwcmd} add 65534 deny all from any to any
>> > >
>> > Ou para manter ainda a politica padrão do firewall para denied nada mais
>> > simples e confortavel que um belo shell
>> >
>> > ipfw -f && /etc/rc.d/ipfw start
>> >
>> > ou mais simples ainda,
>> >
>> > Caso tenha configurado corretamente as variaveis do seu /etc/rc.conf
>> >
>> > basta um /etc/rc.d/ipfw restart
>> >
>> > Que ele mesmo irá dar um flush e carregar suas regras.
>> >
>> > Att.
>> >
>> > --
>> > Paulo Henrique.
>> > Grupo de Usuários do FreeBSD no Brasil.
>> > Fone: (21) 96713-5042
>> >
>> > -
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >
>>
>> Isso mesmo, geralmente faço pelo service ipfw restart
>>
>>
>> --
>> Atenciosamente,
>>
>> Wenderson Souza - wendersonso...@gmail.com
>> Gerente de TI - 6P Telecom
>> +55 (43) 3235-1720 Oi Fixo
>> +55 (43) 9162-4333 Vivo Mobile
>> Skype: wendersonsouza
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Para resolver esses problemas com quedas de link, eu passei a usar o
screen. E hoje eu não sei como fiquei tanto tempo se usar ele.
Além de quebrar um galho quando tem uma desconexão, quando cai o link,
ou qualquer coisa do tipo, no meio de uma compilação ou outras coisas,
até mesmo poder continuar algum trabalho de casa, de algo que eu
comecei no computador do trabalho.

-- 
Rafael Henrique da Silva Faria
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] firewall e sessão SSH

2014-04-29 Por tôpico Márcio Elias
Certeza que isso funciona? tive problemas a algum tempo e nunca mais
testei...

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel:   (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve


2014-04-29 6:17 GMT-03:00 Wenderson Souza :

> Em terça-feira, 29 de abril de 2014, Paulo Henrique - BSDs Brasil <
> paulo.rd...@bsd.com.br> escreveu:
>
> >
> > Em 29/04/2014 01:01, Márcio Elias escreveu:
> > > 2014-04-29 0:22 GMT-03:00 Renato Sousa  
> > >:
> > >
> > >> Boa noite a todos,
> > >>
> > >> Estou implementando um firewall para um dos servidores FreeBSD que
> > >> administro.  Alterei o script padrão (/etc/rc.firewall) com as regras
> > que
> > >> necessito utilizando firewall_type=client no arquivo /etc/rc.conf
> > >> Toda vez que vou rodar o firewall para testar minha sessão ssh é
> > terminada
> > >> e quando vejo na maquina fisicamente o firewall só tem a ultima regra
> > >> dropando todas as conexões.
> > >> Observei melhor e notei que a sessão trava quando o comando ipfw -f é
> > >> executado, limpando todas as regras e deixando a ultima regra fixa de
> > drop.
> > >> Lembro-me que já utilizei esse script em versões anteriores do
> FreeBSD e
> > >> funcionava legal.  Como fazer para que o resto do script seja
> executado
> > e o
> > >> comando " ${fwcmd} add pass tcp from any to any established" garanta o
> > >> funcionamento da sessão em andamento ?
> > >>
> > >> Abraços,
> > >>
> > >> Renato
> > >> -
> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >>
> > > O que acontece é que quando vc executa um flush via ssh, antes de ele
> > > recarregar as regras ele já matou sua sessão e o comando de
> > reinicialização
> > > do firewall atrelado a ela tmb.
> > >
> > > Coloca isso na sua configuração de kernel:
> > >
> > > options IPFIREWALL_DEFAULT_TO_ACCEPT
> > >
> > > Com isso vc sempre terá a regra 65535 allow all from any to any, mesmo
> > > rodando um ipfw -f flush. Durante aqueles instantes que o seu script
> está
> > > aplicando as regras, seu firewall estará todo aberto, não chega a ser
> um
> > > problema já que é por um período muito curto de tempo, e sua sessão ssh
> > não
> > > vai cair.
> > >
> > > Ai se vc quer aplicar uma politica de negação por padrão, acrescente no
> > seu
> > > script de firewall uma regra tipo:
> > >
> > > ${fwcmd} add 65534 deny all from any to any
> > >
> > Ou para manter ainda a politica padrão do firewall para denied nada mais
> > simples e confortavel que um belo shell
> >
> > ipfw -f && /etc/rc.d/ipfw start
> >
> > ou mais simples ainda,
> >
> > Caso tenha configurado corretamente as variaveis do seu /etc/rc.conf
> >
> > basta um /etc/rc.d/ipfw restart
> >
> > Que ele mesmo irá dar um flush e carregar suas regras.
> >
> > Att.
> >
> > --
> > Paulo Henrique.
> > Grupo de Usuários do FreeBSD no Brasil.
> > Fone: (21) 96713-5042
> >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> Isso mesmo, geralmente faço pelo service ipfw restart
>
>
> --
> Atenciosamente,
>
> Wenderson Souza - wendersonso...@gmail.com
> Gerente de TI - 6P Telecom
> +55 (43) 3235-1720 Oi Fixo
> +55 (43) 9162-4333 Vivo Mobile
> Skype: wendersonsouza
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] firewall e sessão SSH

2014-04-29 Por tôpico Wenderson Souza
Em terça-feira, 29 de abril de 2014, Paulo Henrique - BSDs Brasil <
paulo.rd...@bsd.com.br> escreveu:

>
> Em 29/04/2014 01:01, Márcio Elias escreveu:
> > 2014-04-29 0:22 GMT-03:00 Renato Sousa 
> >:
> >
> >> Boa noite a todos,
> >>
> >> Estou implementando um firewall para um dos servidores FreeBSD que
> >> administro.  Alterei o script padrão (/etc/rc.firewall) com as regras
> que
> >> necessito utilizando firewall_type=client no arquivo /etc/rc.conf
> >> Toda vez que vou rodar o firewall para testar minha sessão ssh é
> terminada
> >> e quando vejo na maquina fisicamente o firewall só tem a ultima regra
> >> dropando todas as conexões.
> >> Observei melhor e notei que a sessão trava quando o comando ipfw -f é
> >> executado, limpando todas as regras e deixando a ultima regra fixa de
> drop.
> >> Lembro-me que já utilizei esse script em versões anteriores do FreeBSD e
> >> funcionava legal.  Como fazer para que o resto do script seja executado
> e o
> >> comando " ${fwcmd} add pass tcp from any to any established" garanta o
> >> funcionamento da sessão em andamento ?
> >>
> >> Abraços,
> >>
> >> Renato
> >> -
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> > O que acontece é que quando vc executa um flush via ssh, antes de ele
> > recarregar as regras ele já matou sua sessão e o comando de
> reinicialização
> > do firewall atrelado a ela tmb.
> >
> > Coloca isso na sua configuração de kernel:
> >
> > options IPFIREWALL_DEFAULT_TO_ACCEPT
> >
> > Com isso vc sempre terá a regra 65535 allow all from any to any, mesmo
> > rodando um ipfw -f flush. Durante aqueles instantes que o seu script está
> > aplicando as regras, seu firewall estará todo aberto, não chega a ser um
> > problema já que é por um período muito curto de tempo, e sua sessão ssh
> não
> > vai cair.
> >
> > Ai se vc quer aplicar uma politica de negação por padrão, acrescente no
> seu
> > script de firewall uma regra tipo:
> >
> > ${fwcmd} add 65534 deny all from any to any
> >
> Ou para manter ainda a politica padrão do firewall para denied nada mais
> simples e confortavel que um belo shell
>
> ipfw -f && /etc/rc.d/ipfw start
>
> ou mais simples ainda,
>
> Caso tenha configurado corretamente as variaveis do seu /etc/rc.conf
>
> basta um /etc/rc.d/ipfw restart
>
> Que ele mesmo irá dar um flush e carregar suas regras.
>
> Att.
>
> --
> Paulo Henrique.
> Grupo de Usuários do FreeBSD no Brasil.
> Fone: (21) 96713-5042
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Isso mesmo, geralmente faço pelo service ipfw restart


-- 
Atenciosamente,

Wenderson Souza - wendersonso...@gmail.com
Gerente de TI - 6P Telecom
+55 (43) 3235-1720 Oi Fixo
+55 (43) 9162-4333 Vivo Mobile
Skype: wendersonsouza
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] firewall e sessão SSH

2014-04-28 Por tôpico Paulo Henrique - BSDs Brasil

Em 29/04/2014 01:01, Márcio Elias escreveu:
> 2014-04-29 0:22 GMT-03:00 Renato Sousa :
>
>> Boa noite a todos,
>>
>> Estou implementando um firewall para um dos servidores FreeBSD que
>> administro.  Alterei o script padrão (/etc/rc.firewall) com as regras que
>> necessito utilizando firewall_type=client no arquivo /etc/rc.conf
>> Toda vez que vou rodar o firewall para testar minha sessão ssh é terminada
>> e quando vejo na maquina fisicamente o firewall só tem a ultima regra
>> dropando todas as conexões.
>> Observei melhor e notei que a sessão trava quando o comando ipfw -f é
>> executado, limpando todas as regras e deixando a ultima regra fixa de drop.
>> Lembro-me que já utilizei esse script em versões anteriores do FreeBSD e
>> funcionava legal.  Como fazer para que o resto do script seja executado e o
>> comando " ${fwcmd} add pass tcp from any to any established" garanta o
>> funcionamento da sessão em andamento ?
>>
>> Abraços,
>>
>> Renato
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> O que acontece é que quando vc executa um flush via ssh, antes de ele
> recarregar as regras ele já matou sua sessão e o comando de reinicialização
> do firewall atrelado a ela tmb.
>
> Coloca isso na sua configuração de kernel:
>
> options IPFIREWALL_DEFAULT_TO_ACCEPT
>
> Com isso vc sempre terá a regra 65535 allow all from any to any, mesmo
> rodando um ipfw -f flush. Durante aqueles instantes que o seu script está
> aplicando as regras, seu firewall estará todo aberto, não chega a ser um
> problema já que é por um período muito curto de tempo, e sua sessão ssh não
> vai cair.
>
> Ai se vc quer aplicar uma politica de negação por padrão, acrescente no seu
> script de firewall uma regra tipo:
>
> ${fwcmd} add 65534 deny all from any to any
>
Ou para manter ainda a politica padrão do firewall para denied nada mais 
simples e confortavel que um belo shell

ipfw -f && /etc/rc.d/ipfw start

ou mais simples ainda,

Caso tenha configurado corretamente as variaveis do seu /etc/rc.conf

basta um /etc/rc.d/ipfw restart

Que ele mesmo irá dar um flush e carregar suas regras.

Att.

-- 
Paulo Henrique.
Grupo de Usuários do FreeBSD no Brasil.
Fone: (21) 96713-5042

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] firewall e sessão SSH

2014-04-28 Por tôpico Márcio Elias
2014-04-29 0:22 GMT-03:00 Renato Sousa :

> Boa noite a todos,
>
> Estou implementando um firewall para um dos servidores FreeBSD que
> administro.  Alterei o script padrão (/etc/rc.firewall) com as regras que
> necessito utilizando firewall_type=client no arquivo /etc/rc.conf
> Toda vez que vou rodar o firewall para testar minha sessão ssh é terminada
> e quando vejo na maquina fisicamente o firewall só tem a ultima regra
> dropando todas as conexões.
> Observei melhor e notei que a sessão trava quando o comando ipfw -f é
> executado, limpando todas as regras e deixando a ultima regra fixa de drop.
> Lembro-me que já utilizei esse script em versões anteriores do FreeBSD e
> funcionava legal.  Como fazer para que o resto do script seja executado e o
> comando " ${fwcmd} add pass tcp from any to any established" garanta o
> funcionamento da sessão em andamento ?
>
> Abraços,
>
> Renato
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

O que acontece é que quando vc executa um flush via ssh, antes de ele
recarregar as regras ele já matou sua sessão e o comando de reinicialização
do firewall atrelado a ela tmb.

Coloca isso na sua configuração de kernel:

options IPFIREWALL_DEFAULT_TO_ACCEPT

Com isso vc sempre terá a regra 65535 allow all from any to any, mesmo
rodando um ipfw -f flush. Durante aqueles instantes que o seu script está
aplicando as regras, seu firewall estará todo aberto, não chega a ser um
problema já que é por um período muito curto de tempo, e sua sessão ssh não
vai cair.

Ai se vc quer aplicar uma politica de negação por padrão, acrescente no seu
script de firewall uma regra tipo:

${fwcmd} add 65534 deny all from any to any

-- 
Att.
__
Márcio Elias Hahn do Nascimento

Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel:   (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


[FUG-BR] firewall e sessão SSH

2014-04-28 Por tôpico Renato Sousa
Boa noite a todos,

Estou implementando um firewall para um dos servidores FreeBSD que
administro.  Alterei o script padrão (/etc/rc.firewall) com as regras que
necessito utilizando firewall_type=client no arquivo /etc/rc.conf
Toda vez que vou rodar o firewall para testar minha sessão ssh é terminada
e quando vejo na maquina fisicamente o firewall só tem a ultima regra
dropando todas as conexões.
Observei melhor e notei que a sessão trava quando o comando ipfw -f é
executado, limpando todas as regras e deixando a ultima regra fixa de drop.
Lembro-me que já utilizei esse script em versões anteriores do FreeBSD e
funcionava legal.  Como fazer para que o resto do script seja executado e o
comando " ${fwcmd} add pass tcp from any to any established" garanta o
funcionamento da sessão em andamento ?

Abraços,

Renato
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] firewall bsd

2012-07-07 Por tôpico Marcelo Gondim
Em 07/07/2012 16:50, Cleiton Alves escreveu:
> Pessoal quero  contribuir com um otimo firewal que meu camarada c00ler fez
> , segue o link abaixo
>
>
> http://pastebin.com/7cZXhizt
>
Copiado rsrsrsrs

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] firewall bsd

2012-07-07 Por tôpico Renato Frederick
Legal, muito bom!


Em 07/07/12 16:50, Cleiton Alves escreveu:
> Pessoal quero  contribuir com um otimo firewal que meu camarada c00ler fez
> , segue o link abaixo
>
>
> http://pastebin.com/7cZXhizt
>


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


[FUG-BR] firewall bsd

2012-07-07 Por tôpico Cleiton Alves
Pessoal quero  contribuir com um otimo firewal que meu camarada c00ler fez
, segue o link abaixo


http://pastebin.com/7cZXhizt

-- 


*:(){ :|:& };:*
*"Unix is user-friendly. It's just very selective about who its friends
are."
*
http://about.me/cleiton_alves
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall FreeBSD

2011-09-23 Por tôpico Otavio Augusto
Valeu.
Agora olhando o divert o divert do ipfw tb faz o mesmo ?

Em 23 de setembro de 2011 14:12, Luiz Gustavo S. Costa
 escreveu:
> HEAD, versão do FreeBSD, no caso, hoje é o 9.0-BETA2
>
> no HEAD o pf foi importado do openbsd 4.5
>
> http://blog.pfsense.org/?p=592
>
> Em 23 de setembro de 2011 14:07, Otavio Augusto  escreveu:
>> HEAD é na versão CURRENT do free ? ou é a versão HEAD do pf e tem que
>> aplicar um patch ?
>> dúvida de iniciante :P
>>
>> Em 23 de setembro de 2011 14:04, Luiz Gustavo S. Costa
>>  escreveu:
>>> acredito que no pf do HEAD também :)
>>>
>>>     divert-to ⟨host⟩ port ⟨port⟩
>>>           Used to redirect packets to a local socket bound to host and port.
>>>           The packets will not be modified, so getsockname(2) on the socket
>>>           will return the original destination address of the packet.
>>>
>>>
>>> Em 23 de setembro de 2011 13:54, Otavio Augusto  
>>> escreveu:
 vou olhar.
 Valeu

 Em 23 de setembro de 2011 13:03, Eduardo Schoedler
  escreveu:
> Ipfw faz... Verifique o 'tee'.
>
> --
> Eduardo Schoedler
> Enviado via iPhone
>
> Em 23/09/2011, às 11:05, Otavio Augusto  escreveu:
>
>> Bom dia galera.
>>
>> Alguem pode me dizer se algum firewall do FreeBSD ( pf, ipfw )
>> possui uma funcionalidade igual ou parecidade com o NFQUEUE do linux (
>> iptables ) ?
>>
>> Tipo ele passar o cabeçalho do pacote para um programa em userland  e
>> este tomara a decisão
>> se nega libera faz divert e etc.
>>
>>
>>
>> --
>> Otavio Augusto
>> -
>> Consultor de TI
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



 --
 Otavio Augusto
 -
 Consultor de TI
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

>>>
>>>
>>>
>>> --
>>>   /\             Luiz Gustavo S. Costa
>>>  /  \            Programmer at BSD Perimeter
>>> /    \ /\/\/\    Visit the pfSense Project
>>> /      \    \ \   http://www.pfsense.org
>>> -
>>> BSD da serra carioca, Teresopolis (visite: http://miud.in/Inv)
>>> Contatos: luizgust...@luizgustavo.pro.br / lgco...@pfsense.org
>>> Blog: http://www.luizgustavo.pro.br
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>>
>>
>> --
>> Otavio Augusto
>> -
>> Consultor de TI
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>
> --
>   /\             Luiz Gustavo S. Costa
>  /  \            Programmer at BSD Perimeter
> /    \ /\/\/\    Visit the pfSense Project
> /      \    \ \   http://www.pfsense.org
> -
> BSD da serra carioca, Teresopolis (visite: http://miud.in/Inv)
> Contatos: luizgust...@luizgustavo.pro.br / lgco...@pfsense.org
> Blog: http://www.luizgustavo.pro.br
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Otavio Augusto
-
Consultor de TI
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall FreeBSD

2011-09-23 Por tôpico Luiz Gustavo S. Costa
HEAD, versão do FreeBSD, no caso, hoje é o 9.0-BETA2

no HEAD o pf foi importado do openbsd 4.5

http://blog.pfsense.org/?p=592

Em 23 de setembro de 2011 14:07, Otavio Augusto  escreveu:
> HEAD é na versão CURRENT do free ? ou é a versão HEAD do pf e tem que
> aplicar um patch ?
> dúvida de iniciante :P
>
> Em 23 de setembro de 2011 14:04, Luiz Gustavo S. Costa
>  escreveu:
>> acredito que no pf do HEAD também :)
>>
>>     divert-to ⟨host⟩ port ⟨port⟩
>>           Used to redirect packets to a local socket bound to host and port.
>>           The packets will not be modified, so getsockname(2) on the socket
>>           will return the original destination address of the packet.
>>
>>
>> Em 23 de setembro de 2011 13:54, Otavio Augusto  
>> escreveu:
>>> vou olhar.
>>> Valeu
>>>
>>> Em 23 de setembro de 2011 13:03, Eduardo Schoedler
>>>  escreveu:
 Ipfw faz... Verifique o 'tee'.

