[FUG-BR] RES: Packet filter.
Ia responder, quando vi já tinha 3 respostas. rs Eita lista de distribuição arretada essa! Parabéns a todos. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Giovani Poletto Enviada em: quarta-feira, 11 de agosto de 2010 11:08 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Packet filter. Bom dia, vc pode redirecionar o IP válido para o IP da rede interna com uma regra do tipo rdr. ex.: rdr pass on $ext_if proto tcp from IPs ou any to IP Valido port portas - IP Interno espero ter ajudado! []s 2010/8/11 cd...@hotmail.com Bom dia pessoal, algum especialista no PF poderia me dar uma ajuda? Tenho um servidor FreeBSD com acesso à Internet com um IP real e tem uma máquina na minha rede que roda um aplicativo de uma terceirizada e precisa de acesso (Web) remoto. Como eu deveria proceder pra que o pessoal via Web acessasse esse computador através do meu firewall? Desde já agradeço, Akkamai - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosamente, Giovani V. Poletto - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Packet filter.
olha o exemplo. rdr on $ext_if1 proto tcp from any to any port 1433 - 192.168.0.199 rdr on $ext_if1 proto tcp from any to any port 3389 - 192.168.0.198 rdr on $ext_if1 proto tcp from any to any port 80 - 192.168.0.199 rdr on $ext_if1 proto tcp from any to any port 5900 - 192.168.0.199 Em 11 de agosto de 2010 11:16, Fernando Buzon Macedo ferna...@bebedouro.sp.gov.br escreveu: Ia responder, quando vi já tinha 3 respostas. rs Eita lista de distribuição arretada essa! Parabéns a todos. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Giovani Poletto Enviada em: quarta-feira, 11 de agosto de 2010 11:08 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Packet filter. Bom dia, vc pode redirecionar o IP válido para o IP da rede interna com uma regra do tipo rdr. ex.: rdr pass on $ext_if proto tcp from IPs ou any to IP Valido port portas - IP Interno espero ter ajudado! []s 2010/8/11 cd...@hotmail.com Bom dia pessoal, algum especialista no PF poderia me dar uma ajuda? Tenho um servidor FreeBSD com acesso à Internet com um IP real e tem uma máquina na minha rede que roda um aplicativo de uma terceirizada e precisa de acesso (Web) remoto. Como eu deveria proceder pra que o pessoal via Web acessasse esse computador através do meu firewall? Desde já agradeço, Akkamai - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosamente, Giovani V. Poletto - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: Packet Filter
Hehehehe, é por essas e outras que eu digo que ainda precisamos de um BGP/OSPF lite prá balanceamento eficaz de conexões de baixo custo, conforme a discussão anterior que rolou aqui ;) É muito remendo por conta de pequenos detalhes :( Exemplo de bancos como Bradesco, Caixa, etc.. pois eles exigem confirmação de certificado e confirmação de senha. Observamos então que o balanceamento força hora saída por um e hora saída por dois. Conclusão... ele se perde e dá falha de autenticação. Eu deixei o https saindo pela rota padrão do sistema. Se fosse aberta apenas uma sessão TCP para cada sessão da aplicação, mas são várias para o mesmo site na mesma sessão do usuário no banco. O sistema não aceita isto, considerando como uma violação da comunicação. Outra questão grave q estamos tendo é qto ao FTP. Temos que implementar o PROXY-FTP pra q ele funcione. O ftp-proxy (use o pftpx do ports) vai sair pela rota padrão do sistema tb. Estou aguardando uma melhora nesta questão e outra questões no pf. Outro problema que vc vai encontrar é que pacotes gerados pelo pf obedecem obrigatoriamente a rota padrão. Logo usando reply-to com syn-proxy ou gerando RST nos blocks, entre outros, vc vai ter um erro, principalmente se estiver fazendo egress filtering nos roteadores, o que é salutar. []'s --Aristeu - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Packet Filter
Mas isso nós temos! /usr/ports/net/zebra pkg-descr: -- GNU Zebra is a free software (distributed under GNU Generic Public License) which manages TCP/IP based routing protocols. It supports BGP-4 protocol as described in RFC1771 (A Border Gateway Protocol 4) and RIPv1, RIPv2 and OSPFv2. Em 14/12/2006, Renato Frederick [EMAIL PROTECTED] escreveu: Hehehehe, é por essas e outras que eu digo que ainda precisamos de um BGP/OSPF lite prá balanceamento eficaz de conexões de baixo custo, conforme a discussão anterior que rolou aqui ;) É muito remendo por conta de pequenos detalhes :( Exemplo de bancos como Bradesco, Caixa, etc.. pois eles exigem confirmação de certificado e confirmação de senha. Observamos então que o balanceamento força hora saída por um e hora saída por dois. Conclusão... ele se perde e dá falha de autenticação. Eu deixei o https saindo pela rota padrão do sistema. Se fosse aberta apenas uma sessão TCP para cada sessão da aplicação, mas são várias para o mesmo site na mesma sessão do usuário no banco. O sistema não aceita isto, considerando como uma violação da comunicação. Outra questão grave q estamos tendo é qto ao FTP. Temos que implementar o PROXY-FTP pra q ele funcione. O ftp-proxy (use o pftpx do ports) vai sair pela rota padrão do sistema tb. Estou aguardando uma melhora nesta questão e outra questões no pf. Outro problema que vc vai encontrar é que pacotes gerados pelo pf obedecem obrigatoriamente a rota padrão. Logo usando reply-to com syn-proxy ou gerando RST nos blocks, entre outros, vc vai ter um erro, principalmente se estiver fazendo egress filtering nos roteadores, o que é salutar. []'s --Aristeu - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Packet Filter
Em 14/12/06, Renato Frederick[EMAIL PROTECTED] escreveu: Hehehehe, é por essas e outras que eu digo que ainda precisamos de um BGP/OSPF lite prá balanceamento eficaz de conexões de baixo custo, conforme a discussão anterior que rolou aqui ;) É muito remendo por conta de pequenos detalhes :( Não podemos desistir na primeira dificuldade. Podemos alimentar uma lista de rangens e/ou protocolos que não aceitariam balanceamento com NAT. Vc já mediu o trafego https no seu site? aqui pra mim é irrisório comparado com HTTP e SMTP/POP, Podemos tentar melhorar o PF neste quesito tb. ou seja, limitar o balanceamento nos links que possuem protocolos não balanceados, fazendo estes protocolos se basearem apenas no failover. Muito pode ser feito para contornar estes problemas, basta haver interesse. Uma vez resolvido e documentado, poderemos dizer que os pequenos detalhes escondidos já não são esse tão grande problema, coisa que eu já havia comentado no topico ISP FailOver. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd