Re: [FUG-BR] Dois links dedicados com 100% de garantia de banda
Buenas! -Original Message- >De: Rodrigo Teles Calado >Assunto: [FUG-BR] Dois links dedicados com 100% de garantia de banda > >Bom dia, > >Quero fazer redundância e preciso de indicações e de equipamentos de empresas >confiáveis para colocar meu link da GVT de 50 Mb/s e >outro da Embratel de 30 Mb/s funcionando simultaneamente. >Estou saindo da área técnica para ficar 100% como CIO. > Já pensou em um appliance de pequeno porte munido de pfSense? http://conexti.com.br/proteux Em geral, a necessidade primária sempre é apenas 'failover/loadbalance' de conexões, mas é muito provável que você tenha logo na sequência demandas como Webfilter, VPN e afins. ;-) []`s Jack http://jack.eti.br http://sys-squad.com http://conexti.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links dedicados com 100% de garantia de banda
Pode usar o PFSENSE; Pode usar os “roteadores”(eu chamo de firewall) cisco RVXXX(RV042 costuma ser barato e atende os 80MB que você quer); Pode usar os firewall da sonicwall, linha TZ; Tem muita solução de caixinha pronta no mercado. ——— Renato Frederick Consultor em TI http://about.me/renatofrederick Skype: renatofrederick +55 31 99123 - 3006 +55 31 2523 - 0686 De: Rodrigo Teles Calado Responder: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Data: 29 de junho de 2016 at 09:13:21 Para: FUG Assunto: [FUG-BR] Dois links dedicados com 100% de garantia de banda Bom dia, Quero fazer redundância e preciso de indicações e de equipamentos de empresas confiáveis para colocar meu link da GVT de 50 Mb/s e outro da Embratel de 30 Mb/s funcionando simultaneamente. Estou saindo da área técnica para ficar 100% como CIO. Fico no aguardo de indicações, obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links dedicados com 100% de garantia de banda
2016-06-29 9:28 GMT-03:00, Márcio Luciano Donada : > Bom dia, >> >> Quero fazer redundância e preciso de indicações e de equipamentos de >> empresas confiáveis para colocar meu link da GVT de 50 Mb/s e outro da >> Embratel de 30 Mb/s funcionando simultaneamente. >> >> Estou saindo da área técnica para ficar 100% como CIO. >> >> > Você está falando em redundância de saída, ok? > > att > _ > Márcio Luciano Donada tu podes buscar solucoes junto a juniper ou netgate; tambem podes usar pfsense por conta propria. uma terceira alternativa que te indico, seria desenrolar isso "na unha" com freebsd+pf+rtable+fib :) boa sorte. [ ] ' s -- Vinícius Zavam keybase.io/egypcio/key.asc - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links dedicados com 100% de garantia de banda
Bom dia, > > Quero fazer redundância e preciso de indicações e de equipamentos de > empresas confiáveis para colocar meu link da GVT de 50 Mb/s e outro da > Embratel de 30 Mb/s funcionando simultaneamente. > > Estou saindo da área técnica para ficar 100% como CIO. > > Você está falando em redundância de saída, ok? att _ Márcio Luciano Donada FreeBSD - The uptime measured in years! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois Links
exatamente. Em 8 de novembro de 2010 10:55, Márcio Luciano Donada escreveu: > Em 8/11/2010 11:27, Rogério Moura escreveu: > > Com IPFW você pode usar FIB... assim você cria uma tabela de roteamento > para > > cada link, e nas regras de filtragem você define por qual FIB determinado > > tráfego irá sair... > > > > Bom dia Rogério, > Você está falando essa opção: > > setfib fibnum > The packet is tagged so as to use the FIB (routing table) > fibnum > in any subsequent forwarding decisions. Initially this is lim- > ited to the values 0 through 15, see setfib(1). Processing > con- > tinues at the next rule. > > Obrigado, > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois Links
Em 8/11/2010 11:27, Rogério Moura escreveu: > Com IPFW você pode usar FIB... assim você cria uma tabela de roteamento para > cada link, e nas regras de filtragem você define por qual FIB determinado > tráfego irá sair... > Bom dia Rogério, Você está falando essa opção: setfib fibnum The packet is tagged so as to use the FIB (routing table) fibnum in any subsequent forwarding decisions. Initially this is lim- ited to the values 0 through 15, see setfib(1). Processing con- tinues at the next rule. Obrigado, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois Links
Com IPFW você pode usar FIB... assim você cria uma tabela de roteamento para cada link, e nas regras de filtragem você define por qual FIB determinado tráfego irá sair... Em 8 de novembro de 2010 10:22, Corsini Corsini escreveu: > > Utilizo IPFW > > dessa forma: > habilito essas opções no rc.conf > firewall_enable="YES" > firewall_type="SIMPLE" > e altero o rc.firewall de acordo com minha rede. > > > João B. Corsini > Analista de Suporte > > > > > > Date: Mon, 8 Nov 2010 10:42:15 -0200 > > From: btvi...@gmail.com > > To: freebsd@fug.com.br > > Subject: Re: [FUG-BR] Dois Links > > > > João, bom dia! > > > > Qual o firewall que utiliza? > > Eu tenho este cenário utilizando o PF tanto in como out. Isso funciona > muito > > bem com o PF. Demorei a entender este conceito, mas hoje está bem > funcional. > > > > Em 8 de novembro de 2010 09:39, Corsini Corsini >escreveu: > > > > > > > > > > > Pessoal, > > > Como poderia estar adicionando mais um link no Freebsd > > > Meu Cenário atualmente: > > > Freebsd 8.1 c/ duas placas de rede - uma externa e outra interna - e > > > atulamente estamos fazendo NATD para rede interna. e está tudo > funcionando > > > normalmente. > > > > > > Gostaria de adicionar um segundo Link em uma nova placa no Freebsd, e > > > deixar esse link com essa nova rota da GVT apenas para os clientes que > > > acessam externamente um serviço de TS. > > > ai nesse caso me surgiu a dúvida, consigo deixar duas rotas default ao > > > mesmo tempo no Freebsd ? como faria isso. gostaria de uma ajuda, e > entender > > > isso melhor.. > > > Já uso Freebsd há um bom tempo, porém apenas com um link. > > > > > > > > > > > > João B. Corsini > > > Analista de Suporte > > > > > > > > > > > > - > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > > > -- > > ___ > > Bruno Torres Viana > > Consultor em TI > > Celular: (27) 9225-4766 > > SKYPE/MSN: btorres_viana > > > > > > > > > > > > > > Todos nós somos ignorantes, porém em assuntos diferentes. Não seja > ignorante > > por opção! > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois Links
Utilizo IPFW dessa forma: habilito essas opções no rc.conf firewall_enable="YES" firewall_type="SIMPLE" e altero o rc.firewall de acordo com minha rede. João B. Corsini Analista de Suporte > Date: Mon, 8 Nov 2010 10:42:15 -0200 > From: btvi...@gmail.com > To: freebsd@fug.com.br > Subject: Re: [FUG-BR] Dois Links > > João, bom dia! > > Qual o firewall que utiliza? > Eu tenho este cenário utilizando o PF tanto in como out. Isso funciona muito > bem com o PF. Demorei a entender este conceito, mas hoje está bem funcional. > > Em 8 de novembro de 2010 09:39, Corsini Corsini > escreveu: > > > > > > > Pessoal, > > Como poderia estar adicionando mais um link no Freebsd > > Meu Cenário atualmente: > > Freebsd 8.1 c/ duas placas de rede - uma externa e outra interna - e > > atulamente estamos fazendo NATD para rede interna. e está tudo funcionando > > normalmente. > > > > Gostaria de adicionar um segundo Link em uma nova placa no Freebsd, e > > deixar esse link com essa nova rota da GVT apenas para os clientes que > > acessam externamente um serviço de TS. > > ai nesse caso me surgiu a dúvida, consigo deixar duas rotas default ao > > mesmo tempo no Freebsd ? como faria isso. gostaria de uma ajuda, e entender > > isso melhor.. > > Já uso Freebsd há um bom tempo, porém apenas com um link. > > > > > > > > João B. Corsini > > Analista de Suporte > > > > > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > -- > ___ > Bruno Torres Viana > Consultor em TI > Celular: (27) 9225-4766 > SKYPE/MSN: btorres_viana > > > > > > > Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante > por opção! > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois Links
Também uso PF com o mesmo cenário e não é preciso ter 2 default gateways na máquina, é só você usar o route-to e o reply-to do PF que vai de boa. Em 8 de novembro de 2010 09:42, Bruno Torres Viana escreveu: > João, bom dia! > > Qual o firewall que utiliza? > Eu tenho este cenário utilizando o PF tanto in como out. Isso funciona > muito > bem com o PF. Demorei a entender este conceito, mas hoje está bem > funcional. > > Em 8 de novembro de 2010 09:39, Corsini Corsini >escreveu: > > > > > > > Pessoal, > > Como poderia estar adicionando mais um link no Freebsd > > Meu Cenário atualmente: > > Freebsd 8.1 c/ duas placas de rede - uma externa e outra interna - e > > atulamente estamos fazendo NATD para rede interna. e está tudo > funcionando > > normalmente. > > > > Gostaria de adicionar um segundo Link em uma nova placa no Freebsd, e > > deixar esse link com essa nova rota da GVT apenas para os clientes que > > acessam externamente um serviço de TS. > > ai nesse caso me surgiu a dúvida, consigo deixar duas rotas default ao > > mesmo tempo no Freebsd ? como faria isso. gostaria de uma ajuda, e > entender > > isso melhor.. > > Já uso Freebsd há um bom tempo, porém apenas com um link. > > > > > > > > João B. Corsini > > Analista de Suporte > > > > > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > -- > ___ > Bruno Torres Viana > Consultor em TI > Celular: (27) 9225-4766 > SKYPE/MSN: btorres_viana > > > > > > > Todos nós somos ignorantes, porém em assuntos diferentes. Não seja > ignorante > por opção! > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois Links
olha se te ajuda ai. http://kimattree.blogspot.com/2009/05/setting-up-multi-gateway-freebsd.html Em 8 de novembro de 2010 09:42, Bruno Torres Viana escreveu: > João, bom dia! > > Qual o firewall que utiliza? > Eu tenho este cenário utilizando o PF tanto in como out. Isso funciona muito > bem com o PF. Demorei a entender este conceito, mas hoje está bem funcional. > > Em 8 de novembro de 2010 09:39, Corsini Corsini > escreveu: > >> >> >> Pessoal, >> Como poderia estar adicionando mais um link no Freebsd >> Meu Cenário atualmente: >> Freebsd 8.1 c/ duas placas de rede - uma externa e outra interna - e >> atulamente estamos fazendo NATD para rede interna. e está tudo funcionando >> normalmente. >> >> Gostaria de adicionar um segundo Link em uma nova placa no Freebsd, e >> deixar esse link com essa nova rota da GVT apenas para os clientes que >> acessam externamente um serviço de TS. >> ai nesse caso me surgiu a dúvida, consigo deixar duas rotas default ao >> mesmo tempo no Freebsd ? como faria isso. gostaria de uma ajuda, e entender >> isso melhor.. >> Já uso Freebsd há um bom tempo, porém apenas com um link. >> >> >> >> João B. Corsini >> Analista de Suporte >> >> >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > > > -- > ___ > Bruno Torres Viana > Consultor em TI > Celular: (27) 9225-4766 > SKYPE/MSN: btorres_viana > > > > > > > Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante > por opção! > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois Links
João, bom dia! Qual o firewall que utiliza? Eu tenho este cenário utilizando o PF tanto in como out. Isso funciona muito bem com o PF. Demorei a entender este conceito, mas hoje está bem funcional. Em 8 de novembro de 2010 09:39, Corsini Corsini escreveu: > > > Pessoal, > Como poderia estar adicionando mais um link no Freebsd > Meu Cenário atualmente: > Freebsd 8.1 c/ duas placas de rede - uma externa e outra interna - e > atulamente estamos fazendo NATD para rede interna. e está tudo funcionando > normalmente. > > Gostaria de adicionar um segundo Link em uma nova placa no Freebsd, e > deixar esse link com essa nova rota da GVT apenas para os clientes que > acessam externamente um serviço de TS. > ai nesse caso me surgiu a dúvida, consigo deixar duas rotas default ao > mesmo tempo no Freebsd ? como faria isso. gostaria de uma ajuda, e entender > isso melhor.. > Já uso Freebsd há um bom tempo, porém apenas com um link. > > > > João B. Corsini > Analista de Suporte > > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- ___ Bruno Torres Viana Consultor em TI Celular: (27) 9225-4766 SKYPE/MSN: btorres_viana Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois Links
> > > Pessoal, > Como poderia estar adicionando mais um link no Freebsd > Meu Cenário atualmente: > Freebsd 8.1 c/ duas placas de rede - uma externa e outra interna - e > atulamente estamos fazendo NATD para rede interna. e está tudo funcionando > normalmente. > > Gostaria de adicionar um segundo Link em uma nova placa no Freebsd, e > deixar esse link com essa nova rota da GVT apenas para os clientes que > acessam externamente um serviço de TS. > ai nesse caso me surgiu a dúvida, consigo deixar duas rotas default ao > mesmo tempo no Freebsd ? como faria isso. gostaria de uma ajuda, e > entender isso melhor.. > Já uso Freebsd há um bom tempo, porém apenas com um link. > > > > João B. Corsini > Analista de Suporte > > > > - > Bom-dia! João, tem um exemplo[1] de regras que funciona redondinho, porém requer pequenas alterações para se adequar ao seu cenário (mudar alguns "any" para "table(xx)", alguns tunings, etc). Coloquei em prática em um servidor de testes (FreeBSD 8.1) de um provedor com três circuitos, o resultado até o momento é satisfatório. O problema que encontrei é que o IPFIREWALL_NAT não tem punch_fw[2]. Mas de resto, funciona redondo :) Saudações, Trober [1] http://forums.freebsd.org/showpost.php?p=90023&postcount=2 [2] http://www.fug.com.br/historico/html/freebsd/2009-05/msg00813.html - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois Links
http://tinyurl.com/29wb9f7 2010/11/8 Corsini Corsini > > > Pessoal, > Como poderia estar adicionando mais um link no Freebsd > Meu Cenário atualmente: > Freebsd 8.1 c/ duas placas de rede - uma externa e outra interna - e > atulamente estamos fazendo NATD para rede interna. e está tudo funcionando > normalmente. > > Gostaria de adicionar um segundo Link em uma nova placa no Freebsd, e > deixar esse link com essa nova rota da GVT apenas para os clientes que > acessam externamente um serviço de TS. > ai nesse caso me surgiu a dúvida, consigo deixar duas rotas default ao > mesmo tempo no Freebsd ? como faria isso. gostaria de uma ajuda, e entender > isso melhor.. > Já uso Freebsd há um bom tempo, porém apenas com um link. > > > > João B. Corsini > Analista de Suporte > > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- [*] CCNA Certified [*] LPIC-1 Certified [*] Security Enthusiast - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] dois links de internet para acesso externo.