 --
 Eduardo Schoedler
 Enviado via iPhone

 Em 23/09/2011, às 11:05, Otavio Augusto  escreveu:

> Bom dia galera.
>
> Alguem pode me dizer se algum firewall do FreeBSD ( pf, ipfw )
> possui uma funcionalidade igual ou parecidade com o NFQUEUE do linux (
> iptables ) ?
>
> Tipo ele passar o cabeçalho do pacote para um programa em userland  e
> este tomara a decisão
> se nega libera faz divert e etc.
>
>
>
> --
> Otavio Augusto
> -
> Consultor de TI
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

>>>
>>>
>>>
>>> --
>>> Otavio Augusto
>>> -
>>> Consultor de TI
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>>
>>
>> --
>>   /\             Luiz Gustavo S. Costa
>>  /  \            Programmer at BSD Perimeter
>> /    \ /\/\/\    Visit the pfSense Project
>> /      \    \ \   http://www.pfsense.org
>> -
>> BSD da serra carioca, Teresopolis (visite: http://miud.in/Inv)
>> Contatos: luizgust...@luizgustavo.pro.br / lgco...@pfsense.org
>> Blog: http://www.luizgustavo.pro.br
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>
> --
> Otavio Augusto
> -
> Consultor de TI
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
  /\             Luiz Gustavo S. Costa
 /  \            Programmer at BSD Perimeter
/    \ /\/\/\    Visit the pfSense Project
/      \    \ \   http://www.pfsense.org
-
BSD da serra carioca, Teresopolis (visite: http://miud.in/Inv)
Contatos: luizgust...@luizgustavo.pro.br / lgco...@pfsense.org
Blog: http://www.luizgustavo.pro.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall FreeBSD

2011-09-23 Por tôpico Otavio Augusto
HEAD é na versão CURRENT do free ? ou é a versão HEAD do pf e tem que
aplicar um patch ?
dúvida de iniciante :P

Em 23 de setembro de 2011 14:04, Luiz Gustavo S. Costa
 escreveu:
> acredito que no pf do HEAD também :)
>
>     divert-to ⟨host⟩ port ⟨port⟩
>           Used to redirect packets to a local socket bound to host and port.
>           The packets will not be modified, so getsockname(2) on the socket
>           will return the original destination address of the packet.
>
>
> Em 23 de setembro de 2011 13:54, Otavio Augusto  escreveu:
>> vou olhar.
>> Valeu
>>
>> Em 23 de setembro de 2011 13:03, Eduardo Schoedler
>>  escreveu:
>>> Ipfw faz... Verifique o 'tee'.
>>>
>>> --
>>> Eduardo Schoedler
>>> Enviado via iPhone
>>>
>>> Em 23/09/2011, às 11:05, Otavio Augusto  escreveu:
>>>
 Bom dia galera.

 Alguem pode me dizer se algum firewall do FreeBSD ( pf, ipfw )
 possui uma funcionalidade igual ou parecidade com o NFQUEUE do linux (
 iptables ) ?

 Tipo ele passar o cabeçalho do pacote para um programa em userland  e
 este tomara a decisão
 se nega libera faz divert e etc.



 --
 Otavio Augusto
 -
 Consultor de TI
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>>
>>
>> --
>> Otavio Augusto
>> -
>> Consultor de TI
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>
> --
>   /\             Luiz Gustavo S. Costa
>  /  \            Programmer at BSD Perimeter
> /    \ /\/\/\    Visit the pfSense Project
> /      \    \ \   http://www.pfsense.org
> -
> BSD da serra carioca, Teresopolis (visite: http://miud.in/Inv)
> Contatos: luizgust...@luizgustavo.pro.br / lgco...@pfsense.org
> Blog: http://www.luizgustavo.pro.br
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Otavio Augusto
-
Consultor de TI
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall FreeBSD

2011-09-23 Por tôpico Luiz Gustavo S. Costa
acredito que no pf do HEAD também :)

 divert-to ⟨host⟩ port ⟨port⟩
   Used to redirect packets to a local socket bound to host and port.
   The packets will not be modified, so getsockname(2) on the socket
   will return the original destination address of the packet.


Em 23 de setembro de 2011 13:54, Otavio Augusto  escreveu:
> vou olhar.
> Valeu
>
> Em 23 de setembro de 2011 13:03, Eduardo Schoedler
>  escreveu:
>> Ipfw faz... Verifique o 'tee'.
>>
>> --
>> Eduardo Schoedler
>> Enviado via iPhone
>>
>> Em 23/09/2011, às 11:05, Otavio Augusto  escreveu:
>>
>>> Bom dia galera.
>>>
>>> Alguem pode me dizer se algum firewall do FreeBSD ( pf, ipfw )
>>> possui uma funcionalidade igual ou parecidade com o NFQUEUE do linux (
>>> iptables ) ?
>>>
>>> Tipo ele passar o cabeçalho do pacote para um programa em userland  e
>>> este tomara a decisão
>>> se nega libera faz divert e etc.
>>>
>>>
>>>
>>> --
>>> Otavio Augusto
>>> -
>>> Consultor de TI
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>
> --
> Otavio Augusto
> -
> Consultor de TI
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
  /\             Luiz Gustavo S. Costa
 /  \            Programmer at BSD Perimeter
/    \ /\/\/\    Visit the pfSense Project
/      \    \ \   http://www.pfsense.org
-
BSD da serra carioca, Teresopolis (visite: http://miud.in/Inv)
Contatos: luizgust...@luizgustavo.pro.br / lgco...@pfsense.org
Blog: http://www.luizgustavo.pro.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall FreeBSD

2011-09-23 Por tôpico Otavio Augusto
vou olhar.
Valeu

Em 23 de setembro de 2011 13:03, Eduardo Schoedler
 escreveu:
> Ipfw faz... Verifique o 'tee'.
>
> --
> Eduardo Schoedler
> Enviado via iPhone
>
> Em 23/09/2011, às 11:05, Otavio Augusto  escreveu:
>
>> Bom dia galera.
>>
>> Alguem pode me dizer se algum firewall do FreeBSD ( pf, ipfw )
>> possui uma funcionalidade igual ou parecidade com o NFQUEUE do linux (
>> iptables ) ?
>>
>> Tipo ele passar o cabeçalho do pacote para um programa em userland  e
>> este tomara a decisão
>> se nega libera faz divert e etc.
>>
>>
>>
>> --
>> Otavio Augusto
>> -
>> Consultor de TI
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Otavio Augusto
-
Consultor de TI
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall FreeBSD

2011-09-23 Por tôpico Eduardo Schoedler
Ipfw faz... Verifique o 'tee'.

--
Eduardo Schoedler
Enviado via iPhone

Em 23/09/2011, às 11:05, Otavio Augusto  escreveu:

> Bom dia galera.
> 
> Alguem pode me dizer se algum firewall do FreeBSD ( pf, ipfw )
> possui uma funcionalidade igual ou parecidade com o NFQUEUE do linux (
> iptables ) ?
> 
> Tipo ele passar o cabeçalho do pacote para um programa em userland  e
> este tomara a decisão
> se nega libera faz divert e etc.
> 
> 
> 
> -- 
> Otavio Augusto
> -
> Consultor de TI
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


[FUG-BR] Firewall FreeBSD

2011-09-23 Por tôpico Otavio Augusto
Bom dia galera.

Alguem pode me dizer se algum firewall do FreeBSD ( pf, ipfw )
possui uma funcionalidade igual ou parecidade com o NFQUEUE do linux (
iptables ) ?

Tipo ele passar o cabeçalho do pacote para um programa em userland  e
este tomara a decisão
se nega libera faz divert e etc.



-- 
Otavio Augusto
-
Consultor de TI
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall [OFF]

2011-08-04 Por tôpico pedro almeida
É cada uma que o cara le. Nao precisa me responder, vai e senta no colo de
quem vc esta defendendo valew
kkk



Em 3 de agosto de 2011 13:57, irado furioso com tudo escreveu:

> Em 3 de agosto de 2011 11:52, pedro almeida  >escreveu:
>
> > Para esclarecer se estivesse pedindo algo pronto eu falaria quero comprar
> > um
> > trabalho mais e o seguinte
> >
> >
> acho que ninguém aqui "Intendeu" vc, mas (provavelmente) Entendeu bem: vc é
> arrogante, não tem um pinguinho de humildade e NÃO LÊ, nas entrelinhas, as
> mensagens. Uma delas bem significativa: ".. especifique suas dúvidas e ...
> "
> todos contribuirão, cada um com seu conhecimento.
>
> então, insisto: RELEIA as mensagens, releia a SUA mensagem, medite sobre
> elas e, EDUCADAMENTE, como convém a alguém que PRECISA de informação. Se
> não
> vai fazer ou se vai responder ESTÚPIDAMENTE como já fez, POR FAVOR: NÃO
> PERCA NOSSO TEMPO, não temos qualquer obrigação para com vc, nem mesmo
> queremos amar vc. Se quer colo, procure pai e mãe, que estão aí pra isso.
>
> flames > /dev/null
>
> --
>
> saudações,
> irado furioso com tudo
> mais crimes são cometidos em nome das religiões do que em nome do ateismo.
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall [OFF]

2011-08-03 Por tôpico irado furioso com tudo
Em 3 de agosto de 2011 11:52, pedro almeida escreveu:

> Para esclarecer se estivesse pedindo algo pronto eu falaria quero comprar
> um
> trabalho mais e o seguinte
>
>
acho que ninguém aqui "Intendeu" vc, mas (provavelmente) Entendeu bem: vc é
arrogante, não tem um pinguinho de humildade e NÃO LÊ, nas entrelinhas, as
mensagens. Uma delas bem significativa: ".. especifique suas dúvidas e ... "
todos contribuirão, cada um com seu conhecimento.

então, insisto: RELEIA as mensagens, releia a SUA mensagem, medite sobre
elas e, EDUCADAMENTE, como convém a alguém que PRECISA de informação. Se não
vai fazer ou se vai responder ESTÚPIDAMENTE como já fez, POR FAVOR: NÃO
PERCA NOSSO TEMPO, não temos qualquer obrigação para com vc, nem mesmo
queremos amar vc. Se quer colo, procure pai e mãe, que estão aí pra isso.

flames > /dev/null

-- 

saudações,
irado furioso com tudo
mais crimes são cometidos em nome das religiões do que em nome do ateismo.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall [OFF]

2011-08-03 Por tôpico Luciano Antonio Borguetti Faustino
2011/8/3 pedro almeida 

> Para esclarecer se estivesse pedindo algo pronto eu falaria quero comprar
> um
> trabalho mais e o seguinte pedi fontes caso tenha preguiça de passar tudo
> certo mais nao precisa perder seu tempo respondendo nem criticando pois sua
> opiniao acho que nao tem valor. Mais para o pessoal que entendeu obrigado
> pelas dicas e pra quem nao intendeu melhor ler com mais cuidado e nem
> perder
> tempo respondendo.
>
> Em 3 de agosto de 2011 11:35, Renato Frederick
> escreveu:
>
> > Em 03/08/11 11:17, Antônio Pessoa escreveu:
> > > 2011/8/3 Paulo Henrique BSD Brasil:
> > >> Sobre esse ponto de vista também estou de acordo Antônio,
> > >> Pedro, para consultoria também estou ai, entra em PVT para ajustar o
> > >> valor e formas de pagamentos !!
> > >>
> > > Entendeu o espírito ;D.
> > >
> >
> >
> http://www.zemoleza.com.br/carreiras/exatas/informatica/trabalho/25307-firewall-seguranca-digital.html
> >
> > hehehehehe
> >
> > "Zé Moleza, seu parceiro acadêmico" :-)
> >
> >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


http://www.deliberatedumbingdown.com/


-- 
#!/bin/bash

Luciano Antonio Borguetti Faustino
ICQ UIN number: 82092097
http://lucianoborguetti.wordpress.com
http://www.ipv6firewall.com.br

:wq
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall [OFF]

2011-08-03 Por tôpico pedro almeida
Para esclarecer se estivesse pedindo algo pronto eu falaria quero comprar um
trabalho mais e o seguinte pedi fontes caso tenha preguiça de passar tudo
certo mais nao precisa perder seu tempo respondendo nem criticando pois sua
opiniao acho que nao tem valor. Mais para o pessoal que entendeu obrigado
pelas dicas e pra quem nao intendeu melhor ler com mais cuidado e nem perder
tempo respondendo.

Em 3 de agosto de 2011 11:35, Renato Frederick
escreveu:

> Em 03/08/11 11:17, Antônio Pessoa escreveu:
> > 2011/8/3 Paulo Henrique BSD Brasil:
> >> Sobre esse ponto de vista também estou de acordo Antônio,
> >> Pedro, para consultoria também estou ai, entra em PVT para ajustar o
> >> valor e formas de pagamentos !!
> >>
> > Entendeu o espírito ;D.
> >
>
> http://www.zemoleza.com.br/carreiras/exatas/informatica/trabalho/25307-firewall-seguranca-digital.html
>
> hehehehehe
>
> "Zé Moleza, seu parceiro acadêmico" :-)
>
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall [OFF]

2011-08-03 Por tôpico Renato Frederick
Em 03/08/11 11:17, Antônio Pessoa escreveu:
> 2011/8/3 Paulo Henrique BSD Brasil:
>> Sobre esse ponto de vista também estou de acordo Antônio,
>> Pedro, para consultoria também estou ai, entra em PVT para ajustar o
>> valor e formas de pagamentos !!
>>
> Entendeu o espírito ;D.
>
http://www.zemoleza.com.br/carreiras/exatas/informatica/trabalho/25307-firewall-seguranca-digital.html

hehehehehe

"Zé Moleza, seu parceiro acadêmico" :-)


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall [OFF]

2011-08-03 Por tôpico Antônio Pessoa
2011/8/3 Paulo Henrique BSD Brasil :
> Sobre esse ponto de vista também estou de acordo Antônio,
> Pedro, para consultoria também estou ai, entra em PVT para ajustar o
> valor e formas de pagamentos !!
>

Entendeu o espírito ;D.

-- 
Atenciosamente,

Antônio Pessoa
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall [OFF]

2011-08-03 Por tôpico Paulo Henrique BSD Brasil
Sobre esse ponto de vista também estou de acordo Antônio,
Pedro, para consultoria também estou ai, entra em PVT para ajustar o 
valor e formas de pagamentos !!

Abraços.
Em 3/8/2011 11:01, Antônio Pessoa escreveu:
> 2011/8/3 Paulo Henrique BSD Brasil
>> Sacanagem Antonio,
>>
> Não considero sacanagem, sacanagem para mim é querer que o pessoal da
> lista lhe entregue dados para um TCC que ele deveria pesquisar. Tudo
> bem querer esclarecer uma dúvida ou outra e discutir ambientes de
> testes, mas não foi isso que eu li. Se por acaso entendi errado, então
> a pergunta foi feita de forma errada e recomendo a leitura do "How To
> Ask Questions The Smart Way" [1] ou sua tradução [2]. Se por acaso
> entendi certo, podemos conversar em PVT (mas apenas consultoria, não
> entrego TCC's prontos), se entendi errado, detalhe o que você
> realmente quer que podemos ajudar.
>
> [1] http://www.catb.org/~esr/faqs/smart-questions.html
> [2] http://www.istf.com.br/perguntas/
>
> --
> Atenciosamente,
>
> Antônio Pessoa
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-- 
"Quando a Morte decide contar uma historia,
A melhor ação que possa fazer é ouvi-la,
e torcer por não ser a sua própria a tal história."

Paulo Henrique.
Analista de Sistemas / Programador
BSDs Brasil.
Genuine Unix/BSD User.
Fone: (21) 9683-5433.


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall [OFF]

2011-08-03 Por tôpico Antônio Pessoa
2011/8/3 Paulo Henrique BSD Brasil 
>
> Sacanagem Antonio,
>

Não considero sacanagem, sacanagem para mim é querer que o pessoal da
lista lhe entregue dados para um TCC que ele deveria pesquisar. Tudo
bem querer esclarecer uma dúvida ou outra e discutir ambientes de
testes, mas não foi isso que eu li. Se por acaso entendi errado, então
a pergunta foi feita de forma errada e recomendo a leitura do "How To
Ask Questions The Smart Way" [1] ou sua tradução [2]. Se por acaso
entendi certo, podemos conversar em PVT (mas apenas consultoria, não
entrego TCC's prontos), se entendi errado, detalhe o que você
realmente quer que podemos ajudar.

[1] http://www.catb.org/~esr/faqs/smart-questions.html
[2] http://www.istf.com.br/perguntas/

--
Atenciosamente,

Antônio Pessoa
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall [OFF]

2011-08-03 Por tôpico Paulo Henrique BSD Brasil
Sacanagem Antonio,

Pedro, seguinte ping flood, hijack ou mais conhecido como IP Spoof são 
ataques no qual firewall poderá bloquear,
IP Scan entra entre eles, se definir firewall a junção de filtro de 
pacotes e IDS, a lista setor quase completa.
Expõem as suas duvidas que podemos ajudar, se quiser algo pronto, paga 
para o Antonio.

Abraços.
Em 3/8/2011 09:28, Antônio Pessoa escreveu:
> 2011/8/3 pedro almeida
>> Pessoal,
>>
>> Estou fazendo tcc e preciso descobrir alguns ataques que o firewall pode
>> ajudar a evitartb como produzir esses ataques em um ambente de teste.
>> Alguem poderia me dar uma força com isso já pesquisei bastante e tenho muita
>> coisa encaminhada mais ainda tenho algumas duvidas quanto esta parte.
>> Obrigado desde já
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> Eu posso lhe dar esse tipo de consultoria, me envie um e-mail em PVT
> que nós combinamos o preço.
>
> --
> Atenciosamente,
>
> Antônio Pessoa
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-- 
"Quando a Morte decide contar uma historia,
A melhor ação que possa fazer é ouvi-la,
e torcer por não ser a sua própria a tal história."

Paulo Henrique.
Analista de Sistemas / Programador
BSDs Brasil.
Genuine Unix/BSD User.
Fone: (21) 9683-5433.


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall [OFF]

2011-08-03 Por tôpico Antônio Pessoa
2011/8/3 pedro almeida 
>
> Pessoal,
>
> Estou fazendo tcc e preciso descobrir alguns ataques que o firewall pode
> ajudar a evitartb como produzir esses ataques em um ambente de teste.
> Alguem poderia me dar uma força com isso já pesquisei bastante e tenho muita
> coisa encaminhada mais ainda tenho algumas duvidas quanto esta parte.
> Obrigado desde já
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Eu posso lhe dar esse tipo de consultoria, me envie um e-mail em PVT
que nós combinamos o preço.

--
Atenciosamente,

Antônio Pessoa
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


[FUG-BR] Firewall [OFF]

2011-08-03 Por tôpico pedro almeida
Pessoal,

Estou fazendo tcc e preciso descobrir alguns ataques que o firewall pode
ajudar a evitartb como produzir esses ataques em um ambente de teste.
Alguem poderia me dar uma força com isso já pesquisei bastante e tenho muita
coisa encaminhada mais ainda tenho algumas duvidas quanto esta parte.
Obrigado desde já
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Failover with pfsync and CARP

2011-05-20 Por tôpico Christiano Liberato
Obrigado Rodrigo. To tentando arrumar um tempinho aqui para implementar.

