Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
2013/10/4 Patrick Tracanelli eks...@freebsdbrasil.com.br: Em 04/10/2013, às 11:56, Renata Dias renatchi...@gmail.com escreveu: Patrick, Eu consigo rodar este mesmo patch http://loos.no-ip.org:280/lusca_bridge.diff no 9.2-STABLE ? Renata, não consegue não. A partir do MFC do PFIL pro IPFW e bridge, alguma coisa quebrou (acho que a forma que os mbuff tags são marcados, não sei) e esse patch apesar de aplicar normalmente, com pouca mudança (so o path do ip_fw2.c saindo do netinet) não funciona mais. O MFC aconteceu em algum momento entre o 9.1-RELEASE e o 9.1-STABLE então se mantenha no 9.1-RELEASE-pX se precisa desse patch. O Loos comentou comigo que ia arrumar um tempo pra investigar o que quebrou exatamente que esse patch não funciona mais. Melhor que investigar/corrigir/gerarnovopatch é que agora com commit bit do src quem sabe ele não consiga commitar em definitivo ;-) Seria o ideal! :D Loos esse patch foi send-pr(1)? Se foi fala o PR # ai, se tiverem muitos aqui na lista que precisam desse patch sugiro que todos dêem follow-up em um possível PR pra ajudar a dar a importância devida ao patch e mostrar a importância dele entrar na base. Patrick, Renato, Eu não criei nenhum PR para aquele patch porque ele funcionou um tanto quanto sem querer e eu não poderia justificar aquelas alterações, o que definitivamente é um no-go. Outra coisa que dificulta o commit é a falta de testes ou talvez até a completa falta de suporte para ipv6. Fora isso, o fato que vocês já comentaram muito bem, essa topologia é mais complicada para ser utilizada (no final das contas), pois não escala bem. Fora o Brasil e alguns outros poucos países o interesse nesse tipo de solução é muito pequeno. Eu acho que o que eles chamam de modo 'paralelo' deve funcionar sem patches. Se não funciona esse seria o primeiro ponto a ser corrigido. Att., Luiz - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
Tentei fazer o download do patch, porém a página não está disponível. http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_9-STABLE.diff Page not found. Gostaria de rodar o patch no 9.2-STABLE. Alguma dica? Obrigada. Em 6 de fevereiro de 2013 13:51, Christian Sant'Ana christian.li...@eloinet.com.br escreveu: Alguém sabe como fazer funcionar no 9.1-STABLE, porque aqui não deu certo. Christian Sant'Ana Em 17/10/2012 16:18, Luiz Gustavo S. Costa escreveu: detalhe, eu rodei o patch do 9-STABLE no 9.1-PRERELEASE e foi de boa.. não precisei mexer em nada. ou seja, tenho um 9.1 com esse patch rodando de boa ! Em 17 de outubro de 2012 16:16, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: Eu fiz adaptações no patch do loos para rodar no 8-STABLE e no 9-STABLE: http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_8_STABLE.diff http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_9-STABLE.diff lembrando, todo o crédito é do LOOS !!! (Luiz Otavio) para aplicar, puxe o src para o stable 8/9 e aplique o patch assim: cd /usr/src patch -p0 /caminho/do/arquivo/lusca_tproxy_9-STABLE.diff pronto, dai é compilar world e kernel (o config do kernel deve ter a bridge e o fwd do ipfw build-in) Em 17 de outubro de 2012 16:08, Alexandre Silva Nano alexna...@gmail.com escreveu: Em 16 de outubro de 2012 17:24, Renata Dias renatchi...@gmail.com escreveu: Boa tarde, Pessoal! Podem me ajudar a aplicar este patch? Quais os passos mesmo? Nuss.. Há um tempo que venho procurando esse patch também!!! Acabei até desistindo de implementar o proxy por causa disso... Quero saber também o caminho das pedras para aplicar esse patch! Abraços. -- Att, Alexandre Silva Nano Tecnólogo em Gestão de Redes de Computadores, UNIFACS Enterasys Security Systems Engineer - IPS/SIEM Enterasys Certified Specialist - NAC, Switching Analista de Tecnologia da Informação e Comunicação www.ideiadigital.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
