Re: [FUG-BR] PF ou IPF

2006-04-26 Por tôpico Patrick Tracanelli
Luiz_Otávio_Souza wrote:
 From: Patrick Tracanelli [EMAIL PROTECTED]
 
Já tem nat incorporado (mais simples de configurar), no ipfw precisamos
do natd.

Tai um ponto muito forte do PF. Ja tem in-kernel NAT (ipfw tem mas e
experimental), apesar do menor controle (o natd por ser um processo da
userland vc impoe limites a ele, podendo ate associa-lo a uma login
class dependendo de como execute-o, no kernel nao). Acho que a maior
vantagem disso e poder usar balanceamento de saida e nat pools, o que o
natd nao faz. Por outro lado natd tem suporte melhor a sockets do que o
Pf nat. Dai existe a necessidade de chunchos do tipo usar proxy na
user-land. Infelizmente nao tem proxy de userland pra toda aplicacao. Na
verdade nem sei se tem pra outras alem de ftp.
 
 
 Patrick,
 
 quem falou que o natd nao faz balanceamento ? eu tenho (em algum lugar) um
 patch que faz isso.

Nao faz hehe. Se precisa de patch nao faz heuauha, mas diz ai nunca vi 
esse patch e parece bem util. Ele vem acompanhado de alguma thread 
dizendo porque nao foi incluido na base?

 voce poe um segundo ip pro natd usar como alias address, assim o natd eh 
 capaz
 de gerar trafego em dois (ou mais) IPs diferentes (e possivelmente) de redes
 diferentes.
 
 O patch ainda permite o balanceamento de link desiguais uma vez que tem um
 sistema parecido com o prob do ipfw e mantem numa tabela interna os estados
 das conexões, mantendo o cliente saindo sempre pelo mesmo link.

Ele aceita subnet? Digamos faca nat-pool de toda a rede X.Y.Z.K/26? 
Otimo esse lance de prob hein, funciona pra entrada e saida? (pq 
balanceamento de entrada simples, round-robin (LSNAT) ja tem 
nativamente.. o lance e a saida! :-)

 O unico problema do natd eh o overhead da aplicacao userland (copia do 
 pacote
 do kernel para o userland e vice-versa), mas com as maquinas atuais isso não
 eh grande problema.

Eu tambem nao acho grande problema, especialmente com divert seletivo 
(jogando so as redes corretas pro natd), e acho vantagem estar na 
userland por poder roda-lo com uma login class exclusiva. Pros e 
contras, como quase tudo na vida ehhuauha.

 Vou procurar o patch aqui e ja envio pra lista

Show, espero anciosa e curiosamente (e espero a chance de testa-lo logo 
tambem hehe).

Valeu Luiz

[]s

-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
(31) 3281-9633 / 3281-3547
[EMAIL PROTECTED]
http://www.freebsdbrasil.com.br
Long live Hanin Elias, Kim Deal!

___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-26 Por tôpico Ronan Lucio
Tem uma coisa do IPFW que muito me agrada e eu esqueci
de citar.

A integração com o FreePFW, que é uma mão na roda.
Thanks Djony,

[]s
Ronan 


___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Celso Viana
Junior,

Acho que você pode começar com o IPFW; ele tem a sintaxe bem simples,
já é padrão no FreeBSD e faz praticamente qualquer coisa que outro
firewall faz.

Adiciona as linhas abaixo no teu kernel e se diverta bastante.

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_FORWARD
options IPFIREWALL_FORWARD_EXTENDED
options DUMMYNET  #Traffic Shapper
options IPDIVERT  #NAT

Celso

2006/4/25, JC Júnior [EMAIL PROTECTED]:
 Caros amigos,  em primeiro lugar eu gostaria de não gerar flames, mas eu
 queria saber pra mim, que estou começando a 'tentar' a fazer um firewall
 com bds's (eh isso mesmo qualquer um, soh que optei em aprender freebsd
 primeiro), qual seria a melhor opção para aprender primeiro?? algum é
 instável? quais são as qualidades de cada um (na opinião de vc's)???

 obrigado pela atenção e paciência...
 junior

 ___
 freebsd mailing list
 freebsd@fug.com.br
 http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br



--
Celso Vianna
BSD User: 51318
http://www.bsdcounter.org

63 8404-8559
Palmas/TO
___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Giovanni P. Tirloni

On Tue, April 25, 2006 7:43 am, Celso Viana said:
 Junior,

 Acho que você pode começar com o IPFW; ele tem a sintaxe bem simples,
 já é padrão no FreeBSD e faz praticamente qualquer coisa que outro
 firewall faz.

 Adiciona as linhas abaixo no teu kernel e se diverta bastante.

 options   IPFIREWALL
 options   IPFIREWALL_VERBOSE
 options   IPFIREWALL_VERBOSE_LIMIT=100
 options   IPFIREWALL_DEFAULT_TO_ACCEPT
 options   IPFIREWALL_FORWARD
 options   IPFIREWALL_FORWARD_EXTENDED
 options   DUMMYNET  #Traffic Shapper
 options   IPDIVERT  #NAT

 Celso

 2006/4/25, JC Júnior [EMAIL PROTECTED]:
 Caros amigos,  em primeiro lugar eu gostaria de não gerar flames, mas eu
 queria saber pra mim, que estou começando a 'tentar' a fazer um firewall
 com bds's (eh isso mesmo qualquer um, soh que optei em aprender freebsd
 primeiro), qual seria a melhor opção para aprender primeiro?? algum é
 instável? quais são as qualidades de cada um (na opinião de vc's)???