Em 13 de maio de 2011 14:56, Rodrigo Mosconi escreveu:

> não, a filtragem deve ser feita na interface real
>
> Em 13 de maio de 2011 10:36, Christiano Liberato
>  escreveu:
> > Opa Rodrigo,
> >
> > valeu pela ajuda (e desculpe a demora na resposta).
> > Vou implementar aqui e ver no que dá.
> > Como na carp0 serao criados alias para os ips validos, terei q mudar
> minhas
> > regras para atender por ela, certo?
> >
> >
> > Em 5 de maio de 2011 11:51, Rodrigo Mosconi  >escreveu:
> >
> >> Em 3 de maio de 2011 17:32, Christiano Liberato
> >>  escreveu:
> >> > Caros,
> >> >
> >> > ja perguntei isso anteriormente mas vou perturbar de novo pois ainda
> nao
> >> > resolvi.
> >> > Preciso de uma redundância de firewall e ja tenho o ambiente todo
> pronto:
> >> > placa de rede disponivel nos dois firewalls, regras com carp e pfsync
> >> etc.
> >> > Mas estou esbarrando numa questao: meu fw esta configurado com todos
> ips
> >> em
> >> > uma interface. Com isso nao consigo que o pfsync mantenha o estado
> pois
> >> ele
> >> > faz de 1 ip para outro ip.
> >> > Como posso configurar o firewall para que tenha apenas um ip na
> interface
> >> > atendendo tambem os outros ips?
> >> > A mesma interface atende email, dns, web etc. Com apenas 1 ip como
> >> atenderei
> >> > todos serviços?
> >>
> >> Vamos supor que seus fws tenham 3 interfaces: wan0, lan0 e inter0
> >> (sendo esta ultima um cabo cross com o outro fw).
> >>
> >> Configure nas wan um "dumy" ip, ie, configure com um ip invalido:
> >> 10.0.0.1/29 no fw1 e  10.0.0.2/29 no fw2
> >> analogo para as interfaces lans (10.0.1.1/29 no fw1 e 10.0.1.2/29 no
> fw2)
> >> idem para as inters (10.1.1.1/30 fw1 e 10.1.1.2/30 no fw2)
> >>
> >> Definiremos os ips 10.0.0.3 e 10.0.1.3 como ips virtuais do cluster (Wan
> e
> >> lan)
> >>
> >> Configure as interface carps no fw1:
> >> FreeBSD:
> >> ifconfig carp0 create
> >> ifconfig carp0 vhid1 pass senha inet 10.0.0.3/29
> >> ifconfig carp0 inet 200.x.y.z/n alias
> >> (...)
> >> analogo para a wan
> >>
> >> No OpenBSD:
> >> ifconfig carp0 create
> >> ifconfig carp0 vhid 1 pass senha carpdev wan0
> >> ifconfig carp0 inet 10.0.0.3/29
> >> ifconfig carp0 inet 200.x.y.z/n alias
> >> (...)
> >>
> >> Repare que no freebsd não existe o carpdev
> >>
> >> No fw1 analogo, mas adicionando advskew na definicao do vhid
> >>
> >> http://www.freebsd.org/cgi/man.cgi?query=carp&sektion=4
> >>
> >>
> http://www.openbsd.org/cgi-bin/man.cgi?query=carp&sektion=4&manpath=OpenBSD+4.9
> >>
> >> >
> >> > Obrigado a todos!
> >> > -
> >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> >
> >> -
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Failover with pfsync and CARP

2011-05-13 Por tôpico Rodrigo Mosconi
não, a filtragem deve ser feita na interface real

Em 13 de maio de 2011 10:36, Christiano Liberato
 escreveu:
> Opa Rodrigo,
>
> valeu pela ajuda (e desculpe a demora na resposta).
> Vou implementar aqui e ver no que dá.
> Como na carp0 serao criados alias para os ips validos, terei q mudar minhas
> regras para atender por ela, certo?
>
>
> Em 5 de maio de 2011 11:51, Rodrigo Mosconi escreveu:
>
>> Em 3 de maio de 2011 17:32, Christiano Liberato
>>  escreveu:
>> > Caros,
>> >
>> > ja perguntei isso anteriormente mas vou perturbar de novo pois ainda nao
>> > resolvi.
>> > Preciso de uma redundância de firewall e ja tenho o ambiente todo pronto:
>> > placa de rede disponivel nos dois firewalls, regras com carp e pfsync
>> etc.
>> > Mas estou esbarrando numa questao: meu fw esta configurado com todos ips
>> em
>> > uma interface. Com isso nao consigo que o pfsync mantenha o estado pois
>> ele
>> > faz de 1 ip para outro ip.
>> > Como posso configurar o firewall para que tenha apenas um ip na interface
>> > atendendo tambem os outros ips?
>> > A mesma interface atende email, dns, web etc. Com apenas 1 ip como
>> atenderei
>> > todos serviços?
>>
>> Vamos supor que seus fws tenham 3 interfaces: wan0, lan0 e inter0
>> (sendo esta ultima um cabo cross com o outro fw).
>>
>> Configure nas wan um "dumy" ip, ie, configure com um ip invalido:
>> 10.0.0.1/29 no fw1 e  10.0.0.2/29 no fw2
>> analogo para as interfaces lans (10.0.1.1/29 no fw1 e 10.0.1.2/29 no fw2)
>> idem para as inters (10.1.1.1/30 fw1 e 10.1.1.2/30 no fw2)
>>
>> Definiremos os ips 10.0.0.3 e 10.0.1.3 como ips virtuais do cluster (Wan e
>> lan)
>>
>> Configure as interface carps no fw1:
>> FreeBSD:
>> ifconfig carp0 create
>> ifconfig carp0 vhid1 pass senha inet 10.0.0.3/29
>> ifconfig carp0 inet 200.x.y.z/n alias
>> (...)
>> analogo para a wan
>>
>> No OpenBSD:
>> ifconfig carp0 create
>> ifconfig carp0 vhid 1 pass senha carpdev wan0
>> ifconfig carp0 inet 10.0.0.3/29
>> ifconfig carp0 inet 200.x.y.z/n alias
>> (...)
>>
>> Repare que no freebsd não existe o carpdev
>>
>> No fw1 analogo, mas adicionando advskew na definicao do vhid
>>
>> http://www.freebsd.org/cgi/man.cgi?query=carp&sektion=4
>>
>> http://www.openbsd.org/cgi-bin/man.cgi?query=carp&sektion=4&manpath=OpenBSD+4.9
>>
>> >
>> > Obrigado a todos!
>> > -
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Failover with pfsync and CARP

2011-05-13 Por tôpico Christiano Liberato
Opa Rodrigo,

valeu pela ajuda (e desculpe a demora na resposta).
Vou implementar aqui e ver no que dá.
Como na carp0 serao criados alias para os ips validos, terei q mudar minhas
regras para atender por ela, certo?


Em 5 de maio de 2011 11:51, Rodrigo Mosconi escreveu:

> Em 3 de maio de 2011 17:32, Christiano Liberato
>  escreveu:
> > Caros,
> >
> > ja perguntei isso anteriormente mas vou perturbar de novo pois ainda nao
> > resolvi.
> > Preciso de uma redundância de firewall e ja tenho o ambiente todo pronto:
> > placa de rede disponivel nos dois firewalls, regras com carp e pfsync
> etc.
> > Mas estou esbarrando numa questao: meu fw esta configurado com todos ips
> em
> > uma interface. Com isso nao consigo que o pfsync mantenha o estado pois
> ele
> > faz de 1 ip para outro ip.
> > Como posso configurar o firewall para que tenha apenas um ip na interface
> > atendendo tambem os outros ips?
> > A mesma interface atende email, dns, web etc. Com apenas 1 ip como
> atenderei
> > todos serviços?
>
> Vamos supor que seus fws tenham 3 interfaces: wan0, lan0 e inter0
> (sendo esta ultima um cabo cross com o outro fw).
>
> Configure nas wan um "dumy" ip, ie, configure com um ip invalido:
> 10.0.0.1/29 no fw1 e  10.0.0.2/29 no fw2
> analogo para as interfaces lans (10.0.1.1/29 no fw1 e 10.0.1.2/29 no fw2)
> idem para as inters (10.1.1.1/30 fw1 e 10.1.1.2/30 no fw2)
>
> Definiremos os ips 10.0.0.3 e 10.0.1.3 como ips virtuais do cluster (Wan e
> lan)
>
> Configure as interface carps no fw1:
> FreeBSD:
> ifconfig carp0 create
> ifconfig carp0 vhid1 pass senha inet 10.0.0.3/29
> ifconfig carp0 inet 200.x.y.z/n alias
> (...)
> analogo para a wan
>
> No OpenBSD:
> ifconfig carp0 create
> ifconfig carp0 vhid 1 pass senha carpdev wan0
> ifconfig carp0 inet 10.0.0.3/29
> ifconfig carp0 inet 200.x.y.z/n alias
> (...)
>
> Repare que no freebsd não existe o carpdev
>
> No fw1 analogo, mas adicionando advskew na definicao do vhid
>
> http://www.freebsd.org/cgi/man.cgi?query=carp&sektion=4
>
> http://www.openbsd.org/cgi-bin/man.cgi?query=carp&sektion=4&manpath=OpenBSD+4.9
>
> >
> > Obrigado a todos!
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Failover with pfsync and CARP

2011-05-05 Por tôpico Rodrigo Mosconi
Em 3 de maio de 2011 17:32, Christiano Liberato
 escreveu:
> Caros,
>
> ja perguntei isso anteriormente mas vou perturbar de novo pois ainda nao
> resolvi.
> Preciso de uma redundância de firewall e ja tenho o ambiente todo pronto:
> placa de rede disponivel nos dois firewalls, regras com carp e pfsync etc.
> Mas estou esbarrando numa questao: meu fw esta configurado com todos ips em
> uma interface. Com isso nao consigo que o pfsync mantenha o estado pois ele
> faz de 1 ip para outro ip.
> Como posso configurar o firewall para que tenha apenas um ip na interface
> atendendo tambem os outros ips?
> A mesma interface atende email, dns, web etc. Com apenas 1 ip como atenderei
> todos serviços?

Vamos supor que seus fws tenham 3 interfaces: wan0, lan0 e inter0
(sendo esta ultima um cabo cross com o outro fw).

Configure nas wan um "dumy" ip, ie, configure com um ip invalido:
10.0.0.1/29 no fw1 e  10.0.0.2/29 no fw2
analogo para as interfaces lans (10.0.1.1/29 no fw1 e 10.0.1.2/29 no fw2)
idem para as inters (10.1.1.1/30 fw1 e 10.1.1.2/30 no fw2)

Definiremos os ips 10.0.0.3 e 10.0.1.3 como ips virtuais do cluster (Wan e lan)

Configure as interface carps no fw1:
FreeBSD:
ifconfig carp0 create
ifconfig carp0 vhid1 pass senha inet 10.0.0.3/29
ifconfig carp0 inet 200.x.y.z/n alias
(...)
analogo para a wan

No OpenBSD:
ifconfig carp0 create
ifconfig carp0 vhid 1 pass senha carpdev wan0
ifconfig carp0 inet 10.0.0.3/29
ifconfig carp0 inet 200.x.y.z/n alias
(...)

Repare que no freebsd não existe o carpdev

No fw1 analogo, mas adicionando advskew na definicao do vhid

http://www.freebsd.org/cgi/man.cgi?query=carp&sektion=4
http://www.openbsd.org/cgi-bin/man.cgi?query=carp&sektion=4&manpath=OpenBSD+4.9

>
> Obrigado a todos!
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Failover with pfsync and CARP

2011-05-05 Por tôpico Christiano Liberato
Renato,

acho q no meu caso nao vai ser possivel implementar o carp pois tenho 5
interfaces no firewall.

Em 3 de maio de 2011 17:41, Renato Frederick escreveu:

> Não entendi...
>
> se você usa carp, você vai publicar o ip que precisa ter redundância na
> carpX. Na interface física vai colocar outro ip na mesma subnet apenas
> para que o carp saiba a qual interface física associar(limitação da
> implementação carp do free, no openbsd você pude usar a flag 'carpdev'[1]).
>
> algo do tipo:
>
> Email publicado no IP - 200.1.1.1/24
>
> bce0 na maquina master ficaria com o IP 200.1.1.254/24
> bce0 na maquina slave ficaria com o IP 200.1.1.253/24
> carp0  ficaria com o IP 200.1.1.1/24, em
> ambas, cada uma com o advskew
> diferente.
>
> E seus apontamentos de firewall e afins vao pra 200.1.1.1. Quando a
> master cair, o IP 200.1.1.254 fica parado, mas o 200.1.1.1 assume na
> slave devido ao advskew diferente.
>
> [1] http://www.mail-archive.com/freebsd-pf@freebsd.org/msg02640.html
>
> Em 03/05/2011 17:32, Christiano Liberato escreveu:
> > Caros,
> >
> > ja perguntei isso anteriormente mas vou perturbar de novo pois ainda nao
> > resolvi.
> > Preciso de uma redundância de firewall e ja tenho o ambiente todo pronto:
> > placa de rede disponivel nos dois firewalls, regras com carp e pfsync
> etc.
> > Mas estou esbarrando numa questao: meu fw esta configurado com todos ips
> em
> > uma interface. Com isso nao consigo que o pfsync mantenha o estado pois
> ele
> > faz de 1 ip para outro ip.
> > Como posso configurar o firewall para que tenha apenas um ip na interface
> > atendendo tambem os outros ips?
> > A mesma interface atende email, dns, web etc. Com apenas 1 ip como
> atenderei
> > todos serviços?
> >
> > Obrigado a todos!
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Failover with pfsync and CARP

2011-05-03 Por tôpico Renato Frederick
Não entendi...

se você usa carp, você vai publicar o ip que precisa ter redundância na 
carpX. Na interface física vai colocar outro ip na mesma subnet apenas 
para que o carp saiba a qual interface física associar(limitação da 
implementação carp do free, no openbsd você pude usar a flag 'carpdev'[1]).

algo do tipo:

Email publicado no IP - 200.1.1.1/24

bce0 na maquina master ficaria com o IP 200.1.1.254/24
bce0 na maquina slave ficaria com o IP 200.1.1.253/24
carp0 ficaria com o IP 200.1.1.1/24, em ambas, cada uma com o advskew 
diferente.

E seus apontamentos de firewall e afins vao pra 200.1.1.1. Quando a 
master cair, o IP 200.1.1.254 fica parado, mas o 200.1.1.1 assume na  
slave devido ao advskew diferente.

[1] http://www.mail-archive.com/freebsd-pf@freebsd.org/msg02640.html

Em 03/05/2011 17:32, Christiano Liberato escreveu:
> Caros,
>
> ja perguntei isso anteriormente mas vou perturbar de novo pois ainda nao
> resolvi.
> Preciso de uma redundância de firewall e ja tenho o ambiente todo pronto:
> placa de rede disponivel nos dois firewalls, regras com carp e pfsync etc.
> Mas estou esbarrando numa questao: meu fw esta configurado com todos ips em
> uma interface. Com isso nao consigo que o pfsync mantenha o estado pois ele
> faz de 1 ip para outro ip.
> Como posso configurar o firewall para que tenha apenas um ip na interface
> atendendo tambem os outros ips?
> A mesma interface atende email, dns, web etc. Com apenas 1 ip como atenderei
> todos serviços?
>
> Obrigado a todos!
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


[FUG-BR] Firewall Failover with pfsync and CARP

2011-05-03 Por tôpico Christiano Liberato
Caros,

ja perguntei isso anteriormente mas vou perturbar de novo pois ainda nao
resolvi.
Preciso de uma redundância de firewall e ja tenho o ambiente todo pronto:
placa de rede disponivel nos dois firewalls, regras com carp e pfsync etc.
Mas estou esbarrando numa questao: meu fw esta configurado com todos ips em
uma interface. Com isso nao consigo que o pfsync mantenha o estado pois ele
faz de 1 ip para outro ip.
Como posso configurar o firewall para que tenha apenas um ip na interface
atendendo tambem os outros ips?
A mesma interface atende email, dns, web etc. Com apenas 1 ip como atenderei
todos serviços?

Obrigado a todos!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall congelando e caindo internet

2011-04-01 Por tôpico Lucas Dias
Em 1 de abril de 2011 11:26, Airton Arantes escreveu:

> > Em 22/03/2011, às 17:46, Christiano Liberato <
> christianoliber...@gmail.com>
> > escreveu:
> >
> > > Caros,
> > >
> > > estive vendo no firewall e minha interface de saída está como *media:
> > > Ethernet autoselect (100baseTX half-duplex)*
> > > É possível setar ela para full-duplex ou seria melhor trocá-la?
> >
>
>
> Christiano, veja o parâmetro -m do ifconfig e veja a lista de mídia de
> operação suportadas, caso a full-duplex esteja listada, não vai ser preciso
> trocar a sua placa. Veja um exemplo abaixo:
>
>
> *#ifconfig -m re1*
> re1: flags=8843 metric 0 mtu 1500
>
>
> options=389b
>
>
> capabilities=4399b
>ether 00:1a:3f:59:62:99
>inet 192.168.1.101 netmask 0xff00 broadcast 192.168.1.255
>media: Ethernet autoselect (1000baseT )
>status: active
>  *  supported media:*
>*media autoselect
>media 1000baseT mediaopt full-duplex
>media 1000baseT
>media 100baseTX mediaopt full-duplex
>media 100baseTX
>media 10baseT/UTP mediaopt full-duplex
>media 10baseT/UTP
>media none*
>
>
Aew Airton =)

Mando ver hein...
E o nosso curso, vai sair né =)

Chsistiano, veja a dica do Airton... E veja tambném como está a outra
ponta... está ligado num switch??? Ele tbm é 1000BaseT ???

Abraços

-- 
.:: Lucas Dias
.:: Analista de Sistemas
.:: Gerência de Redes - CETIS / GTIN / UNCISAL
.:: OS3 Soluções em TI
.:: (82) 3315-6779 / 8833-8811 / 8813-1494 / 8111-2288
.:: Antes de imprimir, veja se realmente é necessário
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall congelando e caindo internet

2011-04-01 Por tôpico Airton Arantes
> Em 22/03/2011, às 17:46, Christiano Liberato 
> escreveu:
>
> > Caros,
> >
> > estive vendo no firewall e minha interface de saída está como *media:
> > Ethernet autoselect (100baseTX half-duplex)*
> > É possível setar ela para full-duplex ou seria melhor trocá-la?
>


Christiano, veja o parâmetro -m do ifconfig e veja a lista de mídia de
operação suportadas, caso a full-duplex esteja listada, não vai ser preciso
trocar a sua placa. Veja um exemplo abaixo:


*#ifconfig -m re1*
re1: flags=8843 metric 0 mtu 1500

options=389b

capabilities=4399b
ether 00:1a:3f:59:62:99
inet 192.168.1.101 netmask 0xff00 broadcast 192.168.1.255
media: Ethernet autoselect (1000baseT )
status: active
  *  supported media:*
*media autoselect
media 1000baseT mediaopt full-duplex
media 1000baseT
media 100baseTX mediaopt full-duplex
media 100baseTX
media 10baseT/UTP mediaopt full-duplex
media 10baseT/UTP
media none*



-- 
Airton Arantes Coelho Filho
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall congelando e caindo internet

2011-03-22 Por tôpico Eduardo Schoedler
A outra ponta deve estar com velocidade fixa, basta configurar igual.