Patrick, Eu consigo rodar este mesmo patch http://loos.no-ip.org:280/lusca_bridge.diff no 9.2-STABLE ? Obrigada. Em 8 de outubro de 2010 13:02, Patrick Tracanelli eks...@freebsdbrasil.com.br escreveu: Pessoal, Tenho o prazer de dizer que o Luiz Souza recuperou um patch do Luigi Rizzo que não funcionava desde o FreeBSD 6, e nessa nova versão do Luiz, aplica novamente em FreeBSD 8 (testado -STABLE): http://loos.no-ip.org:280/lusca_bridge.diff Com ele é possível fazer IPFW FWD em bridge transparente. Perfeito pra proxy sem roteamento. Como acredito que isso seja de interesse de muitos, façam seu devido backup do patch acima porque de vez em quando o Luiz desliga essa maquina ;-) Valeu Luiz de novo. Esperamos que isso entre no -HEAD pra não se perder de novo. -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
* Renata Dias (renatchi...@gmail.com) wrote: Tentei fazer o download do patch, porém a página não está disponível. http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_9-STABLE.diff Page not found. Gostaria de rodar o patch no 9.2-STABLE. Alguma dica? Obrigada. Você terá que fazer com o 9.1-RELEASE a partir do 9.1-STABLE houveram algumas alterações em relação ao ipfw que o patch não funciona. segue url atualizada http://mundounix.com.br/~gugabsd/tproxy_bridge_ipfw-9.1-RELEASE.diff boa sorte ! --- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
Em 04/10/2013, às 11:56, Renata Dias renatchi...@gmail.com escreveu: Patrick, Eu consigo rodar este mesmo patch http://loos.no-ip.org:280/lusca_bridge.diff no 9.2-STABLE ? Renata, não consegue não. A partir do MFC do PFIL pro IPFW e bridge, alguma coisa quebrou (acho que a forma que os mbuff tags são marcados, não sei) e esse patch apesar de aplicar normalmente, com pouca mudança (so o path do ip_fw2.c saindo do netinet) não funciona mais. O MFC aconteceu em algum momento entre o 9.1-RELEASE e o 9.1-STABLE então se mantenha no 9.1-RELEASE-pX se precisa desse patch. O Loos comentou comigo que ia arrumar um tempo pra investigar o que quebrou exatamente que esse patch não funciona mais. Melhor que investigar/corrigir/gerarnovopatch é que agora com commit bit do src quem sabe ele não consiga commitar em definitivo ;-) Seria o ideal! :D Loos esse patch foi send-pr(1)? Se foi fala o PR # ai, se tiverem muitos aqui na lista que precisam desse patch sugiro que todos dêem follow-up em um possível PR pra ajudar a dar a importância devida ao patch e mostrar a importância dele entrar na base. Obrigada. Em 8 de outubro de 2010 13:02, Patrick Tracanelli eks...@freebsdbrasil.com.br escreveu: Pessoal, Tenho o prazer de dizer que o Luiz Souza recuperou um patch do Luigi Rizzo que não funcionava desde o FreeBSD 6, e nessa nova versão do Luiz, aplica novamente em FreeBSD 8 (testado -STABLE): http://loos.no-ip.org:280/lusca_bridge.diff Com ele é possível fazer IPFW FWD em bridge transparente. Perfeito pra proxy sem roteamento. Como acredito que isso seja de interesse de muitos, façam seu devido backup do patch acima porque de vez em quando o Luiz desliga essa maquina ;-) Valeu Luiz de novo. Esperamos que isso entre no -HEAD pra não se perder de novo. -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
Em 04/10/13 12:35, Patrick Tracanelli escreveu: Em 04/10/2013, às 11:56, Renata Dias renatchi...@gmail.com escreveu: Patrick, Eu consigo rodar este mesmo patch http://loos.no-ip.org:280/lusca_bridge.diff no 9.2-STABLE ? Renata, não consegue não. A partir do MFC do PFIL pro IPFW e bridge, alguma coisa quebrou (acho que a forma que os mbuff tags são marcados, não sei) e esse patch apesar de aplicar normalmente, com pouca mudança (so o path do ip_fw2.c saindo do netinet) não funciona mais. O MFC aconteceu em algum momento entre o 9.1-RELEASE e o 9.1-STABLE então se mantenha no 9.1-RELEASE-pX se precisa desse patch. O Loos comentou comigo que ia arrumar um tempo pra investigar o que quebrou exatamente que esse patch não funciona mais. Melhor que investigar/corrigir/gerarnovopatch é que agora com commit bit do src quem sabe ele não consiga commitar em definitivo ;-) Seria o ideal! :D Loos esse patch foi send-pr(1)? Se foi fala o PR # ai, se tiverem muitos aqui na lista que precisam desse patch sugiro que todos dêem follow-up em um possível PR pra ajudar a dar a importância