Alessandro de Souza Rocha escreveu: > Bom tarde, e o seguinte tenho um velox 1mb para acesso a internet e um > link 256k para acesso externo do sistema, > gostaria como faco so para deixa o link acessivel para sistema ja > tentei varias formas e nada de acesso de fora.. > > ROUTE-TO do PF? Tenho 1MB FULL (pré-WiMax), e 1 MB Velox... e os dois estão acessíveis de fora usando route-to do pf. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes welk...@focusautomacao.com.br Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
A conexão é bem estável, quanto a isso fico mais tranquilo. Quanto a MTU eu uso em um cliente o openvpn com TCP e não tive que fazer nenhum ajuste, acho que funcionará bem. Vou deixar pra mexer na segunda... Obrigado mais uma vez. Welkson - Original Message - From: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Saturday, October 04, 2008 10:03 AM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) Fica bem estranho manter dois confs... e como fazer isso no rc.conf? carregar na mão via rc.local não gosto muito! Vou alterar o protocolo para TCP e ver como se comporta. Eu tenho um outro cliente usando via TCP a mais de ano... mas é só para TEF, os pacotes são mínimos (2 ou 3kb). Alguns dos clientes da VPN usam replicação... o volume de dados é bem grande... pelo que li o desempenho em TCP cai um pouco... mas acho que não terei problemas. Obrigado pela ajuda. Bom fim de semana. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Friday, October 03, 2008 6:12 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/3/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Deve ser algo no UDP mesmo. > > Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o > cliente, > fiz a alteração na conf também para tcp... tentei acessar nos dois ips e > funfou perfeito > > Mesma regra do firewall, só alterei o de udp para tcp. > > Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado > amanhã, não quero receber ligação amanhã no feriado (-: > > Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn > para > tcp e trocar a conf em todos os clientes. Eu verifiquei oque tenho funcionando com udp (DNS) e o q descobri que tenho 2 binds rodando no servidor um respondendo por cada link, talvez se vc tentar fazer isso com openvpnd funcione. Att, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/4/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Fica bem estranho manter dois confs... e como fazer isso no rc.conf? > carregar na mão via rc.local não gosto muito! Então, você teria que mudar algumas coisas, se não me engano o openvpn é iniciado por um script no /usr/local/etc/rc.d, copie ele com outro nome (openvpn2) e altere o script para buscar variáveis com outros nomes e use essas variáveis dentro do rc.conf também. > > Vou alterar o protocolo para TCP e ver como se comporta. > > Eu tenho um outro cliente usando via TCP a mais de ano... mas é só para TEF, > os pacotes são mínimos (2 ou 3kb). > > Alguns dos clientes da VPN usam replicação... o volume de dados é bem > grande... pelo que li o desempenho em TCP cai um pouco... mas acho que não > terei problemas. É só a performance que é menor ou você tem problemas com a conexão tb ? Em alguns casos é necessário ajustar o MTU da conexão do openvpn. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Fica bem estranho manter dois confs... e como fazer isso no rc.conf? carregar na mão via rc.local não gosto muito! Vou alterar o protocolo para TCP e ver como se comporta. Eu tenho um outro cliente usando via TCP a mais de ano... mas é só para TEF, os pacotes são mínimos (2 ou 3kb). Alguns dos clientes da VPN usam replicação... o volume de dados é bem grande... pelo que li o desempenho em TCP cai um pouco... mas acho que não terei problemas. Obrigado pela ajuda. Bom fim de semana. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Friday, October 03, 2008 6:12 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/3/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Deve ser algo no UDP mesmo. > > Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o > cliente, > fiz a alteração na conf também para tcp... tentei acessar nos dois ips e > funfou perfeito > > Mesma regra do firewall, só alterei o de udp para tcp. > > Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado > amanhã, não quero receber ligação amanhã no feriado (-: > > Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn > para > tcp e trocar a conf em todos os clientes. Eu verifiquei oque tenho funcionando com udp (DNS) e o q descobri que tenho 2 binds rodando no servidor um respondendo por cada link, talvez se vc tentar fazer isso com openvpnd funcione. Att, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/3/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Deve ser algo no UDP mesmo. > > Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o cliente, > fiz a alteração na conf também para tcp... tentei acessar nos dois ips e > funfou perfeito > > Mesma regra do firewall, só alterei o de udp para tcp. > > Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado > amanhã, não quero receber ligação amanhã no feriado (-: > > Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn para > tcp e trocar a conf em todos os clientes. Eu verifiquei oque tenho funcionando com udp (DNS) e o q descobri que tenho 2 binds rodando no servidor um respondendo por cada link, talvez se vc tentar fazer isso com openvpnd funcione. Att, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, Deve ser algo no UDP mesmo. Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o cliente, fiz a alteração na conf também para tcp... tentei acessar nos dois ips e funfou perfeito Mesma regra do firewall, só alterei o de udp para tcp. Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado amanhã, não quero receber ligação amanhã no feriado (-: Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn para tcp e trocar a conf em todos os clientes. Vale, obrigado! Welkson - Original Message - From: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 7:40 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) Alexandre, Sai pelo default gateway (velox). 189.3.15.x é o ip secundário que quero que funcione udp externo. 189.124.129.x é o default gateway velox que já funciona o udp externo. Alterei meu openvpn.conf para conectar via 189.l3.15.x e veja: [EMAIL PROTECTED] /]# tcpdump -ni vr2 host 189.3.15.165 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vr2, link-type EN10MB (Ethernet), capture size 96 bytes 19:39:31.105715 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 19:39:33.339138 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 19:39:35.033140 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 [EMAIL PROTECTED] /]# cat /etc/firewall/pf.conf | grep 1194 pass in log on $ext_if proto udp from any to any port 1194 # libera no velox - default gateway # libera no jetcom - secundário - problema no REPLY-TO pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to any port 1194 keep state # 189.3.15.1 é o gateway do provedor jetcom. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 6:55 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > De manhã eu havia enviado... mas mandei novamente no pvt. > > > Welkson Bom.. pra termos certeza de que está acontecendo oque estamos pensando, que é o pacote udp voltar pela interface errada, faça o seguinte: - Pegue o ip externo do qual vc vai conectar no openvpn - Abra um tcpdump -ni host - Tente fazer a conexão com o openvpn na interface pela qual não está funcionado - Veja se aparece o pacote udp saindo pela interface da rota default no tcpdump Manda os resultados. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, Sai pelo default gateway (velox). 189.3.15.x é o ip secundário que quero que funcione udp externo. 189.124.129.x é o default gateway velox que já funciona o udp externo. Alterei meu openvpn.conf para conectar via 189.l3.15.x e veja: [EMAIL PROTECTED] /]# tcpdump -ni vr2 host 189.3.15.165 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vr2, link-type EN10MB (Ethernet), capture size 96 bytes 19:39:31.105715 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 19:39:33.339138 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 19:39:35.033140 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 [EMAIL PROTECTED] /]# cat /etc/firewall/pf.conf | grep 1194 pass in log on $ext_if proto udp from any to any port 1194 # libera no velox - default gateway # libera no jetcom - secundário - problema no REPLY-TO pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to any port 1194 keep state # 189.3.15.1 é o gateway do provedor jetcom. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 6:55 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > De manhã eu havia enviado... mas mandei novamente no pvt. > > > Welkson Bom.. pra termos certeza de que está acontecendo oque estamos pensando, que é o pacote udp voltar pela interface errada, faça o seguinte: - Pegue o ip externo do qual vc vai conectar no openvpn - Abra um tcpdump -ni host - Tente fazer a conexão com o openvpn na interface pela qual não está funcionado - Veja se aparece o pacote udp saindo pela interface da rota default no tcpdump Manda os resultados. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > De manhã eu havia enviado... mas mandei novamente no pvt. > > > Welkson Bom.. pra termos certeza de que está acontecendo oque estamos pensando, que é o pacote udp voltar pela interface errada, faça o seguinte: - Pegue o ip externo do qual vc vai conectar no openvpn - Abra um tcpdump -ni host - Tente fazer a conexão com o openvpn na interface pela qual não está funcionado - Veja se aparece o pacote udp saindo pela interface da rota default no tcpdump Manda os resultados. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
De manhã eu havia enviado... mas mandei novamente no pvt. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 6:28 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > E aí meu povo? ninguém tem uma sugestão de como fazer um reply-to de UDP? > > Poste o trecho do pf.conf que faz o reply por favor. Manda o resultado de um pfctl -s rules -vv e tcpdump -ner /var/log/pflog port 1194 no momento em que você tenta conectar. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > E aí meu povo? ninguém tem uma sugestão de como fazer um reply-to de UDP? > > Poste o trecho do pf.conf que faz o reply por favor. Manda o resultado de um pfctl -s rules -vv e tcpdump -ner /var/log/pflog port 1194 no momento em que você tenta conectar. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
E aí meu povo? ninguém tem uma sugestão de como fazer um reply-to de UDP?
Poste o trecho do pf.conf que faz o reply por favor.
Welkson
- Original Message -
From: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Sent: Thursday, October 02, 2008 11:36 AM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI
NOVU)
Com esse pass in você não está LIBERANDO TUDO?
Eu uso o pass in, mas especifico somente a porta que quero liberar.
Você testou a porta udp com que? openvpn? tcp eu sei que funfa, udp é que é
f...
welkson
- Original Message -
From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Sent: Thursday, October 02, 2008 8:35 AM
Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI
NOVU)
A minha configuracao funcionou. Tanto UDP quanto TCP.
Estava tendo dificuldades porque esta redirecionado os pacotes para uma rede
DMZ.
Entao tambem tive que fazer uma regra reply-to na interface de acesso a DMZ.
ficou td +- assim :
route0="(" $ext_if0 $router0 ")"
route1="(" $ext_if1 $router1 ")"
rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag
ROUTE0 -> $web_server
rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag
ROUTE1 -> $web_server
pass in quick on $ext_if0 reply-to $route0 proto {tcp,udp} from any to
$ext_ip0 keep state
pass in quick on $ext_if1 reply-to $route1 proto {tcp,udp} from any to
$ext_ip1 keep state
#The reply-to option is similar to route-to, but routes packets that
#pass in the ***opposite*** direction (replies) to the specified inter-
#face.
pass out quick on $dmz_if reply-to $route0 from any to any tagged ROUTE0
keep state
pass out quick on $dmz_if reply-to $route1 from any to any tagged ROUTE1
keep state
pass out on $ext_if0 route-to $ext_if1 from $ext_if1 to any
pass out on $ext_if1 route-to $ext_if0 from $ext_if0 to any
basicamento o segredo estava na direcao da regra da interface dmz. na
configuracao anterior
anterior eu estava coloando "pass in".
valeu ...!
- Mensagem original -
De: "Alexandre Biancalana" <[EMAIL PROTECTED]>
Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Enviadas: Quarta-feira, 1 de Outubro de 2008 17:23:15 GMT -03:00 Argentina
Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI
NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um
> exemplo com udp, porque aqui não funciona nem a pau... =)
>
> Coloca xxx nos ips em produção.
>
> Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para
> udp, e de 65517 para 1194
>
> # tcp que funciona
>
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to
>
> any port 65517 keep state
>
> # udp que NAO funciona
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to
> any port 1194 keep state
>
Manda seu pf.conf completo.
O que pode estar acontecendo é que o pf cria o estado pela ultima
regra que fizer o match ou seja, se você tem a regra com reply-to e
depois tem uma com o pass normal ele cria o estado pela ultima regra e
não funciona mesmo.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Wildes Miranda
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Com esse pass in você não está LIBERANDO TUDO?
Eu uso o pass in, mas especifico somente a porta que quero liberar.
Você testou a porta udp com que? openvpn? tcp eu sei que funfa, udp é que é
f...
welkson
- Original Message -
From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Sent: Thursday, October 02, 2008 8:35 AM
Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI
NOVU)
A minha configuracao funcionou. Tanto UDP quanto TCP.
Estava tendo dificuldades porque esta redirecionado os pacotes para uma rede
DMZ.
Entao tambem tive que fazer uma regra reply-to na interface de acesso a DMZ.
ficou td +- assim :
route0="(" $ext_if0 $router0 ")"
route1="(" $ext_if1 $router1 ")"
rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag
ROUTE0 -> $web_server
rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag
ROUTE1 -> $web_server
pass in quick on $ext_if0 reply-to $route0 proto {tcp,udp} from any to
$ext_ip0 keep state
pass in quick on $ext_if1 reply-to $route1 proto {tcp,udp} from any to
$ext_ip1 keep state
#The reply-to option is similar to route-to, but routes packets that
#pass in the ***opposite*** direction (replies) to the specified inter-
#face.
pass out quick on $dmz_if reply-to $route0 from any to any tagged ROUTE0
keep state
pass out quick on $dmz_if reply-to $route1 from any to any tagged ROUTE1
keep state
pass out on $ext_if0 route-to $ext_if1 from $ext_if1 to any
pass out on $ext_if1 route-to $ext_if0 from $ext_if0 to any
basicamento o segredo estava na direcao da regra da interface dmz. na
configuracao anterior
anterior eu estava coloando "pass in".
valeu ...!
- Mensagem original -
De: "Alexandre Biancalana" <[EMAIL PROTECTED]>
Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Enviadas: Quarta-feira, 1 de Outubro de 2008 17:23:15 GMT -03:00 Argentina
Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI
NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um
> exemplo com udp, porque aqui não funciona nem a pau... =)
>
> Coloca xxx nos ips em produção.
>
> Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para
> udp, e de 65517 para 1194
>
> # tcp que funciona
>
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to
>
> any port 65517 keep state
>
> # udp que NAO funciona
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to
> any port 1194 keep state
>
Manda seu pf.conf completo.
O que pode estar acontecendo é que o pf cria o estado pela ultima
regra que fizer o match ou seja, se você tem a regra com reply-to e
depois tem uma com o pass normal ele cria o estado pela ultima regra e
não funciona mesmo.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Wildes Miranda
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU)
A minha configuracao funcionou. Tanto UDP quanto TCP.
Estava tendo dificuldades porque esta redirecionado os pacotes para uma rede
DMZ.
Entao tambem tive que fazer uma regra reply-to na interface de acesso a DMZ.
ficou td +- assim :
route0="(" $ext_if0 $router0 ")"
route1="(" $ext_if1 $router1 ")"
rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag ROUTE0 ->
$web_server
rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag ROUTE1 ->
$web_server
pass in quick on $ext_if0 reply-to $route0 proto {tcp,udp} from any to $ext_ip0
keep state
pass in quick on $ext_if1 reply-to $route1 proto {tcp,udp} from any to $ext_ip1
keep state
#The reply-to option is similar to route-to, but routes packets that
#pass in the ***opposite*** direction (replies) to the specified inter-
#face.
pass out quick on $dmz_if reply-to $route0 from any to any tagged ROUTE0 keep
state
pass out quick on $dmz_if reply-to $route1 from any to any tagged ROUTE1 keep
state
pass out on $ext_if0 route-to $ext_if1 from $ext_if1 to any
pass out on $ext_if1 route-to $ext_if0 from $ext_if0 to any
basicamento o segredo estava na direcao da regra da interface dmz. na
configuracao anterior
anterior eu estava coloando "pass in".
valeu ...!
- Mensagem original -
De: "Alexandre Biancalana" <[EMAIL PROTECTED]>
Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Enviadas: Quarta-feira, 1 de Outubro de 2008 17:23:15 GMT -03:00 Argentina
Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote:
> Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um
> exemplo com udp, porque aqui não funciona nem a pau... =)
>
> Coloca xxx nos ips em produção.
>
> Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para
> udp, e de 65517 para 1194
>
> # tcp que funciona
>
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to
>
> any port 65517 keep state
>
> # udp que NAO funciona
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to
> any port 1194 keep state
>
Manda seu pf.conf completo.