Olá,

 Se quiser utilizar o PF ele também é padrão no FreeBSD 5.x e 6.x e está
disponível no OpenBSD e NetBSD. Para utilizar o ALTQ é recomendado que
você utilize o PF, apesar de que existe uma gambiarra para utilizar ALTQ
com IPFW também (não recomendo).

 Basta ativá-lo no kernel com dev pf ou no /etc/rc.conf com
pf_enable=YES.

 http://www.openbsd.org/faq/pf/
 http://www.bgnett.no/~peter/pf/en/
 http://www.section6.net/wiki/index.php/Setting_up_a_Firewall_NAT_using_PF
 http://www.onlamp.com/pub/a/bsd/2006/02/16/os_fingerprint_filtering.html

Boa sorte,

-- 
Giovanni P. Tirloni
http://www.tirloni.org

___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Carlos Eduardo
É, apesar da sugestão do ipfw pelo colega, eu tenho achado o pf melhor,
apesar de já ter usado muito mais o ipfw. O PF veio do openbsd, que tem
como meta principal a segurança e já é padrão do FreeBSD, assim como o
ipfw e o ipf. Este último não conheço bem. Tenho achado a organização e
recursos do PF um pouco melhores que do IPFW.

Tem ótima documentação sobre o pf em português na página do projeto
openbsd:

http://www.openbsd.org/faq/pf/pt/index.html

Abs,

Carlos E. G. Carvalho   OpenIT Solucoes Tecnologicas
Consultor Unix/Internet Tel. +55 21 2517-6000
http://www.OpenIT.com.br
http://www.MyFreeBSD.com.br

Em Ter, 2006-04-25 às 01:17 -0300, JC Júnior escreveu:
 Caros amigos,  em primeiro lugar eu gostaria de não gerar flames, mas eu
 queria saber pra mim, que estou começando a 'tentar' a fazer um firewall
 com bds's (eh isso mesmo qualquer um, soh que optei em aprender freebsd
 primeiro), qual seria a melhor opção para aprender primeiro?? algum é
 instável? quais são as qualidades de cada um (na opinião de vc's)???
 
 obrigado pela atenção e paciência...
 junior 
 
 ___
 freebsd mailing list
 freebsd@fug.com.br
 http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
 
 !DSPAM:444da2c031872748450388!
 


___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Alexandre Andrade
Olá,

Eu particularmente utilizo IPFW, mas eu ainda preciso me aprimorar mais nele.
Se alguém tiver alguns exemplos de IPFW eu ficaria muito grato.

Valeu.

--

Alexandre Andrade
São Paulo - SP
Linux User: 337239
BSD User: BSD051253
[EMAIL PROTECTED]


On 4/25/06, Carlos Eduardo [EMAIL PROTECTED] wrote:
 É, apesar da sugestão do ipfw pelo colega, eu tenho achado o pf melhor,
 apesar de já ter usado muito mais o ipfw. O PF veio do openbsd, que tem
 como meta principal a segurança e já é padrão do FreeBSD, assim como o
 ipfw e o ipf. Este último não conheço bem. Tenho achado a organização e
 recursos do PF um pouco melhores que do IPFW.

 Tem ótima documentação sobre o pf em português na página do projeto
 openbsd:

 http://www.openbsd.org/faq/pf/pt/index.html

 Abs,

 Carlos E. G. Carvalho   OpenIT Solucoes Tecnologicas
 Consultor Unix/Internet Tel. +55 21 2517-6000
 http://www.OpenIT.com.br
 http://www.MyFreeBSD.com.br

 Em Ter, 2006-04-25 às 01:17 -0300, JC Júnior escreveu:
  Caros amigos,  em primeiro lugar eu gostaria de não gerar flames, mas eu
  queria saber pra mim, que estou começando a 'tentar' a fazer um firewall
  com bds's (eh isso mesmo qualquer um, soh que optei em aprender freebsd
  primeiro), qual seria a melhor opção para aprender primeiro?? algum é
  instável? quais são as qualidades de cada um (na opinião de vc's)???
 
  obrigado pela atenção e paciência...
  junior
 
  ___
  freebsd mailing list
  freebsd@fug.com.br
  http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
 
  !DSPAM:444da2c031872748450388!
 


 ___
 freebsd mailing list
 freebsd@fug.com.br
 http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br

___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Patrick Tracanelli
Alexandre Andrade wrote:
 Olá,
 
 Eu particularmente utilizo IPFW, mas eu ainda preciso me aprimorar mais nele.
 Se alguém tiver alguns exemplos de IPFW eu ficaria muito grato.
 
 Valeu.

[cut]

 On 4/25/06, Carlos Eduardo [EMAIL PROTECTED] wrote:
 
É, apesar da sugestão do ipfw pelo colega, eu tenho achado o pf melhor,
apesar de já ter usado muito mais o ipfw. O PF veio do openbsd, que tem
como meta principal a segurança e já é padrão do FreeBSD, assim como o
ipfw e o ipf. Este último não conheço bem. Tenho achado a organização e
recursos do PF um pouco melhores que do IPFW.