devida ao patch e mostrar a importância dele entrar na base. Mudando o papo. Como fica a performance? Ambiente com vários pps e grande quantidade de Mb? Tipo um médio ou grande isp? Já teve gente que se recusou a instalar thundercache em bridge devido a performance, tanto em linux quando bsd. Já tive gente que ao mesmo tempo vende appliance de cache de outros fabricantes que só funcionam em bridge, desligam o cabo que vai no router, poe a bridge e liga ela no router, usam ate aquelas placas que se desligar o appliance da energia, ela chaveia, de modo que se o appliance der algum problema, basta tirar da tomada... Eu sempre evitei, até porque estes patchs me cansam de aplicar, ás vezes quebram na hora de aplicar, fica incompatível e prá mim uma bridge, que tem que analisar tudo que passa, seja ip, tcp, udp, ipsec, gre, sei lá o que mais, só prá fazer cache de um protocolo específico, é perda de dinheiro, onera demais a caixa. Ao mesmo tempo, já precisei rodar uns ipfw faznedo count em bridge prá gerar gráficos de uso de protocolo junto ao cacti e funcionou, mas hoje prefiro rodar flow. Patrick, os softwares que vocês estão alugando que fazem a análise web, tem conceito de bridge? Ao mesmo tempo, muito cliente tem receio de tirar uma caixa cisco ou juniper ou mikrotik, ou sonicwall ou seja lá o que esteja rodando que faz firewall ou router e colocar um novo router bsd ou qq outra coisa que não conhecem. Neste caso, para análise de tráfego online, uma bridge fica perfeita, até o cara obter confiança e permitir usar a caixa de novo como router. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
-- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! Em 04/10/2013, às 13:28, Renato Frederick ren...@frederick.eti.br escreveu: Em 04/10/13 12:35, Patrick Tracanelli escreveu: Em 04/10/2013, às 11:56, Renata Dias renatchi...@gmail.com escreveu: Patrick, Eu consigo rodar este mesmo patch http://loos.no-ip.org:280/lusca_bridge.diff no 9.2-STABLE ? Renata, não consegue não. A partir do MFC do PFIL pro IPFW e bridge, alguma coisa quebrou (acho que a forma que os mbuff tags são marcados, não sei) e esse patch apesar de aplicar normalmente, com pouca mudança (so o path do ip_fw2.c saindo do netinet) não funciona mais. O MFC aconteceu em algum momento entre o 9.1-RELEASE e o 9.1-STABLE então se mantenha no 9.1-RELEASE-pX se precisa desse patch. O Loos comentou comigo que ia arrumar um tempo pra investigar o que quebrou exatamente que esse patch não funciona mais. Melhor que investigar/corrigir/gerarnovopatch é que agora com commit bit do src quem sabe ele não consiga commitar em definitivo ;-) Seria o ideal! :D Loos esse patch foi send-pr(1)? Se foi fala o PR # ai, se tiverem muitos aqui na lista que precisam desse patch sugiro que todos dêem follow-up em um possível PR pra ajudar a dar a importância devida ao patch e mostrar a importância dele entrar na base. Mudando o papo. Como fica a performance? Ambiente com vários pps e grande quantidade de Mb? Tipo um médio ou grande isp? Já teve gente que se recusou a instalar thundercache em bridge devido a performance, tanto em linux quando bsd. Já tive gente que ao mesmo tempo vende appliance de cache de outros fabricantes que só funcionam em bridge, desligam o cabo que vai no router, poe a bridge e liga ela no router, usam ate aquelas placas que se desligar o appliance da energia, ela chaveia, de modo que se o appliance der algum problema, basta tirar da tomada… Eu pessoalmente não gosto da topologia em bridge. Ela é fácil vender/instalar mas não escala tão bem, e sem uma rede com Fail Open realmente em um evento de falha é bem menos trivial, envolve intervenção física ou um ambiente preparado pra redundância sem IP como 802.1w. Muita gente acha que por em bridge ou paralelo da na mesma pro hardware. Por algum motivo que mal consigo imaginar qual seja, acreditam que seja a mesma coisa. Além de diferente em consumo de recurso (sim bridge consome mais que um mero forwarding de pacote) colocar em bridge ja define uma taxa de PPS muito maior pela obvia razao de voce colocar o ISP inteiro passando