O que pode estar acontecendo é que o pf cria o estado pela ultima
regra que fizer o match ou seja, se você tem a regra com reply-to e
depois tem uma com o pass normal ele cria o estado pela ultima regra e
não funciona mesmo.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Wildes Miranda
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um > exemplo com udp, porque aqui não funciona nem a pau... =) > > Coloca xxx nos ips em produção. > > Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para > udp, e de 65517 para 1194 > > # tcp que funciona > > pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to > > any port 65517 keep state > > # udp que NAO funciona > pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to > any port 1194 keep state > Manda seu pf.conf completo. O que pode estar acontecendo é que o pf cria o estado pela ultima regra que fizer o match ou seja, se você tem a regra com reply-to e depois tem uma com o pass normal ele cria o estado pela ultima regra e não funciona mesmo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um exemplo com udp, porque aqui não funciona nem a pau... =) Coloca xxx nos ips em produção. Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para udp, e de 65517 para 1194 # tcp que funciona pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 65517 keep state # udp que NAO funciona pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to any port 1194 keep state Manda as regras. Abraço, Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, October 01, 2008 5:03 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Você usa só com TCP, certo? > Com TCP o meu funciona. Tenho configurações com TCP e UDP em produção. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Cria o "estado" mas não funfa o reply-to ;-) O "Não criar o estado" com certeza é o motivo de não funcionar o reply-to, pois ele funciona justamente em cima da tabela de estados para saber por onde a conexão entrou e por onde ela deve sair. Debugar esse tipo de situação é chato mesmo. Coloque log nas suas regras (todas) e veja os logs com tcpdump -nei pflog0 para ver o que está passando no momento ou tcpdump -ner /var/log/pflog para ver oq já passou. preste atenção no log, restrinja a visualização às conexões que você está tendo problemas com os paramentros host, port e utilize o pfctl -s rules -vv para comparar os logs com a regras que estão criando o estado. Não sei se você sabe mas o log do pf mostra o número da regra que criou o estado, e o número da regra só é mostrado pelo pfctl quando você usa opção -vv - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Você usa só com TCP, certo? > Com TCP o meu funciona. Tenho configurações com TCP e UDP em produção. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Cria o "estado" mas não funfa o reply-to ;-) Fico na mesma. Welkson - Original Message - From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, October 01, 2008 3:27 PM Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) veridico : http://www.openbsd.org/faq/pf/filter.html#udpstate "PF simply keeps track of how long it has been since a matching packet has gone through. If the timeout is reached, the state is cleared. The timeout values can be set in the options section of the pf.conf file. " " set timeout option value Set various timeouts (in seconds). interval - seconds between purges of expired states and packet fragments. The default is 10 . frag - seconds before an unassembled fragment is expired. The default is 30 . src.track - seconds to keep a source tracking entry in memory after the last state expires. The default is 0 (zero). " Acredito que opcao utilizada seja src.track ... - Mensagem original - De: "Alexandre Biancalana" <[EMAIL PROTECTED]> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Enviadas: Quarta-feira, 1 de Outubro de 2008 15:21:06 GMT -03:00 Brasília Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Fala Wildes, blz? > > Estou usando a 7.0 RELEASE > > Vendo agora o man fiquei desanimado... veja: > > "reply-to is useful only in rules that create state". > Pelo que sei UDP não tem "estados"... acho que reply-to é só para TCP. Me > corrijam se eu estiver errado. Por natureza o UDP não estabelece conexão com o destino, mas mesmo assim o pf cria um "estado" para este tipo de comunicação. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Wildes Miranda - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU)
- Mensagem original - De: "Alexandre Biancalana" <[EMAIL PROTECTED]> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Enviadas: Quarta-feira, 1 de Outubro de 2008 15:16:31 GMT -03:00 Brasília Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Wildes Miranda de Oliveira <[EMAIL PROTECTED]> wrote: > saudacoes ! > > Qual o versao do FreeBSD voce esta usando ? > tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada nem > com vela preta > no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface pflog0 > :S ... Funciona sim... utilizo desde o Free 6, a sua conf que deve ter algo errado > a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? tipo > tunN utilizadas por links PPP ?? Não vejo por que não funcionar Tambem nao. A regra e bem simples, mas, de qualquer forma, vou rever a configuracao, e postar os resultados para que os srs possam compartilhar ou me auxiliarem numa solucao. grato. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU)
veridico : http://www.openbsd.org/faq/pf/filter.html#udpstate "PF simply keeps track of how long it has been since a matching packet has gone through. If the timeout is reached, the state is cleared. The timeout values can be set in the options section of the pf.conf file. " " set timeout option value Set various timeouts (in seconds). interval - seconds between purges of expired states and packet fragments. The default is 10 . frag - seconds before an unassembled fragment is expired. The default is 30 . src.track - seconds to keep a source tracking entry in memory after the last state expires. The default is 0 (zero). " Acredito que opcao utilizada seja src.track ... - Mensagem original - De: "Alexandre Biancalana" <[EMAIL PROTECTED]> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Enviadas: Quarta-feira, 1 de Outubro de 2008 15:21:06 GMT -03:00 Brasília Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Fala Wildes, blz? > > Estou usando a 7.0 RELEASE > > Vendo agora o man fiquei desanimado... veja: > > "reply-to is useful only in rules that create state". > Pelo que sei UDP não tem "estados"... acho que reply-to é só para TCP. Me > corrijam se eu estiver errado. Por natureza o UDP não estabelece conexão com o destino, mas mesmo assim o pf cria um "estado" para este tipo de comunicação. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Wildes Miranda - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Fala Wildes, blz? > > Estou usando a 7.0 RELEASE > > Vendo agora o man fiquei desanimado... veja: > > "reply-to is useful only in rules that create state". > Pelo que sei UDP não tem "estados"... acho que reply-to é só para TCP. Me > corrijam se eu estiver errado. Por natureza o UDP não estabelece conexão com o destino, mas mesmo assim o pf cria um "estado" para este tipo de comunicação. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, Você usa só com TCP, certo? Com TCP o meu funciona. Wildes, posta o trecho do conf! Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, October 01, 2008 3:16 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Wildes Miranda de Oliveira <[EMAIL PROTECTED]> wrote: > saudacoes ! > > Qual o versao do FreeBSD voce esta usando ? > tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada > nem com vela preta > no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface > pflog0 :S ... Funciona sim... utilizo desde o Free 6, a sua conf que deve ter algo errado > a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? > tipo tunN utilizadas por links PPP ?? Não vejo por que não funcionar - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Wildes Miranda de Oliveira <[EMAIL PROTECTED]> wrote: > saudacoes ! > > Qual o versao do FreeBSD voce esta usando ? > tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada nem > com vela preta > no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface pflog0 > :S ... Funciona sim... utilizo desde o Free 6, a sua conf que deve ter algo errado > a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? tipo > tunN utilizadas por links PPP ?? Não vejo por que não funcionar - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (MAIS UMA VEZ = UDP PROTOCOL)
Você não vai conseguir fazer com UDP exatamente pelo que falou, o reply-to não funciona neste caso porque a conexão não tem o 3 way handshake. Creio que outras aplicações que usem UDP e que você precise de tráfego entrante(SNMP, DNS) não irão funcionar, pelo mesmo motivo. > -Original Message- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On > Behalf Of Welkson Renny de Medeiros > Sent: Wednesday, October 01, 2008 2:36 PM > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (MAIS > UMA VEZ = UDP PROTOCOL) > > Fala Irado! > > Não é configuração. Se você ler os posts anteriores eu explico que estou > incluíndo mais um link de internet, e de fora só fica acessível o > primeiro eu quero deixar os dois... por isso estou usando o reply- > to... > porque os pacotes quando entram pelo segundo link insistem em voltar pelo > primeiro (default gateway). > > Consegui resolver quando o protocolo é TCP (fiz vários testes com Radmin, > SSH, etc, todos funcionam), mas com UDP (OpenVPN) não funciona. > > Vi agora que tem um PR para o reply-to, uma pena: > http://www.freebsd.org/cgi/query-pr.cgi?pr=93825 > > Essa configuração tá idêntica a 2 anos... agora todos os clientes estão > conectado pelo primeiro link (velox)... se eu alterar no conf do cliente > para usar o segundo link (jetcom), ele tenta conectar (vejo no log do pf), > mas não estabelece a vpn... no log dar pra ver que chega no ip do jetcom, > mas volta pelo velox. > > É isso, agora é só esperar que Max Laier tenha tempo pra ver isso ;-) como > o > próprio PR diz, não é crítico... talvez demore algum tempo para ser > corrigido. > > Engraçado que no PR foi reportado o problema com TCP e FreeBSD 6.1 > PRE-RELEASE, e tcp funciona pra mim... o meu é FreeBSD 7.0 RELEASE. > > Vou continuar nos testes, qualquer dica será bem vinda. > > Abraço, > > Welkson > > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (MAIS UMA VEZ = UDP PROTOCOL)
Fala Irado! Não é configuração. Se você ler os posts anteriores eu explico que estou incluíndo mais um link de internet, e de fora só fica acessível o primeiro eu quero deixar os dois... por isso estou usando o reply-to... porque os pacotes quando entram pelo segundo link insistem em voltar pelo primeiro (default gateway). Consegui resolver quando o protocolo é TCP (fiz vários testes com Radmin, SSH, etc, todos funcionam), mas com UDP (OpenVPN) não funciona. Vi agora que tem um PR para o reply-to, uma pena: http://www.freebsd.org/cgi/query-pr.cgi?pr=93825 Essa configuração tá idêntica a 2 anos... agora todos os clientes estão conectado pelo primeiro link (velox)... se eu alterar no conf do cliente para usar o segundo link (jetcom), ele tenta conectar (vejo no log do pf), mas não estabelece a vpn... no log dar pra ver que chega no ip do jetcom, mas volta pelo velox. É isso, agora é só esperar que Max Laier tenha tempo pra ver isso ;-) como o próprio PR diz, não é crítico... talvez demore algum tempo para ser corrigido. Engraçado que no PR foi reportado o problema com TCP e FreeBSD 6.1 PRE-RELEASE, e tcp funciona pra mim... o meu é FreeBSD 7.0 RELEASE. Vou continuar nos testes, qualquer dica será bem vinda. Abraço, Welkson - Original Message - From: "irado furioso com tudo" <[EMAIL PROTECTED]> To: Sent: Wednesday, October 01, 2008 2:22 PM Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (MAIS UMA VEZ = UDP PROTOCOL) Em Wed, 1 Oct 2008 14:01:11 -0300 "Welkson Renny de Medeiros" <[EMAIL PROTECTED]>, conhecido consumidor de drogas (BigMac's com Coke) escreveu: > (OpenVPN), não funfa. > > A conexão chega, mas retorna pelo ip errado. Lembrando que TCP funfa > normal (outros serviços). considerando-se que o OpenVPN é tunel em udp e, obrigatoriamente fecha conexão ponta-a-ponta, isso me parece muito mais problemas de configuração do OpenVPN do que do fwll. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free se o país é democrático, por que razão sou obrigado a votar? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Fala Wildes, blz? Estou usando a 7.0 RELEASE Vendo agora o man fiquei desanimado... veja: "reply-to is useful only in rules that create state". Pelo que sei UDP não tem "estados"... acho que reply-to é só para TCP. Me corrijam se eu estiver errado. Já usei a algum tempo o OpenVPN com TCP, mas ficou bem estranho... com udp funciona bem melhor. E agora José? =) Welkson - Original Message - From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, October 01, 2008 2:05 PM Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) saudacoes ! Qual o versao do FreeBSD voce esta usando ? tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada nem com vela preta no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface pflog0 :S ... a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? tipo tunN utilizadas por links PPP ?? value - Mensagem original - De: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Enviadas: Terça-feira, 30 de Setembro de 2008 16:13:39 GMT -03:00 Brasília Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) Obrigado Alexandre... deu certíssimo! pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 2 keep state Onde 189.3.15.1 é o gateway do jetcom. Sabem dizer se já foi implementado o reply-to para synproxy? (tais aí Aristeu?) http://osdir.com/ml/freebsd.devel.pf4freebsd/2006-10/msg00035.html Abraço, Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, September 30, 2008 3:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Pessoal, > > Também tenho esse mesmo problema. > > Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora > consigo acessar qualquer porta que libere no firewall. > > Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no > provedor, > 1024 são liberadas... > > Tento acessar de fora qualquer porta do link jetcom e não consigo (no > firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o > pacote chegando, mas não volta, ou volta pelo gateway default/velox, não > sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. > > Fiz essa dica da Aline mas não funfou comigo. > > Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, > vejo > o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Wildes Miranda - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (MAIS UMA VEZ = UDP PROTOCOL)
Em Wed, 1 Oct 2008 14:01:11 -0300 "Welkson Renny de Medeiros" <[EMAIL PROTECTED]>, conhecido consumidor de drogas (BigMac's com Coke) escreveu: > (OpenVPN), não funfa. > > A conexão chega, mas retorna pelo ip errado. Lembrando que TCP funfa > normal (outros serviços). considerando-se que o OpenVPN é tunel em udp e, obrigatoriamente fecha conexão ponta-a-ponta, isso me parece muito mais problemas de configuração do OpenVPN do que do fwll. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free se o país é democrático, por que razão sou obrigado a votar? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU)
saudacoes ! Qual o versao do FreeBSD voce esta usando ? tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada nem com vela preta no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface pflog0 :S ... a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? tipo tunN utilizadas por links PPP ?? value - Mensagem original - De: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Enviadas: Terça-feira, 30 de Setembro de 2008 16:13:39 GMT -03:00 Brasília Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) Obrigado Alexandre... deu certíssimo! pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 2 keep state Onde 189.3.15.1 é o gateway do jetcom. Sabem dizer se já foi implementado o reply-to para synproxy? (tais aí Aristeu?) http://osdir.com/ml/freebsd.devel.pf4freebsd/2006-10/msg00035.html Abraço, Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, September 30, 2008 3:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Pessoal, > > Também tenho esse mesmo problema. > > Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora > consigo acessar qualquer porta que libere no firewall. > > Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no > provedor, > 1024 são liberadas... > > Tento acessar de fora qualquer porta do link jetcom e não consigo (no > firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o > pacote chegando, mas não volta, ou volta pelo gateway default/velox, não > sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. > > Fiz essa dica da Aline mas não funfou comigo. > > Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, > vejo > o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Wildes Miranda - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (MAIS UMA VEZ = UDP PROTOCOL)
Senhores, Com protocolo TCP ficou show de bola, mas com UDP (OpenVPN), não funfa. pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to any port 1194 keep state # já testei sem o keep state No log do PF: 00 rule 475/0(match): pass in on vr2: 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 A conexão chega, mas retorna pelo ip errado. Lembrando que TCP funfa normal (outros serviços). Sugestões? Welkson - Original Message - From: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, September 30, 2008 4:13 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) Obrigado Alexandre... deu certíssimo! pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 2 keep state Onde 189.3.15.1 é o gateway do jetcom. Sabem dizer se já foi implementado o reply-to para synproxy? (tais aí Aristeu?) http://osdir.com/ml/freebsd.devel.pf4freebsd/2006-10/msg00035.html Abraço, Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, September 30, 2008 3:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Pessoal, > > Também tenho esse mesmo problema. > > Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora > consigo acessar qualquer porta que libere no firewall. > > Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no > provedor, > 1024 são liberadas... > > Tento acessar de fora qualquer porta do link jetcom e não consigo (no > firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o > pacote chegando, mas não volta, ou volta pelo gateway default/velox, não > sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. > > Fiz essa dica da Aline mas não funfou comigo. > > Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, > vejo > o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Obrigado Alexandre... deu certíssimo! pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 2 keep state Onde 189.3.15.1 é o gateway do jetcom. Sabem dizer se já foi implementado o reply-to para synproxy? (tais aí Aristeu?) http://osdir.com/ml/freebsd.devel.pf4freebsd/2006-10/msg00035.html Abraço, Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, September 30, 2008 3:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Pessoal, > > Também tenho esse mesmo problema. > > Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora > consigo acessar qualquer porta que libere no firewall. > > Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no > provedor, > 1024 são liberadas... > > Tento acessar de fora qualquer porta do link jetcom e não consigo (no > firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o > pacote chegando, mas não volta, ou volta pelo gateway default/velox, não > sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. > > Fiz essa dica da Aline mas não funfou comigo. > > Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, > vejo > o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, vou testar o reply-to e retorno pra vocês. Valeuzzz. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, September 30, 2008 3:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Pessoal, > > Também tenho esse mesmo problema. > > Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora > consigo acessar qualquer porta que libere no firewall. > > Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no > provedor, > 1024 são liberadas... > > Tento acessar de fora qualquer porta do link jetcom e não consigo (no > firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o > pacote chegando, mas não volta, ou volta pelo gateway default/velox, não > sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. > > Fiz essa dica da Aline mas não funfou comigo. > > Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, > vejo > o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Welkson Renny de Medeiros wrote: | Fala Just, blz? | | Na verdade nem sei quem postou essa thread... no dia eu até comentei dizendo | que pensava que tinha esse problema mas era bloqueio do provedor... como | estava sem tempo acabei nem testando... ontem quando liguei para o provedor | falaram que só bloqueavam abaixo de 1024... testei com portas acima de 1024 | e realmente a conexão chega, mas não volta. | | Pior que uso PF... estou fazendo alguns testes com ROUTE-TO (eu uso para | voip), mas não estou conseguindo... | | Por exemplo, meu SSH está na porta 2. | | Do velox funfa perfeito, do jetcom a conexão chega ao servidor, aparece no | log do pf, mas não volta... | | Já tentei analisar via tcpdump, mas não sei por qual interface está | voltando... | | Meus testes estão assim: | # ssh (via jetcom) | pass in log quick on $ext_if2 proto tcp from any to any port 2 keep | state #quando um cliente tenta conectar via putty vejo no log do pf a | tentativa com o PASS, mas o cliente recebe um erro | | # tentei fazer esse RETORNO jogando para interface do jetcom (ext_if2)... | mas não funfou, nem bateu no log | pass out log quick on $ext_if2 route-to ($ext_if2 189.3.15.1) proto tcp from | any port 2 to any keep state Já usei PF no passado, mas tem tanto tempo que nem lembro mais os códigos das regras. Essa última regra sua faz o equivalente do fwd que postei do ipfw? - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 Blog: http://just.rg3.net/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFI4kqtXL+vuN2d7ZwRArUNAJ9UCy6uAIDnd0ae5TccjsmEUa/6WwCfXHJH ThXVOoZLR4U0/z9uyPC8vis= =YYyz -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
Fala Just, blz? Na verdade nem sei quem postou essa thread... no dia eu até comentei dizendo que pensava que tinha esse problema mas era bloqueio do provedor... como estava sem tempo acabei nem testando... ontem quando liguei para o provedor falaram que só bloqueavam abaixo de 1024... testei com portas acima de 1024 e realmente a conexão chega, mas não volta. Pior que uso PF... estou fazendo alguns testes com ROUTE-TO (eu uso para voip), mas não estou conseguindo... Por exemplo, meu SSH está na porta 2. Do velox funfa perfeito, do jetcom a conexão chega ao servidor, aparece no log do pf, mas não volta... Já tentei analisar via tcpdump, mas não sei por qual interface está voltando... Meus testes estão assim: # ssh (via jetcom) pass in log quick on $ext_if2 proto tcp from any to any port 2 keep state #quando um cliente tenta conectar via putty vejo no log do pf a tentativa com o PASS, mas o cliente recebe um erro # tentei fazer esse RETORNO jogando para interface do jetcom (ext_if2)... mas não funfou, nem bateu no log pass out log quick on $ext_if2 route-to ($ext_if2 189.3.15.1) proto tcp from any port 2 to any keep state Welkson - Original Message - From: "João Paulo Just" <[EMAIL PROTECTED]> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" Sent: Tuesday, September 30, 2008 12:32 PM Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Aline Freitas wrote: | Acabei descobrindo hoje como manter os dois links acessiveis por fora. Bem | simples. Fica registrado pro historico da lista: | | ip1 = aaa.aaa.aaa.aaa | ip2 = bbb.bbb.bbb.bbb | | gw1 = xxx.xxx.xxx.xxx | gw2 = yyy.yyy.yyy.yyy | | route add default $gw1 | route add -host $ip2 127.0.0.1 | | Criando uma rota a partir do IP da interface não padrão para a interface lo0 | torna esta interface não padrão acessivel de fora. | | Valeu para quem tentou ajudar, Vi essa mensagem hoje, nem tinha visto logo quando você postou. Aqui uso o seguinte comando no ipfw: $cmd add fwd gw2 ip from rede_ip2/mascara to not rede_ip2/mascara out via $pif - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 Blog: http://just.rg3.net/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFI4kakXL+vuN2d7ZwRAqT1AKDOAc4LfUdtNpL/dYF0WImUgfDWvQCfY2yP aykP87oJEsLwGMhehYxivVY= =s4Ic -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Pessoal, > > Também tenho esse mesmo problema. > > Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora > consigo acessar qualquer porta que libere no firewall. > > Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no > provedor, > 1024 são liberadas... > > Tento acessar de fora qualquer porta do link jetcom e não consigo (no > firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o > pacote chegando, mas não volta, ou volta pelo gateway default/velox, não > sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. > > Fiz essa dica da Aline mas não funfou comigo. > > Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, vejo > o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Aline Freitas wrote: | Acabei descobrindo hoje como manter os dois links acessiveis por fora. Bem | simples. Fica registrado pro historico da lista: | | ip1 = aaa.aaa.aaa.aaa | ip2 = bbb.bbb.bbb.bbb | | gw1 = xxx.xxx.xxx.xxx | gw2 = yyy.yyy.yyy.yyy | | route add default $gw1 | route add -host $ip2 127.0.0.1 | | Criando uma rota a partir do IP da interface não padrão para a interface lo0 | torna esta interface não padrão acessivel de fora. | | Valeu para quem tentou ajudar, Vi essa mensagem hoje, nem tinha visto logo quando você postou. Aqui uso o seguinte comando no ipfw: $cmd add fwd gw2 ip from rede_ip2/mascara to not rede_ip2/mascara out via $pif - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 Blog: http://just.rg3.net/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFI4kakXL+vuN2d7ZwRAqT1AKDOAc4LfUdtNpL/dYF0WImUgfDWvQCfY2yP aykP87oJEsLwGMhehYxivVY= =s4Ic -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Pessoal,
Também tenho esse mesmo problema.
Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora
consigo acessar qualquer porta que libere no firewall.
Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no
provedor, > 1024 são liberadas...
Tento acessar de fora qualquer porta do link jetcom e não consigo (no
firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o
pacote chegando, mas não volta, ou volta pelo gateway default/velox, não
sei).
Fiz essa dica da Aline mas não funfou comigo.
Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, vejo
o pacote chegando, mas a conexão não é estabelecida.
Tentei diversos outros serviços, e a mesma coisa.
Sugestões?
Welkson
- Original Message -
From: "Aline Freitas" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Sent: Wednesday, August 27, 2008 12:09 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora
Acabei descobrindo hoje como manter os dois links acessiveis por fora. Bem
simples. Fica registrado pro historico da lista:
ip1 = aaa.aaa.aaa.aaa
ip2 = bbb.bbb.bbb.bbb
gw1 = xxx.xxx.xxx.xxx
gw2 = yyy.yyy.yyy.yyy
route add default $gw1
route add -host $ip2 127.0.0.1
Criando uma rota a partir do IP da interface não padrão para a interface lo0
torna esta interface não padrão acessivel de fora.
Valeu para quem tentou ajudar,
[]'s
Aline
2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>
Boa tarde!
Estou com dois links de internet:
(bge1) Virtua = 12 megas, IP Dinâmico
(bge2) Ajato = 2 megas, IP fixo
(bge0) Rede interna
A prioridade para uso interno é a bge2, por conta da banda alta.
Apenas para alguns
acessos que exigem autenticação por IP criei rotas via bge1. Pela rede
interna tenho os
dois gateways das duas interfaces acessíveis, mas o gateway default é
o via bge2. O
problema é que externamente, apenas o IP da bge2 (dinâmico) é
acessível. O IP da bge1
(fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
a ser acessível
externamente. Alguém conhece alguma forma de fazer com que ambas as
interfaces sejam
acessíveis externamente?
Aline
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Firewall ? PF ?
Caso seja, basta liberar a porta que quer que seja acessivel na interface
desejada.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Não me parece ser uma questão de portas, uma vez que de fora o IP nem pinga.
Minhas regras no pf.conf:
# Interfaces
EXT_IF1 = "bge1"
EXT_IF2 = "bge2"
INT_IF = "bge0"
VPN_IF = "tun0"
# Redes
LAN_NETWORK = "192.168.0.0/24"
VPN_NETWORK = "10.8.0.0/24"
# Portas publicas (abertas para Internet)
# 4222 = SSH
# 4280 = Apache (HTTP)
# 42443 = Apache (HTTPS)
# 8180 = Tomcat (HTTP)
# 8443 = Tomcat (HTTPS)
# 41194 = OpenVPN
PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }"
# Logar eventos em interface externa
set loginterface $EXT_IF1
set loginterface $EXT_IF2
# Politica padrao de envio de rst em block
set block-policy return
# Ignorando loopback
set skip on lo
# Normalizacao
scrub in all
# NAT de VPN
nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1)
# NAT de LAN
nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1)
nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2)
# Bloqueando toda entrada por padrao
block in
# Saida livre
pass out keep state
# Comunicacao livre com VPN
pass quick on $VPN_IF keep state
# Comunicacao livre com LAN
pass quick on $INT_IF keep state
# Permitiondo acesso a portas publicas
pass in on $EXT_IF1 proto tcp from any to
($EXT_IF1)
port $PUB_PORTS flags S/SA keep state
pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2)
port $PUB_PORTS flags S/SA keep state
# Permitindo Ping
pass in inet proto icmp all icmp-type echoreq keep state
# Faz balanceamento de carga no trafego da rede interna
pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto tcp
from
$LAN_NETWORK to any flags S/SA modulate state
pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto { udp,
icmp } from
$LAN_NETWORK to any keep state
# Regras gerais "pass out" para as interfaces externas
pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state
pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state
pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state
pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state
# Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para
# $EXT_IF2 e $EXT_GW2
pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any
pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any
---
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
Aline, o que vc entende por acessiveis por fora???
Pelo seguinte, uso 3 links num servidor, e os 3 sao acessiveis por
fora normal (no meu entender hehe, pingar, conectar nas portas
abertas, etc...)
m3
2008/8/27 Aline Freitas <[EMAIL PROTECTED]>:
> Acabei descobrindo hoje como manter os dois links acessiveis por fora. Bem
> simples. Fica registrado pro historico da lista:
>
> ip1 = aaa.aaa.aaa.aaa
> ip2 = bbb.bbb.bbb.bbb
>
> gw1 = xxx.xxx.xxx.xxx
> gw2 = yyy.yyy.yyy.yyy
>
> route add default $gw1
> route add -host $ip2 127.0.0.1
>
> Criando uma rota a partir do IP da interface não padrão para a interface lo0
> torna esta interface não padrão acessivel de fora.
>
> Valeu para quem tentou ajudar,
>
> []'s
> Aline
>
> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>
>
>
> Boa tarde!
>
> Estou com dois links de internet:
>
> (bge1) Virtua = 12 megas, IP Dinâmico
> (bge2) Ajato = 2 megas, IP fixo
>
> (bge0) Rede interna
>
> A prioridade para uso interno é a bge2, por conta da banda alta.
> Apenas para alguns
> acessos que exigem autenticação por IP criei rotas via bge1. Pela rede
> interna tenho os
> dois gateways das duas interfaces acessíveis, mas o gateway default é
> o via bge2. O
> problema é que externamente, apenas o IP da bge2 (dinâmico) é
> acessível. O IP da bge1
> (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
> a ser acessível
> externamente. Alguém conhece alguma forma de fazer com que ambas as
> interfaces sejam
> acessíveis externamente?
>
> Aline
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
>
> Firewall ? PF ?
> Caso seja, basta liberar a porta que quer que seja acessivel na interface
> desejada.
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
>
> Não me parece ser uma questão de portas, uma vez que de fora o IP nem pinga.
>
> Minhas regras no pf.conf:
>
> # Interfaces
> EXT_IF1 = "bge1"
> EXT_IF2 = "bge2"
> INT_IF = "bge0"
> VPN_IF = "tun0"
>
> # Redes
> LAN_NETWORK = "192.168.0.0/24"
> VPN_NETWORK = "10.8.0.0/24"
>
> # Portas publicas (abertas para Internet)
> # 4222 = SSH
> # 4280 = Apache (HTTP)
> # 42443 = Apache (HTTPS)
> # 8180 = Tomcat (HTTP)
> # 8443 = Tomcat (HTTPS)
> # 41194 = OpenVPN
> PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }"
>
> # Logar eventos em interface externa
> set loginterface $EXT_IF1
> set loginterface $EXT_IF2
>
> # Politica padrao de envio de rst em block
> set block-policy return
>
> # Ignorando loopback
> set skip on lo
>
> # Normalizacao
> scrub in all
>
> # NAT de VPN
> nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1)
>
> # NAT de LAN
> nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1)
> nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2)
>
> # Bloqueando toda entrada por padrao
> block in
>
> # Saida livre
> pass out keep state
>
> # Comunicacao livre com VPN
> pass quick on $VPN_IF keep state
>
> # Comunicacao livre com LAN
> pass quick on $INT_IF keep state
>
> # Permitiondo acesso a portas publicas
>
> pass in on $EXT_IF1 proto tcp from any to
> ($EXT_IF1)
>port $PUB_PORTS flags S/SA keep state
> pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2)
>port $PUB_PORTS flags S/SA keep state
>
> # Permitindo Ping
> pass in inet proto icmp all icmp-type echoreq keep state
>
> # Faz balanceamento de carga no trafego da rede interna
> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto tcp from
> $LAN_NETWORK to any flags S/SA modulate state
>
> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto { udp,
> icmp } from
> $LAN_NETWORK to any keep state
>
> # Regras gerais "pass out" para as interfaces externas
> pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state
> pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state
> pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state
> pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state
>
> # Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para
> # $EXT_IF2 e $EXT_GW2
> pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any
> pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Atenciosmente
Mario Augusto Mania
---
[EMAIL PROTECTED]
Cel.: (43) 9938-9629
Msn: [EMAIL PROTECTED]
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
Acabei descobrindo hoje como manter os dois links acessiveis por fora. Bem
simples. Fica registrado pro historico da lista:
ip1 = aaa.aaa.aaa.aaa
ip2 = bbb.bbb.bbb.bbb
gw1 = xxx.xxx.xxx.xxx
gw2 = yyy.yyy.yyy.yyy
route add default $gw1
route add -host $ip2 127.0.0.1
Criando uma rota a partir do IP da interface não padrão para a interface lo0
torna esta interface não padrão acessivel de fora.
Valeu para quem tentou ajudar,
[]'s
Aline
2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>
Boa tarde!
Estou com dois links de internet:
(bge1) Virtua = 12 megas, IP Dinâmico
(bge2) Ajato = 2 megas, IP fixo
(bge0) Rede interna
A prioridade para uso interno é a bge2, por conta da banda alta.
Apenas para alguns
acessos que exigem autenticação por IP criei rotas via bge1. Pela rede
interna tenho os
dois gateways das duas interfaces acessíveis, mas o gateway default é
o via bge2. O
problema é que externamente, apenas o IP da bge2 (dinâmico) é
acessível. O IP da bge1
(fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
a ser acessível
externamente. Alguém conhece alguma forma de fazer com que ambas as
interfaces sejam
acessíveis externamente?
Aline
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Firewall ? PF ?
Caso seja, basta liberar a porta que quer que seja acessivel na interface
desejada.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Não me parece ser uma questão de portas, uma vez que de fora o IP nem pinga.
Minhas regras no pf.conf:
# Interfaces
EXT_IF1 = "bge1"
EXT_IF2 = "bge2"
INT_IF = "bge0"
VPN_IF = "tun0"
# Redes
LAN_NETWORK = "192.168.0.0/24"
VPN_NETWORK = "10.8.0.0/24"
# Portas publicas (abertas para Internet)
# 4222 = SSH
# 4280 = Apache (HTTP)
# 42443 = Apache (HTTPS)
# 8180 = Tomcat (HTTP)
# 8443 = Tomcat (HTTPS)
# 41194 = OpenVPN
PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }"
# Logar eventos em interface externa
set loginterface $EXT_IF1
set loginterface $EXT_IF2
# Politica padrao de envio de rst em block
set block-policy return
# Ignorando loopback
set skip on lo
# Normalizacao
scrub in all
# NAT de VPN
nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1)
# NAT de LAN
nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1)
nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2)
# Bloqueando toda entrada por padrao
block in
# Saida livre
pass out keep state
# Comunicacao livre com VPN
pass quick on $VPN_IF keep state
# Comunicacao livre com LAN
pass quick on $INT_IF keep state
# Permitiondo acesso a portas publicas
pass in on $EXT_IF1 proto tcp from any to
($EXT_IF1)
port $PUB_PORTS flags S/SA keep state
pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2)
port $PUB_PORTS flags S/SA keep state
# Permitindo Ping
pass in inet proto icmp all icmp-type echoreq keep state
# Faz balanceamento de carga no trafego da rede interna
pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto tcp from
$LAN_NETWORK to any flags S/SA modulate state
pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto { udp,
icmp } from
$LAN_NETWORK to any keep state
# Regras gerais "pass out" para as interfaces externas
pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state
pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state
pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state
pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state
# Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para
# $EXT_IF2 e $EXT_GW2
pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any
pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
Giancarlo, Esquece tudo que falei... lembrei que a algum tempo descobri que o próprio provedor (jetcom) filtrava algumas portas... Abraço, Welkson - Original Message - From: "Giancarlo Rubio" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, August 21, 2008 1:10 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora 2008/8/21 Welkson Renny de Medeiros <[EMAIL PROTECTED]>: > Realmente tem fundamento! > > Alguém sabe como resolver isso? Route-to conforme vc mesmo havia dito acima. Se vc manda um pacote sair pela interface 1 ele terá que retornar pela 1, não faz sentido ele voltar na 2 (se está voltando na 2 existe alguma configuração errada). Eu uso este mesmo cenário que está sendo proposto acima sem problemas. Conforme foi falado não existe no freebsd (até aonde sei) algo como iproute do linux que permite ter mais de 1 gateway default. Sofri mais consegui implementar com o pf o cenário. Tcpdump, como tambem foi recomendado, verifique na outra ponta se o pacote chega pelo link certo, se ele está saindo pelo link certo..bla bla bla.. Estes 2 links do pf devem ser lidos com muita atenção, pois são eles que irão resolver seu problema. http://www.openbsd.org/faq/pf/pools.html#outgoing http://www.openbsd.org/faq/pf/pools.html#incoming -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessível de fora
2008/8/21 Welkson Renny de Medeiros <[EMAIL PROTECTED]>: > Realmente tem fundamento! > > Alguém sabe como resolver isso? Route-to conforme vc mesmo havia dito acima. Se vc manda um pacote sair pela interface 1 ele terá que retornar pela 1, não faz sentido ele voltar na 2 (se está voltando na 2 existe alguma configuração errada). Eu uso este mesmo cenário que está sendo proposto acima sem problemas. Conforme foi falado não existe no freebsd (até aonde sei) algo como iproute do linux que permite ter mais de 1 gateway default. Sofri mais consegui implementar com o pf o cenário. Tcpdump, como tambem foi recomendado, verifique na outra ponta se o pacote chega pelo link certo, se ele está saindo pelo link certo..bla bla bla.. Estes 2 links do pf devem ser lidos com muita atenção, pois são eles que irão resolver seu problema. http://www.openbsd.org/faq/pf/pools.html#outgoing http://www.openbsd.org/faq/pf/pools.html#incoming -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
Realmente tem fundamento!
Alguém sabe como resolver isso?
Welkson
- Original Message -
From: "Lucas Mocellin" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Sent: Thursday, August 21, 2008 12:35 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora
Amigo,
acho que o seu problema eh o seguinte, quando alguma conexão chega pela
bge2, a volta do pacote sai pela bge1, por ser o gateway default.
faca o teste com o tcpdump, rode um tcpdump nas duas interfaces e tente
pingar ou algo assim.
Ja passei por esse problema, mas infelizmente a solucao para freebsd eu
desconheco, hoje trabalho muito mais com linux que gfreebsd.
Se for isso, o que vc precisa fazer eh controlar as rotas mesmo(quem sabe o
colega que falou antes esteja correto sobre o source routing). "Dizer" ao
freebsd que tudo que entra pela bge2, TEM que sair pela bge2.(e nao pelo gw
padrao). Conheco essa implementacao somente para linux.
um abraco
Lucas.