--
Eduardo Schoedler
Enviado via iPhone

Em 22/03/2011, às 17:46, Christiano Liberato  
escreveu:

> Caros,
> 
> estive vendo no firewall e minha interface de saída está como *media:
> Ethernet autoselect (100baseTX half-duplex)*
> É possível setar ela para full-duplex ou seria melhor trocá-la?
> 
> []'s
> 
> Em 21 de março de 2011 17:06, Renato Frederick
> escreveu:
> 
>> o sysctl.conf vem sem nada por padrão, vocÊ vai ter que colocar os
>> parâmetros lá para carregar no boot.
>> 
>> Pode carregar manualmente:
>> 
>> sysctl -w kern.maxclusters=123456
>> 
>> 
>> 
>> 
>> Em 21/03/2011 16:36, Christiano Liberato escreveu:
>>> Renato,
>>> 
>>> agradeço pela resposta.
>>> No sysctl.conf nao tem nada com esse parâmetro.
>>> 
>>> Mas veja o resultado do comando sysctl kern.maxclusters:
>>> 
>>> root@meuserver ~ # sysctl kern.maxclusters
>>> kern.maxclusters=6144
>>> 
>>> Como nao tem esse parametro terei q incluir na mao?
>>> Qual valor adicionar?
>>> 
>>> Obrigado.
>>> 
>>> Em 21 de março de 2011 16:26, Renato Frederick
>>> escreveu:
>>> 
 Aumente a variável kern.maxclusters no sysctl.conf[1] e também aproveite
 para verificar o tunning de nmbcluster
 
 
 
 [1]
 
 
>> http://www.listshow.net/201005/misc/21206-bsd-warning-mclpools-limit-reached-increase-kernmaxclusters.html
 
 
 
 
 
 Em 21/03/2011 16:22, Christiano Liberato escreveu:
> Caros,
> 
> tenho um firewall funcionando a meses e de uma hora pra outra ele
>> congela
 e
> depois de uns 7 segundos volta.
> Com isso a internet cai, conexao ssh pra ele tambem.
> Vendo no /var/log/messages aparece a mensagem: /bsd: WARNING: mclpools
 limit
> reached; increase kern.maxclusteS
> 
> Alguem ja passou por isso?
> 
> Obrigado!
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> 
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall congelando e caindo internet

2011-03-22 Por tôpico Christiano Liberato
Caros,

estive vendo no firewall e minha interface de saída está como *media:
Ethernet autoselect (100baseTX half-duplex)*
É possível setar ela para full-duplex ou seria melhor trocá-la?

[]'s

Em 21 de março de 2011 17:06, Renato Frederick
escreveu:

> o sysctl.conf vem sem nada por padrão, vocÊ vai ter que colocar os
> parâmetros lá para carregar no boot.
>
> Pode carregar manualmente:
>
> sysctl -w kern.maxclusters=123456
>
>
>
>
> Em 21/03/2011 16:36, Christiano Liberato escreveu:
> > Renato,
> >
> > agradeço pela resposta.
> > No sysctl.conf nao tem nada com esse parâmetro.
> >
> > Mas veja o resultado do comando sysctl kern.maxclusters:
> >
> > root@meuserver ~ # sysctl kern.maxclusters
> > kern.maxclusters=6144
> >
> > Como nao tem esse parametro terei q incluir na mao?
> > Qual valor adicionar?
> >
> > Obrigado.
> >
> > Em 21 de março de 2011 16:26, Renato Frederick
> > escreveu:
> >
> >> Aumente a variável kern.maxclusters no sysctl.conf[1] e também aproveite
> >> para verificar o tunning de nmbcluster
> >>
> >>
> >>
> >> [1]
> >>
> >>
> http://www.listshow.net/201005/misc/21206-bsd-warning-mclpools-limit-reached-increase-kernmaxclusters.html
> >>
> >>
> >>
> >>
> >>
> >> Em 21/03/2011 16:22, Christiano Liberato escreveu:
> >>> Caros,
> >>>
> >>> tenho um firewall funcionando a meses e de uma hora pra outra ele
> congela
> >> e
> >>> depois de uns 7 segundos volta.
> >>> Com isso a internet cai, conexao ssh pra ele tambem.
> >>> Vendo no /var/log/messages aparece a mensagem: /bsd: WARNING: mclpools
> >> limit
> >>> reached; increase kern.maxclusteS
> >>>
> >>> Alguem ja passou por isso?
> >>>
> >>> Obrigado!
> >>> -
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> -
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall congelando e caindo internet

2011-03-21 Por tôpico Renato Frederick
o sysctl.conf vem sem nada por padrão, vocÊ vai ter que colocar os 
parâmetros lá para carregar no boot.

Pode carregar manualmente:

sysctl -w kern.maxclusters=123456




Em 21/03/2011 16:36, Christiano Liberato escreveu:
> Renato,
>
> agradeço pela resposta.
> No sysctl.conf nao tem nada com esse parâmetro.
>
> Mas veja o resultado do comando sysctl kern.maxclusters:
>
> root@meuserver ~ # sysctl kern.maxclusters
> kern.maxclusters=6144
>
> Como nao tem esse parametro terei q incluir na mao?
> Qual valor adicionar?
>
> Obrigado.
>
> Em 21 de março de 2011 16:26, Renato Frederick
> escreveu:
>
>> Aumente a variável kern.maxclusters no sysctl.conf[1] e também aproveite
>> para verificar o tunning de nmbcluster
>>
>>
>>
>> [1]
>>
>> http://www.listshow.net/201005/misc/21206-bsd-warning-mclpools-limit-reached-increase-kernmaxclusters.html
>>
>>
>>
>>
>>
>> Em 21/03/2011 16:22, Christiano Liberato escreveu:
>>> Caros,
>>>
>>> tenho um firewall funcionando a meses e de uma hora pra outra ele congela
>> e
>>> depois de uns 7 segundos volta.
>>> Com isso a internet cai, conexao ssh pra ele tambem.
>>> Vendo no /var/log/messages aparece a mensagem: /bsd: WARNING: mclpools
>> limit
>>> reached; increase kern.maxclusteS
>>>
>>> Alguem ja passou por isso?
>>>
>>> Obrigado!
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall congelando e caindo internet

2011-03-21 Por tôpico Christiano Liberato
Renato,

agradeço pela resposta.
No sysctl.conf nao tem nada com esse parâmetro.

Mas veja o resultado do comando sysctl kern.maxclusters:

root@meuserver ~ # sysctl kern.maxclusters
kern.maxclusters=6144

Como nao tem esse parametro terei q incluir na mao?
Qual valor adicionar?

Obrigado.

Em 21 de março de 2011 16:26, Renato Frederick
escreveu:

> Aumente a variável kern.maxclusters no sysctl.conf[1] e também aproveite
> para verificar o tunning de nmbcluster
>
>
>
> [1]
>
> http://www.listshow.net/201005/misc/21206-bsd-warning-mclpools-limit-reached-increase-kernmaxclusters.html
>
>
>
>
>
> Em 21/03/2011 16:22, Christiano Liberato escreveu:
> > Caros,
> >
> > tenho um firewall funcionando a meses e de uma hora pra outra ele congela
> e
> > depois de uns 7 segundos volta.
> > Com isso a internet cai, conexao ssh pra ele tambem.
> > Vendo no /var/log/messages aparece a mensagem: /bsd: WARNING: mclpools
> limit
> > reached; increase kern.maxclusteS
> >
> > Alguem ja passou por isso?
> >
> > Obrigado!
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall congelando e caindo internet

2011-03-21 Por tôpico Renato Frederick
Aumente a variável kern.maxclusters no sysctl.conf[1] e também aproveite 
para verificar o tunning de nmbcluster



[1] 
http://www.listshow.net/201005/misc/21206-bsd-warning-mclpools-limit-reached-increase-kernmaxclusters.html





Em 21/03/2011 16:22, Christiano Liberato escreveu:
> Caros,
>
> tenho um firewall funcionando a meses e de uma hora pra outra ele congela e
> depois de uns 7 segundos volta.
> Com isso a internet cai, conexao ssh pra ele tambem.
> Vendo no /var/log/messages aparece a mensagem: /bsd: WARNING: mclpools limit
> reached; increase kern.maxclusteS
>
> Alguem ja passou por isso?
>
> Obrigado!
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


[FUG-BR] Firewall congelando e caindo internet

2011-03-21 Por tôpico Christiano Liberato
Caros,

tenho um firewall funcionando a meses e de uma hora pra outra ele congela e
depois de uns 7 segundos volta.
Com isso a internet cai, conexao ssh pra ele tambem.
Vendo no /var/log/messages aparece a mensagem: /bsd: WARNING: mclpools limit
reached; increase kern.maxclusteS

Alguem ja passou por isso?

Obrigado!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall com prioridade para Navegaçã o

2010-11-08 Por tôpico Gustavo Freitas
pessoal,

fiz o teste e não funcionou.. utilizei o seguintes links

http://na.mirror.garr.it/mirrors/zeroshell/kernel-2.6.19.7-source-compiled.tar.bz2
ftp://na.mirror.garr.it/mirrors/zeroshell/

A velocidade ficou a mesma..

Adicionei a regra abaixo e nada..

pass in quick on $ext_if proto tcp from any to any flags S/SA \
keep state queue def


Em 8 de novembro de 2010 13:04, Mario Augusto Mania
 escreveu:
> Entao você nao testou heheheh, já que vc mesmo disse que nao sabe se
> esta funcionando :)
>
> Como vc pode testar:
>
> Coloca outro freebsd na outra ponta do cabo com ftp e apache.
> Gere um arquivo com dd de uns 50Gbs.
> Comece a baixar o arquivo por ftp, e veja a velocidade.
> Monitore por 1 minuto mais ou menos, e entao comece a baixar o mesmo
> arquivo, mas agora por http.
> Voce vai testar baixando os dois ao mesmo tempo, 1 por ftp e  outro por http.
> Se suas regras funcionarem, a velocidade do ftp vai cair para 20% e a
> do http sera equivalente a 80%.
>
> m3
>
> Em 8 de novembro de 2010 13:31, Gustavo Freitas
>  escreveu:
>> sim testei.. estou navegando com ele e enviando esta msg... já baixei 
>> arquivos
>> o que eu gostaria de saber opinião de vocês principamente com relação
>> a prioridade
>> para navegação..
>>
>> não sei esta funcionado .. tem como saber ?? outro detalhe é o consumo de 
>> banda
>> por p2p.. o que eu quero não é bloquear é fazer que eles não tenha 
>> prioridade.
>>
>>
>>
>>
>> Em 8 de novembro de 2010 12:13, Mario Augusto Mania
>>  escreveu:
>>> Voce testou essas regras antes de postar?
>>> Simulou o ambiente?
>>>
>>> m3
>>>
>>> Em 8 de novembro de 2010 12:50, Gustavo Freitas
>>>  escreveu:
 Pessoal,

 Estou com iniciando no BSD e implementei um firewall usando PF, objetivo 
 dele é
 somente controlar e dar prioridade para navegação na internet com uma
 reserva de banda
 de 80%, sem controle de trafego e nem bloqueio de portas.

 Gostaria da opinião de você e se esta correto..

 int_if = "rl0"
 ext_if = "vr0"
 unsafe = "{ rl0, vr0 }"
 int_net = "10.0.0.0/8"
 int_alias = "10.10.0.0/16"


 set loginterface $int_if
 set skip on lo

 match in all scrub (no-df)

 nat on $ext_if from !($ext_if) -> ($ext_if:0)

 antispoof quick for { lo $int_if }

 set block-policy  return

 block in log quick proto tcp flags FUP/WEUAPRSF
 block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
 block in log quick proto tcp flags SRAFU/WEUAPRSF
 block in log quick proto tcp flags /WEUAPRSF
 block in log quick proto tcp flags SR/SR
 block in log quick proto tcp flags SF/SF

 altq on $ext_if cbq bandwidth 512Kb queue { def, http }
 queue def bandwidth 20% cbq(default borrow red)
 queue http bandwidth 80% cbq(borrow red)

 pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags 
 S/SA \
    keep state queue http

 # block in traffic from private networks on external interface
 block drop in quick on $ext_if from $int_alias to any

 # block out traffic to private networks on external interface
 block drop out quick on $ext_if from any to $int_alias

 antispoof quick for { lo $int_if }
 block in quick on $ext_if proto tcp from  to any port 22
 label "ssh bruteforce"

 # SSH connection
 pass in log on $int_if inet proto tcp from $int_net to { $int_if
 $ext_if } port ssh
 pass out log on $int_if inet proto tcp from $int_if to any port ssh

 # DNS queries
 pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port
 { domain bootps }

 # ping
 block in log on $int_if proto icmp from $int_alias to $int_alias

 # File sharing applications
 pass in log on $int_if proto { tcp udp } from $int_net to any port socks



 --
 Gustavo Freitas
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

>>>
>>>
>>>
>>> --
>>> Atenciosmente
>>>
>>> Mario Augusto Mania 
>>> ---
>>> m3.bsd.ma...@gmail.com
>>> Cel.: (43) 9938-9629
>>> Msn: ma...@oquei.com
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>>
>>
>> --
>> Gustavo Freitas
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>
> --
> Atenciosmente
>
> Mario Augusto Mania 
> ---
> m3.bsd.ma...@gmail.com
> Cel.: (43) 9938-9629
> Msn: ma...@oquei.com
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Gustavo Freitas

Re: [FUG-BR] Firewall com prioridade para Navegaçã o

2010-11-08 Por tôpico Mario Augusto Mania
Entao você nao testou heheheh, já que vc mesmo disse que nao sabe se
esta funcionando :)

Como vc pode testar:

Coloca outro freebsd na outra ponta do cabo com ftp e apache.
Gere um arquivo com dd de uns 50Gbs.
Comece a baixar o arquivo por ftp, e veja a velocidade.
Monitore por 1 minuto mais ou menos, e entao comece a baixar o mesmo
arquivo, mas agora por http.
Voce vai testar baixando os dois ao mesmo tempo, 1 por ftp e  outro por http.
Se suas regras funcionarem, a velocidade do ftp vai cair para 20% e a
do http sera equivalente a 80%.

m3

Em 8 de novembro de 2010 13:31, Gustavo Freitas
 escreveu:
> sim testei.. estou navegando com ele e enviando esta msg... já baixei arquivos
> o que eu gostaria de saber opinião de vocês principamente com relação
> a prioridade
> para navegação..
>
> não sei esta funcionado .. tem como saber ?? outro detalhe é o consumo de 
> banda
> por p2p.. o que eu quero não é bloquear é fazer que eles não tenha prioridade.
>
>
>
>
> Em 8 de novembro de 2010 12:13, Mario Augusto Mania
>  escreveu:
>> Voce testou essas regras antes de postar?
>> Simulou o ambiente?
>>
>> m3
>>
>> Em 8 de novembro de 2010 12:50, Gustavo Freitas
>>  escreveu:
>>> Pessoal,
>>>
>>> Estou com iniciando no BSD e implementei um firewall usando PF, objetivo 
>>> dele é
>>> somente controlar e dar prioridade para navegação na internet com uma
>>> reserva de banda
>>> de 80%, sem controle de trafego e nem bloqueio de portas.
>>>
>>> Gostaria da opinião de você e se esta correto..
>>>
>>> int_if = "rl0"
>>> ext_if = "vr0"
>>> unsafe = "{ rl0, vr0 }"
>>> int_net = "10.0.0.0/8"
>>> int_alias = "10.10.0.0/16"
>>>
>>>
>>> set loginterface $int_if
>>> set skip on lo
>>>
>>> match in all scrub (no-df)
>>>
>>> nat on $ext_if from !($ext_if) -> ($ext_if:0)
>>>
>>> antispoof quick for { lo $int_if }
>>>
>>> set block-policy  return
>>>
>>> block in log quick proto tcp flags FUP/WEUAPRSF
>>> block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
>>> block in log quick proto tcp flags SRAFU/WEUAPRSF
>>> block in log quick proto tcp flags /WEUAPRSF
>>> block in log quick proto tcp flags SR/SR
>>> block in log quick proto tcp flags SF/SF
>>>
>>> altq on $ext_if cbq bandwidth 512Kb queue { def, http }
>>> queue def bandwidth 20% cbq(default borrow red)
>>> queue http bandwidth 80% cbq(borrow red)
>>>
>>> pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags 
>>> S/SA \
>>>    keep state queue http
>>>
>>> # block in traffic from private networks on external interface
>>> block drop in quick on $ext_if from $int_alias to any
>>>
>>> # block out traffic to private networks on external interface
>>> block drop out quick on $ext_if from any to $int_alias
>>>
>>> antispoof quick for { lo $int_if }
>>> block in quick on $ext_if proto tcp from  to any port 22
>>> label "ssh bruteforce"
>>>
>>> # SSH connection
>>> pass in log on $int_if inet proto tcp from $int_net to { $int_if
>>> $ext_if } port ssh
>>> pass out log on $int_if inet proto tcp from $int_if to any port ssh
>>>
>>> # DNS queries
>>> pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port
>>> { domain bootps }
>>>
>>> # ping
>>> block in log on $int_if proto icmp from $int_alias to $int_alias
>>>
>>> # File sharing applications
>>> pass in log on $int_if proto { tcp udp } from $int_net to any port socks
>>>
>>>
>>>
>>> --
>>> Gustavo Freitas
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>>
>>
>> --
>> Atenciosmente
>>
>> Mario Augusto Mania 
>> ---
>> m3.bsd.ma...@gmail.com
>> Cel.: (43) 9938-9629
>> Msn: ma...@oquei.com
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>
> --
> Gustavo Freitas
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Atenciosmente

Mario Augusto Mania 
---
m3.bsd.ma...@gmail.com
Cel.: (43) 9938-9629
Msn: ma...@oquei.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall com prioridade para Navegaçã o

2010-11-08 Por tôpico Gustavo Freitas
sim testei.. estou navegando com ele e enviando esta msg... já baixei arquivos
o que eu gostaria de saber opinião de vocês principamente com relação
a prioridade
para navegação..

não sei esta funcionado .. tem como saber ?? outro detalhe é o consumo de banda
por p2p.. o que eu quero não é bloquear é fazer que eles não tenha prioridade.