ali, não apenas porta 80 que é direcionado seletivamente em um ambiente paralelo. Que em caso de falha basta parar de desviar, simples como um watchdog.sh ou watchdog no mikrotik o que for… Alem disso todo o lixo que chega numa porta vai pra outra. E isso inclui broadcast, multicast, virus hehehe. O entendimento que a mudanca não é apenas topologica normalmente é negligenciado quando se tuxa em bridge. Eu sempre evitei, até porque estes patchs me cansam de aplicar, ás vezes quebram na hora de aplicar, fica incompatível e prá mim uma bridge, que tem que analisar tudo que passa, seja ip, tcp, udp, ipsec, gre, sei lá o que mais, só prá fazer cache de um protocolo específico, é perda de dinheiro, onera demais a caixa. Eu concordo exatamente com esse ponto. Patrick, os softwares que vocês estão alugando que fazem a análise web, tem conceito de bridge? Ao mesmo tempo, muito cliente tem receio de tirar uma caixa cisco ou juniper ou mikrotik, ou sonicwall ou seja lá o que esteja rodando que faz firewall ou router e colocar um novo router bsd ou qq outra coisa que não conhecem. Neste caso, para análise de tráfego online, uma bridge fica perfeita, até o cara obter confiança e permitir usar a caixa de novo como router. Sim, tanto bridge quanto espelhamento de porta ou recebendo netflow ou ainda indo buscar snmp. Todas as formas possíveis ;-) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
Em 04/10/13 14:28, Patrick Tracanelli escreveu: Eu pessoalmente não gosto da topologia em bridge. Ela é fácil vender/instalar mas não escala tão bem, e sem uma rede com Fail Open realmente em um evento de falha é bem menos trivial, envolve intervenção física ou um ambiente preparado pra redundância sem IP como 802.1w. Muita gente acha que por em bridge ou paralelo da na mesma pro hardware. Por algum motivo que mal consigo imaginar qual seja, acreditam que seja a mesma coisa. Além de diferente em consumo de recurso (sim bridge consome mais que um mero forwarding de pacote) colocar em bridge ja define uma taxa de PPS muito maior pela obvia razao de voce colocar o ISP inteiro passando ali, não apenas porta 80 que é direcionado seletivamente em um ambiente paralelo. Que em caso de falha basta parar de desviar, simples como um watchdog.sh ou watchdog no mikrotik o que for… Alem disso todo o lixo que chega numa porta vai pra outra. E isso inclui broadcast, multicast, virus hehehe. O entendimento que a mudanca não é apenas topologica normalmente é negligenciado quando se tuxa em bridge. Somos dois! :-) Eu sempre evitei, até porque estes patchs me cansam de aplicar, ás vezes quebram na hora de aplicar, fica incompatível e prá mim uma bridge, que tem que analisar tudo que passa, seja ip, tcp, udp, ipsec, gre, sei lá o que mais, só prá fazer cache de um protocolo específico, é perda de dinheiro, onera demais a caixa. Eu concordo exatamente com esse ponto. Patrick, os softwares que vocês estão alugando que fazem a análise web, tem conceito de bridge? Ao mesmo tempo, muito cliente tem receio de tirar uma caixa cisco ou juniper ou mikrotik, ou sonicwall ou seja lá o que esteja rodando que faz firewall ou router e colocar um novo router bsd ou qq outra coisa que não conhecem. Neste caso, para análise de tráfego online, uma bridge fica perfeita, até o cara obter confiança e permitir usar a caixa de novo como router. Sim, tanto bridge quanto espelhamento de porta ou recebendo netflow ou ainda indo buscar snmp. Todas as formas possíveis ;-) Beleza! Bom saber, fica mais fácil vislumbrar a demanda. Valeu Patrick! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