Em 21/08/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]>
escreveu:
>
> Também tenho esse problema...
>
> Tenho um link do velox e outro da jetcom... internamente uso os dois
> (route-to do pf)... mas externo só consigo acessar pelo velox (que é o
> default gateway)... nada funciona pelo ip do jetcom.
>
> Welkson
>
> - Original Message -
> From: "Aline de Freitas" <[EMAIL PROTECTED]>
> To:
> Sent: Thursday, August 21, 2008 11:39 AM
> Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora
>
>
> Citando Giancarlo Rubio <[EMAIL PROTECTED]>:
>
> > 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>:
> >> Citando Gule # <[EMAIL PROTECTED]>:
> >>
> >>> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>
> >>>
> >>>> Boa tarde!
> >>>>
> >>>> Estou com dois links de internet:
> >>>>
> >>>> (bge1) Virtua = 12 megas, IP Dinâmico
> >>>> (bge2) Ajato = 2 megas, IP fixo
> >>>>
> >>>> (bge0) Rede interna
> >>>>
> >>>> A prioridade para uso interno é a bge2, por conta da banda alta.
> >>>> Apenas para alguns
> >>>> acessos que exigem autenticação por IP criei rotas via bge1. Pela
> >>>> rede
> >>>> interna tenho os
> >>>> dois gateways das duas interfaces acessíveis, mas o gateway default é
> >>>> o via bge2. O
> >>>> problema é que externamente, apenas o IP da bge2 (dinâmico) é
> >>>> acessível. O IP da bge1
> >>>> (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
> >>>> a ser acessível
> >>>> externamente. Alguém conhece alguma forma de fazer com que ambas as
> >>>> interfaces sejam
> >>>> acessíveis externamente?
> >>>>
> >>>> Aline
> >>>> -
> >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>
> >>>
> >>> Firewall ? PF ?
> >>> Caso seja, basta liberar a porta que quer que seja acessivel na
> >>> interface
> >>> desejada.
> >>> -
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>
> >>
> >> Não me parece ser uma questão de portas, uma vez que de fora o IP nem
> >> pinga.
> >>
> >> Minhas regras no pf.conf:
> >>
> >> # Interfaces
> >> EXT_IF1 = "bge1"
> >> EXT_IF2 = "bge2"
> >> INT_IF = "bge0"
> >> VPN_IF = "tun0"
> >>
> >> # Redes
> >> LAN_NETWORK = "192.168.0.0/24"
> >> VPN_NETWORK = "10.8.0.0/24"
> >>
> >> # Portas publicas (abertas para Internet)
> >> # 4222 = SSH
> >> # 4280 = Apache (HTTP)
> >> # 42443 = Apache (HTTPS)
> >> # 8180 = Tomcat (HTTP)
> >> # 8443 = Tomcat (HTTPS)
> >> # 41194 = OpenVPN
> >> PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }"
> >>
> >> # Logar eventos em interface externa
> >> set loginterface $EXT_IF1
> >> set loginterface $EXT_IF2
> >>
> >> # Politica padrao de envio de rst em block
> >> set block-policy return
> >>
> >> # Ignorando loopback
> >> set skip on lo
> >>
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
Amigo,
acho que o seu problema eh o seguinte, quando alguma conexão chega pela
bge2, a volta do pacote sai pela bge1, por ser o gateway default.
faca o teste com o tcpdump, rode um tcpdump nas duas interfaces e tente
pingar ou algo assim.
Ja passei por esse problema, mas infelizmente a solucao para freebsd eu
desconheco, hoje trabalho muito mais com linux que gfreebsd.
Se for isso, o que vc precisa fazer eh controlar as rotas mesmo(quem sabe o
colega que falou antes esteja correto sobre o source routing). "Dizer" ao
freebsd que tudo que entra pela bge2, TEM que sair pela bge2.(e nao pelo gw
padrao). Conheco essa implementacao somente para linux.
um abraco
Lucas.
Em 21/08/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]>
escreveu:
>
> Também tenho esse problema...
>
> Tenho um link do velox e outro da jetcom... internamente uso os dois
> (route-to do pf)... mas externo só consigo acessar pelo velox (que é o
> default gateway)... nada funciona pelo ip do jetcom.
>
> Welkson
>
> - Original Message -
> From: "Aline de Freitas" <[EMAIL PROTECTED]>
> To:
> Sent: Thursday, August 21, 2008 11:39 AM
> Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora
>
>
> Citando Giancarlo Rubio <[EMAIL PROTECTED]>:
>
> > 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>:
> >> Citando Gule # <[EMAIL PROTECTED]>:
> >>
> >>> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>
> >>>
> >>>> Boa tarde!
> >>>>
> >>>> Estou com dois links de internet:
> >>>>
> >>>> (bge1) Virtua = 12 megas, IP Dinâmico
> >>>> (bge2) Ajato = 2 megas, IP fixo
> >>>>
> >>>> (bge0) Rede interna
> >>>>
> >>>> A prioridade para uso interno é a bge2, por conta da banda alta.
> >>>> Apenas para alguns
> >>>> acessos que exigem autenticação por IP criei rotas via bge1. Pela rede
> >>>> interna tenho os
> >>>> dois gateways das duas interfaces acessíveis, mas o gateway default é
> >>>> o via bge2. O
> >>>> problema é que externamente, apenas o IP da bge2 (dinâmico) é
> >>>> acessível. O IP da bge1
> >>>> (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
> >>>> a ser acessível
> >>>> externamente. Alguém conhece alguma forma de fazer com que ambas as
> >>>> interfaces sejam
> >>>> acessíveis externamente?
> >>>>
> >>>> Aline
> >>>> -
> >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>
> >>>
> >>> Firewall ? PF ?
> >>> Caso seja, basta liberar a porta que quer que seja acessivel na
> >>> interface
> >>> desejada.
> >>> -
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>
> >>
> >> Não me parece ser uma questão de portas, uma vez que de fora o IP nem
> >> pinga.
> >>
> >> Minhas regras no pf.conf:
> >>
> >> # Interfaces
> >> EXT_IF1 = "bge1"
> >> EXT_IF2 = "bge2"
> >> INT_IF = "bge0"
> >> VPN_IF = "tun0"
> >>
> >> # Redes
> >> LAN_NETWORK = "192.168.0.0/24"
> >> VPN_NETWORK = "10.8.0.0/24"
> >>
> >> # Portas publicas (abertas para Internet)
> >> # 4222 = SSH
> >> # 4280 = Apache (HTTP)
> >> # 42443 = Apache (HTTPS)
> >> # 8180 = Tomcat (HTTP)
> >> # 8443 = Tomcat (HTTPS)
> >> # 41194 = OpenVPN
> >> PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }"
> >>
> >> # Logar eventos em interface externa
> >> set loginterface $EXT_IF1
> >> set loginterface $EXT_IF2
> >>
> >> # Politica padrao de envio de rst em block
> >> set block-policy return
> >>
> >> # Ignorando loopback
> >> set skip on lo
> >>
> >> # Normalizacao
> >> scrub in all
> >>
> >> # NAT de VPN
> >> nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1)
> >>
> >> # NAT de LAN
> >> nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1)
> >> nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2)
> &
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
Também tenho esse problema...
Tenho um link do velox e outro da jetcom... internamente uso os dois
(route-to do pf)... mas externo só consigo acessar pelo velox (que é o
default gateway)... nada funciona pelo ip do jetcom.
Welkson
- Original Message -
From: "Aline de Freitas" <[EMAIL PROTECTED]>
To:
Sent: Thursday, August 21, 2008 11:39 AM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora
Citando Giancarlo Rubio <[EMAIL PROTECTED]>:
> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>:
>> Citando Gule # <[EMAIL PROTECTED]>:
>>
>>> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>
>>>
>>>> Boa tarde!
>>>>
>>>> Estou com dois links de internet:
>>>>
>>>> (bge1) Virtua = 12 megas, IP Dinâmico
>>>> (bge2) Ajato = 2 megas, IP fixo
>>>>
>>>> (bge0) Rede interna
>>>>
>>>> A prioridade para uso interno é a bge2, por conta da banda alta.
>>>> Apenas para alguns
>>>> acessos que exigem autenticação por IP criei rotas via bge1. Pela rede
>>>> interna tenho os
>>>> dois gateways das duas interfaces acessíveis, mas o gateway default é
>>>> o via bge2. O
>>>> problema é que externamente, apenas o IP da bge2 (dinâmico) é
>>>> acessível. O IP da bge1
>>>> (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
>>>> a ser acessível
>>>> externamente. Alguém conhece alguma forma de fazer com que ambas as
>>>> interfaces sejam
>>>> acessíveis externamente?
>>>>
>>>> Aline
>>>> -
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>
>>> Firewall ? PF ?
>>> Caso seja, basta liberar a porta que quer que seja acessivel na
>>> interface
>>> desejada.
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>> Não me parece ser uma questão de portas, uma vez que de fora o IP nem
>> pinga.
>>
>> Minhas regras no pf.conf:
>>
>> # Interfaces
>> EXT_IF1 = "bge1"
>> EXT_IF2 = "bge2"
>> INT_IF = "bge0"
>> VPN_IF = "tun0"
>>
>> # Redes
>> LAN_NETWORK = "192.168.0.0/24"
>> VPN_NETWORK = "10.8.0.0/24"
>>
>> # Portas publicas (abertas para Internet)
>> # 4222 = SSH
>> # 4280 = Apache (HTTP)
>> # 42443 = Apache (HTTPS)
>> # 8180 = Tomcat (HTTP)
>> # 8443 = Tomcat (HTTPS)
>> # 41194 = OpenVPN
>> PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }"
>>
>> # Logar eventos em interface externa
>> set loginterface $EXT_IF1
>> set loginterface $EXT_IF2
>>
>> # Politica padrao de envio de rst em block
>> set block-policy return
>>
>> # Ignorando loopback
>> set skip on lo
>>
>> # Normalizacao
>> scrub in all
>>
>> # NAT de VPN
>> nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1)
>>
>> # NAT de LAN
>> nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1)
>> nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2)
>>
>> # Bloqueando toda entrada por padrao
>> block in
>>
>> # Saida livre
>> pass out keep state
>>
>> # Comunicacao livre com VPN
>> pass quick on $VPN_IF keep state
>>
>> # Comunicacao livre com LAN
>> pass quick on $INT_IF keep state
>>
>> # Permitiondo acesso a portas publicas
>>pass in on $EXT_IF1 proto tcp
>> from any to
>> ($EXT_IF1)
>> port $PUB_PORTS flags S/SA keep state
>> pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2)
>> port $PUB_PORTS flags S/SA keep state
>>
>> # Permitindo Ping
>> pass in inet proto icmp all icmp-type echoreq keep state
>>
>> # Faz balanceamento de carga no trafego da rede interna
>> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin
>> proto tcp from
>> $LAN_NETWORK to any flags S/SA modulate state
>> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto {
>> udp, icmp } from
>> $LAN_NETWORK to any keep state
>>
>> # Regras gerais "pass out" para as interfaces externas
>> pass out on $EXT_IF1 proto tcp from any to any flags S/SA
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
Citando Giancarlo Rubio <[EMAIL PROTECTED]>:
> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>:
>> Citando Gule # <[EMAIL PROTECTED]>:
>>
>>> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>
>>>
Boa tarde!
Estou com dois links de internet:
(bge1) Virtua = 12 megas, IP Dinâmico
(bge2) Ajato = 2 megas, IP fixo
(bge0) Rede interna
A prioridade para uso interno é a bge2, por conta da banda alta.
Apenas para alguns
acessos que exigem autenticação por IP criei rotas via bge1. Pela rede
interna tenho os
dois gateways das duas interfaces acessíveis, mas o gateway default é
o via bge2. O
problema é que externamente, apenas o IP da bge2 (dinâmico) é
acessível. O IP da bge1
(fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
a ser acessível
externamente. Alguém conhece alguma forma de fazer com que ambas as
interfaces sejam
acessíveis externamente?
Aline
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>> Firewall ? PF ?
>>> Caso seja, basta liberar a porta que quer que seja acessivel na interface
>>> desejada.
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>> Não me parece ser uma questão de portas, uma vez que de fora o IP nem pinga.
>>
>> Minhas regras no pf.conf:
>>
>> # Interfaces
>> EXT_IF1 = "bge1"
>> EXT_IF2 = "bge2"
>> INT_IF = "bge0"
>> VPN_IF = "tun0"
>>
>> # Redes
>> LAN_NETWORK = "192.168.0.0/24"
>> VPN_NETWORK = "10.8.0.0/24"
>>
>> # Portas publicas (abertas para Internet)
>> # 4222 = SSH
>> # 4280 = Apache (HTTP)
>> # 42443 = Apache (HTTPS)
>> # 8180 = Tomcat (HTTP)
>> # 8443 = Tomcat (HTTPS)
>> # 41194 = OpenVPN
>> PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }"
>>
>> # Logar eventos em interface externa
>> set loginterface $EXT_IF1
>> set loginterface $EXT_IF2
>>
>> # Politica padrao de envio de rst em block
>> set block-policy return
>>
>> # Ignorando loopback
>> set skip on lo
>>
>> # Normalizacao
>> scrub in all
>>
>> # NAT de VPN
>> nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1)
>>
>> # NAT de LAN
>> nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1)
>> nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2)
>>
>> # Bloqueando toda entrada por padrao
>> block in
>>
>> # Saida livre
>> pass out keep state
>>
>> # Comunicacao livre com VPN
>> pass quick on $VPN_IF keep state
>>
>> # Comunicacao livre com LAN
>> pass quick on $INT_IF keep state
>>
>> # Permitiondo acesso a portas publicas
>>pass in on $EXT_IF1 proto tcp
>> from any to
>> ($EXT_IF1)
>> port $PUB_PORTS flags S/SA keep state
>> pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2)
>> port $PUB_PORTS flags S/SA keep state
>>
>> # Permitindo Ping
>> pass in inet proto icmp all icmp-type echoreq keep state
>>
>> # Faz balanceamento de carga no trafego da rede interna
>> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin
>> proto tcp from
>> $LAN_NETWORK to any flags S/SA modulate state
>> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto {
>> udp, icmp } from
>> $LAN_NETWORK to any keep state
>>
>> # Regras gerais "pass out" para as interfaces externas
>> pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state
>> pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state
>> pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state
>> pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state
>>
>> # Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para
>> # $EXT_IF2 e $EXT_GW2
>> pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any
>> pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
> O que seu pflog diz quando é bloqueado o ping por exemplo?
>
> --
> Giancarlo Rubio
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Eu ainda não estou certa de que seja uma questão de firewall. Não se
trata de bloqueio de pings, no meu entender, mas de invisibilidade
total do IP por fora (100% packet loss)
Digamos que
ip_bge1 = aaa.aaa.aaa.aaa
ip_bge2 = bbb.bbb.bbb.bbb
gw_bge1 = xxx.xxx.xxx.xxx
gw_bge2 = yyy.yyy.yyy.yyy
Como minha prioridade é pela bge2 eu tenho o gateway yyy.yyy.yyy.yyy
como default na
tabela de rotas (netstat -rn)
Se eu fizer
route change default yyy.yyy.yyy.yyy
então de fora eu pingo e acesso os serviços pelas portas externas via
$ip_bge1 mas não
pingo $ip_bge2, e vice-versa. Não existiria uma forma de sol
Re: [FUG-BR] Dois links de internet, um inacessível de fora
2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>:
> Citando Gule # <[EMAIL PROTECTED]>:
>
>> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>
>>
>>> Boa tarde!
>>>
>>> Estou com dois links de internet:
>>>
>>> (bge1) Virtua = 12 megas, IP Dinâmico
>>> (bge2) Ajato = 2 megas, IP fixo
>>>
>>> (bge0) Rede interna
>>>
>>> A prioridade para uso interno é a bge2, por conta da banda alta.
>>> Apenas para alguns
>>> acessos que exigem autenticação por IP criei rotas via bge1. Pela rede
>>> interna tenho os
>>> dois gateways das duas interfaces acessíveis, mas o gateway default é
>>> o via bge2. O
>>> problema é que externamente, apenas o IP da bge2 (dinâmico) é
>>> acessível. O IP da bge1
>>> (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
>>> a ser acessível
>>> externamente. Alguém conhece alguma forma de fazer com que ambas as
>>> interfaces sejam
>>> acessíveis externamente?
>>>
>>> Aline
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>> Firewall ? PF ?
>> Caso seja, basta liberar a porta que quer que seja acessivel na interface
>> desejada.
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
> Não me parece ser uma questão de portas, uma vez que de fora o IP nem pinga.
>
> Minhas regras no pf.conf:
>
> # Interfaces
> EXT_IF1 = "bge1"
> EXT_IF2 = "bge2"
> INT_IF = "bge0"
> VPN_IF = "tun0"
>
> # Redes
> LAN_NETWORK = "192.168.0.0/24"
> VPN_NETWORK = "10.8.0.0/24"
>
> # Portas publicas (abertas para Internet)
> # 4222 = SSH
> # 4280 = Apache (HTTP)
> # 42443 = Apache (HTTPS)
> # 8180 = Tomcat (HTTP)
> # 8443 = Tomcat (HTTPS)
> # 41194 = OpenVPN
> PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }"
>
> # Logar eventos em interface externa
> set loginterface $EXT_IF1
> set loginterface $EXT_IF2
>
> # Politica padrao de envio de rst em block
> set block-policy return
>
> # Ignorando loopback
> set skip on lo
>
> # Normalizacao
> scrub in all
>
> # NAT de VPN
> nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1)
>
> # NAT de LAN
> nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1)
> nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2)
>
> # Bloqueando toda entrada por padrao
> block in
>
> # Saida livre
> pass out keep state
>
> # Comunicacao livre com VPN
> pass quick on $VPN_IF keep state
>
> # Comunicacao livre com LAN
> pass quick on $INT_IF keep state
>
> # Permitiondo acesso a portas publicas
>pass in on $EXT_IF1 proto tcp
> from any to
> ($EXT_IF1)
> port $PUB_PORTS flags S/SA keep state
> pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2)
> port $PUB_PORTS flags S/SA keep state
>
> # Permitindo Ping
> pass in inet proto icmp all icmp-type echoreq keep state
>
> # Faz balanceamento de carga no trafego da rede interna
> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto tcp from
> $LAN_NETWORK to any flags S/SA modulate state
> pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto {
> udp, icmp } from
> $LAN_NETWORK to any keep state
>
> # Regras gerais "pass out" para as interfaces externas
> pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state
> pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state
> pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state
> pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state
>
> # Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para
> # $EXT_IF2 e $EXT_GW2
> pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any
> pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
O que seu pflog diz quando é bloqueado o ping por exemplo?
--
Giancarlo Rubio
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
Citando Gule # <[EMAIL PROTECTED]>:
> 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]>
>
>> Boa tarde!
>>
>> Estou com dois links de internet:
>>
>> (bge1) Virtua = 12 megas, IP Dinâmico
>> (bge2) Ajato = 2 megas, IP fixo
>>
>> (bge0) Rede interna
>>
>> A prioridade para uso interno é a bge2, por conta da banda alta.
>> Apenas para alguns
>> acessos que exigem autenticação por IP criei rotas via bge1. Pela rede
>> interna tenho os
>> dois gateways das duas interfaces acessíveis, mas o gateway default é
>> o via bge2. O
>> problema é que externamente, apenas o IP da bge2 (dinâmico) é
>> acessível. O IP da bge1
>> (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
>> a ser acessível
>> externamente. Alguém conhece alguma forma de fazer com que ambas as
>> interfaces sejam
>> acessíveis externamente?
>>
>> Aline
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
> Firewall ? PF ?
> Caso seja, basta liberar a porta que quer que seja acessivel na interface
> desejada.
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Não me parece ser uma questão de portas, uma vez que de fora o IP nem pinga.
Minhas regras no pf.conf:
# Interfaces
EXT_IF1 = "bge1"
EXT_IF2 = "bge2"
INT_IF = "bge0"
VPN_IF = "tun0"
# Redes
LAN_NETWORK = "192.168.0.0/24"
VPN_NETWORK = "10.8.0.0/24"
# Portas publicas (abertas para Internet)
# 4222 = SSH
# 4280 = Apache (HTTP)
# 42443 = Apache (HTTPS)
# 8180 = Tomcat (HTTP)
# 8443 = Tomcat (HTTPS)
# 41194 = OpenVPN
PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }"
# Logar eventos em interface externa
set loginterface $EXT_IF1
set loginterface $EXT_IF2
# Politica padrao de envio de rst em block
set block-policy return
# Ignorando loopback
set skip on lo
# Normalizacao
scrub in all
# NAT de VPN
nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1)
# NAT de LAN
nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1)
nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2)
# Bloqueando toda entrada por padrao
block in
# Saida livre
pass out keep state
# Comunicacao livre com VPN
pass quick on $VPN_IF keep state
# Comunicacao livre com LAN
pass quick on $INT_IF keep state
# Permitiondo acesso a portas publicas
pass in on $EXT_IF1 proto tcp
from any to
($EXT_IF1)
port $PUB_PORTS flags S/SA keep state
pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2)
port $PUB_PORTS flags S/SA keep state
# Permitindo Ping
pass in inet proto icmp all icmp-type echoreq keep state
# Faz balanceamento de carga no trafego da rede interna
pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto tcp from
$LAN_NETWORK to any flags S/SA modulate state
pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto {
udp, icmp } from
$LAN_NETWORK to any keep state
# Regras gerais "pass out" para as interfaces externas
pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state
pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state
pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state
pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state
# Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para
# $EXT_IF2 e $EXT_GW2
pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any
pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
> > > > A prioridade para uso interno é a bge2, por conta da banda alta. > > Apenas para alguns > > acessos que exigem autenticação por IP criei rotas via bge1. Pela rede > > interna tenho os > > dois gateways das duas interfaces acessíveis, mas o gateway default é > > o via bge2. O > > problema é que externamente, apenas o IP da bge2 (dinâmico) é > > acessível. O IP da bge1 > > (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa > > a ser acessível > > externamente. Alguém conhece alguma forma de fazer com que ambas as > > interfaces sejam > > acessíveis externamente? > Vc precisa fazer source routing pra conseguir isso, utilizando pf: route-to The route-to option routes the packet to the specified interface with an optional address for the next hop. When a route-to rule creates state, only packets that pass in the same direction as the filter rule specifies will be routed in this way. Packets passing in the opposite direction (replies) are not affected and are routed normally. Vc poderia fazer via OSPF utilizando zebra ou quagga, mas acho que seria mais difícil que a solução de source routing. -- []´s Helio Loureiro - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora
2008/8/20 Aline de Freitas <[EMAIL PROTECTED]> > Boa tarde! > > Estou com dois links de internet: > > (bge1) Virtua = 12 megas, IP Dinâmico > (bge2) Ajato = 2 megas, IP fixo > > (bge0) Rede interna > > A prioridade para uso interno é a bge2, por conta da banda alta. > Apenas para alguns > acessos que exigem autenticação por IP criei rotas via bge1. Pela rede > interna tenho os > dois gateways das duas interfaces acessíveis, mas o gateway default é > o via bge2. O > problema é que externamente, apenas o IP da bge2 (dinâmico) é > acessível. O IP da bge1 > (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa > a ser acessível > externamente. Alguém conhece alguma forma de fazer com que ambas as > interfaces sejam > acessíveis externamente? > > Aline > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Firewall ? PF ? Caso seja, basta liberar a porta que quer que seja acessivel na interface desejada. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de entrada
On 10/19/06, Rafael Aquino <[EMAIL PROTECTED]> wrote: > Para fazer isso, coloquei nas últimas linhas do pf as duas últimas > linhas deste exemplo. Olá Rafael, valeu pela resposta rápida, mas... > .. > .. > gw1_if="xl0" > gw2_if="xl1" > gw1_addr="200.xx.xx.121" > gw1_gw="200.xx.xx.120" > gw2_addr="201.xx.xx.145" > gw2_gw="201.xx.xx.144" > .. > .. > pass out quick on $gw1_if route-to ($gw1_if $gw1_gw) from $gw2_if to any keep > state > pass out quick on $gw2_if route-to ($gw2_if $gw2_gw) from $gw1_if to any keep > state no caso não seria invertido o que está 'entre parenteses'? pass out quick on $gw1_if route-to ($gw2_if $gw2_gw) from $gw2_if to any keep state pass out quick on $gw2_if route-to ($gw1_if $gw1_gw) from $gw1_if to any keep state > Maiores informações (em português, barbada) em: > http://www.openbsd.org/faq/pf/pt/pools.html Então, foi exatamente neste site que me baseei para 'traduzir' a regra do ipfw para o pf, mas ainda não consegui funcionar > > []´s Mais alguém pode tentar dar uma luz? Tem alguém aqui que tem isso implantado em pf? Valeu, pessoal! > -- > Rafael Mentz Aquino > BSDServer Ltda. > 51 - 9847 8825 > 51 - 9725 4311 > > -- Original Message ------- > From: "Marcelo/Porks" <[EMAIL PROTECTED]> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Sent: Thu, 19 Oct 2006 10:30:55 -0300 > Subject: Re: [FUG-BR] Dois links de entrada > > > Estou Ressucitando esse tópico... > > > > A situação é a seguinte, existe dois provedores > > xl0: 200.200.200.10/255.255.255.192 e GW 200.200.200.1 --> link 1 > > xl1: 201.201.201.35/255.255.255.224 GW 201.201.201.33 --> link 2 > > Default gateway: 200.200.200.1 > > > > Desse modo.. se alguém na internet tentar conectar por ssh no ip > > 200.200.200.10 vai ser possível. > > Agora se tentar conectar pelo ip 201.201.201.35 não vai ser possível > > (por causa do default route... o firewall vai responder pelo ip > > 200.200.200.10, ao invés de responder pelo 201.201.201.35) > > > > Bem... o Ari Arantes (nosso colega de lista) disse que para ele > > funciona a conexão por ssh (ou qualquer outra conexão entrante) nos > > dois ips, pois ele adicionou essa regra no ipfw: > > > > ipfw add fwd 201.201.201.33 all from 201.201.201.35 to not 201.201.201.35 > > > > Eu tentei 'traduzir' isso para o PF... mas não funcionou... Minha > > pergunta é: Alguém pode me dizer se eu 'traduzi' corretamente? pass > > out on xl0 route-to (201.201.201.35 201.201.201.33) from > > 201.201.201.35 to any > > > > Alguma luz? Alguem para doar uns cents para mim? > > > > Obrigado! > > > > On 10/11/06, Marcelo/Porks <[EMAIL PROTECTED]> wrote: > > > uhmm! > > > > > > Vou tentar 'traduzir' isso pro pf e ver o que dá... > > > > > > Valeu pela ajuda! : ) > > > > > > On 10/10/06, Ari Arantes <[EMAIL PROTECTED]> wrote: > > > > Veja o exemplo prático: > > > > > > > > sis0: 192.168.0.1 > > > > xl0: 200.200.200.10/255.255.255.192 --> link 1 > > > > xl1: 201.201.201.35/255.255.255.224 --> link 2 > > > > Default gateway: 200.200.200.1 > > > > > > > > Coloque essa regra no ipfw: > > > > ipfw add fwd 201.201.201.33 all from 201.201.201.35 to not > 201.201.201.35 > > > > > > > > > > > > Tem que ter o FWD habilitado no kernel. > > > > > > > > []s, > > > > > > > > Ari > > > > > > > > > > > > > > > > Em 10/10/06, Jean Duarte<[EMAIL PROTECTED]> escreveu: > > > > > Amigos, > > > > > > > > > > Aqui eu tb. tenho dois Links. > > > > > A = ADSL Ip Fixo > > > > > B = Frame Relay > > > > > > > > > > 1 - Liguei cada link e uma maquina separada > > > > > 2 - Interliguei as maquinas com uma rede 10.0.0.0 > > > > > 3 - No DNS criei um nome www e www2 para IP entrante. > > > > > 4 - Usando rinetd retirecionei o pacote da porta 80 da Maquina A para > B > > > > > internamente. > > > > > > > > > > A maquina B é que tem o serviço WWW instalado. > > > > > > > > > > Assim o usuário escolhe em qual entrar e sempre vai cair no mesmo > lugar. > > > > > > > > > > Agora uma coisa que não sei, pois ta
Re: [FUG-BR] Dois links de entrada
Para fazer isso, coloquei nas últimas linhas do pf as duas últimas linhas deste exemplo. .. .. gw1_if="xl0" gw2_if="xl1" gw1_addr="200.xx.xx.121" gw1_gw="200.xx.xx.120" gw2_addr="201.xx.xx.145" gw2_gw="201.xx.xx.144" .. .. pass out quick on $gw1_if route-to ($gw1_if $gw1_gw) from $gw2_if to any keep state pass out quick on $gw2_if route-to ($gw2_if $gw2_gw) from $gw1_if to any keep state Maiores informações (em português, barbada) em: http://www.openbsd.org/faq/pf/pt/pools.html []´s -- Rafael Mentz Aquino BSDServer Ltda. 51 - 9847 8825 51 - 9725 4311 -- Original Message --- From: "Marcelo/Porks" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thu, 19 Oct 2006 10:30:55 -0300 Subject: Re: [FUG-BR] Dois links de entrada > Estou Ressucitando esse tópico... > > A situação é a seguinte, existe dois provedores > xl0: 200.200.200.10/255.255.255.192 e GW 200.200.200.1 --> link 1 > xl1: 201.201.201.35/255.255.255.224 GW 201.201.201.33 --> link 2 > Default gateway: 200.200.200.1 > > Desse modo.. se alguém na internet tentar conectar por ssh no ip > 200.200.200.10 vai ser possível. > Agora se tentar conectar pelo ip 201.201.201.35 não vai ser possível > (por causa do default route... o firewall vai responder pelo ip > 200.200.200.10, ao invés de responder pelo 201.201.201.35) > > Bem... o Ari Arantes (nosso colega de lista) disse que para ele > funciona a conexão por ssh (ou qualquer outra conexão entrante) nos > dois ips, pois ele adicionou essa regra no ipfw: > > ipfw add fwd 201.201.201.33 all from 201.201.201.35 to not 201.201.201.35 > > Eu tentei 'traduzir' isso para o PF... mas não funcionou... Minha > pergunta é: Alguém pode me dizer se eu 'traduzi' corretamente? pass > out on xl0 route-to (201.201.201.35 201.201.201.33) from > 201.201.201.35 to any > > Alguma luz? Alguem para doar uns cents para mim? > > Obrigado! > > On 10/11/06, Marcelo/Porks <[EMAIL PROTECTED]> wrote: > > uhmm! > > > > Vou tentar 'traduzir' isso pro pf e ver o que dá... > > > > Valeu pela ajuda! : ) > > > > On 10/10/06, Ari Arantes <[EMAIL PROTECTED]> wrote: > > > Veja o exemplo prático: > > > > > > sis0: 192.168.0.1 > > > xl0: 200.200.200.10/255.255.255.192 --> link 1 > > > xl1: 201.201.201.35/255.255.255.224 --> link 2 > > > Default gateway: 200.200.200.1 > > > > > > Coloque essa regra no ipfw: > > > ipfw add fwd 201.201.201.33 all from 201.201.201.35 to not 201.201.201.35 > > > > > > > > > Tem que ter o FWD habilitado no kernel. > > > > > > []s, > > > > > > Ari > > > > > > > > > > > > Em 10/10/06, Jean Duarte<[EMAIL PROTECTED]> escreveu: > > > > Amigos, > > > > > > > > Aqui eu tb. tenho dois Links. > > > > A = ADSL Ip Fixo > > > > B = Frame Relay > > > > > > > > 1 - Liguei cada link e uma maquina separada > > > > 2 - Interliguei as maquinas com uma rede 10.0.0.0 > > > > 3 - No DNS criei um nome www e www2 para IP entrante. > > > > 4 - Usando rinetd retirecionei o pacote da porta 80 da Maquina A para B > > > > internamente. > > > > > > > > A maquina B é que tem o serviço WWW instalado. > > > > > > > > Assim o usuário escolhe em qual entrar e sempre vai cair no mesmo lugar. > > > > > > > > Agora uma coisa que não sei, pois também não pesquisei isso. É se tem como > > > > fazer essa entrada funcionar de forma dinâmica? > > > > > > > > Eu já li alguma coisa que com IPFW FWD da para redirecionar o trafego para a > > > > rota correta, mas nunca fiz isso com apenas uma maquina. > > > > > > > > SDS > > > > Jean > > > > > > > > > > > > > > > > - Original Message - > > > > From: "Marcelo/Porks" <[EMAIL PROTECTED]> > > > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > > > > > > > Sent: Tuesday, October 10, 2006 12:46 PM > > > > Subject: Re: [FUG-BR] Dois links de entrada > > > > > > > > > > > > Ari, > > > > > > > > Desculpa mas eu não pesquei o que você falou: "redirecionar para o > > > > provedor B ***todo IP do provedor B***" > > > > > > > > Como você identifica os IPs do
Re: [FUG-BR] Dois links de entrada
Estou Ressucitando esse tópico... A situação é a seguinte, existe dois provedores xl0: 200.200.200.10/255.255.255.192 e GW 200.200.200.1 --> link 1 xl1: 201.201.201.35/255.255.255.224 GW 201.201.201.33 --> link 2 Default gateway: 200.200.200.1 Desse modo.. se alguém na internet tentar conectar por ssh no ip 200.200.200.10 vai ser possível. Agora se tentar conectar pelo ip 201.201.201.35 não vai ser possível (por causa do default route... o firewall vai responder pelo ip 200.200.200.10, ao invés de responder pelo 201.201.201.35) Bem... o Ari Arantes (nosso colega de lista) disse que para ele funciona a conexão por ssh (ou qualquer outra conexão entrante) nos dois ips, pois ele adicionou essa regra no ipfw: ipfw add fwd 201.201.201.33 all from 201.201.201.35 to not 201.201.201.35 Eu tentei 'traduzir' isso para o PF... mas não funcionou... Minha pergunta é: Alguém pode me dizer se eu 'traduzi' corretamente? pass out on xl0 route-to (201.201.201.35 201.201.201.33) from 201.201.201.35 to any Alguma luz? Alguem para doar uns cents para mim? Obrigado! On 10/11/06, Marcelo/Porks <[EMAIL PROTECTED]> wrote: > uhmm! > > Vou tentar 'traduzir' isso pro pf e ver o que dá... > > Valeu pela ajuda! : ) > > On 10/10/06, Ari Arantes <[EMAIL PROTECTED]> wrote: > > Veja o exemplo prático: > > > > sis0: 192.168.0.1 > > xl0: 200.200.200.10/255.255.255.192 --> link 1 > > xl1: 201.201.201.35/255.255.255.224 --> link 2 > > Default gateway: 200.200.200.1 > > > > Coloque essa regra no ipfw: > > ipfw add fwd 201.201.201.33 all from 201.201.201.35 to not 201.201.201.35 > > > > > > Tem que ter o FWD habilitado no kernel. > > > > []s, > > > > Ari > > > > > > > > Em 10/10/06, Jean Duarte<[EMAIL PROTECTED]> escreveu: > > > Amigos, > > > > > > Aqui eu tb. tenho dois Links. > > > A = ADSL Ip Fixo > > > B = Frame Relay > > > > > > 1 - Liguei cada link e uma maquina separada > > > 2 - Interliguei as maquinas com uma rede 10.0.0.0 > > > 3 - No DNS criei um nome www e www2 para IP entrante. > > > 4 - Usando rinetd retirecionei o pacote da porta 80 da Maquina A para B > > > internamente. > > > > > > A maquina B é que tem o serviço WWW instalado. > > > > > > Assim o usuário escolhe em qual entrar e sempre vai cair no mesmo lugar. > > > > > > Agora uma coisa que não sei, pois também não pesquisei isso. É se tem como > > > fazer essa entrada funcionar de forma dinâmica? > > > > > > Eu já li alguma coisa que com IPFW FWD da para redirecionar o trafego > > > para a > > > rota correta, mas nunca fiz isso com apenas uma maquina. > > > > > > SDS > > > Jean > > > > > > > > > > > > - Original Message - > > > From: "Marcelo/Porks" <[EMAIL PROTECTED]> > > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > > > > > Sent: Tuesday, October 10, 2006 12:46 PM > > > Subject: Re: [FUG-BR] Dois links de entrada > > > > > > > > > Ari, > > > > > > Desculpa mas eu não pesquei o que você falou: "redirecionar para o > > > provedor B ***todo IP do provedor B***" > > > > > > Como você identifica os IPs do provedor B? > > > > > > O que eu quero fazer é que o fulano (com o IP 200.200.200.200) possa > > > se conectar tanto pelo ip do provedor A quando pelo IP do provedor B > > > no meu firewall. No caso o fulano só consegue se conectar com o IP do > > > provedor A do meu firewall, pois no firewall está o provedor A no > > > default route. > > > > > > Obrigado... > > > > > > On 10/10/06, Ari Arantes <[EMAIL PROTECTED]> wrote: > > > > Eu tenho 2 links funcionando para tráfego entrante, só que uso somente > > > > o ipfw. Você tem que redirecionar todo o tráfego (ipfw fwd) para o > > > > roteador do provedor B todo do IP do provedor B. > > > > > > > > []s, > > > > > > > > Ari > > > > > > > > 2006/10/7, Marcelo/Porks <[EMAIL PROTECTED]>: > > > > > Pessoal, boa noite. > > > > > > > > > > Seguinte. Eu tenho dois links aqui. para fazer a saída de determinados > > > > > ips da minha rede interna pelo link do provedor A e outros ips da > > > > > minha rede interna sair pelo link do provedor B... eu sei fazer.. > > > > > certinho