Em 8 de novembro de 2010 12:13, Mario Augusto Mania
 escreveu:
> Voce testou essas regras antes de postar?
> Simulou o ambiente?
>
> m3
>
> Em 8 de novembro de 2010 12:50, Gustavo Freitas
>  escreveu:
>> Pessoal,
>>
>> Estou com iniciando no BSD e implementei um firewall usando PF, objetivo 
>> dele é
>> somente controlar e dar prioridade para navegação na internet com uma
>> reserva de banda
>> de 80%, sem controle de trafego e nem bloqueio de portas.
>>
>> Gostaria da opinião de você e se esta correto..
>>
>> int_if = "rl0"
>> ext_if = "vr0"
>> unsafe = "{ rl0, vr0 }"
>> int_net = "10.0.0.0/8"
>> int_alias = "10.10.0.0/16"
>>
>>
>> set loginterface $int_if
>> set skip on lo
>>
>> match in all scrub (no-df)
>>
>> nat on $ext_if from !($ext_if) -> ($ext_if:0)
>>
>> antispoof quick for { lo $int_if }
>>
>> set block-policy  return
>>
>> block in log quick proto tcp flags FUP/WEUAPRSF
>> block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
>> block in log quick proto tcp flags SRAFU/WEUAPRSF
>> block in log quick proto tcp flags /WEUAPRSF
>> block in log quick proto tcp flags SR/SR
>> block in log quick proto tcp flags SF/SF
>>
>> altq on $ext_if cbq bandwidth 512Kb queue { def, http }
>> queue def bandwidth 20% cbq(default borrow red)
>> queue http bandwidth 80% cbq(borrow red)
>>
>> pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags 
>> S/SA \
>>    keep state queue http
>>
>> # block in traffic from private networks on external interface
>> block drop in quick on $ext_if from $int_alias to any
>>
>> # block out traffic to private networks on external interface
>> block drop out quick on $ext_if from any to $int_alias
>>
>> antispoof quick for { lo $int_if }
>> block in quick on $ext_if proto tcp from  to any port 22
>> label "ssh bruteforce"
>>
>> # SSH connection
>> pass in log on $int_if inet proto tcp from $int_net to { $int_if
>> $ext_if } port ssh
>> pass out log on $int_if inet proto tcp from $int_if to any port ssh
>>
>> # DNS queries
>> pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port
>> { domain bootps }
>>
>> # ping
>> block in log on $int_if proto icmp from $int_alias to $int_alias
>>
>> # File sharing applications
>> pass in log on $int_if proto { tcp udp } from $int_net to any port socks
>>
>>
>>
>> --
>> Gustavo Freitas
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>
> --
> Atenciosmente
>
> Mario Augusto Mania 
> ---
> m3.bsd.ma...@gmail.com
> Cel.: (43) 9938-9629
> Msn: ma...@oquei.com
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Gustavo Freitas
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall com prioridade para Navegaçã o

2010-11-08 Por tôpico Mario Augusto Mania
Voce testou essas regras antes de postar?
Simulou o ambiente?

m3

Em 8 de novembro de 2010 12:50, Gustavo Freitas
 escreveu:
> Pessoal,
>
> Estou com iniciando no BSD e implementei um firewall usando PF, objetivo dele 
> é
> somente controlar e dar prioridade para navegação na internet com uma
> reserva de banda
> de 80%, sem controle de trafego e nem bloqueio de portas.
>
> Gostaria da opinião de você e se esta correto..
>
> int_if = "rl0"
> ext_if = "vr0"
> unsafe = "{ rl0, vr0 }"
> int_net = "10.0.0.0/8"
> int_alias = "10.10.0.0/16"
>
>
> set loginterface $int_if
> set skip on lo
>
> match in all scrub (no-df)
>
> nat on $ext_if from !($ext_if) -> ($ext_if:0)
>
> antispoof quick for { lo $int_if }
>
> set block-policy  return
>
> block in log quick proto tcp flags FUP/WEUAPRSF
> block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
> block in log quick proto tcp flags SRAFU/WEUAPRSF
> block in log quick proto tcp flags /WEUAPRSF
> block in log quick proto tcp flags SR/SR
> block in log quick proto tcp flags SF/SF
>
> altq on $ext_if cbq bandwidth 512Kb queue { def, http }
> queue def bandwidth 20% cbq(default borrow red)
> queue http bandwidth 80% cbq(borrow red)
>
> pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags 
> S/SA \
>    keep state queue http
>
> # block in traffic from private networks on external interface
> block drop in quick on $ext_if from $int_alias to any
>
> # block out traffic to private networks on external interface
> block drop out quick on $ext_if from any to $int_alias
>
> antispoof quick for { lo $int_if }
> block in quick on $ext_if proto tcp from  to any port 22
> label "ssh bruteforce"
>
> # SSH connection
> pass in log on $int_if inet proto tcp from $int_net to { $int_if
> $ext_if } port ssh
> pass out log on $int_if inet proto tcp from $int_if to any port ssh
>
> # DNS queries
> pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port
> { domain bootps }
>
> # ping
> block in log on $int_if proto icmp from $int_alias to $int_alias
>
> # File sharing applications
> pass in log on $int_if proto { tcp udp } from $int_net to any port socks
>
>
>
> --
> Gustavo Freitas
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Atenciosmente

Mario Augusto Mania 
---
m3.bsd.ma...@gmail.com
Cel.: (43) 9938-9629
Msn: ma...@oquei.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


[FUG-BR] Firewall com prioridade para Navegaçã o

2010-11-08 Por tôpico Gustavo Freitas
Pessoal,

Estou com iniciando no BSD e implementei um firewall usando PF, objetivo dele é
somente controlar e dar prioridade para navegação na internet com uma
reserva de banda
de 80%, sem controle de trafego e nem bloqueio de portas.

Gostaria da opinião de você e se esta correto..

int_if = "rl0"
ext_if = "vr0"
unsafe = "{ rl0, vr0 }"
int_net = "10.0.0.0/8"
int_alias = "10.10.0.0/16"


set loginterface $int_if
set skip on lo

match in all scrub (no-df)

nat on $ext_if from !($ext_if) -> ($ext_if:0)

antispoof quick for { lo $int_if }

set block-policy  return

block in log quick proto tcp flags FUP/WEUAPRSF
block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
block in log quick proto tcp flags SRAFU/WEUAPRSF
block in log quick proto tcp flags /WEUAPRSF
block in log quick proto tcp flags SR/SR
block in log quick proto tcp flags SF/SF

altq on $ext_if cbq bandwidth 512Kb queue { def, http }
queue def bandwidth 20% cbq(default borrow red)
queue http bandwidth 80% cbq(borrow red)

pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags S/SA \
keep state queue http

# block in traffic from private networks on external interface
block drop in quick on $ext_if from $int_alias to any

# block out traffic to private networks on external interface
block drop out quick on $ext_if from any to $int_alias

antispoof quick for { lo $int_if }
block in quick on $ext_if proto tcp from  to any port 22
label "ssh bruteforce"

# SSH connection
pass in log on $int_if inet proto tcp from $int_net to { $int_if
$ext_if } port ssh
pass out log on $int_if inet proto tcp from $int_if to any port ssh

# DNS queries
pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port
{ domain bootps }

# ping
block in log on $int_if proto icmp from $int_alias to $int_alias

# File sharing applications
pass in log on $int_if proto { tcp udp } from $int_net to any port socks



-- 
Gustavo Freitas
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall quando reinicia, não volta o PF

2010-10-08 Por tôpico Renato Botelho
2010/10/8 eduwu...@gmail.com :
> Bom dia
>
> Tenho um Servidor Firewall/Gateway, rodando PF,
> Todas as vezes que reinicio o servidor, tenho que executar meu script para
> subir o PF, que tem o seguinte conteúdo.
>
> #!/bin/sh
> pfctl -F all >> /root/scripts/pf.log
> pfctl -f /etc/pf.conf >> /root/scripts/pf.log
>
>
> Até aí, tudo bem,
> Porem, percebi que foi depois que adicionei uma regra no meu PF.CONF,
> contendo um host dinamico, que usava "dyndns".
>
> pass in quick on rl0 from $rede_interna to layher-serv.ddns.com.br keep
> state
>
> Antes dessa regra, eu não tinha esse problema, rebootava, e subia
> normalmente o PF.

Você mesmo já achou o problema, não se deve usar URLs no pf.conf.

Se você precisa disso, uma solução (a primeira que me veio a mente),
seria criar uma table no pf.conf, sem nenhum IP, e criar a regra de firewall
usando ela.

Depois vc adiciona um script bem simples pra executar no seu rc.local,
que resolva o IP do host que vc precisa e adicione-o na table.

-- 
Renato Botelho
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


[FUG-BR] Firewall quando reinicia, não volta o PF

2010-10-08 Por tôpico eduwu...@gmail.com
Bom dia

Tenho um Servidor Firewall/Gateway, rodando PF,
Todas as vezes que reinicio o servidor, tenho que executar meu script para
subir o PF, que tem o seguinte conteúdo.

#!/bin/sh
pfctl -F all >> /root/scripts/pf.log
pfctl -f /etc/pf.conf >> /root/scripts/pf.log


Até aí, tudo bem,
Porem, percebi que foi depois que adicionei uma regra no meu PF.CONF,
contendo um host dinamico, que usava "dyndns".

pass in quick on rl0 from $rede_interna to layher-serv.ddns.com.br keep
state

Antes dessa regra, eu não tinha esse problema, rebootava, e subia
normalmente o PF.


Nos logs, percebo que o PF não consegue resolver o nome, na inicialização,
na hora da inicialização, ou coisa parecida.
Alguem já passou por isso?

Obs: antes dessa regra, com ddns, subia normalmente
meu rc.conf
# cat /etc/rc.conf

# -- sysinstall generated deltas -- # Mon Jul 19 05:01:24 2010
# Created: Mon Jul 19 05:01:24 2010
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
dmesg_enable="YES"
defaultrouter="200.168.31.65"


hostname="FauLtX"

ifconfig_fxp0="inet 200.168.XXX.XXX netmask 255.255.255.192"
ifconfig_rl0="inet 192.168.0.252 netmask 255.255.255.0"

moused_enable="YES"
sshd_enable="YES"
check_quotas="NO"
ntpd="NO"
sendmail_flags="NO"
gateway_enable="YES"
kern_securelevel="1"
kern_securelevel_enable="YES"
pf_enable="YES"
pflog_enable="YES"
named_enable="YES"
# -- sysinstall generated deltas -- # Mon Jul 19 09:34:15 2010
keymap="br275.cp850"
# dhcpd
dhcpd_enable="YES"
# squid
squid_enable="YES"
# ntop
ntop_enable="YES"
# apache22
apache22_enable="YES"
# zabbix_agentd
zabbix_agentd_enable="YES"




Eduardo Wutzl
Analista Unix
eduwu...@gmail.com
-
11-7892-7580
Nextel ID: 100*116975




  ,," 1+
 /()`" 1+
 \ \___   / |" 1+
 /- _  `-/  '" 1+
(/\/ \ \   /\" 1+
/ /   | `\" 1+
O O   ) /|" 1+
`-^--'`< '" 1+
   (_.)  _  )   /" 1+
`.___/`/" 1+
  `-' /" 1+
 <. __ / __   \" 1+
 <|O)))==) \) /" 1+
 <'`--' `.__,' \" 1+
  ||" 1+
   \   /   /\" 1+
  __( (_  / \__/" 1+
,'  ,-'   |" 1+
`--{__)"




-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] firewall freebsd + pf -- 32bits ou 64bits diferença de performace ? existe ?

2010-06-08 Por tôpico Nenhum_de_Nos

On Tue, June 8, 2010 10:45, Zhu Sha Zang wrote:

tenho um FW 7.1R em produção e não me dá dor de cabeça alguma. como o pc
tem EM64T, uso amd64 e recomendo.

matheus

-- 
We will call you cygnus,
The God of balance you shall be

A: Because it messes up the order in which people normally read text.
Q: Why is top-posting such a bad thing?

http://en.wikipedia.org/wiki/Posting_style
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] firewall freebsd + pf -- 32bits ou 64bits diferença de performace ? existe ?

2010-06-08 Por tôpico Márcio Luciano Donada
Em 8/6/2010 10:45, Zhu Sha Zang escreveu:
> Look at this >>>
>
> http://en.wikipedia.org/wiki/Year_2038_problem
>   

Esse está igual ao bug de 2000. Mais uma grande coisa pra gente perder
tempo.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] firewall freebsd + pf -- 32bits ou 64bits dife rença de performace ? existe ?

2010-06-08 Por tôpico Zhu Sha Zang
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Em 08-06-2010 09:32, Bruno Torres Viana escreveu:
> Diogo,
>
> Eu não vi tanta diferença, agora se tem a oportunidade de fazer com 64bits,
> faça logo!
>
> Sds,
>
> Em 7 de junho de 2010 17:44, Diogo Rodrigo  escreveu:
>
>> Prezados amigos , existe alguma diferença de performace em um firewall
>> em freebsd 32bits e 64bits ?
>>
>>
>> preciso de um firewall para fazer balanceamento de carga de entrada em
>> alguns serviços internos da empresa .
>>
>>
>>
>> att Digoo Rodrigo
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>

Look at this >>>

http://en.wikipedia.org/wiki/Year_2038_problem
-BEGIN PGP SIGNATURE-
Version: GnuPG v2.0.15 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAkwOSXsACgkQ35zeJy7JhCiwHQCdEn4Or5rlY84Gko0FOspcdqaS
rosAoI43TIwnZR8gjPIbJcAfZbr4OkrU
=dY6j
-END PGP SIGNATURE-

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] firewall freebsd + pf -- 32bits ou 64bits dife rença de performace ? existe ?

2010-06-08 Por tôpico Bruno Torres Viana
Diogo,

Eu não vi tanta diferença, agora se tem a oportunidade de fazer com 64bits,
faça logo!

Sds,

Em 7 de junho de 2010 17:44, Diogo Rodrigo  escreveu:

> Prezados amigos , existe alguma diferença de performace em um firewall
> em freebsd 32bits e 64bits ?
>
>
> preciso de um firewall para fazer balanceamento de carga de entrada em
> alguns serviços internos da empresa .
>
>
>
> att Digoo Rodrigo
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
___
Bruno Torres Viana



Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante
por opção!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


[FUG-BR] firewall freebsd + pf -- 32bits ou 64bits diferença de performace ? existe ?

2010-06-07 Por tôpico Diogo Rodrigo
Prezados amigos , existe alguma diferença de performace em um firewall
em freebsd 32bits e 64bits ?


preciso de um firewall para fazer balanceamento de carga de entrada em
alguns serviços internos da empresa .



att Digoo Rodrigo
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall freebsd com proxy squid

2010-04-11 Por tôpico Luiz Otavio O Souza
On Apr 9, 2010, at 5:22 PM, Thiago Pollachini wrote:

> Acredito que possa ser feito se for mexido no codigo do msn-proxy.
> O desenvolvedor do msn-proxy é um usuario ativo do fórum. Porque nao
> questiona-lo?
> 
> Saudações,
> 
> Em 8 de abril de 2010 23:04, Neriberto Caetano do Prado > escreveu:
> 
>> o msn usa uma porta especifica para ele, mas também utiliza-se do protocolo
>> http, não sei te dizer agora se os arquivos enviados e recebidos pelo msn
>> utilizam esta porta dele ou o http, se for por http então seria escaneado
>> pelo antivírus sim,...
>> 
>> --- pausa para googlar :) ---
>> 
>> A porta do MSN é a 1863
>> 
>> Achei este site (
>> http://www.hypothetic.org/docs/msn/client/file_transfer.php )  que fala de
>> um série de coisas sobre transferencia de arquivo pelo MSN fiquei na dúvida
>> e fui na fonte causadora de todo o MAL e achei isto :
>> 
>> http://support.microsoft.com/kb/927847 tem uma relação de portas usadas
>> pelo
>> MSN, Live Messenger e tem mais este kb :
>> 
>> http://support.microsoft.com/kb/960820
>> 
>> bom testes, estudos e reporta aí depois :)


Bom,

O msn pode conectar das duas maneiras (porta 1863 ou pela porta 80) dependo dos 
bloqueios na sua rede.

A transferencia de arquivos (de qualquer maneira) é feita através do envio de 
pequenas mensagens (o arquivo é quebrado em pedaços pequenos antes de ser 
transmitido) e isso dificulta se não impede totalmente o trabalho do 
anti-virus, que não vai ver em momento algum o arquivo completo.

Mesmo no msn-proxy seria dificil de implementar o anti-virus (o msn-proxy teria 
que receber o arquivo automaticamente, verificar e depois encaminhar para o 
usuário de destino - não é impossível mas seria dificil).

Att.,
Luiz

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall freebsd com proxy squid

2010-04-09 Por tôpico Thiago Pollachini
Acredito que possa ser feito se for mexido no codigo do msn-proxy.
O desenvolvedor do msn-proxy é um usuario ativo do fórum. Porque nao
questiona-lo?

Saudações,

Em 8 de abril de 2010 23:04, Neriberto Caetano do Prado  escreveu:

> o msn usa uma porta especifica para ele, mas também utiliza-se do protocolo
> http, não sei te dizer agora se os arquivos enviados e recebidos pelo msn
> utilizam esta porta dele ou o http, se for por http então seria escaneado
> pelo antivírus sim,...
>
> --- pausa para googlar :) ---
>
> A porta do MSN é a 1863
>
> Achei este site (
> http://www.hypothetic.org/docs/msn/client/file_transfer.php )  que fala de
> um série de coisas sobre transferencia de arquivo pelo MSN fiquei na dúvida
> e fui na fonte causadora de todo o MAL e achei isto :
>
> http://support.microsoft.com/kb/927847 tem uma relação de portas usadas
> pelo
> MSN, Live Messenger e tem mais este kb :
>
> http://support.microsoft.com/kb/960820
>
> bom testes, estudos e reporta aí depois :)
>
> Em 8 de abril de 2010 19:41, Anderson Alves de Albuquerque <
> anderso...@gmail.com> escreveu:
>
> >  Eu tenho o meu firewall com proxy squid e antivirus no freebsd. Eu
> queria
> > garantir, que os usuários tenham os seus arquivos, transferidos via MSN,
> > escaneados pelo antivirus do proxy squid. Isto eh possível?
> >
> >
> > --
> > [], Anderson Alves de Albuquerque.
> > ---
> > E-mails: andersonalvesdealbuquerque#hotmail.com (replace # by @)
> > andersonaa#gmail.com (replace # by @)
> > ICQ: 73222660
> > ---
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall freebsd com proxy squid

2010-04-08 Por tôpico Neriberto Caetano do Prado
o msn usa uma porta especifica para ele, mas também utiliza-se do protocolo
http, não sei te dizer agora se os arquivos enviados e recebidos pelo msn
utilizam esta porta dele ou o http, se for por http então seria escaneado
pelo antivírus sim,...

--- pausa para googlar :) ---

A porta do MSN é a 1863

Achei este site (
http://www.hypothetic.org/docs/msn/client/file_transfer.php )  que fala de
um série de coisas sobre transferencia de arquivo pelo MSN fiquei na dúvida
e fui na fonte causadora de todo o MAL e achei isto :

http://support.microsoft.com/kb/927847 tem uma relação de portas usadas pelo
MSN, Live Messenger e tem mais este kb :

http://support.microsoft.com/kb/960820

bom testes, estudos e reporta aí depois :)

Em 8 de abril de 2010 19:41, Anderson Alves de Albuquerque <
anderso...@gmail.com> escreveu:

>  Eu tenho o meu firewall com proxy squid e antivirus no freebsd. Eu queria
> garantir, que os usuários tenham os seus arquivos, transferidos via MSN,
> escaneados pelo antivirus do proxy squid. Isto eh possível?
>
>
> --
> [], Anderson Alves de Albuquerque.
> ---
> E-mails: andersonalvesdealbuquerque#hotmail.com (replace # by @)
> andersonaa#gmail.com (replace # by @)
> ICQ: 73222660
> ---
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


[FUG-BR] Firewall freebsd com proxy squid

2010-04-08 Por tôpico Anderson Alves de Albuquerque
 Eu tenho o meu firewall com proxy squid e antivirus no freebsd. Eu queria
garantir, que os usuários tenham os seus arquivos, transferidos via MSN,
escaneados pelo antivirus do proxy squid. Isto eh possível?