Alguém sabe como fazer funcionar no 9.1-STABLE, porque aqui não deu certo. Christian Sant'Ana Em 17/10/2012 16:18, Luiz Gustavo S. Costa escreveu: detalhe, eu rodei o patch do 9-STABLE no 9.1-PRERELEASE e foi de boa.. não precisei mexer em nada. ou seja, tenho um 9.1 com esse patch rodando de boa ! Em 17 de outubro de 2012 16:16, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: Eu fiz adaptações no patch do loos para rodar no 8-STABLE e no 9-STABLE: http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_8_STABLE.diff http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_9-STABLE.diff lembrando, todo o crédito é do LOOS !!! (Luiz Otavio) para aplicar, puxe o src para o stable 8/9 e aplique o patch assim: cd /usr/src patch -p0 /caminho/do/arquivo/lusca_tproxy_9-STABLE.diff pronto, dai é compilar world e kernel (o config do kernel deve ter a bridge e o fwd do ipfw build-in) Em 17 de outubro de 2012 16:08, Alexandre Silva Nano alexna...@gmail.com escreveu: Em 16 de outubro de 2012 17:24, Renata Dias renatchi...@gmail.comescreveu: Boa tarde, Pessoal! Podem me ajudar a aplicar este patch? Quais os passos mesmo? Nuss.. Há um tempo que venho procurando esse patch também!!! Acabei até desistindo de implementar o proxy por causa disso... Quero saber também o caminho das pedras para aplicar esse patch! Abraços. -- Att, Alexandre Silva Nano Tecnólogo em Gestão de Redes de Computadores, UNIFACS Enterasys Security Systems Engineer - IPS/SIEM Enterasys Certified Specialist - NAC, Switching Analista de Tecnologia da Informação e Comunicação www.ideiadigital.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
Em 16 de outubro de 2012 17:24, Renata Dias renatchi...@gmail.comescreveu: Boa tarde, Pessoal! Podem me ajudar a aplicar este patch? Quais os passos mesmo? Nuss.. Há um tempo que venho procurando esse patch também!!! Acabei até desistindo de implementar o proxy por causa disso... Quero saber também o caminho das pedras para aplicar esse patch! Abraços. -- Att, Alexandre Silva Nano Tecnólogo em Gestão de Redes de Computadores, UNIFACS Enterasys Security Systems Engineer - IPS/SIEM Enterasys Certified Specialist - NAC, Switching Analista de Tecnologia da Informação e Comunicação www.ideiadigital.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
Eu fiz adaptações no patch do loos para rodar no 8-STABLE e no 9-STABLE: http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_8_STABLE.diff http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_9-STABLE.diff lembrando, todo o crédito é do LOOS !!! (Luiz Otavio) para aplicar, puxe o src para o stable 8/9 e aplique o patch assim: cd /usr/src patch -p0 /caminho/do/arquivo/lusca_tproxy_9-STABLE.diff pronto, dai é compilar world e kernel (o config do kernel deve ter a bridge e o fwd do ipfw build-in) Em 17 de outubro de 2012 16:08, Alexandre Silva Nano alexna...@gmail.com escreveu: Em 16 de outubro de 2012 17:24, Renata Dias renatchi...@gmail.comescreveu: Boa tarde, Pessoal! Podem me ajudar a aplicar este patch? Quais os passos mesmo? Nuss.. Há um tempo que venho procurando esse patch também!!! Acabei até desistindo de implementar o proxy por causa disso... Quero saber também o caminho das pedras para aplicar esse patch! Abraços. -- Att, Alexandre Silva Nano Tecnólogo em Gestão de Redes de Computadores, UNIFACS Enterasys Security Systems Engineer - IPS/SIEM Enterasys Certified Specialist - NAC, Switching Analista de Tecnologia da Informação e Comunicação www.ideiadigital.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
detalhe, eu rodei o patch do 9-STABLE no 9.1-PRERELEASE e foi de boa.. não precisei mexer em nada. ou seja, tenho um 9.1 com esse patch rodando de boa ! Em 17 de outubro de 2012 16:16, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: Eu fiz adaptações no patch do loos para rodar no 8-STABLE e no 9-STABLE: http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_8_STABLE.diff http://www.luizgustavo.pro.br/~gugabsd/lusca_tproxy_9-STABLE.diff lembrando, todo o crédito é do LOOS !!! (Luiz Otavio) para aplicar, puxe o src para o stable 8/9 e aplique o patch assim: cd /usr/src patch -p0 /caminho/do/arquivo/lusca_tproxy_9-STABLE.diff pronto, dai é compilar world e kernel (o config do kernel deve ter a bridge e o fwd do ipfw build-in) Em 17 de outubro de 2012 16:08, Alexandre Silva Nano alexna...@gmail.com escreveu: Em 16 de outubro de 2012 17:24, Renata Dias renatchi...@gmail.comescreveu: Boa tarde, Pessoal! Podem me ajudar a aplicar este patch? Quais os passos mesmo? Nuss.. Há um tempo que venho procurando esse patch também!!! Acabei até desistindo de implementar o proxy por causa disso... Quero saber também o caminho das pedras para aplicar esse patch! Abraços. -- Att, Alexandre Silva Nano Tecnólogo em Gestão de Redes de Computadores, UNIFACS Enterasys Security Systems Engineer - IPS/SIEM Enterasys Certified Specialist - NAC, Switching Analista de Tecnologia da Informação e Comunicação www.ideiadigital.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW FWD em Bridge - Luiz Souza