Re: [FUG-BR] Dois links de entrada
uhmm! Vou tentar 'traduzir' isso pro pf e ver o que dá... Valeu pela ajuda! : ) On 10/10/06, Ari Arantes <[EMAIL PROTECTED]> wrote: > Veja o exemplo prático: > > sis0: 192.168.0.1 > xl0: 200.200.200.10/255.255.255.192 --> link 1 > xl1: 201.201.201.35/255.255.255.224 --> link 2 > Default gateway: 200.200.200.1 > > Coloque essa regra no ipfw: > ipfw add fwd 201.201.201.33 all from 201.201.201.35 to not 201.201.201.35 > > > Tem que ter o FWD habilitado no kernel. > > []s, > > Ari > > > > Em 10/10/06, Jean Duarte<[EMAIL PROTECTED]> escreveu: > > Amigos, > > > > Aqui eu tb. tenho dois Links. > > A = ADSL Ip Fixo > > B = Frame Relay > > > > 1 - Liguei cada link e uma maquina separada > > 2 - Interliguei as maquinas com uma rede 10.0.0.0 > > 3 - No DNS criei um nome www e www2 para IP entrante. > > 4 - Usando rinetd retirecionei o pacote da porta 80 da Maquina A para B > > internamente. > > > > A maquina B é que tem o serviço WWW instalado. > > > > Assim o usuário escolhe em qual entrar e sempre vai cair no mesmo lugar. > > > > Agora uma coisa que não sei, pois também não pesquisei isso. É se tem como > > fazer essa entrada funcionar de forma dinâmica? > > > > Eu já li alguma coisa que com IPFW FWD da para redirecionar o trafego para a > > rota correta, mas nunca fiz isso com apenas uma maquina. > > > > SDS > > Jean > > > > > > > > - Original Message - > > From: "Marcelo/Porks" <[EMAIL PROTECTED]> > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > > > Sent: Tuesday, October 10, 2006 12:46 PM > > Subject: Re: [FUG-BR] Dois links de entrada > > > > > > Ari, > > > > Desculpa mas eu não pesquei o que você falou: "redirecionar para o > > provedor B ***todo IP do provedor B***" > > > > Como você identifica os IPs do provedor B? > > > > O que eu quero fazer é que o fulano (com o IP 200.200.200.200) possa > > se conectar tanto pelo ip do provedor A quando pelo IP do provedor B > > no meu firewall. No caso o fulano só consegue se conectar com o IP do > > provedor A do meu firewall, pois no firewall está o provedor A no > > default route. > > > > Obrigado... > > > > On 10/10/06, Ari Arantes <[EMAIL PROTECTED]> wrote: > > > Eu tenho 2 links funcionando para tráfego entrante, só que uso somente > > > o ipfw. Você tem que redirecionar todo o tráfego (ipfw fwd) para o > > > roteador do provedor B todo do IP do provedor B. > > > > > > []s, > > > > > > Ari > > > > > > 2006/10/7, Marcelo/Porks <[EMAIL PROTECTED]>: > > > > Pessoal, boa noite. > > > > > > > > Seguinte. Eu tenho dois links aqui. para fazer a saída de determinados > > > > ips da minha rede interna pelo link do provedor A e outros ips da > > > > minha rede interna sair pelo link do provedor B... eu sei fazer.. > > > > certinho usando o pf. > > > > > > > > Bem, o que não sei é como posso usar esses dois ips para ENTRAR no meu > > > > FIREWALL. Pois pelo o que entendi o único ip que eu consigo usar para > > > > acessar o meu firewall é o ip do provedor que está no "route default". > > > > > > > > Se eu ponho o provedor A no route default eu consigo entrar (por ssh, > > > > por exemplo) no firewall pelo ip do provedor A, mas não consigo com o > > > > ip do provedor B > > > > > > > > Se eu ponho o provedor B no route default eu consigo entrar (por ssh, > > > > por exemplo) no firewall pelo ip do provedor B, mas não consigo com o > > > > ip do provedor A. > > > > > > > > Se fosse para acessar uma máquina da rede interna era só eu > > > > redirecionar o ip do provedor A ou B para ela. Isso eu consigo. > > > > > > > > O meu problema é conseguir acessar o firewall (que recebe os dois > > > > links). > > > > > > > > Alguém tem alguma luz para me dar? > > > > > > > > Valeu, pessoas. > > > > > > > > -- > > > > Marcelo Rossi > > > > - > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > - > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > -- > > Marcelo Rossi > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > -- > > No virus found in this incoming message. > > Checked by AVG Free Edition. > > Version: 7.1.408 / Virus Database: 268.13.1/469 - Release Date: 9/10/2006 > > > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Marcelo Rossi - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de entrada
Veja o exemplo prático: sis0: 192.168.0.1 xl0: 200.200.200.10/255.255.255.192 --> link 1 xl1: 201.201.201.35/255.255.255.224 --> link 2 Default gateway: 200.200.200.1 Coloque essa regra no ipfw: ipfw add fwd 201.201.201.33 all from 201.201.201.35 to not 201.201.201.35 Tem que ter o FWD habilitado no kernel. []s, Ari Em 10/10/06, Jean Duarte<[EMAIL PROTECTED]> escreveu: > Amigos, > > Aqui eu tb. tenho dois Links. > A = ADSL Ip Fixo > B = Frame Relay > > 1 - Liguei cada link e uma maquina separada > 2 - Interliguei as maquinas com uma rede 10.0.0.0 > 3 - No DNS criei um nome www e www2 para IP entrante. > 4 - Usando rinetd retirecionei o pacote da porta 80 da Maquina A para B > internamente. > > A maquina B é que tem o serviço WWW instalado. > > Assim o usuário escolhe em qual entrar e sempre vai cair no mesmo lugar. > > Agora uma coisa que não sei, pois também não pesquisei isso. É se tem como > fazer essa entrada funcionar de forma dinâmica? > > Eu já li alguma coisa que com IPFW FWD da para redirecionar o trafego para a > rota correta, mas nunca fiz isso com apenas uma maquina. > > SDS > Jean > > > > - Original Message - > From: "Marcelo/Porks" <[EMAIL PROTECTED]> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Sent: Tuesday, October 10, 2006 12:46 PM > Subject: Re: [FUG-BR] Dois links de entrada > > > Ari, > > Desculpa mas eu não pesquei o que você falou: "redirecionar para o > provedor B ***todo IP do provedor B***" > > Como você identifica os IPs do provedor B? > > O que eu quero fazer é que o fulano (com o IP 200.200.200.200) possa > se conectar tanto pelo ip do provedor A quando pelo IP do provedor B > no meu firewall. No caso o fulano só consegue se conectar com o IP do > provedor A do meu firewall, pois no firewall está o provedor A no > default route. > > Obrigado... > > On 10/10/06, Ari Arantes <[EMAIL PROTECTED]> wrote: > > Eu tenho 2 links funcionando para tráfego entrante, só que uso somente > > o ipfw. Você tem que redirecionar todo o tráfego (ipfw fwd) para o > > roteador do provedor B todo do IP do provedor B. > > > > []s, > > > > Ari > > > > 2006/10/7, Marcelo/Porks <[EMAIL PROTECTED]>: > > > Pessoal, boa noite. > > > > > > Seguinte. Eu tenho dois links aqui. para fazer a saída de determinados > > > ips da minha rede interna pelo link do provedor A e outros ips da > > > minha rede interna sair pelo link do provedor B... eu sei fazer.. > > > certinho usando o pf. > > > > > > Bem, o que não sei é como posso usar esses dois ips para ENTRAR no meu > > > FIREWALL. Pois pelo o que entendi o único ip que eu consigo usar para > > > acessar o meu firewall é o ip do provedor que está no "route default". > > > > > > Se eu ponho o provedor A no route default eu consigo entrar (por ssh, > > > por exemplo) no firewall pelo ip do provedor A, mas não consigo com o > > > ip do provedor B > > > > > > Se eu ponho o provedor B no route default eu consigo entrar (por ssh, > > > por exemplo) no firewall pelo ip do provedor B, mas não consigo com o > > > ip do provedor A. > > > > > > Se fosse para acessar uma máquina da rede interna era só eu > > > redirecionar o ip do provedor A ou B para ela. Isso eu consigo. > > > > > > O meu problema é conseguir acessar o firewall (que recebe os dois > > > links). > > > > > > Alguém tem alguma luz para me dar? > > > > > > Valeu, pessoas. > > > > > > -- > > > Marcelo Rossi > > > - > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > -- > Marcelo Rossi > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > -- > No virus found in this incoming message. > Checked by AVG Free Edition. > Version: 7.1.408 / Virus Database: 268.13.1/469 - Release Date: 9/10/2006 > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de entrada
Amigos, Aqui eu tb. tenho dois Links. A = ADSL Ip Fixo B = Frame Relay 1 - Liguei cada link e uma maquina separada 2 - Interliguei as maquinas com uma rede 10.0.0.0 3 - No DNS criei um nome www e www2 para IP entrante. 4 - Usando rinetd retirecionei o pacote da porta 80 da Maquina A para B internamente. A maquina B é que tem o serviço WWW instalado. Assim o usuário escolhe em qual entrar e sempre vai cair no mesmo lugar. Agora uma coisa que não sei, pois também não pesquisei isso. É se tem como fazer essa entrada funcionar de forma dinâmica? Eu já li alguma coisa que com IPFW FWD da para redirecionar o trafego para a rota correta, mas nunca fiz isso com apenas uma maquina. SDS Jean - Original Message - From: "Marcelo/Porks" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, October 10, 2006 12:46 PM Subject: Re: [FUG-BR] Dois links de entrada Ari, Desculpa mas eu não pesquei o que você falou: "redirecionar para o provedor B ***todo IP do provedor B***" Como você identifica os IPs do provedor B? O que eu quero fazer é que o fulano (com o IP 200.200.200.200) possa se conectar tanto pelo ip do provedor A quando pelo IP do provedor B no meu firewall. No caso o fulano só consegue se conectar com o IP do provedor A do meu firewall, pois no firewall está o provedor A no default route. Obrigado... On 10/10/06, Ari Arantes <[EMAIL PROTECTED]> wrote: > Eu tenho 2 links funcionando para tráfego entrante, só que uso somente > o ipfw. Você tem que redirecionar todo o tráfego (ipfw fwd) para o > roteador do provedor B todo do IP do provedor B. > > []s, > > Ari > > 2006/10/7, Marcelo/Porks <[EMAIL PROTECTED]>: > > Pessoal, boa noite. > > > > Seguinte. Eu tenho dois links aqui. para fazer a saída de determinados > > ips da minha rede interna pelo link do provedor A e outros ips da > > minha rede interna sair pelo link do provedor B... eu sei fazer.. > > certinho usando o pf. > > > > Bem, o que não sei é como posso usar esses dois ips para ENTRAR no meu > > FIREWALL. Pois pelo o que entendi o único ip que eu consigo usar para > > acessar o meu firewall é o ip do provedor que está no "route default". > > > > Se eu ponho o provedor A no route default eu consigo entrar (por ssh, > > por exemplo) no firewall pelo ip do provedor A, mas não consigo com o > > ip do provedor B > > > > Se eu ponho o provedor B no route default eu consigo entrar (por ssh, > > por exemplo) no firewall pelo ip do provedor B, mas não consigo com o > > ip do provedor A. > > > > Se fosse para acessar uma máquina da rede interna era só eu > > redirecionar o ip do provedor A ou B para ela. Isso eu consigo. > > > > O meu problema é conseguir acessar o firewall (que recebe os dois > > links). > > > > Alguém tem alguma luz para me dar? > > > > Valeu, pessoas. > > > > -- > > Marcelo Rossi > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Marcelo Rossi - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- No virus found in this incoming message. Checked by AVG Free Edition. Version: 7.1.408 / Virus Database: 268.13.1/469 - Release Date: 9/10/2006 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de entrada
Ari, Desculpa mas eu não pesquei o que você falou: "redirecionar para o provedor B ***todo IP do provedor B***" Como você identifica os IPs do provedor B? O que eu quero fazer é que o fulano (com o IP 200.200.200.200) possa se conectar tanto pelo ip do provedor A quando pelo IP do provedor B no meu firewall. No caso o fulano só consegue se conectar com o IP do provedor A do meu firewall, pois no firewall está o provedor A no default route. Obrigado... On 10/10/06, Ari Arantes <[EMAIL PROTECTED]> wrote: > Eu tenho 2 links funcionando para tráfego entrante, só que uso somente > o ipfw. Você tem que redirecionar todo o tráfego (ipfw fwd) para o > roteador do provedor B todo do IP do provedor B. > > []s, > > Ari > > 2006/10/7, Marcelo/Porks <[EMAIL PROTECTED]>: > > Pessoal, boa noite. > > > > Seguinte. Eu tenho dois links aqui. para fazer a saída de determinados > > ips da minha rede interna pelo link do provedor A e outros ips da > > minha rede interna sair pelo link do provedor B... eu sei fazer.. > > certinho usando o pf. > > > > Bem, o que não sei é como posso usar esses dois ips para ENTRAR no meu > > FIREWALL. Pois pelo o que entendi o único ip que eu consigo usar para > > acessar o meu firewall é o ip do provedor que está no "route default". > > > > Se eu ponho o provedor A no route default eu consigo entrar (por ssh, > > por exemplo) no firewall pelo ip do provedor A, mas não consigo com o > > ip do provedor B > > > > Se eu ponho o provedor B no route default eu consigo entrar (por ssh, > > por exemplo) no firewall pelo ip do provedor B, mas não consigo com o > > ip do provedor A. > > > > Se fosse para acessar uma máquina da rede interna era só eu > > redirecionar o ip do provedor A ou B para ela. Isso eu consigo. > > > > O meu problema é conseguir acessar o firewall (que recebe os dois links). > > > > Alguém tem alguma luz para me dar? > > > > Valeu, pessoas. > > > > -- > > Marcelo Rossi > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Marcelo Rossi - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de entrada
Eu tenho 2 links funcionando para tráfego entrante, só que uso somente o ipfw. Você tem que redirecionar todo o tráfego (ipfw fwd) para o roteador do provedor B todo do IP do provedor B. []s, Ari 2006/10/7, Marcelo/Porks <[EMAIL PROTECTED]>: > Pessoal, boa noite. > > Seguinte. Eu tenho dois links aqui. para fazer a saída de determinados > ips da minha rede interna pelo link do provedor A e outros ips da > minha rede interna sair pelo link do provedor B... eu sei fazer.. > certinho usando o pf. > > Bem, o que não sei é como posso usar esses dois ips para ENTRAR no meu > FIREWALL. Pois pelo o que entendi o único ip que eu consigo usar para > acessar o meu firewall é o ip do provedor que está no "route default". > > Se eu ponho o provedor A no route default eu consigo entrar (por ssh, > por exemplo) no firewall pelo ip do provedor A, mas não consigo com o > ip do provedor B > > Se eu ponho o provedor B no route default eu consigo entrar (por ssh, > por exemplo) no firewall pelo ip do provedor B, mas não consigo com o > ip do provedor A. > > Se fosse para acessar uma máquina da rede interna era só eu > redirecionar o ip do provedor A ou B para ela. Isso eu consigo. > > O meu problema é conseguir acessar o firewall (que recebe os dois links). > > Alguém tem alguma luz para me dar? > > Valeu, pessoas. > > -- > Marcelo Rossi > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de entrada
> Seguinte. Eu tenho dois links aqui. para fazer a saída de determinados > ips da minha rede interna pelo link do provedor A e outros ips da > minha rede interna sair pelo link do provedor B... eu sei fazer.. > certinho usando o pf. > > Bem, o que não sei é como posso usar esses dois ips para ENTRAR no meu > FIREWALL. Pois pelo o que entendi o único ip que eu consigo usar para > acessar o meu firewall é o ip do provedor que está no "route default". > > Se eu ponho o provedor A no route default eu consigo entrar (por ssh, > por exemplo) no firewall pelo ip do provedor A, mas não consigo com o > ip do provedor B > > Se eu ponho o provedor B no route default eu consigo entrar (por ssh, > por exemplo) no firewall pelo ip do provedor B, mas não consigo com o > ip do provedor A. > > Se fosse para acessar uma máquina da rede interna era só eu > redirecionar o ip do provedor A ou B para ela. Isso eu consigo. > > O meu problema é conseguir acessar o firewall (que recebe os dois links). O OpenBSD 4.0[1] já vem com multipath nativo. Você pode fazer o release(8) ou esperar até 1 de Novembro para obter a mídia oficial e instalar. * Equal cost multipath routing support. Needs to be enabled by a sysctl. [1] http://www.openbsd.org/40.html Grande abraço, -- Eduardo Alvarenga - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de entrada
On 10/9/06, Antonio Torres <[EMAIL PROTECTED]> wrote:
> Marcelo/Porks wrote:
> > Pessoal, boa noite.