-- 
[], Anderson Alves de Albuquerque.
---
E-mails: andersonalvesdealbuquerque#hotmail.com (replace # by @)
andersonaa#gmail.com (replace # by @)
ICQ: 73222660
---
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall banda por usuário

2010-03-22 Por tôpico Renato Botelho
2010/3/22 Gelsimauro Batista dos Santos :
> #Cliente 03
>
> ifconfig rl1 inet 11.2.0.1 netmask 255.255.255.252 alias
>
> /usr/sbin/arp -S 11.2.0.2 00:1c:f0:85:e8:73
>
>
>
> #Cliente 04
>
> ifconfig rl1  inet 12.1.0.1 netmask 255.255.255.252 alias
>
> /usr/sbin/arp -S 12.1.0.2 00:1c:f0:85:e8:73
>
>
>
> #Cliente 05
>
> ifconfig rl1 inet 12.2.0.1 netmask 255.255.255.252 alias
>
> /usr/sbin/arp -S 12.2.0.2 00:1c:f0:85:e8:73

Dá uma lida na RFC 1918, você não deve usar esses IPs para
redes internas, existem classes certas pra isso

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

-- 
Renato Botelho
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall banda por usuário

2010-03-22 Por tôpico Mario Augusto Mania
Cara rede 11.x.x.x e 12.x.x.x tah errado meu hehehehehe

Soh pode usar 10.x.x.x

Em 22 de março de 2010 08:28, Gelsimauro Batista dos Santos
 escreveu:
> Veja as regras abaixo eu tenho um regra de controle de 64k e outro de 100k
>
>
>
> A mediada que crio as baixas de IPs no arquivo cbanda já caiem no controle
> de banda especificada no rc.filters.
>
>
>
> Veja que da pra fazer o controle MAC no cbanda tambem
>
>
>
>
>
> Arquivo cbanda
>
>
>
> #Cliente 01
>
> ifconfig rl1 inet 10.1.1.11 netmask 255.255.255.224 alias
>
> /usr/sbin/arp -S 10.1.1.106 00:10:69:48:d4:90
>
>
>
> #Cliente 02
>
> ifconfig rl1 inet 10.2.0.1 netmask 255.255.255.252 alias
>
> /usr/sbin/arp -S 10.2.0.2 00:10:69:48:d4:90
>
>
>
> #Cliente 03
>
> ifconfig rl1 inet 11.2.0.1 netmask 255.255.255.252 alias
>
> /usr/sbin/arp -S 11.2.0.2 00:1c:f0:85:e8:73
>
>
>
> #Cliente 04
>
> ifconfig rl1  inet 12.1.0.1 netmask 255.255.255.252 alias
>
> /usr/sbin/arp -S 12.1.0.2 00:1c:f0:85:e8:73
>
>
>
> #Cliente 05
>
> ifconfig rl1 inet 12.2.0.1 netmask 255.255.255.252 alias
>
> /usr/sbin/arp -S 12.2.0.2 00:1c:f0:85:e8:73
>
>
>
>
>
>
>
> Aruivo rc.filters
>
> #Banda-64k
>
> REDE_64="10.0.0.0/8,11.0.0.0/8"
>
> REDE_100="12.0.0.0/8, 13.0.0.0/8"
>
>
>
> ###
>
> #           CONTROLE DE BANDA VEL 64Kbit/s                                #
>
> ###
>
> #
>
> $IPFW add 1000 pipe 1000 ip from ${REDE_64} to any in
>
> $IPFW add 1001 pipe 1001 ip from any to ${REDE_64} out
>
> $IPFW pipe 1000 config mask src-ip 0xffe0 bw 64Kbit/s
>
> $IPFW pipe 1001 config mask dst-ip 0xffe0 bw 64Kbit/s
>
> #
>
> ###
>
> #           CONTROLE DE BANDA DA REDE  VEL 100Kbit/s         #
>
> ###
>
> #
>
> $IPFW add 1010 pipe 1010 ip from ${REDE_100} to any in
>
> $IPFW add 1011 pipe 1011 ip from any to ${REDE_100} out
>
> $IPFW pipe 1010 config mask src-ip 0xffe0 bw 100Kbit/s
>
> $IPFW pipe 1011 config mask dst-ip 0xffe0 bw 100Kbit/s
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Atenciosmente

Mario Augusto Mania 
---
m3.bsd.ma...@gmail.com
Cel.: (43) 9938-9629
Msn: ma...@oquei.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall banda por usuário

2010-03-22 Por tôpico Gelsimauro Batista dos Santos
Veja as regras abaixo eu tenho um regra de controle de 64k e outro de 100k



A mediada que crio as baixas de IPs no arquivo cbanda já caiem no controle
de banda especificada no rc.filters.



Veja que da pra fazer o controle MAC no cbanda tambem





Arquivo cbanda



#Cliente 01

ifconfig rl1 inet 10.1.1.11 netmask 255.255.255.224 alias

/usr/sbin/arp -S 10.1.1.106 00:10:69:48:d4:90



#Cliente 02

ifconfig rl1 inet 10.2.0.1 netmask 255.255.255.252 alias

/usr/sbin/arp -S 10.2.0.2 00:10:69:48:d4:90



#Cliente 03

ifconfig rl1 inet 11.2.0.1 netmask 255.255.255.252 alias

/usr/sbin/arp -S 11.2.0.2 00:1c:f0:85:e8:73



#Cliente 04

ifconfig rl1  inet 12.1.0.1 netmask 255.255.255.252 alias

/usr/sbin/arp -S 12.1.0.2 00:1c:f0:85:e8:73



#Cliente 05

ifconfig rl1 inet 12.2.0.1 netmask 255.255.255.252 alias

/usr/sbin/arp -S 12.2.0.2 00:1c:f0:85:e8:73







Aruivo rc.filters

#Banda-64k

REDE_64="10.0.0.0/8,11.0.0.0/8"

REDE_100="12.0.0.0/8, 13.0.0.0/8"



###

#   CONTROLE DE BANDA VEL 64Kbit/s#

###

#

$IPFW add 1000 pipe 1000 ip from ${REDE_64} to any in

$IPFW add 1001 pipe 1001 ip from any to ${REDE_64} out

$IPFW pipe 1000 config mask src-ip 0xffe0 bw 64Kbit/s

$IPFW pipe 1001 config mask dst-ip 0xffe0 bw 64Kbit/s

#

###

#   CONTROLE DE BANDA DA REDE  VEL 100Kbit/s #

###

#

$IPFW add 1010 pipe 1010 ip from ${REDE_100} to any in

$IPFW add 1011 pipe 1011 ip from any to ${REDE_100} out

$IPFW pipe 1010 config mask src-ip 0xffe0 bw 100Kbit/s

$IPFW pipe 1011 config mask dst-ip 0xffe0 bw 100Kbit/s
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall banda por usuário

2010-03-22 Por tôpico Gelsimauro Batista dos Santos
Veja as regras abaixo eu tenho um regra de controle de 64k e outro de 100k



A mediada que crio as baixas de IPs no arquivo cbanda já caiem no controle
de banda especificada no rc.filters.





Arquivo cbanda



#Cliente 01

ifconfig rl1 inet 10.1.1.11 netmask 255.255.255.224 alias

/usr/sbin/arp -S 10.1.1.106 00:10:69:48:d4:90



#Cliente 02

ifconfig rl1 inet 10.2.0.1 netmask 255.255.255.252 alias

/usr/sbin/arp -S 10.1.0.2 00:10:69:48:d4:90



#Cliente 03

ifconfig rl1 inet 11.2.0.1 netmask 255.255.255.252 alias

/usr/sbin/arp -S 11.2.0.2 00:1c:f0:85:e8:73



#Cliente 04

ifconfig rl1  inet 12.1.0.1 netmask 255.255.255.252 alias

/usr/sbin/arp -S 12.1.0.2 00:1c:f0:85:e8:73



#Cliente 05

ifconfig rl1 inet 11.2.0.1 netmask 255.255.255.252 alias

/usr/sbin/arp -S 10.2.0.2 00:1c:f0:85:e8:73







Aruivo rc.filters

#Banda-64k

REDE_64="10.0.0.0/8,11.0.0.0/8"

REDE_100="12.0.0.0/8, 13.0.0.0/8"



###

#   CONTROLE DE BANDA VEL 64Kbit/s#

###

#

$IPFW add 1000 pipe 1000 ip from ${REDE_64} to any in

$IPFW add 1001 pipe 1001 ip from any to ${REDE_64} out

$IPFW pipe 1000 config mask src-ip 0xffe0 bw 64Kbit/s

$IPFW pipe 1001 config mask dst-ip 0xffe0 bw 64Kbit/s

#

###

#   CONTROLE DE BANDA DA REDE 30.0.0.0/8  - VEL 100Kbit/s #

###

#

$IPFW add 1010 pipe 1010 ip from ${REDE_100} to any in

$IPFW add 1011 pipe 1011 ip from any to ${REDE_100} out

$IPFW pipe 1010 config mask src-ip 0xffe0 bw 100Kbit/s

$IPFW pipe 1011 config mask dst-ip 0xffe0 bw 100Kbit/s
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall banda por usuário

2010-03-20 Por tôpico Wanderson Tinti
Em 20 de março de 2010 18:22, Anderson Alves de Albuquerque <
anderso...@gmail.com> escreveu:

>  Como eu posso fazer um QoS garantindo X megas por usuário. Como tenho uns
> 150 usuários, eu não quero escrever uma regra para cada user,
>
> --
>

Anderson,

Uma forma seria utilizar máscaras na queue ou no pipe de cada fluxo. Assim o
dummynet vai criar uma fila igual para cada host, com as mesmas
configurações definidas no pipe ou na queue.

http://www2.unijui.edu.br/~heini/freebsd/dummynet.html
http://www.freebsdbrasil.com.br/fbsdbr_files/File/public_docs/ipfw-howto.pdf
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


[FUG-BR] Firewall banda por usuário

2010-03-20 Por tôpico Anderson Alves de Albuquerque
 Como eu posso fazer um QoS garantindo X megas por usuário. Como tenho uns
150 usuários, eu não quero escrever uma regra para cada user,

-- 
[], Anderson Alves de Albuquerque.
---
E-mails: andersonalvesdealbuquerque#hotmail.com (replace # by @)
andersonaa#gmail.com (replace # by @)
ICQ: 73222660
---
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Pró Ativo

2010-03-18 Por tôpico Joao Rocha Braga Filho
2010/3/18 Evaldo Silva :
> Marcos Ferreira escreveu:
>> João,
>>
>>
> Manda pra lista pra ficar documentado
> Pode ser?

Tem que colocar uma regra como a seguinte:

ipfw add 17000 deny log tcp from 'table(3)' to any 25
ipfw add 17040count log logamount 1 tcp from any to any 25 setup in via em0


No /etc/syslog.conf coloque:

 8x  Cut Here  Corte aqui 

security.* | exec /usr/local/sbin/bruteblock -f
/usr/local/etc/bruteblock/spam.conf

 8x  Cut Here  Corte aqui 

E o arquivo /usr/local/etc/bruteblock/spam.conf:

 8x  Cut Here  Corte aqui 
#regexp = kernel: ipfw: [0-9][0-9]* Count TCP
\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}:[0-9][0-9]* [0-9][0-9]*\.[0-9][0
-9]*\.[0-9][0-9]*\.[0-9][0-9]*:25
regexp  = kernel: ipfw: 1[17]040 Count TCP
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}):.*:25 in
regexp2 = kernel: ipfw: 40040 Count TCP
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}):.*:25 in


# Number of mail connections attempts within time before we block
max_count   = 20

# Time in seconds in which all attempts must occur
within_time = 60

# Time in seconds to block ip in firewall

# Representa na tabela o segundo seguinte ao do bloqueio.
reset_ip   = 1

# IPFW table number to add "bad" hosts
ipfw2_table_no = 3


 8x  Cut Here  Corte aqui 

Claro que o número da regra tem que ser de acordo com o seu firewall.


João Rocha.


>
> Abraço
>
> Evaldo
> fcm.unicamp.br
>
>> Gostaria de receber os arquivos.
>>
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
"Sempre se apanha mais com as menores besteiras. Experiência própria."

goffr...@gmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Pró Ativo

2010-03-18 Por tôpico Joao Rocha Braga Filho
2010/3/18 Felipe N. Oliva :
> Tenho o bruteblock em alguns servidores para controle de conexão no
> smtp, ele le o arquivo de log e adiciona automaticamente o ip com um
> determinado numero de conexões em uma tabela do ipfw.

Aqui estão. Algumas linhas foram quebradas, mas com um pouco de
atenção pode-se ver como consertar. São basicamente as regex.

ssh.conf:

 8x  Cut Here  Corte aqui 
# Sample configuration file for the OpenSSH daemon

# regexp rule. Please rember that you MUST specify only one match for
# ip address to block
#
# this regexp for the OpenSSH server matches lines like:
#
# comment: auth via key only
#sshd[72593]: Illegal user hacker from 1.2.3.4
#
# comment: pwd auth, but no such user
#sshd[72593]: Failed password for illegal user sa from 1.2.3.4
#
# comment: correct user, but wrong password
#sshd[72626]: Failed password for samm from 1.2.3.4
#
# Versao aprimorada de regras implementada em 18/11/2006
# A versao anterior estah num arquivo com a data no final do nome.
regexp  = sshd.*Illegal user \S+ from
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
regexp1 = sshd.*Failed password for (?:illegal user )?\S+ from
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
regexp2 = sshd.*Did not receive identification string from
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
regexp3 = sshd.*Invalid user \S+ from
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
regexp4 = sshd.*reverse mapping checking getaddrinfo for .*
.(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}). failed - POSSIBLE BREAK-IN
ATTEMPT!


# Number of failed login attempts within time before we block
max_count   = 4

# Time in seconds in which all failed login attempts must occur
# Modificado por Joao Rocha em 30/08/2006.
#within_time = 60
within_time = 300

# Time in seconds to block ip in firewall

# 10 minutes
# Modificado por Joao Rocha em 30/08/2006.
#reset_ip   = 600
reset_ip   = 14400

# IPFW table number to add "bad" hosts
# Modificado por Joao Rocha em 30/08/2006.
#ipfw2_table_no = 1
ipfw2_table_no = 0
 8x  Cut Here  Corte aqui 

ftp:

 8x  Cut Here  Corte aqui 
# Sample configuration file for the ProFTPD daemon

# regexp rule. Please rember that you MUST specify only one match for
# ip address to block
#
# this regexp for the ProFTPD server matches lines like:
#
# proftpd[71905]: server.com (hack.com[1.2.3.4]) - USER hacker: no such user
# proftpd[72020]: server.com (hack.com[1.2.3.4]) - USER hacker (Login failed)
#
# Illegal user test from 10.0.0.1
# Failed password for illegal user x from 10.0.0.1 port x ssh2
# Failed password for x from 10.0.0.1 port x ssh2
#regexp = (?:did not receive identification string
from|illegal user .+ from|failed .+ for (?:illegal user )?.+
from).*\b(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}).*
#regexp=Did not receive identification string from 10.0.0.1
#regexp=proftpd.*\[(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\]\) - USER \S+
(?:no such user|\(Login failed)
regexp  =ftpd.*: FTP LOGIN FAILED FROM (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})



# Number of failed login attempts within time before we block
max_count   = 4

# Time in seconds in which all failed login attempts must occur
#within_time = 60
within_time = 300

# Time in seconds to block ip in firewall

# 10 minutes
#reset_ip   = 600
reset_ip   = 14400

# IPFW table number to add "bad" hosts
#ipfw2_table_no = 0
ipfw2_table_no = 0

 8x  Cut Here  Corte aqui 

Acrescente a seguinte linha no

 8x  Cut Here  Corte aqui 
auth.info;authpriv.info | exec /usr/local/sbin/bruteblock -f
/usr/local/etc/bruteblock/ssh.conf

auth.info | exec /usr/local/sbin/bruteblock -f
/usr/local/etc/bruteblock/ftp.conf

 8x  Cut Here  Corte aqui 

João Rocha.


>
> Joao, voce poderia enviar os arquivos de configuração para ssh e ftp?
>> 2010/3/17 Davi Vercillo C. Garcia :
>>
>>> Fala pessoal,
>>>
>>>
> Sua indagação despertou em mim a curiosidade de saber como softwares como
> fail2ban interagem com PF ou IPtables.
>
>>> De acordo com o site oficial...
>>>
>>
>> Eu uso o BruteBlock para bloquear IPs que tentam fazer muito ssh
>> e muito ftp, e obtém erros de conexão. Ele recebe do syslog as
>> mensagens de erro, compara com uma regex, e coloca em uma
>> table se passa de um número de tentativas em um determinado
>> tempo. Mas no final de 2006 fiz um outro uso para ele.
>>
>> Eu fiz uma regex para verificar setup de conexão a uma porta TCP 25,
>> e se tiver muitas tentativas em 1 minuto, ele coloca em uma table
>> que é usada em uma regra que proíbe conexões SMTP.
>>
>> A quem interessar, eu posso mandar os arquivos de regras.
>>
>>
>> João Rocha.
>>
>>
>>> "Fail2ban scans log files like /var/log/pwdfail or
>>> /var/log/apache/error_log and bans IP that makes too many password
>>> failures. It updates firewall rules to reject the IP address."
>>>
>>> Achei bem legal... não conhecia essa ferramenta... =P
>>>
>>> Abraços,
>>> --
>>> Davi V

Re: [FUG-BR] Firewall Pró Ativo

2010-03-18 Por tôpico Thiago Pollachini
Obrigado a todos pela contribuição.

Irei dar uma olhada no snort + ossec .

Saudações,

Em 18 de março de 2010 12:01, Welkson Renny de Medeiros <
welk...@focusautomacao.com.br> escreveu:

> Patrick Tracanelli escreveu:
> > Augusto Ferronato escreveu:
> >
> >> Dê um lida nesse material
> >>
> >> www.dynsec.com.br/arquivos/ossec-snort-activeresponse_pt-BR.pdf
> >>
> >> Abs[]
> >>
> >
> > Gosto desse setup, junto a qualquer setup com Snort+SnortSam. Tambem
> > gosto e aconselho o setup ossec+iptraf+activeresponse (mas esse tem q
> > ser tunado o iptraf pra evitar problemas, depois de tunado fica fino).
> >
> >
> Usei Snort+OSSEC durante um bom tempo (no início do OSSEC ajudei a
> portar as regras de firewall do Linux para FreeBSD... versão IPFW...
> depois fizeram em PF... e melhoraram minhas regras em IPFW que não
> usavam tables).
>
> Instalei também o BASE... ficou bem legal...
>
> No meu caso, tive muitos problemas com falsos alertas... o snort gerava
> um log alertando um cabeçalho com tamanho grande por exemplo... o ossec
> lia o log, e já chamava o active-response, que bloqueava o IP... o
> problema é que em 90% dos casos não era ataque... acabava bloqueando
> clientes e me dando uma enorme dor de cabeça =)
>
> Fui mexendo nos rules do snort, até que deixou de acontecer... depois
> perdi o servidor (queimou), instalei o freebsd novo e não tive tempo de
> voltar a brincar com Snort+OSSEC.
>
> Me diverti muito conectando em freebsd de amigos, e rodando NMAP no
> meu... em poucos segundos a conexão caía (era bloqueada)... ou até mesmo
> rodando um nikto no servidor web... é bem legal!
>
> --
> Welkson Renny de Medeiros
> Desenvolvimento / Gerência de Redes
> Focus Automação Comercial
> FreeBSD Community Member
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Pró Ativo

2010-03-18 Por tôpico Welkson Renny de Medeiros
Patrick Tracanelli escreveu:
> Augusto Ferronato escreveu:
>   
>> Dê um lida nesse material
>>
>> www.dynsec.com.br/arquivos/ossec-snort-activeresponse_pt-BR.pdf
>>
>> Abs[]
>> 
>
> Gosto desse setup, junto a qualquer setup com Snort+SnortSam. Tambem
> gosto e aconselho o setup ossec+iptraf+activeresponse (mas esse tem q
> ser tunado o iptraf pra evitar problemas, depois de tunado fica fino).
>
>   
Usei Snort+OSSEC durante um bom tempo (no início do OSSEC ajudei a 
portar as regras de firewall do Linux para FreeBSD... versão IPFW... 
depois fizeram em PF... e melhoraram minhas regras em IPFW que não 
usavam tables).

Instalei também o BASE... ficou bem legal...

No meu caso, tive muitos problemas com falsos alertas... o snort gerava 
um log alertando um cabeçalho com tamanho grande por exemplo... o ossec 
lia o log, e já chamava o active-response, que bloqueava o IP... o 
problema é que em 90% dos casos não era ataque... acabava bloqueando 
clientes e me dando uma enorme dor de cabeça =)

Fui mexendo nos rules do snort, até que deixou de acontecer... depois 
perdi o servidor (queimou), instalei o freebsd novo e não tive tempo de 
voltar a brincar com Snort+OSSEC.