Boa tarde, Pessoal! Podem me ajudar a aplicar este patch? Quais os passos mesmo? Obrigada. Em 8 de outubro de 2010 13:02, Patrick Tracanelli eks...@freebsdbrasil.com.br escreveu: Pessoal, Tenho o prazer de dizer que o Luiz Souza recuperou um patch do Luigi Rizzo que não funcionava desde o FreeBSD 6, e nessa nova versão do Luiz, aplica novamente em FreeBSD 8 (testado -STABLE): http://loos.no-ip.org:280/lusca_bridge.diff Com ele é possível fazer IPFW FWD em bridge transparente. Perfeito pra proxy sem roteamento. Como acredito que isso seja de interesse de muitos, façam seu devido backup do patch acima porque de vez em quando o Luiz desliga essa maquina ;-) Valeu Luiz de novo. Esperamos que isso entre no -HEAD pra não se perder de novo. -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW + fwd = getsockopt(IP_FW_ADD): Invalid argument
adiciona no seu kernel custom: options IPFIREWALL_FORWARD E recompila teu kernel e corre pro abraco! :D 2009/10/26 Alexandre Proença alexan...@levier.com.br: Bom dia a todos da lista, Alterei meu banco de dados mysql para outro servidor, para nao ter que mudar em minhas aplicações que sao muitas o endereço de conexão do banco, tive a ideia de fazer um port-forwarding no meu server antigo então teoricamente tudo que chega na porta 3306 do meu servidor antigo ele repassaria para a mesma porta de meu novo servidor, porem estou com uma mensagem de erro na hora de aplicar a regra de fwd, seguem abaixo as informações pertinetes *FreeBSD venus.xxx.com.br 7.2-RELEASE FreeBSD 7.2-RELEASE* *[r...@venus /etc/rc.d]# sysctl -a | grep net.inet.ip* net.inet.ip.portrange.randomtime: 45 net.inet.ip.portrange.randomcps: 10 net.inet.ip.portrange.randomized: 1 net.inet.ip.portrange.reservedlow: 0 net.inet.ip.portrange.reservedhigh: 1023 net.inet.ip.portrange.hilast: 65535 net.inet.ip.portrange.hifirst: 49152 net.inet.ip.portrange.last: 65535 net.inet.ip.portrange.first: 49152 net.inet.ip.portrange.lowlast: 600 net.inet.ip.portrange.lowfirst: 1023 net.inet.ip.forwarding: 1 net.inet.ip.redirect: 1 net.inet.ip.ttl: 64 net.inet.ip.rtexpire: 3600 net.inet.ip.rtminexpire: 10 net.inet.ip.rtmaxcache: 128 net.inet.ip.sourceroute: 0 net.inet.ip.intr_queue_maxlen: 50 net.inet.ip.intr_queue_drops: 0 net.inet.ip.accept_sourceroute: 0 net.inet.ip.keepfaith: 0 net.inet.ip.gifttl: 30 net.inet.ip.same_prefix_carp_only: 0 net.inet.ip.subnets_are_local: 0 net.inet.ip.fastforwarding: 0 net.inet.ip.maxfragpackets: 800 net.inet.ip.maxfragsperpacket: 16 net.inet.ip.fragpackets: 0 net.inet.ip.check_interface: 0 net.inet.ip.random_id: 0 net.inet.ip.sendsourcequench: 0 net.inet.ip.process_options: 1 net.inet.ip.fw.dyn_keepalive: 1 net.inet.ip.fw.dyn_short_lifetime: 5 net.inet.ip.fw.dyn_udp_lifetime: 10 net.inet.ip.fw.dyn_rst_lifetime: 1 net.inet.ip.fw.dyn_fin_lifetime: 1 net.inet.ip.fw.dyn_syn_lifetime: 20 net.inet.ip.fw.dyn_ack_lifetime: 300 net.inet.ip.fw.static_count: 15 net.inet.ip.fw.dyn_max: 4096 net.inet.ip.fw.dyn_count: 0 net.inet.ip.fw.curr_dyn_buckets: 256 net.inet.ip.fw.dyn_buckets: 256 net.inet.ip.fw.tables_max: 128 net.inet.ip.fw.default_rule: 65535 net.inet.ip.fw.verbose_limit: 0 net.inet.ip.fw.verbose: 1 net.inet.ip.fw.one_pass: 1 net.inet.ip.fw.autoinc_step: 100 net.inet.ip.fw.enable: 1 *Regras de IPFW* enable verbose enable one_pass # add pass ip from any to any #add divert natd ip from any to any via xl0 add divert natd ip from 192.168.200.0/22 to any out via xl0 add divert natd ip from any to me in via xl0 add pass udp from any to any add pass ip from 192.168.0.0/16 to 192.168.0.0/16 add pass icmp from any to any #add pass tcp from any to any 20,21,22,23,53,80,3306,,8806,5432,1024-65000 setup add pass tcp from any to any 13,20,21,22,23,53,80,3306,,8806,5432,8886,1024-65000 via xl0 add pass tcp from any 13,20,21,22,23,53,80,3306,,8806,5432,8886,1024-65000 to any via sk0 add pass tcp from any to any 13,20,21,22,23,53,80,3306,,8806,5432,8886,1024-65000 via sk0 add deny tcp from any to any 587,2401,2049,512,513,514,445,79,111 via sk0 add pass tcp from any to any out via xl0 add pass tcp from any to any via xl0 established #add deny ip from any to any via xl0 add fwd 192.168.200.40,3306 tcp from any to any 3306 via xl0 Mensagem de erro [r...@venus /etc/rc.d]# /etc/rc.d/ipfw restart net.inet.ip.fw.enable: 1 - 0 Stopping natd. Waiting for PIDS: 75962, 75962, 75962, 75962, 75962. Starting natd. Loading /lib/libalias_cuseeme.so Loading /lib/libalias_ftp.so Loading /lib/libalias_irc.so Loading /lib/libalias_nbt.so Loading /lib/libalias_pptp.so Loading /lib/libalias_skinny.so Loading /lib/libalias_smedia.so Flushed all rules. 00100 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 00400 divert 8668 ip from 192.168.200.0/22 to any out via xl0 00500 divert 8668 ip from any to me in via xl0 00600 allow udp from any to any 00700 allow ip from 192.168.0.0/16 to 192.168.0.0/16 00800 allow icmp from any to any 00900 allow tcp from any to any dst-port 13,20,21,22,23,53,80,3306,,8806,5432,8886,1024-65000 via xl0 01000 allow tcp from any 13,20,21,22,23,53,80,3306,,8806,5432,8886,1024-65000 to any via sk0 01100 allow tcp from any to any dst-port 13,20,21,22,23,53,80,3306,,8806,5432,8886,1024-65000 via sk0 01200 deny tcp from any to any dst-port 587,2401,2049,512,513,514,445,79,111 via sk0 01300 allow tcp from any to any out via xl0 01400 allow tcp from any to any via xl0 established *Line 18: getsockopt(IP_FW_ADD): Invalid argument* Firewall rules loaded. net.inet.ip.fw.enable: 0 - 1 Alguem tem alguma ideia ou ja passou por este problema ?? Desde já agradeço -- - Histórico:
Re: [FUG-BR] IPFW + fwd = getsockopt(IP_FW_ADD): Invalid argument
2009/10/26 Alexandre Proença alexan...@levier.com.br Bom dia a todos da lista, Alterei meu banco de dados mysql para outro servidor, para nao ter que mudar em minhas aplicações que sao muitas o endereço de conexão do banco, tive a ideia de fazer um port-forwarding no meu server antigo então teoricamente tudo que chega na porta 3306 do meu servidor antigo ele repassaria para a mesma porta de meu novo servidor, porem estou com uma mensagem de erro na hora de aplicar a regra de fwd, seguem abaixo as informações pertinetes *FreeBSD venus.xxx.com.br 7.2-RELEASE FreeBSD 7.2-RELEASE* *[r...@venus /etc/rc.d]# sysctl -a | grep net.inet.ip* net.inet.ip.portrange.randomtime: 45 net.inet.ip.portrange.randomcps: 10 net.inet.ip.portrange.randomized: 1 net.inet.ip.portrange.reservedlow: 0 net.inet.ip.portrange.reservedhigh: 1023 net.inet.ip.portrange.hilast: 65535 net.inet.ip.portrange.hifirst: 49152 net.inet.ip.portrange.last: 65535 net.inet.ip.portrange.first: 49152 net.inet.ip.portrange.lowlast: 600 net.inet.ip.portrange.lowfirst: 1023 net.inet.ip.forwarding: 1 net.inet.ip.redirect: 1 net.inet.ip.ttl: 64 net.inet.ip.rtexpire: 3600 net.inet.ip.rtminexpire: 10 net.inet.ip.rtmaxcache: 128 net.inet.ip.sourceroute: 0 net.inet.ip.intr_queue_maxlen: 50 net.inet.ip.intr_queue_drops: 0 net.inet.ip.accept_sourceroute: 0 net.inet.ip.keepfaith: 0 net.inet.ip.gifttl: 30 net.inet.ip.same_prefix_carp_only: 0 net.inet.ip.subnets_are_local: 0 net.inet.ip.fastforwarding: 0 net.inet.ip.maxfragpackets: 800 net.inet.ip.maxfragsperpacket: 16 net.inet.ip.fragpackets: 0 net.inet.ip.check_interface: 0 net.inet.ip.random_id: 0 net.inet.ip.sendsourcequench: 0 net.inet.ip.process_options: 1 net.inet.ip.fw.dyn_keepalive: 1 net.inet.ip.fw.dyn_short_lifetime: 5 net.inet.ip.fw.dyn_udp_lifetime: 10 net.inet.ip.fw.dyn_rst_lifetime: 1 net.inet.ip.fw.dyn_fin_lifetime: 1 net.inet.ip.fw.dyn_syn_lifetime: 20 net.inet.ip.fw.dyn_ack_lifetime: 300 net.inet.ip.fw.static_count: 15 net.inet.ip.fw.dyn_max: 4096 net.inet.ip.fw.dyn_count: 0 net.inet.ip.fw.curr_dyn_buckets: 256 net.inet.ip.fw.dyn_buckets: 256 net.inet.ip.fw.tables_max: 