Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
A conexão é bem estável, quanto a isso fico mais tranquilo. Quanto a MTU eu uso em um cliente o openvpn com TCP e não tive que fazer nenhum ajuste, acho que funcionará bem. Vou deixar pra mexer na segunda... Obrigado mais uma vez. Welkson - Original Message - From: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Saturday, October 04, 2008 10:03 AM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) Fica bem estranho manter dois confs... e como fazer isso no rc.conf? carregar na mão via rc.local não gosto muito! Vou alterar o protocolo para TCP e ver como se comporta. Eu tenho um outro cliente usando via TCP a mais de ano... mas é só para TEF, os pacotes são mínimos (2 ou 3kb). Alguns dos clientes da VPN usam replicação... o volume de dados é bem grande... pelo que li o desempenho em TCP cai um pouco... mas acho que não terei problemas. Obrigado pela ajuda. Bom fim de semana. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Friday, October 03, 2008 6:12 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/3/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Deve ser algo no UDP mesmo. > > Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o > cliente, > fiz a alteração na conf também para tcp... tentei acessar nos dois ips e > funfou perfeito > > Mesma regra do firewall, só alterei o de udp para tcp. > > Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado > amanhã, não quero receber ligação amanhã no feriado (-: > > Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn > para > tcp e trocar a conf em todos os clientes. Eu verifiquei oque tenho funcionando com udp (DNS) e o q descobri que tenho 2 binds rodando no servidor um respondendo por cada link, talvez se vc tentar fazer isso com openvpnd funcione. Att, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/4/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Fica bem estranho manter dois confs... e como fazer isso no rc.conf? > carregar na mão via rc.local não gosto muito! Então, você teria que mudar algumas coisas, se não me engano o openvpn é iniciado por um script no /usr/local/etc/rc.d, copie ele com outro nome (openvpn2) e altere o script para buscar variáveis com outros nomes e use essas variáveis dentro do rc.conf também. > > Vou alterar o protocolo para TCP e ver como se comporta. > > Eu tenho um outro cliente usando via TCP a mais de ano... mas é só para TEF, > os pacotes são mínimos (2 ou 3kb). > > Alguns dos clientes da VPN usam replicação... o volume de dados é bem > grande... pelo que li o desempenho em TCP cai um pouco... mas acho que não > terei problemas. É só a performance que é menor ou você tem problemas com a conexão tb ? Em alguns casos é necessário ajustar o MTU da conexão do openvpn. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Fica bem estranho manter dois confs... e como fazer isso no rc.conf? carregar na mão via rc.local não gosto muito! Vou alterar o protocolo para TCP e ver como se comporta. Eu tenho um outro cliente usando via TCP a mais de ano... mas é só para TEF, os pacotes são mínimos (2 ou 3kb). Alguns dos clientes da VPN usam replicação... o volume de dados é bem grande... pelo que li o desempenho em TCP cai um pouco... mas acho que não terei problemas. Obrigado pela ajuda. Bom fim de semana. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Friday, October 03, 2008 6:12 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/3/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Deve ser algo no UDP mesmo. > > Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o > cliente, > fiz a alteração na conf também para tcp... tentei acessar nos dois ips e > funfou perfeito > > Mesma regra do firewall, só alterei o de udp para tcp. > > Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado > amanhã, não quero receber ligação amanhã no feriado (-: > > Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn > para > tcp e trocar a conf em todos os clientes. Eu verifiquei oque tenho funcionando com udp (DNS) e o q descobri que tenho 2 binds rodando no servidor um respondendo por cada link, talvez se vc tentar fazer isso com openvpnd funcione. Att, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/3/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Deve ser algo no UDP mesmo. > > Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o cliente, > fiz a alteração na conf também para tcp... tentei acessar nos dois ips e > funfou perfeito > > Mesma regra do firewall, só alterei o de udp para tcp. > > Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado > amanhã, não quero receber ligação amanhã no feriado (-: > > Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn para > tcp e trocar a conf em todos os clientes. Eu verifiquei oque tenho funcionando com udp (DNS) e o q descobri que tenho 2 binds rodando no servidor um respondendo por cada link, talvez se vc tentar fazer isso com openvpnd funcione. Att, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, Deve ser algo no UDP mesmo. Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o cliente, fiz a alteração na conf também para tcp... tentei acessar nos dois ips e funfou perfeito Mesma regra do firewall, só alterei o de udp para tcp. Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado amanhã, não quero receber ligação amanhã no feriado (-: Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn para tcp e trocar a conf em todos os clientes. Vale, obrigado! Welkson - Original Message - From: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 7:40 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) Alexandre, Sai pelo default gateway (velox). 189.3.15.x é o ip secundário que quero que funcione udp externo. 189.124.129.x é o default gateway velox que já funciona o udp externo. Alterei meu openvpn.conf para conectar via 189.l3.15.x e veja: [EMAIL PROTECTED] /]# tcpdump -ni vr2 host 189.3.15.165 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vr2, link-type EN10MB (Ethernet), capture size 96 bytes 19:39:31.105715 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 19:39:33.339138 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 19:39:35.033140 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 [EMAIL PROTECTED] /]# cat /etc/firewall/pf.conf | grep 1194 pass in log on $ext_if proto udp from any to any port 1194 # libera no velox - default gateway # libera no jetcom - secundário - problema no REPLY-TO pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to any port 1194 keep state # 189.3.15.1 é o gateway do provedor jetcom. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 6:55 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > De manhã eu havia enviado... mas mandei novamente no pvt. > > > Welkson Bom.. pra termos certeza de que está acontecendo oque estamos pensando, que é o pacote udp voltar pela interface errada, faça o seguinte: - Pegue o ip externo do qual vc vai conectar no openvpn - Abra um tcpdump -ni host - Tente fazer a conexão com o openvpn na interface pela qual não está funcionado - Veja se aparece o pacote udp saindo pela interface da rota default no tcpdump Manda os resultados. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, Sai pelo default gateway (velox). 189.3.15.x é o ip secundário que quero que funcione udp externo. 189.124.129.x é o default gateway velox que já funciona o udp externo. Alterei meu openvpn.conf para conectar via 189.l3.15.x e veja: [EMAIL PROTECTED] /]# tcpdump -ni vr2 host 189.3.15.165 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vr2, link-type EN10MB (Ethernet), capture size 96 bytes 19:39:31.105715 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 19:39:33.339138 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 19:39:35.033140 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 [EMAIL PROTECTED] /]# cat /etc/firewall/pf.conf | grep 1194 pass in log on $ext_if proto udp from any to any port 1194 # libera no velox - default gateway # libera no jetcom - secundário - problema no REPLY-TO pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to any port 1194 keep state # 189.3.15.1 é o gateway do provedor jetcom. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 6:55 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > De manhã eu havia enviado... mas mandei novamente no pvt. > > > Welkson Bom.. pra termos certeza de que está acontecendo oque estamos pensando, que é o pacote udp voltar pela interface errada, faça o seguinte: - Pegue o ip externo do qual vc vai conectar no openvpn - Abra um tcpdump -ni host - Tente fazer a conexão com o openvpn na interface pela qual não está funcionado - Veja se aparece o pacote udp saindo pela interface da rota default no tcpdump Manda os resultados. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > De manhã eu havia enviado... mas mandei novamente no pvt. > > > Welkson Bom.. pra termos certeza de que está acontecendo oque estamos pensando, que é o pacote udp voltar pela interface errada, faça o seguinte: - Pegue o ip externo do qual vc vai conectar no openvpn - Abra um tcpdump -ni host - Tente fazer a conexão com o openvpn na interface pela qual não está funcionado - Veja se aparece o pacote udp saindo pela interface da rota default no tcpdump Manda os resultados. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
De manhã eu havia enviado... mas mandei novamente no pvt. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 6:28 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > E aí meu povo? ninguém tem uma sugestão de como fazer um reply-to de UDP? > > Poste o trecho do pf.conf que faz o reply por favor. Manda o resultado de um pfctl -s rules -vv e tcpdump -ner /var/log/pflog port 1194 no momento em que você tenta conectar. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > E aí meu povo? ninguém tem uma sugestão de como fazer um reply-to de UDP? > > Poste o trecho do pf.conf que faz o reply por favor. Manda o resultado de um pfctl -s rules -vv e tcpdump -ner /var/log/pflog port 1194 no momento em que você tenta conectar. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
E aí meu povo? ninguém tem uma sugestão de como fazer um reply-to de UDP?
Poste o trecho do pf.conf que faz o reply por favor.
Welkson
- Original Message -
From: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Sent: Thursday, October 02, 2008 11:36 AM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI
NOVU)
Com esse pass in você não está LIBERANDO TUDO?
Eu uso o pass in, mas especifico somente a porta que quero liberar.
Você testou a porta udp com que? openvpn? tcp eu sei que funfa, udp é que é
f...
welkson
- Original Message -
From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Sent: Thursday, October 02, 2008 8:35 AM
Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI
NOVU)
A minha configuracao funcionou. Tanto UDP quanto TCP.
Estava tendo dificuldades porque esta redirecionado os pacotes para uma rede
DMZ.
Entao tambem tive que fazer uma regra reply-to na interface de acesso a DMZ.
ficou td +- assim :
route0="(" $ext_if0 $router0 ")"
route1="(" $ext_if1 $router1 ")"
rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag
ROUTE0 -> $web_server
rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag
ROUTE1 -> $web_server
pass in quick on $ext_if0 reply-to $route0 proto {tcp,udp} from any to
$ext_ip0 keep state
pass in quick on $ext_if1 reply-to $route1 proto {tcp,udp} from any to
$ext_ip1 keep state
#The reply-to option is similar to route-to, but routes packets that
#pass in the ***opposite*** direction (replies) to the specified inter-
#face.
pass out quick on $dmz_if reply-to $route0 from any to any tagged ROUTE0
keep state
pass out quick on $dmz_if reply-to $route1 from any to any tagged ROUTE1
keep state
pass out on $ext_if0 route-to $ext_if1 from $ext_if1 to any
pass out on $ext_if1 route-to $ext_if0 from $ext_if0 to any
basicamento o segredo estava na direcao da regra da interface dmz. na
configuracao anterior
anterior eu estava coloando "pass in".
valeu ...!
- Mensagem original -
De: "Alexandre Biancalana" <[EMAIL PROTECTED]>
Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Enviadas: Quarta-feira, 1 de Outubro de 2008 17:23:15 GMT -03:00 Argentina
Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI
NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um
> exemplo com udp, porque aqui não funciona nem a pau... =)
>
> Coloca xxx nos ips em produção.
>
> Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para
> udp, e de 65517 para 1194
>
> # tcp que funciona
>
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to
>
> any port 65517 keep state
>
> # udp que NAO funciona
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to
> any port 1194 keep state
>
Manda seu pf.conf completo.
O que pode estar acontecendo é que o pf cria o estado pela ultima
regra que fizer o match ou seja, se você tem a regra com reply-to e
depois tem uma com o pass normal ele cria o estado pela ultima regra e
não funciona mesmo.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Wildes Miranda
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Com esse pass in você não está LIBERANDO TUDO?
Eu uso o pass in, mas especifico somente a porta que quero liberar.
Você testou a porta udp com que? openvpn? tcp eu sei que funfa, udp é que é
f...
welkson
- Original Message -
From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Sent: Thursday, October 02, 2008 8:35 AM
Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI
NOVU)
A minha configuracao funcionou. Tanto UDP quanto TCP.
Estava tendo dificuldades porque esta redirecionado os pacotes para uma rede
DMZ.
Entao tambem tive que fazer uma regra reply-to na interface de acesso a DMZ.
ficou td +- assim :
route0="(" $ext_if0 $router0 ")"
route1="(" $ext_if1 $router1 ")"
rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag
ROUTE0 -> $web_server
rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag
ROUTE1 -> $web_server
pass in quick on $ext_if0 reply-to $route0 proto {tcp,udp} from any to
$ext_ip0 keep state
pass in quick on $ext_if1 reply-to $route1 proto {tcp,udp} from any to
$ext_ip1 keep state
#The reply-to option is similar to route-to, but routes packets that
#pass in the ***opposite*** direction (replies) to the specified inter-
#face.
pass out quick on $dmz_if reply-to $route0 from any to any tagged ROUTE0
keep state
pass out quick on $dmz_if reply-to $route1 from any to any tagged ROUTE1
keep state
pass out on $ext_if0 route-to $ext_if1 from $ext_if1 to any
pass out on $ext_if1 route-to $ext_if0 from $ext_if0 to any
basicamento o segredo estava na direcao da regra da interface dmz. na
configuracao anterior
anterior eu estava coloando "pass in".
valeu ...!
- Mensagem original -
De: "Alexandre Biancalana" <[EMAIL PROTECTED]>
Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Enviadas: Quarta-feira, 1 de Outubro de 2008 17:23:15 GMT -03:00 Argentina
Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI
NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um
> exemplo com udp, porque aqui não funciona nem a pau... =)
>
> Coloca xxx nos ips em produção.
>
> Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para
> udp, e de 65517 para 1194
>
> # tcp que funciona
>
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to
>
> any port 65517 keep state
>
> # udp que NAO funciona
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to
> any port 1194 keep state
>
Manda seu pf.conf completo.
O que pode estar acontecendo é que o pf cria o estado pela ultima
regra que fizer o match ou seja, se você tem a regra com reply-to e
depois tem uma com o pass normal ele cria o estado pela ultima regra e
não funciona mesmo.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Wildes Miranda
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um > exemplo com udp, porque aqui não funciona nem a pau... =) > > Coloca xxx nos ips em produção. > > Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para > udp, e de 65517 para 1194 > > # tcp que funciona > > pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to > > any port 65517 keep state > > # udp que NAO funciona > pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to > any port 1194 keep state > Manda seu pf.conf completo. O que pode estar acontecendo é que o pf cria o estado pela ultima regra que fizer o match ou seja, se você tem a regra com reply-to e depois tem uma com o pass normal ele cria o estado pela ultima regra e não funciona mesmo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um exemplo com udp, porque aqui não funciona nem a pau... =) Coloca xxx nos ips em produção. Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para udp, e de 65517 para 1194 # tcp que funciona pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 65517 keep state # udp que NAO funciona pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to any port 1194 keep state Manda as regras. Abraço, Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, October 01, 2008 5:03 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Você usa só com TCP, certo? > Com TCP o meu funciona. Tenho configurações com TCP e UDP em produção. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Cria o "estado" mas não funfa o reply-to ;-) O "Não criar o estado" com certeza é o motivo de não funcionar o reply-to, pois ele funciona justamente em cima da tabela de estados para saber por onde a conexão entrou e por onde ela deve sair. Debugar esse tipo de situação é chato mesmo. Coloque log nas suas regras (todas) e veja os logs com tcpdump -nei pflog0 para ver o que está passando no momento ou tcpdump -ner /var/log/pflog para ver oq já passou. preste atenção no log, restrinja a visualização às conexões que você está tendo problemas com os paramentros host, port e utilize o pfctl -s rules -vv para comparar os logs com a regras que estão criando o estado. Não sei se você sabe mas o log do pf mostra o número da regra que criou o estado, e o número da regra só é mostrado pelo pfctl quando você usa opção -vv - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Você usa só com TCP, certo? > Com TCP o meu funciona. Tenho configurações com TCP e UDP em produção. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Cria o "estado" mas não funfa o reply-to ;-) Fico na mesma. Welkson - Original Message - From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, October 01, 2008 3:27 PM Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) veridico : http://www.openbsd.org/faq/pf/filter.html#udpstate "PF simply keeps track of how long it has been since a matching packet has gone through. If the timeout is reached, the state is cleared. The timeout values can be set in the options section of the pf.conf file. " " set timeout option value Set various timeouts (in seconds). interval - seconds between purges of expired states and packet fragments. The default is 10 . frag - seconds before an unassembled fragment is expired. The default is 30 . src.track - seconds to keep a source tracking entry in memory after the last state expires. The default is 0 (zero). " Acredito que opcao utilizada seja src.track ... - Mensagem original - De: "Alexandre Biancalana" <[EMAIL PROTECTED]> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Enviadas: Quarta-feira, 1 de Outubro de 2008 15:21:06 GMT -03:00 Brasília Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Fala Wildes, blz? > > Estou usando a 7.0 RELEASE > > Vendo agora o man fiquei desanimado... veja: > > "reply-to is useful only in rules that create state". > Pelo que sei UDP não tem "estados"... acho que reply-to é só para TCP. Me > corrijam se eu estiver errado. Por natureza o UDP não estabelece conexão com o destino, mas mesmo assim o pf cria um "estado" para este tipo de comunicação. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Wildes Miranda - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Fala Wildes, blz? > > Estou usando a 7.0 RELEASE > > Vendo agora o man fiquei desanimado... veja: > > "reply-to is useful only in rules that create state". > Pelo que sei UDP não tem "estados"... acho que reply-to é só para TCP. Me > corrijam se eu estiver errado. Por natureza o UDP não estabelece conexão com o destino, mas mesmo assim o pf cria um "estado" para este tipo de comunicação. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, Você usa só com TCP, certo? Com TCP o meu funciona. Wildes, posta o trecho do conf! Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, October 01, 2008 3:16 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Wildes Miranda de Oliveira <[EMAIL PROTECTED]> wrote: > saudacoes ! > > Qual o versao do FreeBSD voce esta usando ? > tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada > nem com vela preta > no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface > pflog0 :S ... Funciona sim... utilizo desde o Free 6, a sua conf que deve ter algo errado > a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? > tipo tunN utilizadas por links PPP ?? Não vejo por que não funcionar - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Wildes Miranda de Oliveira <[EMAIL PROTECTED]> wrote: > saudacoes ! > > Qual o versao do FreeBSD voce esta usando ? > tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada nem > com vela preta > no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface pflog0 > :S ... Funciona sim... utilizo desde o Free 6, a sua conf que deve ter algo errado > a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? tipo > tunN utilizadas por links PPP ?? Não vejo por que não funcionar - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Fala Wildes, blz? Estou usando a 7.0 RELEASE Vendo agora o man fiquei desanimado... veja: "reply-to is useful only in rules that create state". Pelo que sei UDP não tem "estados"... acho que reply-to é só para TCP. Me corrijam se eu estiver errado. Já usei a algum tempo o OpenVPN com TCP, mas ficou bem estranho... com udp funciona bem melhor. E agora José? =) Welkson - Original Message - From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, October 01, 2008 2:05 PM Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) saudacoes ! Qual o versao do FreeBSD voce esta usando ? tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada nem com vela preta no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface pflog0 :S ... a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? tipo tunN utilizadas por links PPP ?? value - Mensagem original - De: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Enviadas: Terça-feira, 30 de Setembro de 2008 16:13:39 GMT -03:00 Brasília Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) Obrigado Alexandre... deu certíssimo! pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 2 keep state Onde 189.3.15.1 é o gateway do jetcom. Sabem dizer se já foi implementado o reply-to para synproxy? (tais aí Aristeu?) http://osdir.com/ml/freebsd.devel.pf4freebsd/2006-10/msg00035.html Abraço, Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, September 30, 2008 3:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Pessoal, > > Também tenho esse mesmo problema. > > Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora > consigo acessar qualquer porta que libere no firewall. > > Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no > provedor, > 1024 são liberadas... > > Tento acessar de fora qualquer porta do link jetcom e não consigo (no > firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o > pacote chegando, mas não volta, ou volta pelo gateway default/velox, não > sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. > > Fiz essa dica da Aline mas não funfou comigo. > > Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, > vejo > o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Wildes Miranda - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Obrigado Alexandre... deu certíssimo! pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 2 keep state Onde 189.3.15.1 é o gateway do jetcom. Sabem dizer se já foi implementado o reply-to para synproxy? (tais aí Aristeu?) http://osdir.com/ml/freebsd.devel.pf4freebsd/2006-10/msg00035.html Abraço, Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, September 30, 2008 3:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Pessoal, > > Também tenho esse mesmo problema. > > Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora > consigo acessar qualquer porta que libere no firewall. > > Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no > provedor, > 1024 são liberadas... > > Tento acessar de fora qualquer porta do link jetcom e não consigo (no > firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o > pacote chegando, mas não volta, ou volta pelo gateway default/velox, não > sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. > > Fiz essa dica da Aline mas não funfou comigo. > > Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, > vejo > o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, vou testar o reply-to e retorno pra vocês. Valeuzzz. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, September 30, 2008 3:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Pessoal, > > Também tenho esse mesmo problema. > > Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora > consigo acessar qualquer porta que libere no firewall. > > Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no > provedor, > 1024 são liberadas... > > Tento acessar de fora qualquer porta do link jetcom e não consigo (no > firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o > pacote chegando, mas não volta, ou volta pelo gateway default/velox, não > sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. > > Fiz essa dica da Aline mas não funfou comigo. > > Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, > vejo > o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Pessoal, > > Também tenho esse mesmo problema. > > Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora > consigo acessar qualquer porta que libere no firewall. > > Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no > provedor, > 1024 são liberadas... > > Tento acessar de fora qualquer porta do link jetcom e não consigo (no > firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o > pacote chegando, mas não volta, ou volta pelo gateway default/velox, não > sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. > > Fiz essa dica da Aline mas não funfou comigo. > > Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, vejo > o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Pessoal,
Também tenho esse mesmo problema.
Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora
consigo acessar qualquer porta que libere no firewall.
Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no
provedor, > 1024 são liberadas...
Tento acessar de fora qualquer porta do link jetcom e não consigo (no
firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o
pacote chegando, mas não volta, ou volta pelo gateway default/velox, não
sei).
Fiz essa dica da Aline mas não funfou comigo.
Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, vejo
o pacote chegando, mas a conexão não é estabelecida.
Tentei diversos outros serviços, e a mesma coisa.
Sugestões?
Welkson
- Original Message -
From: "Aline Freitas" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Sent: Wednesday, August 27, 2008 12:09 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora
Acabei descobrindo hoje como manter os dois links acessiveis por fora. Bem
simples. Fica registrado pro historico da lista:
ip1 = aaa.aaa.aaa.aaa
ip2 = bbb.bbb.bbb.bbb
gw1 = xxx.xxx.xxx.xxx
gw2 = yyy.yyy.yyy.yyy
route add default $gw1
route add -host $ip2 127.0.0.1
Criando uma rota a partir do IP da interface não padrão para a interface lo0
torna esta interface não padrão acessivel de fora.
Valeu para quem tentou ajudar,
[]'s
Aline
2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>
Boa tarde!
Estou com dois links de internet:
(bge1) Virtua = 12 megas, IP Dinâmico
(bge2) Ajato = 2 megas, IP fixo
(bge0) Rede interna
A prioridade para uso interno é a bge2, por conta da banda alta.
Apenas para alguns
acessos que exigem autenticação por IP criei rotas via bge1. Pela rede
interna tenho os
dois gateways das duas interfaces acessíveis, mas o gateway default é
o via bge2. O
problema é que externamente, apenas o IP da bge2 (dinâmico) é
acessível. O IP da bge1
(fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
a ser acessível
externamente. Alguém conhece alguma forma de fazer com que ambas as
interfaces sejam
acessíveis externamente?
Aline
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Firewall ? PF ?
Caso seja, basta liberar a porta que quer que seja acessivel na interface
desejada.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Não me parece ser uma questão de portas, uma vez que de fora o IP nem pinga.
Minhas regras no pf.conf:
# Interfaces
EXT_IF1 = "bge1"
EXT_IF2 = "bge2"
INT_IF = "bge0"
VPN_IF = "tun0"
# Redes
LAN_NETWORK = "192.168.0.0/24"
VPN_NETWORK = "10.8.0.0/24"
# Portas publicas (abertas para Internet)
# 4222 = SSH
# 4280 = Apache (HTTP)
# 42443 = Apache (HTTPS)
# 8180 = Tomcat (HTTP)
# 8443 = Tomcat (HTTPS)
# 41194 = OpenVPN
PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }"
# Logar eventos em interface externa
set loginterface $EXT_IF1
set loginterface $EXT_IF2
# Politica padrao de envio de rst em block
set block-policy return
# Ignorando loopback
set skip on lo
# Normalizacao
scrub in all
# NAT de VPN
nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1)
# NAT de LAN
nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1)
nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2)
# Bloqueando toda entrada por padrao
block in
# Saida livre
pass out keep state
# Comunicacao livre com VPN
pass quick on $VPN_IF keep state
# Comunicacao livre com LAN
pass quick on $INT_IF keep state
# Permitiondo acesso a portas publicas
pass in on $EXT_IF1 proto tcp from any to
($EXT_IF1)
port $PUB_PORTS flags S/SA keep state
pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2)
port $PUB_PORTS flags S/SA keep state
# Permitindo Ping
pass in inet proto icmp all icmp-type echoreq keep state
# Faz balanceamento de carga no trafego da rede interna
pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto tcp
from
$LAN_NETWORK to any flags S/SA modulate state
pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto { udp,
icmp } from
$LAN_NETWORK to any keep state
# Regras gerais "pass out" para as interfaces externas
pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state
pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state
pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state
pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state
# Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para
# $EXT_IF2 e $EXT_GW2
pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any
pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