Me diverti muito conectando em freebsd de amigos, e rodando NMAP no 
meu... em poucos segundos a conexão caía (era bloqueada)... ou até mesmo 
rodando um nikto no servidor web... é bem legal!

-- 
Welkson Renny de Medeiros
Desenvolvimento / Gerência de Redes
Focus Automação Comercial
FreeBSD Community Member

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Pró Ativo

2010-03-18 Por tôpico Patrick Tracanelli
Augusto Ferronato escreveu:
> Dê um lida nesse material
> 
> www.dynsec.com.br/arquivos/ossec-snort-activeresponse_pt-BR.pdf
> 
> Abs[]

Gosto desse setup, junto a qualquer setup com Snort+SnortSam. Tambem
gosto e aconselho o setup ossec+iptraf+activeresponse (mas esse tem q
ser tunado o iptraf pra evitar problemas, depois de tunado fica fino).

-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316...@sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Pró Ativo

2010-03-18 Por tôpico Augusto Ferronato
Dê um lida nesse material

www.dynsec.com.br/arquivos/ossec-snort-activeresponse_pt-BR.pdf

Abs[]


Em 18 de março de 2010 09:46, Evaldo Silva  escreveu:
> Marcos Ferreira escreveu:
>> João,
>>
>>
> Manda pra lista pra ficar documentado
> Pode ser?
>
> Abraço
>
> Evaldo
> fcm.unicamp.br
>
>> Gostaria de receber os arquivos.
>>
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
--
http://www.augustoferronato.net

FreeBSD: The Freedom to Perform!
http://www.spreadbsd.org/aff/40/1
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Pró Ativo

2010-03-18 Por tôpico Evaldo Silva
Marcos Ferreira escreveu:
> João,
>
>   
Manda pra lista pra ficar documentado
Pode ser?

Abraço

Evaldo
fcm.unicamp.br

> Gostaria de receber os arquivos.
>   

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Pró Ativo

2010-03-18 Por tôpico Marcos Ferreira
João,

Gostaria de receber os arquivos.

Obrigado,

Marcos Ferreira


> A quem interessar, eu posso mandar os arquivos de regras.
>
> João Rocha.
>
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Pró Ativo

2010-03-18 Por tôpico Franklin França
Olá Lista,

já olhou alguma coisa sobre o http://www.ossec.net/



Em 18 de março de 2010 08:13, Felipe N. Oliva
escreveu:

> Tenho o bruteblock em alguns servidores para controle de conexão no
> smtp, ele le o arquivo de log e adiciona automaticamente o ip com um
> determinado numero de conexões em uma tabela do ipfw.
>
> Joao, voce poderia enviar os arquivos de configuração para ssh e ftp?
> > 2010/3/17 Davi Vercillo C. Garcia :
> >
> >> Fala pessoal,
> >>
> >>
>  Sua indagação despertou em mim a curiosidade de saber como softwares
> como
>  fail2ban interagem com PF ou IPtables.
> 
> >> De acordo com o site oficial...
> >>
> >
> > Eu uso o BruteBlock para bloquear IPs que tentam fazer muito ssh
> > e muito ftp, e obtém erros de conexão. Ele recebe do syslog as
> > mensagens de erro, compara com uma regex, e coloca em uma
> > table se passa de um número de tentativas em um determinado
> > tempo. Mas no final de 2006 fiz um outro uso para ele.
> >
> > Eu fiz uma regex para verificar setup de conexão a uma porta TCP 25,
> > e se tiver muitas tentativas em 1 minuto, ele coloca em uma table
> > que é usada em uma regra que proíbe conexões SMTP.
> >
> > A quem interessar, eu posso mandar os arquivos de regras.
> >
> >
> > João Rocha.
> >
> >
> >> "Fail2ban scans log files like /var/log/pwdfail or
> >> /var/log/apache/error_log and bans IP that makes too many password
> >> failures. It updates firewall rules to reject the IP address."
> >>
> >> Achei bem legal... não conhecia essa ferramenta... =P
> >>
> >> Abraços,
> >> --
> >> Davi Vercillo C. Garcia
> >> http://www.google.com/profiles/davivcgarcia
> >>
> >> "Waste time in learning things that do not interest us, deprives us of
> >> discovering interesting things."
> >> - Carlos Drummond de Andrade
> >> -
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >>
> >
> >
> >
> >
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
atenciosamente,

Franklin de França
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Pró Ativo

2010-03-18 Por tôpico Felipe N. Oliva
Tenho o bruteblock em alguns servidores para controle de conexão no 
smtp, ele le o arquivo de log e adiciona automaticamente o ip com um 
determinado numero de conexões em uma tabela do ipfw.

Joao, voce poderia enviar os arquivos de configuração para ssh e ftp?
> 2010/3/17 Davi Vercillo C. Garcia :
>   
>> Fala pessoal,
>>
>> 
 Sua indagação despertou em mim a curiosidade de saber como softwares como
 fail2ban interagem com PF ou IPtables.
 
>> De acordo com o site oficial...
>> 
>
> Eu uso o BruteBlock para bloquear IPs que tentam fazer muito ssh
> e muito ftp, e obtém erros de conexão. Ele recebe do syslog as
> mensagens de erro, compara com uma regex, e coloca em uma
> table se passa de um número de tentativas em um determinado
> tempo. Mas no final de 2006 fiz um outro uso para ele.
>
> Eu fiz uma regex para verificar setup de conexão a uma porta TCP 25,
> e se tiver muitas tentativas em 1 minuto, ele coloca em uma table
> que é usada em uma regra que proíbe conexões SMTP.
>
> A quem interessar, eu posso mandar os arquivos de regras.
>
>
> João Rocha.
>
>   
>> "Fail2ban scans log files like /var/log/pwdfail or
>> /var/log/apache/error_log and bans IP that makes too many password
>> failures. It updates firewall rules to reject the IP address."
>>
>> Achei bem legal... não conhecia essa ferramenta... =P
>>
>> Abraços,
>> --
>> Davi Vercillo C. Garcia
>> http://www.google.com/profiles/davivcgarcia
>>
>> "Waste time in learning things that do not interest us, deprives us of
>> discovering interesting things."
>> - Carlos Drummond de Andrade
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> 
>
>
>
>   

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Pró Ativo

2010-03-17 Por tôpico Joao Rocha Braga Filho
2010/3/17 Davi Vercillo C. Garcia :
> Fala pessoal,
>
>>> Sua indagação despertou em mim a curiosidade de saber como softwares como
>>> fail2ban interagem com PF ou IPtables.
>
> De acordo com o site oficial...

Eu uso o BruteBlock para bloquear IPs que tentam fazer muito ssh
e muito ftp, e obtém erros de conexão. Ele recebe do syslog as
mensagens de erro, compara com uma regex, e coloca em uma
table se passa de um número de tentativas em um determinado
tempo. Mas no final de 2006 fiz um outro uso para ele.

Eu fiz uma regex para verificar setup de conexão a uma porta TCP 25,
e se tiver muitas tentativas em 1 minuto, ele coloca em uma table
que é usada em uma regra que proíbe conexões SMTP.

A quem interessar, eu posso mandar os arquivos de regras.


João Rocha.

>
> "Fail2ban scans log files like /var/log/pwdfail or
> /var/log/apache/error_log and bans IP that makes too many password
> failures. It updates firewall rules to reject the IP address."
>
> Achei bem legal... não conhecia essa ferramenta... =P
>
> Abraços,
> --
> Davi Vercillo C. Garcia
> http://www.google.com/profiles/davivcgarcia
>
> "Waste time in learning things that do not interest us, deprives us of
> discovering interesting things."
> - Carlos Drummond de Andrade
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
"Sempre se apanha mais com as menores besteiras. Experiência própria."

goffr...@gmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Pró Ativo

2010-03-17 Por tôpico Davi Vercillo C. Garcia
Fala pessoal,

>> Sua indagação despertou em mim a curiosidade de saber como softwares como
>> fail2ban interagem com PF ou IPtables.

De acordo com o site oficial...

"Fail2ban scans log files like /var/log/pwdfail or
/var/log/apache/error_log and bans IP that makes too many password
failures. It updates firewall rules to reject the IP address."

Achei bem legal... não conhecia essa ferramenta... =P

Abraços,
-- 
Davi Vercillo C. Garcia
http://www.google.com/profiles/davivcgarcia

"Waste time in learning things that do not interest us, deprives us of
discovering interesting things."
- Carlos Drummond de Andrade
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Pró Ativo

2010-03-17 Por tôpico Thiago Pollachini
Obrigado pela contribuição José.

Espero que mais fugianos deixem suas idéias, experiências e até mesmo
expectativas.

Saudações,


Em 17 de março de 2010 21:00, josé elias ribeiro moreira <
jeliasmore...@gmail.com> escreveu:

> Olá Thiago, meu dia-a-dia de trabalho esta tendo uma bosa de dose de
> firewalls camada 3, mas infelizemente não posso contribuir com esse topico
> de Firewall pró-ativo.
>
> Sua indagação despertou em mim a curiosidade de saber como softwares como
> fail2ban interagem com PF ou IPtables.
>
> Estou lendo sobre, em breve poderei contribuir neste espaço.
>
>
>
> Em 17 de março de 2010 17:45, Thiago Pollachini <
> thiagopollach...@bsd.com.br
> > escreveu:
>
> > Ninguem?
> >
> > Saudações,
> >
> > Em 15 de março de 2010 14:58, Thiago Pollachini <
> > thiagopollach...@bsd.com.br
> > > escreveu:
> >
> > > Olá lista,
> > >
> > > Alguem tem alguma informação a respeito de firewall pró ativo?
> > >
> > > Tinha em mente que seria um firewall com IDS só que vi que existem
> > > equipamentos com pouca CPU e memória com esse recurso.
> > >
> > > Saudações,
> > >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
>
> --
> Elias Moreira
> (71) 8156-0850
> MSN: elias_j...@hotmail.com
> Linkedin: http://br.linkedin.com/in/jeliasmoreira
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Pró Ativo

2010-03-17 Por tôpico josé elias ribeiro moreira
Olá Thiago, meu dia-a-dia de trabalho esta tendo uma bosa de dose de
firewalls camada 3, mas infelizemente não posso contribuir com esse topico
de Firewall pró-ativo.

Sua indagação despertou em mim a curiosidade de saber como softwares como
fail2ban interagem com PF ou IPtables.

Estou lendo sobre, em breve poderei contribuir neste espaço.



Em 17 de março de 2010 17:45, Thiago Pollachini  escreveu:

> Ninguem?
>
> Saudações,
>
> Em 15 de março de 2010 14:58, Thiago Pollachini <
> thiagopollach...@bsd.com.br
> > escreveu:
>
> > Olá lista,
> >
> > Alguem tem alguma informação a respeito de firewall pró ativo?
> >
> > Tinha em mente que seria um firewall com IDS só que vi que existem
> > equipamentos com pouca CPU e memória com esse recurso.
> >
> > Saudações,
> >
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Elias Moreira
(71) 8156-0850
MSN: elias_j...@hotmail.com
Linkedin: http://br.linkedin.com/in/jeliasmoreira
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall Pró Ativo

2010-03-17 Por tôpico Thiago Pollachini
Ninguem?

Saudações,

Em 15 de março de 2010 14:58, Thiago Pollachini  escreveu:

> Olá lista,
>
> Alguem tem alguma informação a respeito de firewall pró ativo?
>
> Tinha em mente que seria um firewall com IDS só que vi que existem
> equipamentos com pouca CPU e memória com esse recurso.
>
> Saudações,
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


[FUG-BR] Firewall Pró Ativo

2010-03-16 Por tôpico Thiago Pollachini
Olá lista,

Alguem tem alguma informação a respeito de firewall pró ativo?

Tinha em mente que seria um firewall com IDS só que vi que existem
equipamentos com pouca CPU e memória com esse recurso.

Saudações,
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


[FUG-BR] Firewall e proxy com Freebsd vs Linux

2009-12-20 Por tôpico Anderson Alves de Albuquerque
 Alguém já fez medições comparativas de desempenho de firewall com proxy e
NAT em linux e freebsd? ambos para Intel 32bits ou 64bits.


-- 
[], Anderson Alves de Albuquerque.
---
E-mails: andersonalvesdealbuquerque#hotmail.com (replace # by @)
andersonaa#gmail.com (replace # by @)
ICQ: 73222660
---
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall

2009-10-09 Por tôpico Wanderson Tinti
2009/10/10 Davi Vercillo C. Garcia 

> Pessoal,
>
> Quais destes vem com suporte habilitado numa instalação default do
> FreeBSD 7.2, o PF ou o IPFW ?
>
> Abraços,
> --
> Davi Vercillo C. Garcia
> B.Sc. Student - DCC-IM/UFRJ
> Fedora Project Contributor
> http://davivercillo.fedorapeople.org/
>
> "If a million people say a foolish thing, it is still a foolish
> thing." - Anatole France
> -
>

Davi,

Nenhum. Você pode compilar o kernel ou carregar os modulos. O ideal é que
você compile o Kernel para utilizar um desses filtros de pacotes. Se
preferir, você pode ter os dois em funcionamento no seu servidor.

Boa noite.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall

2009-10-09 Por tôpico Davi Vercillo C. Garcia
Pessoal,

Quais destes vem com suporte habilitado numa instalação default do
FreeBSD 7.2, o PF ou o IPFW ?

Abraços,
-- 
Davi Vercillo C. Garcia
B.Sc. Student - DCC-IM/UFRJ
Fedora Project Contributor
http://davivercillo.fedorapeople.org/

"If a million people say a foolish thing, it is still a foolish
thing." - Anatole France
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall

2009-10-09 Por tôpico Trober
> 2009/10/9 Emmanuel Alves :
>> eu uso o IPFW e não acho complicado ehehehe
>>
>> só tem o problema de ter que recompilar o kernel pra ativar ele, mas
>> depois
>> disto basta criar um arquivo em /etc/ipfw.rules com as regras, iniciá-lo
>> no
>> /etc/rc.conf e pronto.
>
> # kldload ipfw
> # kldload ipdivert
> # kldload ipfw_nat
>
> Assim não precisa recompilar o kernel
>
> --
> Renato Botelho
> -
>

É uma forma bastante cômoda, agradável e fácil de carregar o IPFW, porém
deve ser considerado que as funcionalidades estarão parcialmente
disponíveis, como no caso do fwd (forward):

"To enable fwd a custom kernel needs to be compiled with the option
options IPFIREWALL_FORWARD".[1]

[1] http://www.freebsd.org/cgi/man.cgi?query=ipfw&sektion=8

Saudações,

Trober
-
-
-
-
-

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall

2009-10-09 Por tôpico Renato Botelho
2009/10/9 Emmanuel Alves :
> eu uso o IPFW e não acho complicado ehehehe
>
> só tem o problema de ter que recompilar o kernel pra ativar ele, mas depois
> disto basta criar um arquivo em /etc/ipfw.rules com as regras, iniciá-lo no
> /etc/rc.conf e pronto.

# kldload ipfw
# kldload ipdivert
# kldload ipfw_nat

Assim não precisa recompilar o kernel

-- 
Renato Botelho
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall

2009-10-09 Por tôpico Emmanuel Alves
eu uso o IPFW e não acho complicado ehehehe

só tem o problema de ter que recompilar o kernel pra ativar ele, mas depois
disto basta criar um arquivo em /etc/ipfw.rules com as regras, iniciá-lo no
/etc/rc.conf e pronto.

[]s

Emmanuel Alves
manel...@gmail.com

-
Twitter: http://www.twitter.com/emartsnet
Linked In: http://www.linkedin.com/in/emartsnet


2009/10/9 irado furioso com tudo 

> Em Fri, 9 Oct 2009 00:19:24 -0300
> "Davi Vercillo C. Garcia" , conhecido
> consumidor de drogas (BigMac's com Coke) escreveu:
>
> > ipf,
> > pf e ipfw. Gostaria de saber qual deles vem por padrão numa instalação
> > do FreeBSD ? Existe realmente muita diferença, para firewalls simples,
> > entre o PF e o IPFW ?
>
> minha sugestão é EXPERIMENTE OS 3. O ipf não é suportado nos *BSDs
> devido a problemas de licenciamento, mas é muito bom, gostei dêle
> quando usei-o.
>
> O ipfw (IMHO) tem um sintaxe um pouco mais complicada, convém avaliar
> os scripts que estão em /etc (não lembro o nome, e não tenho aqui).
>
> o pf é (aparentemente) muito simples, mas é MUITO eficiente, inclusive
> se vc planejar suas regras; ler o manual dêle é ESSENCIAL.
>
> enfim.. use os 3, experimente-os por algum tempo e depois escolha o seu.
>
> --
>  saudações,
>  irado furioso com tudo
>  Linux User 179402/FreeBSD BSD50853/FUG-BR 154
>  Não uso drogas - 100% Miko$hit-free
> Homens convictos são prisioneiros Nietzsche
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall

2009-10-09 Por tôpico irado furioso com tudo
Em Fri, 9 Oct 2009 00:19:24 -0300
"Davi Vercillo C. Garcia" , conhecido
consumidor de drogas (BigMac's com Coke) escreveu:

> ipf,
> pf e ipfw. Gostaria de saber qual deles vem por padrão numa instalação
> do FreeBSD ? Existe realmente muita diferença, para firewalls simples,
> entre o PF e o IPFW ?

minha sugestão é EXPERIMENTE OS 3. O ipf não é suportado nos *BSDs
devido a problemas de licenciamento, mas é muito bom, gostei dêle
quando usei-o.

O ipfw (IMHO) tem um sintaxe um pouco mais complicada, convém avaliar
os scripts que estão em /etc (não lembro o nome, e não tenho aqui).

o pf é (aparentemente) muito simples, mas é MUITO eficiente, inclusive
se vc planejar suas regras; ler o manual dêle é ESSENCIAL.

enfim.. use os 3, experimente-os por algum tempo e depois escolha o seu.

-- 
 saudações,
 irado furioso com tudo
 Linux User 179402/FreeBSD BSD50853/FUG-BR 154
 Não uso drogas - 100% Miko$hit-free
Homens convictos são prisioneiros Nietzsche
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall

2009-10-09 Por tôpico Alessandro de Souza Rocha
Como Marcio disse, alem do PF, vc pode tambem utilizar o ipfw olha
esta artido do patrick
http://freebsdbrasil.com.br/fbsdbr_files/File/public_docs/ipfw-howto.pdf

2009/10/9 Márcio Luciano Donada :
> Davi Vercillo C. Garcia escreveu:
>> Fala pessoal,
>>
>> Sou novo no mundo BSD mas já estou apaixonado ! O que me confundiu um
>> pouco foi a grande variedade de opções pra firewall no FreeBSD: ipf,
>> pf e ipfw. Gostaria de saber qual deles vem por padrão numa instalação
>> do FreeBSD ? Existe realmente muita diferença, para firewalls simples,
>> entre o PF e o IPFW ?
>>
>
> Davi,
> Recomendo fortemente o uso do PF, que é um excelente filtro de pacotes.
> No link [1], você encontra os primeiros passos para ativação dele no
> FreeBSD e no link [2] você encontra dicas para utilização do mesmo
>
> [1]. http://www.freebsd.org/doc/en/books/handbook/firewalls-pf.html
>
> [2]. http://www.openbsd.org/faq/pf/
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
FreeBSD-BR User #117
 Long live FreeBSD

 Powered by 

  (__)
   \\\'',)
 \/  \ ^
 .\._/_)

 www.FreeBSD.org
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Firewall

2009-10-09 Por tôpico Márcio Luciano Donada
Davi Vercillo C. Garcia escreveu:
> Fala pessoal,
>
> Sou novo no mundo BSD mas já estou apaixonado ! O que me confundiu um
> pouco foi a grande variedade de opções pra firewall no FreeBSD: ipf,
> pf e ipfw. Gostaria de saber qual deles vem por padrão numa instalação
> do FreeBSD ? Existe realmente muita diferença, para firewalls simples,
> entre o PF e o IPFW ?
>   

Davi,
Recomendo fortemente o uso do PF, que é um excelente filtro de pacotes.
No link [1], você encontra os primeiros passos para ativação dele no
FreeBSD e no link [2] você encontra dicas para utilização do mesmo

[1]. http://www.freebsd.org/doc/en/books/handbook/firewalls-pf.html

[2]. http://www.openbsd.org/faq/pf/
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


[FUG-BR] Firewall

2009-10-08 Por tôpico Davi Vercillo C. Garcia
Fala pessoal,

Sou novo no mundo BSD mas já estou apaixonado ! O que me confundiu um
pouco foi a grande variedade de opções pra firewall no FreeBSD: ipf,
pf e ipfw. Gostaria de saber qual deles vem por padrão numa instalação
do FreeBSD ? Existe realmente muita diferença, para firewalls simples,
entre o PF e o IPFW ?

Abraços,
-- 
Davi Vercillo C. Garcia
B.Sc. Student - DCC-IM/UFRJ

"If a million people say a foolish thing, it is still a foolish
thing." - Anatole France
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] FIREWALL IPFW + PF

2009-08-26 Por tôpico Wanderson Tinti
2009/8/27 Hitch Cock 

> Pessoal,
>
> to montando um firewall com ipfw + pf e vou usar o ipfw para fazer o
> controle de banda das estações e o pf para os filtros e nat.
>
> A parte pf está funcionando perfeitamente porém o ipfw quando ativado está
> bloqueando toda estação que tenta atravessar o gw mesmo eu usando default
> accept.
>
> Segue minhas configurações.
>
> firewall# uname -a
> FreeBSD firewall.exam.br 7.2-STABLE FreeBSD 7.2-STABLE #1: Tue Aug  4
> 19:16:54 BRT 2009
> r...@firewall.exam.br:/usr/obj/usr/src/sys/GENERICwithPFandIPFW
> i386
>
> firewall# cat /etc/ipfw.conf
> #!/bin/sh
>
> fwcmd="/sbin/ipfw"
>
> ${fwcmd} -f flush
> ${fwcmd} -f pipe flush
>
> ${fwcmd} pipe 1 config bw 64Kbit/s queue 5Kbytes mask all
> ${fwcmd} pipe 2 config bw 128Kbit/s queue 10Kbytes mask all
> ${fwcmd} pipe 3 config bw 256Kbit/s queue 25Kbytes mask all
> ${fwcmd} pipe 4 config bw 512Kbit/s queue 50Kbytes mask all
> ${fwcmd} pipe 5 config bw 1024Kbit/s queue 100Kbytes mask all
> ${fwcmd} pipe 6 config bw 0Mbit/s
>
> ${fwcmd} add 1 pass all from any to any via lo0
> ${fwcmd} add 2 deny all from any to 127.0.0.0/8
> ${fwcmd} add 3 deny ip from 127.0.0.0/8 to any
>
> ${fwcmd} add 5 pipe 6 all from 10.0.0.0/16 to 200.xxx.xxx.xxx/26
> ${fwcmd} add 6 pipe 6 all from 200.xxx.xxx.xxx/26 to 10.0.0.0/16
>
> ${fwcmd} add 7 pipe 6 all from 10.0.0.0/16 to 201.xxx.xxx.xxx/27
> ${fwcmd} add 8 pipe 6 all from 201.xxx.xxx.xxx/27 to 10.0.0.0/16
>
> ${fwcmd} add 9 pipe 6 all from 10.0.0.0/16 to 189.xxx.xxx.xxx/27
> ${fwcmd} add 10 pipe 6 all from 189.xxx.xxx.xxx/27 to 10.0.0.0/16
>
> ${fwcmd} add 11 pipe 6 all from 10.0.0.0/16 to 10.0.0.0/16
>
> ${fwcmd} add 12 pipe 6 all from 10.0.0.0/16 to 192.168.0.0/16
> ${fwcmd} add 13 pipe 6 all from 192.168.0.0/16 to 10.0.0.0/16
>
> ${fwcmd} add pipe 1 all from 10.0.0.22 to any
> ${fwcmd} add pipe 2 all from any to 10.0.0.22
>
> ${fwcmd} add pipe 1 all from 10.0.0.23 to any
> ${fwcmd} add pipe 2 all from any to 10.0.0.23
>
> ${fwcmd} add pipe 1 all from 10.0.1.22 to any
> ${fwcmd} add pipe 2 all from any to 10.0.1.22
>
> firewall# ipfw show
> 1   0 0 allow ip from any to any via lo0
> 2   0 0 deny ip from any to 127.0.0.0/8
> 3   0 0 deny ip from 127.0.0.0/8 to any
> 5   0 0 pipe 6 ip from 10.0.0.0/16 to 200.xxx.xxx.xxx/26
> 6   0 0 pipe 6 ip from 200.xxx.xxx.xxx/26 to 10.0.0.0/16
> 7   0 0 pipe 6 ip from 10.0.0.0/16 to 201.xxx.xxx.xxx/27
> 8   0 0 pipe 6 ip from 201.xxx.xxx.xxx/27 to 10.0.0.0/16
> 9   0 0 pipe 6 ip from 10.0.0.0/16 to 189.xxx.xxx.xxx/27
> 00010   0 0 pipe 6 ip from 189.xxx.xxx.xxx/27 to 10.0.0.0/16
> 00011 120 10290 pipe 6 ip from 10.0.0.0/16 to 10.0.0.0/16
> 00012   0 0 pipe 6 ip from 10.0.0.0/16 to 192.168.0.0/16
> 00013   0 0 pipe 6 ip from 192.168.0.0/16 to 10.0.0.0/16
> 00023   0 0 pipe 1 ip from 10.0.0.22 to any
> 00033   0 0 pipe 2 ip from any to 10.0.0.22
> 00043   0 0 pipe 1 ip from 10.0.0.23 to any
> 00053   0 0 pipe 2 ip from any to 10.0.0.23
> 00063   0 0 pipe 1 ip from 10.0.1.22 to any
> 00073   0 0 pipe 2 ip from any to 10.0.1.22
> 65535 1180136 254268606 allow ip from any to any
>
> firewall# cat /etc/rc.conf
> defaultrouter="200.xxx.xxx.xxx"
> hostname="firewall.exam.br"
> ifconfig_le0="inet 10.0.0.1 netmask 255.255.0.0"
> ifconfig_le1="inet 200.xxx.xxx.xxx netmask 255.255.255.128"
>
> sshd_enable="YES"
>
> firewall_enable="YES"
> firewall_script="/etc/ipfw.conf"
> firewall_type="UNKNOWN"
> dummynet_enable="YES"
>
> pf_enable="YES"
> pf_rules="/etc/pf.conf"
> pflog_enable="YES"
> pflog_logfile="/var/log/pflog"
>
> ftpproxy_enable="YES"
> squid_enable="YES"
>
>
> Alguma sugestão? Faltou ativar alguma coisa? Tenho o mesmo firewall ipfw
> rodando numa bridge e funciona perfeitamente.
>
> obs: acho que esse assunto já deve ter sido bastante discutido aqui mas não
> encontrei nada que resolvesse meu problema por isso recorro aos amigos.
>
> Att,
> Hitch
>

Boa noite.

Eu utilizei o ipfw/dummynet junto ao pf tempos atrás, a única diferença que
me recordo nesse momento são: Carreguei o ipfw depois do pf. Nas regras do
ipfw/dummynet utilizei a interface interna nos pipes. Não me recordo ao
certo, mas pela manhã vou procurar e te informo.

Algo como:

$fw pipe 10 config mask src-ip 0x00ff bw 512Kbit/s
$fw pipe 20 config mask dst-ip 0x00ff bw 512Kbit/s
$fw add 10  pipe 10 ip from 192.168.100.1/32 to any via ${int_if}
$fw add 20  pipe 20 ip from any to 192.168.100.1/32 via ${int_if}
$fw add 100 allow ip from any to any

Boa noite.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


[FUG-BR] FIREWALL IPFW + PF

2009-08-26 Por tôpico Hitch Cock
Pessoal,

to montando um firewall com ipfw + pf e vou usar o ipfw para fazer o
controle de banda das estações e o pf para os filtros e nat.

A parte pf está funcionando perfeitamente porém o ipfw quando ativado está
bloqueando toda estação que tenta atravessar o gw mesmo eu usando default
accept.

Segue minhas configurações.

firewall# uname -a
FreeBSD firewall.exam.br 7.2-STABLE FreeBSD 7.2-STABLE #1: Tue Aug  4
19:16:54 BRT 2009
r...@firewall.exam.br:/usr/obj/usr/src/sys/GENERICwithPFandIPFW
i386

firewall# cat /etc/ipfw.conf
#!/bin/sh

fwcmd="/sbin/ipfw"

${fwcmd} -f flush
${fwcmd} -f pipe flush

${fwcmd} pipe 1 config bw 64Kbit/s queue 5Kbytes mask all
${fwcmd} pipe 2 config bw 128Kbit/s queue 10Kbytes mask all
${fwcmd} pipe 3 config bw 256Kbit/s queue 25Kbytes mask all
${fwcmd} pipe 4 config bw 512Kbit/s queue 50Kbytes mask all
${fwcmd} pipe 5 config bw 1024Kbit/s queue 100Kbytes mask all
${fwcmd} pipe 6 config bw 0Mbit/s

${fwcmd} add 1 pass all from any to any via lo0
${fwcmd} add 2 deny all from any to 127.0.0.0/8
${fwcmd} add 3 deny ip from 127.0.0.0/8 to any

${fwcmd} add 5 pipe 6 all from 10.0.0.0/16 to 200.xxx.xxx.xxx/26
${fwcmd} add 6 pipe 6 all from 200.xxx.xxx.xxx/26 to 10.0.0.0/16

${fwcmd} add 7 pipe 6 all from 10.0.0.0/16 to 201.xxx.xxx.xxx/27
${fwcmd} add 8 pipe 6 all from 201.xxx.xxx.xxx/27 to 10.0.0.0/16

${fwcmd} add 9 pipe 6 all from 10.0.0.0/16 to 189.xxx.xxx.xxx/27
${fwcmd} add 10 pipe 6 all from 189.xxx.xxx.xxx/27 to 10.0.0.0/16

${fwcmd} add 11 pipe 6 all from 10.0.0.0/16 to 10.0.0.0/16

${fwcmd} add 12 pipe 6 all from 10.0.0.0/16 to 192.168.0.0/16
${fwcmd} add 13 pipe 6 all from 192.168.0.0/16 to 10.0.0.0/16

${fwcmd} add pipe 1 all from 10.0.0.22 to any
${fwcmd} add pipe 2 all from any to 10.0.0.22

${fwcmd} add pipe 1 all from 10.0.0.23 to any
${fwcmd} add pipe 2 all from any to 10.0.0.23

${fwcmd} add pipe 1 all from 10.0.1.22 to any
${fwcmd} add pipe 2 all from any to 10.0.1.22

firewall# ipfw show
1   0 0 allow ip from any to any via lo0
2   0 0 deny ip from any to 127.0.0.0/8
3   0 0 deny ip from 127.0.0.0/8 to any
5   0 0 pipe 6 ip from 10.0.0.0/16 to 200.xxx.xxx.xxx/26
6   0 0 pipe 6 ip from 200.xxx.xxx.xxx/26 to 10.0.0.0/16
7   0 0 pipe 6 ip from 10.0.0.0/16 to 201.xxx.xxx.xxx/27
8   0 0 pipe 6 ip from 201.xxx.xxx.xxx/27 to 10.0.0.0/16
9   0 0 pipe 6 ip from 10.0.0.0/16 to 189.xxx.xxx.xxx/27
00010   0 0 pipe 6 ip from 189.xxx.xxx.xxx/27 to 10.0.0.0/16
00011 120 10290 pipe 6 ip from 10.0.0.0/16 to 10.0.0.0/16
00012   0 0 pipe 6 ip from 10.0.0.0/16 to 192.168.0.0/16
00013   0 0 pipe 6 ip from 192.168.0.0/16 to 10.0.0.0/16
00023   0 0 pipe 1 ip from 10.0.0.22 to any
00033   0 0 pipe 2 ip from any to 10.0.0.22
00043   0 0 pipe 1 ip from 10.0.0.23 to any
00053   0 0 pipe 2 ip from any to 10.0.0.23
00063   0 0 pipe 1 ip from 10.0.1.22 to any
00073   0 0 pipe 2 ip from any to 10.0.1.22
65535 1180136 254268606 allow ip from any to any

firewall# cat /etc/rc.conf
defaultrouter="200.xxx.xxx.xxx"
hostname="firewall.exam.br"
ifconfig_le0="inet 10.0.0.1 netmask 255.255.0.0"
ifconfig_le1="inet 200.xxx.xxx.xxx netmask 255.255.255.128"

sshd_enable="YES"

firewall_enable="YES"
firewall_script="/etc/ipfw.conf"
firewall_type="UNKNOWN"
dummynet_enable="YES"

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

ftpproxy_enable="YES"
squid_enable="YES"


Alguma sugestão? Faltou ativar alguma coisa? Tenho o mesmo firewall ipfw
rodando numa bridge e funciona perfeitamente.

obs: acho que esse assunto já deve ter sido bastante discutido aqui mas não
encontrei nada que resolvesse meu problema por isso recorro aos amigos.

Att,
Hitch
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] firewall x gateway

2009-07-24 Por tôpico irado furioso com tudo
Em Thu, 23 Jul 2009 18:36:47 -0700 (PDT)
Lista FreeBSD , conhecido consumidor de
drogas (BigMac's com Coke) escreveu:

> Este servidor que ativei o firewall não é um gateway, o gateway é
> outro servidor... 

ainda tentando entender seu cenário:

está assim:

lan][firewall]---[gateway]---[internet]

firewall E gateway estão no mesmo barramento

(ou, pelo menos entendi assim)


> Neste firewall tem um proxy transparente, porém
> antes da regra do proxy transparente, tem regras para liberar os
> diretores a não passar pelo proxy, enfim, liberar tudo. 

ok, entendi

> Se a regra
> libera tudo e não passa pelo proxy, é óbvio que não precisa colocar o
> proxy nos navegadores dos diretores. A minha dúvida é: se este
> servidor que foi ativado esse firewall for um gateway, aí sim que os
> diretores conseguirão navegar tranquilamente, né? Porque este
> servidor AINDA  não é um gateway, portanto, sem o proxy é impossível
> navegar.

depende de QUAL máquina seus diretores estão usando como gateway. Se
estiverem apontando para o gw mesmo, jamais passarão pelo firewall e
vão cair no proxy; se estiverem apontando para o firewall e êste tiver o
gateway como 'default gw', mesmo que haja regra liberando-os, o gw
(portanto o squid) não tem conhecimento disso e êles VÃO cair no proxy.


-- 
 saudações,
 irado furioso com tudo
 Linux User 179402/FreeBSD BSD50853/FUG-BR 154
 Não uso drogas - 100% Miko$hit-free
Entre as três coisas melhores desta vida, comer está em segundo e
dormir em terceiro [apud Stanislaw Ponte Preta - Sergio Porto - in
maximas inéditas da Tia Zulmira]
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] firewall x gateway

2009-07-23 Por tôpico Diego Pitombeira
Lista FreeBSD escreveu:
> Irado,
>
> Explicando melhor...
>
> Este servidor que ativei o firewall não é um gateway, o gateway é outro 
> servidor...
> Neste firewall tem um proxy transparente, porém antes da regra do proxy 
> transparente, tem regras para liberar os diretores a não passar pelo proxy, 
> enfim, liberar tudo.
> Se a regra libera tudo e não passa pelo proxy, é óbvio que não precisa 
> colocar o proxy nos navegadores dos diretores. A minha dúvida é: se este 
> servidor que foi ativado esse firewall for um gateway, aí sim que os 
> diretores conseguirão navegar tranquilamente, né? Porque este servidor AINDA  
> não é um gateway, portanto, sem o proxy é impossível navegar.
> Estou correto que falta este servidor ser um gateway?
> Ric.
>
>
>
>   
> 
> Veja quais são os assuntos do momento no Yahoo! +Buscados
> http://br.maisbuscados.yahoo.com
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>   
No cenário que você descreveu, só precisa fazer um nat pros IPs 
necessários e ativar o encaminhamento(forwarding) de pacotes.

[]'s
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] firewall x gateway

2009-07-23 Por tôpico Lista FreeBSD
Irado,

Explicando melhor...

Este servidor que ativei o firewall não é um gateway, o gateway é outro 
servidor...
Neste firewall tem um proxy transparente, porém antes da regra do proxy 
transparente, tem regras para liberar os diretores a não passar pelo proxy, 
enfim, liberar tudo.
Se a regra libera tudo e não passa pelo proxy, é óbvio que não precisa colocar 
o proxy nos navegadores dos diretores. A minha dúvida é: se este servidor que 
foi ativado esse firewall for um gateway, aí sim que os diretores conseguirão 
navegar tranquilamente, né? Porque este servidor AINDA  não é um gateway, 
portanto, sem o proxy é impossível navegar.
Estou correto que falta este servidor ser um gateway?
Ric.



  

Veja quais são os assuntos do momento no Yahoo! +Buscados
http://br.maisbuscados.yahoo.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] firewall x gateway

2009-07-22 Por tôpico Wesley Miranda
Leia sobre skipto, creio que tem na lista.


Wesley Miranda
FreeBSD Consult
www.freebsdconsult.com.br

- Original Message - 
From: "Lista FreeBSD" 
To: 
Sent: Wednesday, July 22, 2009 8:38 PM
Subject: [FUG-BR] firewall x gateway


Lista! Boa noite!

Configurei um firewall e adicionei uma regra para liberar o ip da diretoria 
para que este ip "passe por onde quiser" sem ser bloqueado e sem passar pelo 
proxy.

#ip's diretores
115 allow ip from 192.168.0.18 to any
116 allow ip from 192.168.0.19 to any
117 allow ip from 192.168.0.20 to any

401 fwd 127.0.0.1,3128 tcp from any to any dst-port 80 via rl0 setup 
keep-state


Fiz o teste e não acessa a internet, só funciona a net realmente se tiver o 
proxy configurado no navegador, mas dessa forma, este ip entra nas regras de 
bloqueio e liberação do squid.
O certo era este ip da diretoria acessar qualquer coisa, sem ter que estar 
configurado o proxy no navegador do usuário, certo?! Já que esta regra vem 
antes do proxy transparente.

Tenho uma dúvida quanto a isso. Isto só vai funcionar se tiver um gateway 
configurado neste servidor que ativei o firewall, né? Pois este servidor no 
qual ativei e configurei o firewall ainda não é um gateway.

Estou errado ou não é isso?

Abraços, Ric


  

Veja quais são os assuntos do momento no Yahoo! +Buscados
http://br.maisbuscados.yahoo.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


  1   2   3   >