Tem ótima documentação sobre o pf em português na página do projeto
openbsd:

[cut]

Em Ter, 2006-04-25 às 01:17 -0300, JC Júnior escreveu:

Caros amigos,  em primeiro lugar eu gostaria de não gerar flames, mas eu
queria saber pra mim, que estou começando a 'tentar' a fazer um firewall
com bds's (eh isso mesmo qualquer um, soh que optei em aprender freebsd
primeiro), qual seria a melhor opção para aprender primeiro?? algum é
instável? quais são as qualidades de cada um (na opinião de vc's)???

obrigado pela atenção e paciência...
junior

Proponho que ao comparar facamos comparacoes tecnicas. Por que motivo 
indicar X ao inves de Y, tecnicamente? Mesmo porque por escolhas 
pessoais o amigo que esta na duvida vai ter que usar as 3 opcoes de 
firewall do FreeBSD por um bom tempo antes de resolver por qual ele 
caira de amores. Entao pontos tecnicos seriam mais bem vindos =)

-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
(31) 3281-9633 / 3281-3547
[EMAIL PROTECTED]
http://www.freebsdbrasil.com.br
Long live Hanin Elias, Kim Deal!

___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Marcus Alves Grando
pf.

- Ele não precisa lockar o sistema todo com Giant para funcionar, já os
outros precisam.
- Alem do básico (statefull firewall) ele tem várias funções adicionais
rdr, nat, altq, groups, tag (se não me engano).

Abraços

JC Júnior wrote:
 Caros amigos,  em primeiro lugar eu gostaria de não gerar flames, mas eu
 queria saber pra mim, que estou começando a 'tentar' a fazer um firewall
 com bds's (eh isso mesmo qualquer um, soh que optei em aprender freebsd
 primeiro), qual seria a melhor opção para aprender primeiro?? algum é
 instável? quais são as qualidades de cada um (na opinião de vc's)???
 
 obrigado pela atenção e paciência...
 junior 
 
 ___
 freebsd mailing list
 freebsd@fug.com.br
 http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br

-- 
Marcus Alves Grando
marcus(at)corp.grupos.com.br  |  Grupos Internet S/A
  mnag(at)FreeBSD.org |  FreeBSD.org
___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Vitor Renato Alves de Brito
Olá,

Concordo, porém, vejo um grande problema no PF, pelo menos ainda não
consegui resolver isto aqui: FTP com NAT. To usando o ftp-proxy que me foi
sugerido mas o danado teima em funcionar só quando quer.

Se alguém tiver uma opção que funcione me dá um toque.

Falou.


On Tue, 25 Apr 2006, Marcus Alves Grando wrote:

 pf.
 
 - Ele não precisa lockar o sistema todo com Giant para funcionar, já os
 outros precisam.
 - Alem do básico (statefull firewall) ele tem várias funções adicionais
 rdr, nat, altq, groups, tag (se não me engano).
 
 Abraços
 
 JC Júnior wrote:
  Caros amigos,  em primeiro lugar eu gostaria de não gerar flames, mas eu
  queria saber pra mim, que estou começando a 'tentar' a fazer um firewall
  com bds's (eh isso mesmo qualquer um, soh que optei em aprender freebsd
  primeiro), qual seria a melhor opção para aprender primeiro?? algum é
  instável? quais são as qualidades de cada um (na opinião de vc's)???
  
  obrigado pela atenção e paciência...
  junior 
  
  ___
  freebsd mailing list
  freebsd@fug.com.br
  http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
 
 -- 
 Marcus Alves Grando
 marcus(at)corp.grupos.com.br  |  Grupos Internet S/A
   mnag(at)FreeBSD.org |  FreeBSD.org
 ___
 freebsd mailing list
 freebsd@fug.com.br
 http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
 
 
 
 ---
 Esta mensagem foi verificada pelo e-mail protegido Arte Final
 Antivírus: F-Prot / Versão: 4.6.6 / Atualizado em: 21-Abr-2006
 Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br
 

Até mais,

---
Vitor Renato Alves de Brito - System Manager
Arte Final Provedor Internet - http://www.artefinal.com.br
Alfenas - Sul de Minas Gerais




---
Esta mensagem foi verificada pelo e-mail protegido Arte Final
Antivírus: F-Prot / Versão: 4.6.6 / Atualizado em: 21-Abr-2006
Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br

___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Marcus Alves Grando
Vitor Renato Alves de Brito wrote:
 Olá,
 
 Concordo, porém, vejo um grande problema no PF, pelo menos ainda não
 consegui resolver isto aqui: FTP com NAT. To usando o ftp-proxy que me foi
 sugerido mas o danado teima em funcionar só quando quer.
 
 Se alguém tiver uma opção que funcione me dá um toque.

ftp/pftpx é o novo proxy do OpenBSD 3.9. Funciona.

Abraços

-- 
Marcus Alves Grando
marcus(at)corp.grupos.com.br  |  Grupos Internet S/A
  mnag(at)FreeBSD.org |  FreeBSD.org
___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Rainer Alves
Vitor Renato Alves de Brito wrote:
 Olá,
 
 Concordo, porém, vejo um grande problema no PF, pelo menos ainda não
 consegui resolver isto aqui: FTP com NAT. To usando o ftp-proxy que me foi
 sugerido mas o danado teima em funcionar só quando quer.
 
 Se alguém tiver uma opção que funcione me dá um toque.
 

[EMAIL PROTECTED] /usr/ports]$ make search key=pf.*proxy
Port:   pftpx-0.8_1
Path:   /usr/ports/ftp/pftpx
Info:   Much enhanced ftp proxy for pf that supports most ftp protocols

--
Rainer Alves

___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Carlos Eduardo
Não testei, mas na documentação oficial do openbsd sobre PF tem algo
sobre isso:

http://www.openbsd.org/faq/pf/pt/ftp.html

Dentre outras coisas veja Servidor FTP Protegido por um Firewall PF
Externo Fazendo NAT nesta página.

Abs,

Carlos E. G. Carvalho   OpenIT Solucoes Tecnologicas
Consultor Unix/Internet Tel. +55 21 2517-6000
http://www.OpenIT.com.br
http://www.MyFreeBSD.com.br

Em Ter, 2006-04-25 às 11:14 -0300, Rainer Alves escreveu:
 Vitor Renato Alves de Brito wrote:
  Olá,
  
  Concordo, porém, vejo um grande problema no PF, pelo menos ainda não
  consegui resolver isto aqui: FTP com NAT. To usando o ftp-proxy que me foi
  sugerido mas o danado teima em funcionar só quando quer.
  
  Se alguém tiver uma opção que funcione me dá um toque.
  
 
 [EMAIL PROTECTED] /usr/ports]$ make search key=pf.*proxy
 Port:   pftpx-0.8_1
 Path:   /usr/ports/ftp/pftpx
 Info:   Much enhanced ftp proxy for pf that supports most ftp protocols
 
 --
 Rainer Alves
 
 ___
 freebsd mailing list
 freebsd@fug.com.br
 http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
 
 !DSPAM:444e2edc31875974315600!
 


___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico JC Júnior
É verdade, realmente, seria melhor opiniões técnicas, pois esse ou
aquele é melhor fica dificil de entender, uma das coisas que me preocupa
muito é o lance da performance, por exemplo: resolvi aprender primeiro
pf, pois aprendendo esse faria firewalls tanto no free como no open,
entaum ,lendo a documentação que o outro colega indicou eu percebi que
mesmo que uma regra 'case' ele ainda assim verifica todas as demais (com
excessão do quick(acho que é isso)), isso em uma rede pequena deve
funcionar legal, mas numa rede grande acredito que sobrecarrege um pouco
a máquina, mesmo sendo um firewall 'default drop', que deverá gerar
menos regras, pode se tornar um problema, então eu queria saber se algum
é mais pesado do que o outro, quais são os problemas inerentes a cada
(por exemplo o ftp no pf, que também é comentado na documentação),
existe alguam indicção 'oficial', se tem alguma característica
diferencial (por exemplo a opção antispoof do pf eu achei bem legal).
Como apenas mexi com pf , ainda naum tenho opinião formada, realmente
ainda vou ter que perder um tempo com isso, mas a opinião de alguém que
usa isso no dia-a-dia é muito importante.

Sendo assim conto com a ajuda de vcś , []'s a todos
Junior

___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Carlos Eduardo
Em Ter, 2006-04-25 às 10:24 -0300, Patrick Tracanelli escreveu:

 Proponho que ao comparar facamos comparacoes tecnicas. Por que motivo 
 indicar X ao inves de Y, tecnicamente? Mesmo porque por escolhas 
 pessoais o amigo que esta na duvida vai ter que usar as 3 opcoes de 
 firewall do FreeBSD por um bom tempo antes de resolver por qual ele 
 caira de amores. Entao pontos tecnicos seriam mais bem vindos =)
 

Ah Patrickinho, você precisa ser mais romântico... :)

Brincadeiras a parte, tem toda a razão.

O problema é que minha opinião ainda é subjetiva pois usei muito pouco o
PF, mas este me parece mais completo e bem estruturado. O bem
estruturado pode ter um q de opinião pessoal ou romantismo, mas vamos
lá...

Tem coisas como o uso de tabelas dinâmicas, listas e macros, que
facilitam a criação de regras mais abrangentes e a manutenção on-line
de regras.

Já tem nat incorporado (mais simples de configurar), no ipfw precisamos
do natd.

Tem AltQ (controle de banda) e failover integrado com CARP e pfsync
também já bem funcionais e testados. Tem synproxy, que não tem no
ipfw, evitando problemas de DoS. As âncoras também facilitam a
configuração e podem facilitar a organização delas além da manutenção em
tempo real, como as tabelas.

Além disso a documentação bem completa e oficial (bem escrita, clara e
correta) em português me parece também uma boa vantagem.

Abs,

Carlos E. G. Carvalho   OpenIT Solucoes Tecnologicas
Consultor Unix/Internet Tel. +55 21 2517-6000
http://www.OpenIT.com.br
http://www.MyFreeBSD.com.br



___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Patrick Tracanelli

 O problema é que minha opinião ainda é subjetiva pois usei muito pouco o
 PF, mas este me parece mais completo e bem estruturado. O bem
 estruturado pode ter um q de opinião pessoal ou romantismo, mas vamos
 lá...

Pois e eu andei usando bastante PF tambem, tentando reescrever minhas 
regras e tive problemas. Por exemplo PF nao trata ipoptions tao bem 
quanto IPFW. Nao consegui tratar windows size. Nao consegui tratar range 
de tamanho de pacote (como iplen no ipfw). Nao pude filtrar lsrr, rr, 
etc de IP. Tem varias outras coisas, algumas pode ate ser culpa minha - 
por exemplo nao consegui limitar sessoes simultaneas de um mesmo IP pra 
um servidor SMTP, como limit src-addr ou combinacao de src-addr e dst-port.