128 net.inet.ip.fw.default_rule: 65535 net.inet.ip.fw.verbose_limit: 0 net.inet.ip.fw.verbose: 1 net.inet.ip.fw.one_pass: 1 net.inet.ip.fw.autoinc_step: 100 net.inet.ip.fw.enable: 1 *Regras de IPFW* enable verbose enable one_pass # add pass ip from any to any #add divert natd ip from any to any via xl0 add divert natd ip from 192.168.200.0/22 to any out via xl0 add divert natd ip from any to me in via xl0 add pass udp from any to any add pass ip from 192.168.0.0/16 to 192.168.0.0/16 add pass icmp from any to any #add pass tcp from any to any 20,21,22,23,53,80,3306,,8806,5432,1024-65000 setup add pass tcp from any to any 13,20,21,22,23,53,80,3306,,8806,5432,8886,1024-65000 via xl0 add pass tcp from any 13,20,21,22,23,53,80,3306,,8806,5432,8886,1024-65000 to any via sk0 add pass tcp from any to any 13,20,21,22,23,53,80,3306,,8806,5432,8886,1024-65000 via sk0 add deny tcp from any to any 587,2401,2049,512,513,514,445,79,111 via sk0 add pass tcp from any to any out via xl0 add pass tcp from any to any via xl0 established #add deny ip from any to any via xl0 add fwd 192.168.200.40,3306 tcp from any to any 3306 via xl0 Mensagem de erro [r...@venus /etc/rc.d]# /etc/rc.d/ipfw restart net.inet.ip.fw.enable: 1 - 0 Stopping natd. Waiting for PIDS: 75962, 75962, 75962, 75962, 75962. Starting natd. Loading /lib/libalias_cuseeme.so Loading /lib/libalias_ftp.so Loading /lib/libalias_irc.so Loading /lib/libalias_nbt.so Loading /lib/libalias_pptp.so Loading /lib/libalias_skinny.so Loading /lib/libalias_smedia.so Flushed all rules. 00100 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 00400 divert 8668 ip from 192.168.200.0/22 to any out via xl0 00500 divert 8668 ip from any to me in via xl0 00600 allow udp from any to any 00700 allow ip from 192.168.0.0/16 to 192.168.0.0/16 00800 allow icmp from any to any 00900 allow tcp from any to any dst-port 13,20,21,22,23,53,80,3306,,8806,5432,8886,1024-65000 via xl0 01000 allow tcp from any 13,20,21,22,23,53,80,3306,,8806,5432,8886,1024-65000 to any via sk0 01100 allow tcp from any to any dst-port 13,20,21,22,23,53,80,3306,,8806,5432,8886,1024-65000 via sk0 01200 deny tcp from any to any dst-port 587,2401,2049,512,513,514,445,79,111 via sk0 01300 allow tcp from any to any out via xl0 01400 allow tcp from any to any via xl0 established *Line 18: getsockopt(IP_FW_ADD): Invalid argument* Firewall rules loaded. net.inet.ip.fw.enable: 0 - 1 Alguem tem alguma ideia ou ja passou por este problema ?? Desde já agradeço Você pode recompilar o kernel como explica esta manpage. http://www.freebsd.org/cgi/man.cgi?query=ipfwsektion=4apropos=0manpath=FreeBSD+7.2-RELEASE Pode carregar como módulo no
Re: [FUG-BR] IPFW +fwd
Tiago voce pode fazer o redirecionamento usando o rinetd, no exato exemplo que está especificando va até usr/ports/net/rinetd é muito simples abraços Sandro Em Qui, 2006-07-06 às 15:29, Tiago Pires escreveu: Bom dia! Pessoal, estou com uma dúvida referente ao fwd do ipfw, é possivel usar ele para redicionar portas de entrada para outros hosts da rede interna?, tipo IPválido entrando na porta 25 para Ip-privado 25 Ex: 200.111.111.111:25 para 192.168.10.5:25 Estou optando usar isto pois quero estabelece o source(origem das requisições), pois simplesmente poderia usar pelo natd, mas é um limitado. Bom já fiz com proxy transparente, mas na mesma máquina. No aguardo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw Fwd
Acho que com o kldload: Se for da serie 4x #kldload /modules/ipfw Se for 5x acho que o local é /boot/kernel/ Para carregar alguma regra junto: klodload ipfw ipfw -q add 65000 allow all from any to any Para iniciar o firewall junto com o boot, adicione no /etc/rc.conf firewall_enable=YES firewall_type=OPEN On Fri, 4 Mar 2005 17:33:16 -0300, Marcio Jota Coelho [EMAIL PROTECTED] wrote: Pessoal.. tem como habilitar o fwd do Ipfw sem ter que compilar o kernel? algo via sysctl... existe? Marcio Jota Coelho Analista de sistemas ___ -- Atenciosamente, R. Filippus ___ Para enviar um novo email para a lista: freebsd@fug.com.br Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