> >
> > Seguinte. Eu tenho dois links aqui. para fazer a saída de determinados
> > ips da minha rede interna pelo link do provedor A e outros ips da
> > minha rede interna sair pelo link do provedor B... eu sei fazer..
> > certinho usando o pf.
> >
> > Bem, o que não sei é como posso usar esses dois ips para ENTRAR no meu
> > FIREWALL. Pois pelo o que entendi o único ip que eu consigo usar para
> > acessar o meu firewall é o ip do provedor que está no "route default".
> >
> > Se eu ponho o provedor A no route default eu consigo entrar (por ssh,
> > por exemplo) no firewall pelo ip do provedor A, mas não consigo com o
> > ip do provedor B
> >
> > Se eu ponho o provedor B no route default eu consigo entrar (por ssh,
> > por exemplo) no firewall pelo ip do provedor B, mas não consigo com o
> > ip do provedor A.
> >
> > Se fosse para acessar uma máquina da rede interna era só eu
> > redirecionar o ip do provedor A ou B para ela. Isso eu consigo.
> >
> > O meu problema é conseguir acessar o firewall (que recebe os dois links).
> >
> > Alguém tem alguma luz para me dar?
> >
> > Valeu, pessoas.
> >
>
Olá, Antônio. Valeu pela resposta.
> o pf, com o "route to" funciona perfeitamente... desde que voce ponha um
> script verificando se o "default route" está ativo; se ele caiu, mude o
> "default route" para o outro...
>
> voce vai, tranquilamente, conseguir se logar, via ssh, por qualquer das
> "entradas"...
Você diz para usar o route-to que funciona. Pelo o que entendi ai você
está falando para verificar se o provedor A cair ai eu coloco o B no
default route. Mas ai iria funcionar ora um, ora outro e não os dois
ao mesmo tempo, não é?
E eu pensei que o route-to seria só para a saída, como assim:
pass in on $Int_IF route-to ($EXT_IF1 $EXT_GW1) proto tcp from
$Int_NET to any flags S/SA modulate state
pass in on $Int_IF route-to ($EXT_IF1 $EXT_GW1) proto { udp, icmp }
from $Int_NET to any keep state
Será que você (ou alguém) poderia me dar um exemplo de usar o route-to
para o meu firewall aceitar logar por ssh pelos dois ips externos?
> alternativamente, experimente: zebra, quaggua, xorp, openbgp, etc;
>
> garimpando no ports voce acha um bocado de ferramentas para utilizar
> multiplos links..
Não sabia dá existência desses programas, falha minha, eu deveria ter
pesquisado sobre... Valeu! Valeu mesmo.
> []s
>
> Antonio Torres
Abraços!
--
Marcelo Rossi
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de entrada
Marcelo/Porks wrote: > Pessoal, boa noite. > > Seguinte. Eu tenho dois links aqui. para fazer a saída de determinados > ips da minha rede interna pelo link do provedor A e outros ips da > minha rede interna sair pelo link do provedor B... eu sei fazer.. > certinho usando o pf. > > Bem, o que não sei é como posso usar esses dois ips para ENTRAR no meu > FIREWALL. Pois pelo o que entendi o único ip que eu consigo usar para > acessar o meu firewall é o ip do provedor que está no "route default". > > Se eu ponho o provedor A no route default eu consigo entrar (por ssh, > por exemplo) no firewall pelo ip do provedor A, mas não consigo com o > ip do provedor B > > Se eu ponho o provedor B no route default eu consigo entrar (por ssh, > por exemplo) no firewall pelo ip do provedor B, mas não consigo com o > ip do provedor A. > > Se fosse para acessar uma máquina da rede interna era só eu > redirecionar o ip do provedor A ou B para ela. Isso eu consigo. > > O meu problema é conseguir acessar o firewall (que recebe os dois links). > > Alguém tem alguma luz para me dar? > > Valeu, pessoas. > o pf, com o "route to" funciona perfeitamente... desde que voce ponha um script verificando se o "default route" está ativo; se ele caiu, mude o "default route" para o outro... voce vai, tranquilamente, conseguir se logar, via ssh, por qualquer das "entradas"... alternativamente, experimente: zebra, quaggua, xorp, openbgp, etc; garimpando no ports voce acha um bocado de ferramentas para utilizar multiplos links.. []s Antonio Torres - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] dois links, FreeBSD e PF
Irado Blz
vi seu post e fiquei curioso tb como fazer isso
sou novo tb no pf mas isso talvez chegue perto
não testei apenas é um rascunho que fui fazendo baseado nos docs do pf
abraço Irado
#Estou com o gw do link dois configurado no firewall como o default o gw do
link 1 eu não adiciono no roteamento o pf vai fazer isso
lan_net = "192.168.0.0/24"
int_if = "dc0"
ext_if1 = "fxp0"
ext_if2 = "fxp1"
ext_gw1 = "gwlink1"
ext_gw2 = "gwlink2"
ipdono="ipdo cara"
#ip do dono e nateado so pelo link 1
nat on $ext_if1 from $ipdono to any -> ($ext_if1)
# ip da rede link2
nat on $ext_if2 from $lan_net to any -> ($ext_if2)
# default deny
block in from any to any
block out from any to any
# passa todo tráfego de saída na interface interna
pass out on $int_if from any to $lan_net
# aceita (quick) quaisquer pacotes destinados ao próprio gateway
pass in quick on $int_if from $lan_net to $int_if
pass in quick on $ext_if2 from any to any
# libera a saida dos pacotes tcp do ip do dono pelo link1
pass in quick on $int_if route-to ($ext_if1 $ext_gw1) proto tcp from
$ipdono to any flags S/SA modulate state
# libera a saida dos pacotes udp,icmp do ip do dono pelo link1
pass in on $int_if route-to ($ext_if1 $ext_gw1) proto { udp,icmp } from
$ipdono to any keep state
# regras gerais "pass out" para as interfaces externas
pass out on $ext_if1 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if1 proto { udp, icmp } from any to any keep state
pass out on $ext_if2 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if2 proto { udp, icmp } from any to any keep state
# roteia pacotes de qualquer IP na $ext_if1 para $ext_gw1
pass out on $ext_if1 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any
- Original Message -
From: "irado furioso com tudo" <[EMAIL PROTECTED]>
To:
Sent: Friday, August 04, 2006 2:37 PM
Subject: [FUG-BR] dois links, FreeBSD e PF
NÃO É balanceamento. O que eu precisaria seria fazer um firewall/GW ,
usando o FreeBSD/PF, e NAT para ambos os links, ou seja, alguma coisa
separada por protocole/user e nateado. Tentando simplificar:
http saindo por link 1, nat'ed
smtp saindo por link 2, nat'ed
o dono saindo por link 1, nat'ed
o resto da plebe, pelo link 2, nat'ed.
alguma sugestão/link que eu possa me basear?
(são apenas exemplos hipotéticos, mas a idéia é essa)
---
---
saudações,
irado furioso com tudo
mais crimes são cometidos em nome das religiões do que em nome do
ateísmo
Linux User 179402/FreeBSD BSD50853
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
No virus found in this incoming message.
Checked by AVG Free Edition.
Version: 7.1.394 / Virus Database: 268.10.5/407 - Release Date: 3/8/2006
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois LINKS!!
Considerando a rota default a xl0. ipfw add fwd IP_DO_GATEWAY_EMBRATEL all from IPS_TELEFONICA_DA_XL3 to any out via xl0 entaum quando o pacote estiver saindo na rota default ele vai ser jogado pro ip que e o gateway na rede da embratel. Duas observacoes a fazer: 1- se o source spoof estiver habilitado na rede da embratel nao vai funcionar, porque os ips nao fazem parte da rede da embratel.isso geralmente nao esta habilitado mas ja me pegou de surpresa uma vez.um dia sem querer eles vao habilitar como ja fizeram comigo e nao vao te avisar, ae vc pode ficar louco :) 2 - vai sair pela embratel apenas, logicamente vai voltar pela telefonica Em Qui 20 Jan 2005 13:23, Wagner escreveu: > Boa Tarde pessoal.. > > Estou com o seguinte problema: > > ->Tenho um computador com 4 Interfaces.. > > xl0:( Link Internet Telefonica ) > xl1:( Link Internet Embratel ) > xl2:( Rede de Clientes 1 )obs:Ips Real Telefonica > xl3:( Rede de Clientes 2 )obs:Ips Real Telefonica > rl0: ( Rede interna ) Obs: Ips frios > > O que eu presciso é fazer com que por exemplo, os clientes que entram na > placa de rede xl3 , acessem pelo link da Embratel.. > E o resto continuem acessando pelo link Telefonica. > > Alguem pode ajudar Obrigado > > > ___ > Para enviar um novo email para a lista: freebsd@fug.com.br > Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > Historico: http://www4.fugspbr.org/lista/html/FUG-BR/ ___ Para enviar um novo email para a lista: freebsd@fug.com.br Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Re: [FUG-BR] Dois LINkS!!
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Wagner wrote: | Boa Tarde pessoal.. | | Estou com o seguinte problema: | | ->Tenho um computador com 4 Interfaces.. | | xl0:( Link Internet Telefonica ) | xl1:( Link Internet Embratel ) | xl2:( Rede de Clientes 1 )obs:Ips Real Telefonica | xl3:( Rede de Clientes 2 )obs:Ips Real Telefonica | rl0: ( Rede interna ) Obs: Ips frios | | O que eu presciso é fazer com que por exemplo, os clientes que entram na | placa de rede xl3 , acessem pelo link da Embratel.. | E o resto continuem acessando pelo link Telefonica. ~ Se você tiver o link da Telefonica como o padrão e quer que eles saiam pelo da Embratel pode usar o pf para isso. Por exemplo, ~ pass in on xl3 route-to ( xl0 $gateway_telefonica ) from $ips_telefonica to any ~ http://www.openbsd.org/faq/pf - -- Giovanni P. Tirloni -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.6 (GNU/Linux) iD8DBQFB7/2mFui6XtAxXCYRAk4zAJwN+3phKQ7072nr3g/QekmcdNAfNwCgxISA fzXd1SgYPnbsHClDTbUcKSE= =zxaC -END PGP SIGNATURE- ___ Para enviar um novo email para a lista: freebsd@fug.com.br Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Re: [FUG-BR] Dois LINKS!!
On Thu, 2005-01-20 at 14:35 -0200, William Armstrong wrote: > tem no site do www.free.bsd.com.br o how to do diegao. "http://www.free.bsd.com.br/noticia.php3?CAD=1&NOT=172"; Mas a solução dele envolve o uso de nat e não faz um "source routing", mas uma parte do mesmo. Achei outro artigo e esse parece mais completo: "http://www.bsdnews.org/01/policy_routing.php"; -- Hélio Loureiro Open System & Datacom Expert - Network Configuration & Integration Ericsson Serviços de Telecomunicações LTDA - Global Services - MU Brazil ___ Para enviar um novo email para a lista: freebsd@fug.com.br Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Re: [FUG-BR] Dois LINKS!!
tem no site do www.free.bsd.com.br o how to do diegao. On Thu, 20 Jan 2005 14:07:27 -0200, Hélio Loureiro <[EMAIL PROTECTED]> wrote: > > xl0:( Link Internet Telefonica ) > > xl1:( Link Internet Embratel ) > > xl2:( Rede de Clientes 1 )obs:Ips Real Telefonica > > xl3:( Rede de Clientes 2 )obs:Ips Real Telefonica > > rl0: ( Rede interna ) Obs: Ips frios > > -- -=-=-=-=-=-=-=-=-=- William David Armstrong Bio Systems Security. ICQ 10253747 MSN [EMAIL PROTECTED] ___ Para enviar um novo email para a lista: freebsd@fug.com.br Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Re: [FUG-BR] Dois LINKS!!
> xl0:( Link Internet Telefonica ) > xl1:( Link Internet Embratel ) > xl2:( Rede de Clientes 1 )obs:Ips Real Telefonica > xl3:( Rede de Clientes 2 )obs:Ips Real Telefonica > rl0: ( Rede interna ) Obs: Ips frios > > O que eu presciso é fazer com que por exemplo, os clientes que entram > na > placa de rede xl3 , acessem pelo link da Embratel.. > E o resto continuem acessando pelo link Telefonica. Vc precisa implementar umsa solução de source routing. Vc pode tentar com o pf usando um "route-to". Eu nunca testei e não sei se funciona. Existe uma outra forma com o ipfw que o Gamk fez e até escreveu um howto sobre isso (busque no histórico), mas também não sei como funciona. O que testei e funcionou, na época em que precisei, foi o iproute2 do Linux. Eu tinha feito em OpenBSD, 3.[0,1] mas o mesmo travava constantemente com a regra de roteamento. -- Hélio Loureiro Open System & Datacom Expert - Network Configuration & Integration Ericsson Serviços de Telecomunicações LTDA - Global Services - MU Brazil ___ Para enviar um novo email para a lista: freebsd@fug.com.br Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