Nao consegui tambem identificar pacotes passando numa sessao IPSec. Nao 
consegui filtrar rarp :(

 Tem coisas como o uso de tabelas dinâmicas, listas e macros, que
 facilitam a criação de regras mais abrangentes e a manutenção on-line
 de regras.

Bem apontando, sao recursos interessantes, em especial as listas. Mas as 
macros do PF sao meio pasmaceira, um script shell substitui `a altura 
hehe, e as tables do PF mais burras que as do IPFW. table no ipfw usa 
duas tabelas em arvore radix (mesma do PATRICIA Trie, roteamento) uma 
radix pra hosts e uma pra redes; logo a performance e bem maior quando 
comparada com uma radix tree que nao distingue hosts de redes (como 
redes sao mais abrangentes devem ser evaluated primeiro, ja que tem 
mais chance de dar o match).

 Já tem nat incorporado (mais simples de configurar), no ipfw precisamos
 do natd.

Tai um ponto muito forte do PF. Ja tem in-kernel NAT (ipfw tem mas e 
experimental), apesar do menor controle (o natd por ser um processo da 
userland vc impoe limites a ele, podendo ate associa-lo a uma login 
class dependendo de como execute-o, no kernel nao). Acho que a maior 
vantagem disso e poder usar balanceamento de saida e nat pools, o que o 
natd nao faz. Por outro lado natd tem suporte melhor a sockets do que o 
Pf nat. Dai existe a necessidade de chunchos do tipo usar proxy na 
user-land. Infelizmente nao tem proxy de userland pra toda aplicacao. Na 
verdade nem sei se tem pra outras alem de ftp.

Mas pra opcao de NAT o IPNAT do IPF tambem e excelente. Nao deixa a 
desejar pro PF nao. Entao o amigo com duvidas talvez queira testar IPF 
pra esse caso pra concluir hehe.

 Tem AltQ (controle de banda) e failover integrado com CARP e pfsync
 também já bem funcionais e testados.

ALTQ tem seus problemas insuportaveis, como nao fazer queue no 
ip_output(). Nao tem flexibilidade pra criar WF2Q+, e quando faz algo 
similar o calculo e baseado no tamanho da RAIZ da queue. Entao nao ha 
divisao por demanda precisa como no caso do dummynet. Isso pode ser 
pessimo pra quem usa em provedores. Por nao fazer output nao da pra por 
exemplo assumir politicas distintas por interface com base no fluxo. Por 
exemplo:

ambiente dual homed simples, interface interna e externa.

Criar uma limitacao na interface interna por fluxo de entrada e saida, e 
tornar essa limitacao independente de atividade de qualquer outro host. 
Assim da pra limitar o trafego de saida total de forma independendente 
ou colocar os caras pra dividir o trafego de saida total entre 
agrupamentos de hosts; paralemanente na interface externa colocar uma 
politica que divida dinamicamente (por demanda e nao baseado em calculo 
da largura de banda) o trafego sainte e entrante. Assim da pra dividir 
no mesmo firewall o perimetro de controle de fluxo (um seja um shaper 
multi-screened control na literatura da SANS). Entao voce impoe limites 
na interface interna e faz todomundo dividir o prejuizo na interface 
externa, caso o link esteja congestionado. O bom e que esse dividir o 
prejuizo e de forma que faz distincao entre os hosts, com weight. Assim 
quem tem por exemplo limites de 512Kb na interna pode ter o dobro do 
consumo de quem tem limites de 256Kb, fazendo o primrimeiro concorrer 
apenas com outros com seu mesmo peso.

Com ALTQ seria necessario 2 maquinas pra fazer isso.

Por outro lado, ALTQ tem borrow e upperlimit. Se funcionasse em todos os 
fluxos seria uma grande vantagem, pq sao opcoes funcionais bem legais. 
Mas tambem, estamos falando do ALTQ, e isso nao e necessariamente 
vantagem do PF. Eu uso ALTQ com IPFW, e funciona muito bem. E em caso de 
fluxo entrante se o destino nao for *me* como o ip_fw2.c tem a chamada 
ip_output() quando a maquina atual com gateway, que e a mesma que o ALTQ 
usa, quando o pacote passa de uma interface pra outra o fluxo se aplica. 
Entao temos um efeito do feitico virando contra o feiticeiro ja que com 
IPFW o ALTQ consegue a tao querida funcionalidade que nao consegue no 
PF. Eu uso aqui ALTQ com ipfw, da pra se divertir um bocado:

([EMAIL PROTECTED])~# ipfw enable altq
([EMAIL PROTECTED])~# ipfw add 1 count altq fila1 all from any to any 
110,143,993 keep-state

([EMAIL PROTECTED])~# ipfw show 1
1 90 4578 count altq fila1 ip from any 

Re: [FUG-BR] PF ou IPF ou IPFW

2006-04-25 Por tôpico Marcelo Soares da Costa
Acho bom conhecer todos suas virtudes e sua limitações, mas são coisas
diferentes, defendendo o ipfw digo que ele foi feito para ter o menor
custo , ou seja , utiliza o menos processamento que qualquer outro, esse
é o objetivo dele , qto ao o que um faz os demias fazem 99% a mesma
coisa , a melhor escolha portanto depende tanto de gosto como também de
uma dos objetivos, pensa em altq, carp etc para definir melhor quais os
objetivos.

Em Ter, 2006-04-25 às 01:17 -0300, JC Júnior escreveu:
 Caros amigos,  em primeiro lugar eu gostaria de não gerar flames, mas eu
 queria saber pra mim, que estou começando a 'tentar' a fazer um firewall
 com bds's (eh isso mesmo qualquer um, soh que optei em aprender freebsd
 primeiro), qual seria a melhor opção para aprender primeiro?? algum é
 instável? quais são as qualidades de cada um (na opinião de vc's)???
 
 obrigado pela atenção e paciência...
 junior 
 
 ___
 freebsd mailing list
 freebsd@fug.com.br
 http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
-- 
Marcello Costa
BSD System Engineer
unixmafia at yahoo dot com dot br



___ 
Abra sua conta no Yahoo! Mail: 1GB de espa�o, alertas de e-mail no celular e 
anti-spam realmente eficaz. 
http://br.info.mail.yahoo.com/
___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Ronan Lucio
 Proponho que ao comparar facamos comparacoes tecnicas. Por que motivo
 indicar X ao inves de Y, tecnicamente? Mesmo porque por escolhas
 pessoais o amigo que esta na duvida vai ter que usar as 3 opcoes de
 firewall do FreeBSD por um bom tempo antes de resolver por qual ele
 caira de amores. Entao pontos tecnicos seriam mais bem vindos =)

Muito bem colocado Patrick,
As vezes não da vontade nem de responder porque se torna uma
briga de religião apontando gostos pessoais sem fundamentação.

É o mesmo que ocorre com discussões entre MySQL x Postgres,
Postfix x Qmail e etc.

Mas então vamos as respostas:
Eu não conheço profundamente o PF, mas venho acompanhando
a um tempo.

Até aonde eu pude entender diria que as duas opções têm suas
vantagens e desvantagens:

Se a necessidade é balanceamento de carga entre 2 links, o PF
oferece uma certa vantagem por contar com o ALTQ e o route-to
Do contrário, o IPFW leva uma certa vantagem por ter o DUMMYNET,
que é nativo.

No mais, penso que qualquer um dos 2 atendem as necessidades
básicas de um firewall.
Sendo assim, caso a necessidade seja alguma filtragem muito específica
devido à alguma característica do tráfego na empresa, o ideal seria
estudar os 2 pra ver qual melhor se adequa as necessidades.

Se for elas por elas, eu ficaria com o IPFW por ser nativo.

[]s
Ronan 


___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Marcus Alves Grando
Ronan Lucio wrote:
 Proponho que ao comparar facamos comparacoes tecnicas. Por que motivo
 indicar X ao inves de Y, tecnicamente? Mesmo porque por escolhas
 pessoais o amigo que esta na duvida vai ter que usar as 3 opcoes de
 firewall do FreeBSD por um bom tempo antes de resolver por qual ele
 caira de amores. Entao pontos tecnicos seriam mais bem vindos =)
 
...
 Se a necessidade é balanceamento de carga entre 2 links, o PF
 oferece uma certa vantagem por contar com o ALTQ e o route-to
 Do contrário, o IPFW leva uma certa vantagem por ter o DUMMYNET,
 que é nativo.

O ALTQ é tão nativo quanto o DUMMYNET.

 
 No mais, penso que qualquer um dos 2 atendem as necessidades
 básicas de um firewall.

Com certeza.

 Sendo assim, caso a necessidade seja alguma filtragem muito específica
 devido à alguma característica do tráfego na empresa, o ideal seria
 estudar os 2 pra ver qual melhor se adequa as necessidades.

Com certeza também. Mas pra isso o usuário tem que entender de IP e de
firewall, senão pra ele é indiferente.

 
 Se for elas por elas, eu ficaria com o IPFW por ser nativo.

Novamente. É tão nativo quanto o PF ou quanto o IPF.

Por anos usei o IPF. O que me fez mudar foi ver que tudo que precisava
estava no PF e não tinha problemas de LOCK. O IPF acabou parando um
pouco o desenvolvimento e pararam de atualizar sempre ele na árvore do
FreeBSD. No meu ver isso impactou na migração de vários usuários para PF.

Abraços

-- 
Marcus Alves Grando
marcus(at)corp.grupos.com.br  |  Grupos Internet S/A
  mnag(at)FreeBSD.org |  FreeBSD.org
___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Ronan Lucio
Marcus,

 O ALTQ é tão nativo quanto o DUMMYNET.

Somente nas versões mais recentes.

Como eu havia dito. Depende das necessidade da empresa.
Tenho clientes até com FreeBSD-4.3. Falo pra eles atualizar
mas os caras não querem, não adianta.

Sabe que tem uma parcela de cliente que pensa assim:
Tá funcionando? Então já ta respondido...

[]s
Ronan 


___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Marcelo Soares da Costa
Po Patrick , faz um paper desse com layer 7 no ipfw , pode ser em
guardanapo mesmo, vai arrebentar

Em Ter, 2006-04-25 às 13:42 -0300, Patrick Tracanelli escreveu:

-- 
Marcello Costa
BSD System Engineer
unixmafia at yahoo dot com dot br



___ 
Abra sua conta no Yahoo! Mail: 1GB de espa�o, alertas de e-mail no celular e 
anti-spam realmente eficaz. 
http://br.info.mail.yahoo.com/
___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Marcus Alves Grando
Ronan Lucio wrote:
 Marcus,
 
 O ALTQ é tão nativo quanto o DUMMYNET.
 
 Somente nas versões mais recentes.
 
 Como eu havia dito. Depende das necessidade da empresa.
 Tenho clientes até com FreeBSD-4.3. Falo pra eles atualizar
 mas os caras não querem, não adianta.

A hora que eles perderem algo por causa disso eles mudam de idéia.

 
 Sabe que tem uma parcela de cliente que pensa assim:
 Tá funcionando? Então já ta respondido...

Pois é. Isso é ruim.

Abraços

-- 
Marcus Alves Grando
marcus(at)corp.grupos.com.br  |  Grupos Internet S/A
  mnag(at)FreeBSD.org |  FreeBSD.org
___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Patrick Tracanelli
Marcelo Soares da Costa wrote:
 Po Patrick , faz um paper desse com layer 7 no ipfw , pode ser em
 guardanapo mesmo, vai arrebentar

Entao, em relacao a ipfw tee e criacao de regra dinamica na outra 
ponta, eu to fazendo. Sobre L7 tai um paradoxo. Mesmo funcionando melhor 
com snortsam e snort_inline do que uma implementacao nativa (tipo L7 do 
netfilter/linux), a segunda opcao e mais flexivel (pra um ambiente 
embarcado pelo menos) mesmo nao tendo um nivel de match seguro (varios 
pacotes passam, nao a maioria, mas varios). Entao nesse ponto eu acho 
que os BSD deviam eh ter um filtro com analise de L7 no proprio 
firewall, sem depende de userland. Tristemente nao e o caso. Entao putz, 
nem animo escrever nada nao hehehe. Se bem que eh facil, a documentacao 
do snortsam e do snort_inline sao boas =)

-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
(31) 3281-9633 / 3281-3547
[EMAIL PROTECTED]
http://www.freebsdbrasil.com.br
Long live Hanin Elias, Kim Deal!

___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Marcelo Soares da Costa
Em Ter, 2006-04-25 às 15:37 -0300, Patrick Tracanelli escreveu:
 Marcelo Soares da Costa wrote:
  Po Patrick , faz um paper desse com layer 7 no ipfw , pode ser em
  guardanapo mesmo, vai arrebentar
 
 Entao, em relacao a ipfw tee e criacao de regra dinamica na outra 
 ponta, eu to fazendo. Sobre L7 tai um paradoxo. Mesmo funcionando melhor 
 com snortsam e snort_inline do que uma implementacao nativa (tipo L7 do 
 netfilter/linux), a segunda opcao e mais flexivel (pra um ambiente 
 embarcado pelo menos) mesmo nao tendo um nivel de match seguro (varios 
 pacotes passam, nao a maioria, mas varios). Entao nesse ponto eu acho 
 que os BSD deviam eh ter um filtro com analise de L7 no proprio 
 firewall, sem depende de userland. Tristemente nao e o caso. Entao putz, 
 nem animo escrever nada nao hehehe. Se bem que eh facil, a documentacao 
 do snortsam e do snort_inline sao boas =)
 
achei isso no google , básico mas ajuda

http://freebsd.rogness.net/snort_inline/

Realmente falta um L7 , ai sim poderia dizer que o pf,ipf ou ipfw tem l7
e os outros não, hehe

[]'s
-- 
Marcello Costa
BSD System Engineer
unixmafia at yahoo dot com dot br



___ 
Abra sua conta no Yahoo! Mail: 1GB de espa�o, alertas de e-mail no celular e 
anti-spam realmente eficaz. 
http://br.info.mail.yahoo.com/
___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Gilberto Villani Brito
Usando ftp de novo passivo não é preciso usar ftp-proxy.
Eu testei o ftp-proxy e funcionou, mas ele trava quando se entra no modo 
passivo, por isso tirei essa regra e peço aos usuários usar o modo passivo no 
ftp.

Já que estou palpitando na lista, aqui vai um problema: 
Meu pf com o tempo começa a deixar a minha rede lenta, alguém pode me auxiliar 
no que deve ser?? Meu firewall (FreeBSD 6.0) começa a descartar pacotes, será 
que é algo no set timeout da vida??? Ou algo nas variáveis sysctl???

Abraços
Gilberto



On Tue, 25 Apr 2006 11:13:43 -0300
Marcus Alves Grando [EMAIL PROTECTED] wrote:

 Vitor Renato Alves de Brito wrote:
  Olá,
  
  Concordo, porém, vejo um grande problema no PF, pelo menos ainda não
  consegui resolver isto aqui: FTP com NAT. To usando o ftp-proxy que me foi
  sugerido mas o danado teima em funcionar só quando quer.
  
  Se alguém tiver uma opção que funcione me dá um toque.
 
 ftp/pftpx é o novo proxy do OpenBSD 3.9. Funciona.
 
 Abraços
 
 -- 
 Marcus Alves Grando
 marcus(at)corp.grupos.com.br  |  Grupos Internet S/A
   mnag(at)FreeBSD.org |  FreeBSD.org
 ___
 freebsd mailing list
 freebsd@fug.com.br
 http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
 
___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Marcelo Lima
Gilberto Villani Brito wrote:
 Usando ftp de novo passivo não é preciso usar ftp-proxy.
 Eu testei o ftp-proxy e funcionou, mas ele trava quando se entra no modo 
 passivo, por isso tirei essa regra e peço aos usuários usar o modo passivo no 
 ftp.
 
 Já que estou palpitando na lista, aqui vai um problema: 
 Meu pf com o tempo começa a deixar a minha rede lenta, alguém pode me 
 auxiliar no que deve ser?? Meu firewall (FreeBSD 6.0) começa a descartar 
 pacotes, será que é algo no set timeout da vida??? Ou algo nas variáveis 
 sysctl???
 
 Abraços
 Gilberto
 
 
 
 On Tue, 25 Apr 2006 11:13:43 -0300
 Marcus Alves Grando [EMAIL PROTECTED] wrote:
 
 Vitor Renato Alves de Brito wrote:
 Olá,

 Concordo, porém, vejo um grande problema no PF, pelo menos ainda não
 consegui resolver isto aqui: FTP com NAT. To usando o ftp-proxy que me foi
 sugerido mas o danado teima em funcionar só quando quer.

 Se alguém tiver uma opção que funcione me dá um toque.
 ftp/pftpx é o novo proxy do OpenBSD 3.9. Funciona.

 Abraços

 -- 
 Marcus Alves Grando
 marcus(at)corp.grupos.com.br  |  Grupos Internet S/A
   mnag(at)FreeBSD.org |  FreeBSD.org
 ___
 freebsd mailing list
 freebsd@fug.com.br
 http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br

 ___
 freebsd mailing list
 freebsd@fug.com.br
 http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br

set limit { states 10, frags 1 }

coloque isso no pf.conf
quando comecei a usar pf tive esse problema quando tinha muito trafego



-- 
Marcelo Lima
Administrador de redes
Departamento de Redes e Tecnologia

Telefone: +55 11 3177-0700 ext: 480
Celular:  +55 11 7714-4077
E-mail:   [EMAIL PROTECTED]
Jabber:   [EMAIL PROTECTED]
MSN:  [EMAIL PROTECTED]
ICQ:  235332632

Catho Online - Seu sucesso é o nosso negócio
http://www.catho.com.br/
http://www.catho.cl/
___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Fabio Coelho
Poxa, imagine um layer 7 no freebsdseria muito show de bola.

Marcelo Soares da Costa [EMAIL PROTECTED] escreveu:  Po Patrick , faz um 
paper desse com layer 7 no ipfw , pode ser em
guardanapo mesmo, vai arrebentar

Em Ter, 2006-04-25 Ã s 13:42 -0300, Patrick Tracanelli escreveu:

-- 
Marcello Costa
BSD System Engineer
unixmafia at yahoo dot com dot br



___ 
Abra sua conta no Yahoo! Mail: 1GB de espaço, alertas de e-mail no celular e 
anti-spam realmente eficaz. 
http://br.info.mail.yahoo.com/
___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br



-
 Abra sua conta no Yahoo! Mail - 1GB de espaço, alertas de e-mail no celular e 
anti-spam realmente eficaz. 
___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico Luiz Otávio Souza
From: Patrick Tracanelli [EMAIL PROTECTED]

  Já tem nat incorporado (mais simples de configurar), no ipfw precisamos
  do natd.

 Tai um ponto muito forte do PF. Ja tem in-kernel NAT (ipfw tem mas e
 experimental), apesar do menor controle (o natd por ser um processo da
 userland vc impoe limites a ele, podendo ate associa-lo a uma login
 class dependendo de como execute-o, no kernel nao). Acho que a maior
 vantagem disso e poder usar balanceamento de saida e nat pools, o que o
 natd nao faz. Por outro lado natd tem suporte melhor a sockets do que o
 Pf nat. Dai existe a necessidade de chunchos do tipo usar proxy na
 user-land. Infelizmente nao tem proxy de userland pra toda aplicacao. Na
 verdade nem sei se tem pra outras alem de ftp.

Patrick,

quem falou que o natd nao faz balanceamento ? eu tenho (em algum lugar) um
patch que faz isso.

voce poe um segundo ip pro natd usar como alias address, assim o natd eh 
capaz
de gerar trafego em dois (ou mais) IPs diferentes (e possivelmente) de redes
diferentes.

O patch ainda permite o balanceamento de link desiguais uma vez que tem um
sistema parecido com o prob do ipfw e mantem numa tabela interna os estados
das conexões, mantendo o cliente saindo sempre pelo mesmo link.

O unico problema do natd eh o overhead da aplicacao userland (copia do 
pacote
do kernel para o userland e vice-versa), mas com as maquinas atuais isso não
eh grande problema.

Vou procurar o patch aqui e ja envio pra lista

luiz

___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF ou IPFW

2006-04-25 Por tôpico JC Júnior
é realemente ainda me falta muito pra verificar,
obrigado



On Tue, 2006-04-25 at 13:57 -0300, Marcelo Soares da Costa wrote:
 Acho bom conhecer todos suas virtudes e sua limitações, mas são coisas
 diferentes, defendendo o ipfw digo que ele foi feito para ter o menor
 custo , ou seja , utiliza o menos processamento que qualquer outro, esse
 é o objetivo dele , qto ao o que um faz os demias fazem 99% a mesma
 coisa , a melhor escolha portanto depende tanto de gosto como também de
 uma dos objetivos, pensa em altq, carp etc para definir melhor quais os
 objetivos.


___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


Re: [FUG-BR] PF ou IPF

2006-04-25 Por tôpico JC Júnior

Cara, me desculpa a pergunta, mas o que é LOCK???
 
 Por anos usei o IPF. O que me fez mudar foi ver que tudo que precisava
 estava no PF e não tinha problemas de LOCK. O IPF acabou parando um
 pouco o desenvolvimento e pararam de atualizar sempre ele na árvore do
 FreeBSD. No meu ver isso impactou na migração de vários usuários para PF.
 
 Abraços
 

___
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br