Re: [FUG-BR] duvida pf / rotas [RESOLVIDO]
Em 24 de maio de 2013 11:39, Denis Granato escreveu: > 2013/5/24 Denis Granato > > > > > > > > > 2013/5/24 Adalberto Gonçalves > > > >> Em 24 de maio de 2013 10:28, Denis Granato >> >escreveu: > >> > >> > Bom dia senhores, > >> > > >> > É possivel eu realizar rotas baseadas em porta de origem ? Tenho um > >> > firewall aqui > >> > com 2 saidas pra internet e gostaria que sempre que ele recebesse uma > >> > conexão > >> > na porta 2 (VPN) ele "saisse" pelo gateway da internet 2 > >> > > >> > Obrigado e bom dia a todos > >> > - > >> > Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > > >> > >> Você pode usar o esquema de reply-to do PF. Seria mais ou menos assim: > >> > >> link_if="bce1" # Interface > >> link_gw="201.xx.xx.xx" # GW da Interface > >> vpn_port="1194" # Porta VPN > >> > >> pass in quick on $link_if reply-to ($link_if $link_gw) proto udp from > any > >> to port $vpn_port keep state > >> > >> No caso de ser openvpn, tem que setar o "bind" no arquivo de > configuração: > >> > >> local 201.xx.xx.xx # Interface por onde o openvpn vai escutar. > >> > >> [ ]'s > >> > >> -- > >> === > >> Adalberto Gonçalves - Network and Systems Administrator > >> Tel: 19 3351 3301 > >> Cel: 19 9132 7538 > >> === > >> - > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > Blz Adalberto , vou testar aqui. Isso mesmo é OpenVPN > > > > abs > > > > > Adalberto, funcionou exatamente com essa regra que você passou. > > Estranhamente, na minha rede interna ainda não está funcionando quando eu > aponto > pro IP_INTERNO 1194 só no IP_EXTERNO 1194, sabe o que pode ser? > > Obrigado > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Desculpa Denis não entendi, como assim da rede interna? Se for como estou pensando, você pode fazer uma exceção para uma tabela com teus endereços externos, nas suas regras de pass in $interface_interna, por exemplo: table { 201.xx.xx.xx } internal_net="192.168.1.0/24" pass in quick on $int_if proto tcp route-to ($link_if $link_gw) from $internal_net to ! modulate state Eu não lembro direito a sintaxe, pois eu uso setfib no lugar de route-to. [ ]'s -- === Adalberto Gonçalves - Network and Systems Administrator Tel: 19 3351 3301 Cel: 19 9132 7538 === - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvida pf / rotas [RESOLVIDO]
2013/5/24 Denis Granato > > > > 2013/5/24 Adalberto Gonçalves > >> Em 24 de maio de 2013 10:28, Denis Granato > >escreveu: >> >> > Bom dia senhores, >> > >> > É possivel eu realizar rotas baseadas em porta de origem ? Tenho um >> > firewall aqui >> > com 2 saidas pra internet e gostaria que sempre que ele recebesse uma >> > conexão >> > na porta 2 (VPN) ele "saisse" pelo gateway da internet 2 >> > >> > Obrigado e bom dia a todos >> > - >> > Histórico: http://www.fug.com.br/historico/html/freebsd/ >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > >> >> Você pode usar o esquema de reply-to do PF. Seria mais ou menos assim: >> >> link_if="bce1" # Interface >> link_gw="201.xx.xx.xx" # GW da Interface >> vpn_port="1194" # Porta VPN >> >> pass in quick on $link_if reply-to ($link_if $link_gw) proto udp from any >> to port $vpn_port keep state >> >> No caso de ser openvpn, tem que setar o "bind" no arquivo de configuração: >> >> local 201.xx.xx.xx # Interface por onde o openvpn vai escutar. >> >> [ ]'s >> >> -- >> === >> Adalberto Gonçalves - Network and Systems Administrator >> Tel: 19 3351 3301 >> Cel: 19 9132 7538 >> === >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > Blz Adalberto , vou testar aqui. Isso mesmo é OpenVPN > > abs > > Adalberto, funcionou exatamente com essa regra que você passou. Estranhamente, na minha rede interna ainda não está funcionando quando eu aponto pro IP_INTERNO 1194 só no IP_EXTERNO 1194, sabe o que pode ser? Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvida pf / rotas
2013/5/24 Adalberto Gonçalves > Em 24 de maio de 2013 10:28, Denis Granato >escreveu: > > > Bom dia senhores, > > > > É possivel eu realizar rotas baseadas em porta de origem ? Tenho um > > firewall aqui > > com 2 saidas pra internet e gostaria que sempre que ele recebesse uma > > conexão > > na porta 2 (VPN) ele "saisse" pelo gateway da internet 2 > > > > Obrigado e bom dia a todos > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > Você pode usar o esquema de reply-to do PF. Seria mais ou menos assim: > > link_if="bce1" # Interface > link_gw="201.xx.xx.xx" # GW da Interface > vpn_port="1194" # Porta VPN > > pass in quick on $link_if reply-to ($link_if $link_gw) proto udp from any > to port $vpn_port keep state > > No caso de ser openvpn, tem que setar o "bind" no arquivo de configuração: > > local 201.xx.xx.xx # Interface por onde o openvpn vai escutar. > > [ ]'s > > -- > === > Adalberto Gonçalves - Network and Systems Administrator > Tel: 19 3351 3301 > Cel: 19 9132 7538 > === > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Blz Adalberto , vou testar aqui. Isso mesmo é OpenVPN abs - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvida pf / rotas
Em 24 de maio de 2013 10:28, Denis Granato escreveu: > Bom dia senhores, > > É possivel eu realizar rotas baseadas em porta de origem ? Tenho um > firewall aqui > com 2 saidas pra internet e gostaria que sempre que ele recebesse uma > conexão > na porta 2 (VPN) ele "saisse" pelo gateway da internet 2 > > Obrigado e bom dia a todos > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Você pode usar o esquema de reply-to do PF. Seria mais ou menos assim: link_if="bce1" # Interface link_gw="201.xx.xx.xx" # GW da Interface vpn_port="1194" # Porta VPN pass in quick on $link_if reply-to ($link_if $link_gw) proto udp from any to port $vpn_port keep state No caso de ser openvpn, tem que setar o "bind" no arquivo de configuração: local 201.xx.xx.xx # Interface por onde o openvpn vai escutar. [ ]'s -- === Adalberto Gonçalves - Network and Systems Administrator Tel: 19 3351 3301 Cel: 19 9132 7538 === - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvida PF
Cara... faz assim, ao inves de bloquear a trafego sainte para a porta 80, faz um redirect para um websrever local, com uma pagina html explicando pq o cara caiu naquela paginal estatica ao inves de acessar o site, ae, na pagina vc coloca as orientacoes sobre como configurar o proxy. Porem, eu ainda aconselho fazer o q o Eduardo Alvarengo sugeriu, pq ae, quem estiver com a configuracao de detectar o proxy automaticamente, nem ira ver a pagina html estatica. 2006/10/26, listas diogo <[EMAIL PROTECTED]>: > eu preciso q todas as maquinas saiam pra net em outros protocolos > > por isso o nat continuaria habilitado full > > > porem eu vou configurar um proxy com auth porem eu preciso q os usuarios q > queiram usar web tenha q configurar o proxy no windows > > quem não configurar nao navega .. porem a duvida e o seguinte .. > > pelo fato de ter nat o cara vai passar direto ... por isso eu falei aquele > lance de bloquear a porta 80 pra consulta .. porem deve existem uma outra > forma > > > resumindo .. > > > nat vai precistar ter .. > > pessoal q for navegar cai no proxy com autenticação porem me falaram que > proxy com autenticação nao rola de fazer aquela regrinha de transparente > > ou devo colocar a regra e ainda configurar nos clientes ?? > > att diogo > > > > > > > > - Original Message - > From: "Renato Martins" <[EMAIL PROTECTED]> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Sent: Wednesday, October 26, 2005 2:20 PM > Subject: Re: [FUG-BR] duvida PF > > > vc vai precisar que essas maquinas saia para a net > vc vai usar outros programas que precisam de net sem ser o www? > se não nem faça nat ou coloque nat nos ips que realmente precisar sair, > assim vc vai evitar bastante o uso da net > - Original Message - > From: "listas diogo" <[EMAIL PROTECTED]> > To: > Sent: Thursday, October 26, 2006 1:16 PM > Subject: [FUG-BR] duvida PF > > > Caros amigos eu preciso liberar o nat na minha rede > porem preciso q se o usuario precise navegar ele use o proxy . > > > > veja se meu racicio esta certo > > eu bloqueio a porta 80 para consulta e quem quiser navegar precisa > configurar o proxy no IE porem irei utilizar um proxy autenticado > > o nat continua liberado para todos . > > pelo q eu li , proxy autenticado nao funciona regra de proxy transparente né > ??? > > é necessario configurar o proxy no braço em cada estação > > > atenciosamente diogo Rodrigo > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Atenciosmente Mario Augusto Mania --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvida PF
eu preciso q todas as maquinas saiam pra net em outros protocolos por isso o nat continuaria habilitado full porem eu vou configurar um proxy com auth porem eu preciso q os usuarios q queiram usar web tenha q configurar o proxy no windows quem não configurar nao navega .. porem a duvida e o seguinte .. pelo fato de ter nat o cara vai passar direto ... por isso eu falei aquele lance de bloquear a porta 80 pra consulta .. porem deve existem uma outra forma resumindo .. nat vai precistar ter .. pessoal q for navegar cai no proxy com autenticação porem me falaram que proxy com autenticação nao rola de fazer aquela regrinha de transparente ou devo colocar a regra e ainda configurar nos clientes ?? att diogo - Original Message - From: "Renato Martins" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, October 26, 2005 2:20 PM Subject: Re: [FUG-BR] duvida PF vc vai precisar que essas maquinas saia para a net vc vai usar outros programas que precisam de net sem ser o www? se não nem faça nat ou coloque nat nos ips que realmente precisar sair, assim vc vai evitar bastante o uso da net - Original Message - From: "listas diogo" <[EMAIL PROTECTED]> To: Sent: Thursday, October 26, 2006 1:16 PM Subject: [FUG-BR] duvida PF Caros amigos eu preciso liberar o nat na minha rede porem preciso q se o usuario precise navegar ele use o proxy . veja se meu racicio esta certo eu bloqueio a porta 80 para consulta e quem quiser navegar precisa configurar o proxy no IE porem irei utilizar um proxy autenticado o nat continua liberado para todos . pelo q eu li , proxy autenticado nao funciona regra de proxy transparente né ??? é necessario configurar o proxy no braço em cada estação atenciosamente diogo Rodrigo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvida PF
num rola transparente nao ? matheus -- We will call you cygnus, The God of balance you shall be - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvida PF
vc vai precisar que essas maquinas saia para a net vc vai usar outros programas que precisam de net sem ser o www? se não nem faça nat ou coloque nat nos ips que realmente precisar sair, assim vc vai evitar bastante o uso da net - Original Message - From: "listas diogo" <[EMAIL PROTECTED]> To: Sent: Thursday, October 26, 2006 1:16 PM Subject: [FUG-BR] duvida PF Caros amigos eu preciso liberar o nat na minha rede porem preciso q se o usuario precise navegar ele use o proxy . veja se meu racicio esta certo eu bloqueio a porta 80 para consulta e quem quiser navegar precisa configurar o proxy no IE porem irei utilizar um proxy autenticado o nat continua liberado para todos . pelo q eu li , proxy autenticado nao funciona regra de proxy transparente né ??? é necessario configurar o proxy no braço em cada estação atenciosamente diogo Rodrigo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvida PF
Em 26/10/06, irado furioso com tudo<[EMAIL PROTECTED]> escreveu: > Em Thu, 26 Oct 2006 14:34:20 -0200 > "Eduardo Alvarenga" <[EMAIL PROTECTED]> escreveu: > > > Aí no IE você configura para detectar proxy automaticamente. > > > > Funciona que é uma beleza. > > desde que o usuário esteja usando o Exploder. Difícil será fazer com > que, quem use outro, aceite um "downgrade". Não não, Firefox, Seamonkey, Mozilla, Opera, Safari e até o Konqueror possuem essa funcionalidade. Funciona bem no meu Firefox por exemplo. Grande abraço, -- Eduardo Alvarenga - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvida PF
Em Thu, 26 Oct 2006 14:34:20 -0200 "Eduardo Alvarenga" <[EMAIL PROTECTED]> escreveu: > Aí no IE você configura para detectar proxy automaticamente. > > Funciona que é uma beleza. desde que o usuário esteja usando o Exploder. Difícil será fazer com que, quem use outro, aceite um "downgrade". -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 100% Miko$hit-free mulheres são como piscinas: o custo de manutenção é alto pelo tempo que permanecemos dentro delas. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvida PF
> é necessario configurar o proxy no braço em cada estação Não. Leia sobre WPAD (Windows Proxy Auto Detection). É um arquivo javascript que você coloca num servidor web com nome wpad.[dominiodadopelodhcp] Aí no IE você configura para detectar proxy automaticamente. Funciona que é uma beleza. Grande abraço, -- Eduardo Alvarenga - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd