Re: [FUG-BR] firewall e sessão SSH
On Tuesday, April 29, 2014 06:06:59 PM Nicolas Wildner wrote:
- Mensagem original -
De: Renato Botelho rbga...@gmail.com
Para: Freebsd@fug.com.br
Cc: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br Enviadas: Terça-feira, 29 de Abril de 2014 17:01:35
Assunto: Re: [FUG-BR] firewall e sessão SSH
On Tuesday, April 29, 2014 04:48:10 PM Rafael Henrique Faria wrote:
2014-04-29 16:43 GMT-03:00 Márcio Elias marcioel...@gmail.com:
Certeza que isso funciona? tive problemas a algum tempo e nunca
mais
testei...
--
Att.
__
Márcio Elias Hahn do Nascimento
Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel: (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve
2014-04-29 6:17 GMT-03:00 Wenderson Souza
wendersonso...@gmail.com:
Em terça-feira, 29 de abril de 2014, Paulo Henrique - BSDs
Brasil
paulo.rd...@bsd.com.br escreveu:
Em 29/04/2014 01:01, Márcio Elias escreveu:
2014-04-29 0:22 GMT-03:00 Renato Sousa renso...@gmail.com
javascript:;
Boa noite a todos,
Estou implementando um firewall para um dos servidores
FreeBSD que
administro. Alterei o script padrão (/etc/rc.firewall) com
as
regras
que
necessito utilizando firewall_type=client no arquivo
/etc/rc.conf
Toda vez que vou rodar o firewall para testar minha sessão
ssh é
terminada
e quando vejo na maquina fisicamente o firewall só tem a
ultima
regra
dropando todas as conexões.
Observei melhor e notei que a sessão trava quando o comando
ipfw -f
é
executado, limpando todas as regras e deixando a ultima
regra fixa
de
drop.
Lembro-me que já utilizei esse script em versões anteriores
do
FreeBSD e
funcionava legal. Como fazer para que o resto do script
seja
executado
e o
comando ${fwcmd} add pass tcp from any to any
established garanta
o
funcionamento da sessão em andamento ?
Abraços,
Renato
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista:
https://www.fug.com.br/mailman/listinfo/freebsd
O que acontece é que quando vc executa um flush via ssh,
antes de ele
recarregar as regras ele já matou sua sessão e o comando de
reinicialização
do firewall atrelado a ela tmb.
Coloca isso na sua configuração de kernel:
options IPFIREWALL_DEFAULT_TO_ACCEPT
Com isso vc sempre terá a regra 65535 allow all from any to
any,
mesmo
rodando um ipfw -f flush. Durante aqueles instantes que o
seu script
está
aplicando as regras, seu firewall estará todo aberto, não
chega a ser
um
problema já que é por um período muito curto de tempo, e sua
sessão
ssh
não
vai cair.
Ai se vc quer aplicar uma politica de negação por padrão,
acrescente
no
seu
script de firewall uma regra tipo:
${fwcmd} add 65534 deny all from any to any
Ou para manter ainda a politica padrão do firewall para denied
nada
mais
simples e confortavel que um belo shell
ipfw -f /etc/rc.d/ipfw start
ou mais simples ainda,
Caso tenha configurado corretamente as variaveis do seu
/etc/rc.conf
basta um /etc/rc.d/ipfw restart
Que ele mesmo irá dar um flush e carregar suas regras.
Att.
--
Paulo Henrique.
Grupo de Usuários do FreeBSD no Brasil.
Fone: (21) 96713-5042
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Isso mesmo, geralmente faço pelo service ipfw restart
--
Atenciosamente,
Wenderson Souza - wendersonso...@gmail.com
Gerente de TI - 6P Telecom
+55 (43) 3235-1720 Oi Fixo
+55 (43) 9162-4333 Vivo Mobile
Skype: wendersonsouza
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Para resolver esses problemas com quedas de link, eu passei a usar
o
screen. E hoje eu não sei como fiquei tanto tempo se usar ele.
Além de quebrar um galho quando tem uma desconexão, quando cai o
link
Re: [FUG-BR] firewall e sessão SSH
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd +2. Uso o tmux como padrão com as funções mapeadas pra Control + F e deixo o screen em borda de filial como coeficiente de cagaço para acesso a portas seriais de ativos de rede que precisam ser configurados. screen /dev/ttyU0 9600 Aí o Control + F fica no tmux e o Control + A no screen :) O padrão do tmux é ctrl+b, então nem teria a necessidade de alterar... -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Apenas por uma questão de conforto ;) Diversos splits por dia(Control + F, Shift + %) e menos abertura de dedos. Nícolas Wildner Analista de Infraestrutura de TI Transportes Bertolini Ltda. www.tbl.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] firewall e sessão SSH
Em terça-feira, 29 de abril de 2014, Paulo Henrique - BSDs Brasil
paulo.rd...@bsd.com.br escreveu:
Em 29/04/2014 01:01, Márcio Elias escreveu:
2014-04-29 0:22 GMT-03:00 Renato Sousa renso...@gmail.comjavascript:;
:
Boa noite a todos,
Estou implementando um firewall para um dos servidores FreeBSD que
administro. Alterei o script padrão (/etc/rc.firewall) com as regras
que
necessito utilizando firewall_type=client no arquivo /etc/rc.conf
Toda vez que vou rodar o firewall para testar minha sessão ssh é
terminada
e quando vejo na maquina fisicamente o firewall só tem a ultima regra
dropando todas as conexões.
Observei melhor e notei que a sessão trava quando o comando ipfw -f é
executado, limpando todas as regras e deixando a ultima regra fixa de
drop.
Lembro-me que já utilizei esse script em versões anteriores do FreeBSD e
funcionava legal. Como fazer para que o resto do script seja executado
e o
comando ${fwcmd} add pass tcp from any to any established garanta o
funcionamento da sessão em andamento ?
Abraços,
Renato
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
O que acontece é que quando vc executa um flush via ssh, antes de ele
recarregar as regras ele já matou sua sessão e o comando de
reinicialização
do firewall atrelado a ela tmb.
Coloca isso na sua configuração de kernel:
options IPFIREWALL_DEFAULT_TO_ACCEPT
Com isso vc sempre terá a regra 65535 allow all from any to any, mesmo
rodando um ipfw -f flush. Durante aqueles instantes que o seu script está
aplicando as regras, seu firewall estará todo aberto, não chega a ser um
problema já que é por um período muito curto de tempo, e sua sessão ssh
não
vai cair.
Ai se vc quer aplicar uma politica de negação por padrão, acrescente no
seu
script de firewall uma regra tipo:
${fwcmd} add 65534 deny all from any to any
Ou para manter ainda a politica padrão do firewall para denied nada mais
simples e confortavel que um belo shell
ipfw -f /etc/rc.d/ipfw start
ou mais simples ainda,
Caso tenha configurado corretamente as variaveis do seu /etc/rc.conf
basta um /etc/rc.d/ipfw restart
Que ele mesmo irá dar um flush e carregar suas regras.
Att.
--
Paulo Henrique.
Grupo de Usuários do FreeBSD no Brasil.
Fone: (21) 96713-5042
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Isso mesmo, geralmente faço pelo service ipfw restart
--
Atenciosamente,
Wenderson Souza - wendersonso...@gmail.com
Gerente de TI - 6P Telecom
+55 (43) 3235-1720 Oi Fixo
+55 (43) 9162-4333 Vivo Mobile
Skype: wendersonsouza
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] firewall e sessão SSH
Certeza que isso funciona? tive problemas a algum tempo e nunca mais
testei...
--
Att.
__
Márcio Elias Hahn do Nascimento
Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel: (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve
2014-04-29 6:17 GMT-03:00 Wenderson Souza wendersonso...@gmail.com:
Em terça-feira, 29 de abril de 2014, Paulo Henrique - BSDs Brasil
paulo.rd...@bsd.com.br escreveu:
Em 29/04/2014 01:01, Márcio Elias escreveu:
2014-04-29 0:22 GMT-03:00 Renato Sousa renso...@gmail.com
javascript:;
:
Boa noite a todos,
Estou implementando um firewall para um dos servidores FreeBSD que
administro. Alterei o script padrão (/etc/rc.firewall) com as regras
que
necessito utilizando firewall_type=client no arquivo /etc/rc.conf
Toda vez que vou rodar o firewall para testar minha sessão ssh é
terminada
e quando vejo na maquina fisicamente o firewall só tem a ultima regra
dropando todas as conexões.
Observei melhor e notei que a sessão trava quando o comando ipfw -f é
executado, limpando todas as regras e deixando a ultima regra fixa de
drop.
Lembro-me que já utilizei esse script em versões anteriores do
FreeBSD e
funcionava legal. Como fazer para que o resto do script seja
executado
e o
comando ${fwcmd} add pass tcp from any to any established garanta o
funcionamento da sessão em andamento ?
Abraços,
Renato
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
O que acontece é que quando vc executa um flush via ssh, antes de ele
recarregar as regras ele já matou sua sessão e o comando de
reinicialização
do firewall atrelado a ela tmb.
Coloca isso na sua configuração de kernel:
options IPFIREWALL_DEFAULT_TO_ACCEPT
Com isso vc sempre terá a regra 65535 allow all from any to any, mesmo
rodando um ipfw -f flush. Durante aqueles instantes que o seu script
está
aplicando as regras, seu firewall estará todo aberto, não chega a ser
um
problema já que é por um período muito curto de tempo, e sua sessão ssh
não
vai cair.
Ai se vc quer aplicar uma politica de negação por padrão, acrescente no
seu
script de firewall uma regra tipo:
${fwcmd} add 65534 deny all from any to any
Ou para manter ainda a politica padrão do firewall para denied nada mais
simples e confortavel que um belo shell
ipfw -f /etc/rc.d/ipfw start
ou mais simples ainda,
Caso tenha configurado corretamente as variaveis do seu /etc/rc.conf
basta um /etc/rc.d/ipfw restart
Que ele mesmo irá dar um flush e carregar suas regras.
Att.
--
Paulo Henrique.
Grupo de Usuários do FreeBSD no Brasil.
Fone: (21) 96713-5042
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Isso mesmo, geralmente faço pelo service ipfw restart
--
Atenciosamente,
Wenderson Souza - wendersonso...@gmail.com
Gerente de TI - 6P Telecom
+55 (43) 3235-1720 Oi Fixo
+55 (43) 9162-4333 Vivo Mobile
Skype: wendersonsouza
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] firewall e sessão SSH
2014-04-29 16:43 GMT-03:00 Márcio Elias marcioel...@gmail.com:
Certeza que isso funciona? tive problemas a algum tempo e nunca mais
testei...
--
Att.
__
Márcio Elias Hahn do Nascimento
Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel: (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve
2014-04-29 6:17 GMT-03:00 Wenderson Souza wendersonso...@gmail.com:
Em terça-feira, 29 de abril de 2014, Paulo Henrique - BSDs Brasil
paulo.rd...@bsd.com.br escreveu:
Em 29/04/2014 01:01, Márcio Elias escreveu:
2014-04-29 0:22 GMT-03:00 Renato Sousa renso...@gmail.com
javascript:;
:
Boa noite a todos,
Estou implementando um firewall para um dos servidores FreeBSD que
administro. Alterei o script padrão (/etc/rc.firewall) com as regras
que
necessito utilizando firewall_type=client no arquivo /etc/rc.conf
Toda vez que vou rodar o firewall para testar minha sessão ssh é
terminada
e quando vejo na maquina fisicamente o firewall só tem a ultima regra
dropando todas as conexões.
Observei melhor e notei que a sessão trava quando o comando ipfw -f é
executado, limpando todas as regras e deixando a ultima regra fixa de
drop.
Lembro-me que já utilizei esse script em versões anteriores do
FreeBSD e
funcionava legal. Como fazer para que o resto do script seja
executado
e o
comando ${fwcmd} add pass tcp from any to any established garanta o
funcionamento da sessão em andamento ?
Abraços,
Renato
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
O que acontece é que quando vc executa um flush via ssh, antes de ele
recarregar as regras ele já matou sua sessão e o comando de
reinicialização
do firewall atrelado a ela tmb.
Coloca isso na sua configuração de kernel:
options IPFIREWALL_DEFAULT_TO_ACCEPT
Com isso vc sempre terá a regra 65535 allow all from any to any, mesmo
rodando um ipfw -f flush. Durante aqueles instantes que o seu script
está
aplicando as regras, seu firewall estará todo aberto, não chega a ser
um
problema já que é por um período muito curto de tempo, e sua sessão ssh
não
vai cair.
Ai se vc quer aplicar uma politica de negação por padrão, acrescente no
seu
script de firewall uma regra tipo:
${fwcmd} add 65534 deny all from any to any
Ou para manter ainda a politica padrão do firewall para denied nada mais
simples e confortavel que um belo shell
ipfw -f /etc/rc.d/ipfw start
ou mais simples ainda,
Caso tenha configurado corretamente as variaveis do seu /etc/rc.conf
basta um /etc/rc.d/ipfw restart
Que ele mesmo irá dar um flush e carregar suas regras.
Att.
--
Paulo Henrique.
Grupo de Usuários do FreeBSD no Brasil.
Fone: (21) 96713-5042
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Isso mesmo, geralmente faço pelo service ipfw restart
--
Atenciosamente,
Wenderson Souza - wendersonso...@gmail.com
Gerente de TI - 6P Telecom
+55 (43) 3235-1720 Oi Fixo
+55 (43) 9162-4333 Vivo Mobile
Skype: wendersonsouza
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Para resolver esses problemas com quedas de link, eu passei a usar o
screen. E hoje eu não sei como fiquei tanto tempo se usar ele.
Além de quebrar um galho quando tem uma desconexão, quando cai o link,
ou qualquer coisa do tipo, no meio de uma compilação ou outras coisas,
até mesmo poder continuar algum trabalho de casa, de algo que eu
comecei no computador do trabalho.
--
Rafael Henrique da Silva Faria
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] firewall e sessão SSH
On Tuesday, April 29, 2014 04:48:10 PM Rafael Henrique Faria wrote:
2014-04-29 16:43 GMT-03:00 Márcio Elias marcioel...@gmail.com:
Certeza que isso funciona? tive problemas a algum tempo e nunca mais
testei...
--
Att.
__
Márcio Elias Hahn do Nascimento
Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel: (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve
2014-04-29 6:17 GMT-03:00 Wenderson Souza wendersonso...@gmail.com:
Em terça-feira, 29 de abril de 2014, Paulo Henrique - BSDs Brasil
paulo.rd...@bsd.com.br escreveu:
Em 29/04/2014 01:01, Márcio Elias escreveu:
2014-04-29 0:22 GMT-03:00 Renato Sousa renso...@gmail.com
javascript:;
Boa noite a todos,
Estou implementando um firewall para um dos servidores FreeBSD que
administro. Alterei o script padrão (/etc/rc.firewall) com as
regras
que
necessito utilizando firewall_type=client no arquivo /etc/rc.conf
Toda vez que vou rodar o firewall para testar minha sessão ssh é
terminada
e quando vejo na maquina fisicamente o firewall só tem a ultima
regra
dropando todas as conexões.
Observei melhor e notei que a sessão trava quando o comando ipfw -f
é
executado, limpando todas as regras e deixando a ultima regra fixa
de
drop.
Lembro-me que já utilizei esse script em versões anteriores do
FreeBSD e
funcionava legal. Como fazer para que o resto do script seja
executado
e o
comando ${fwcmd} add pass tcp from any to any established garanta
o
funcionamento da sessão em andamento ?
Abraços,
Renato
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
O que acontece é que quando vc executa um flush via ssh, antes de ele
recarregar as regras ele já matou sua sessão e o comando de
reinicialização
do firewall atrelado a ela tmb.
Coloca isso na sua configuração de kernel:
options IPFIREWALL_DEFAULT_TO_ACCEPT
Com isso vc sempre terá a regra 65535 allow all from any to any,
mesmo
rodando um ipfw -f flush. Durante aqueles instantes que o seu script
está
aplicando as regras, seu firewall estará todo aberto, não chega a ser
um
problema já que é por um período muito curto de tempo, e sua sessão
ssh
não
vai cair.
Ai se vc quer aplicar uma politica de negação por padrão, acrescente
no
seu
script de firewall uma regra tipo:
${fwcmd} add 65534 deny all from any to any
Ou para manter ainda a politica padrão do firewall para denied nada
mais
simples e confortavel que um belo shell
ipfw -f /etc/rc.d/ipfw start
ou mais simples ainda,
Caso tenha configurado corretamente as variaveis do seu /etc/rc.conf
basta um /etc/rc.d/ipfw restart
Que ele mesmo irá dar um flush e carregar suas regras.
Att.
--
Paulo Henrique.
Grupo de Usuários do FreeBSD no Brasil.
Fone: (21) 96713-5042
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Isso mesmo, geralmente faço pelo service ipfw restart
--
Atenciosamente,
Wenderson Souza - wendersonso...@gmail.com
Gerente de TI - 6P Telecom
+55 (43) 3235-1720 Oi Fixo
+55 (43) 9162-4333 Vivo Mobile
Skype: wendersonsouza
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Para resolver esses problemas com quedas de link, eu passei a usar o
screen. E hoje eu não sei como fiquei tanto tempo se usar ele.
Além de quebrar um galho quando tem uma desconexão, quando cai o link,
ou qualquer coisa do tipo, no meio de uma compilação ou outras coisas,
até mesmo poder continuar algum trabalho de casa, de algo que eu
comecei no computador do trabalho.
+1, só que ao invés de screen uso o tmux, que é BSD e melhor estruturado que o
screen, mas aí já é questão de gosto. :)
--
Renato Botelho
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] firewall e sessão SSH
- Mensagem original -
De: Renato Botelho rbga...@gmail.com
Para: Freebsd@fug.com.br
Cc: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Enviadas: Terça-feira, 29 de Abril de 2014 17:01:35
Assunto: Re: [FUG-BR] firewall e sessão SSH
On Tuesday, April 29, 2014 04:48:10 PM Rafael Henrique Faria wrote:
2014-04-29 16:43 GMT-03:00 Márcio Elias marcioel...@gmail.com:
Certeza que isso funciona? tive problemas a algum tempo e nunca
mais
testei...
--
Att.
__
Márcio Elias Hahn do Nascimento
Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel: (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve
2014-04-29 6:17 GMT-03:00 Wenderson Souza
wendersonso...@gmail.com:
Em terça-feira, 29 de abril de 2014, Paulo Henrique - BSDs
Brasil
paulo.rd...@bsd.com.br escreveu:
Em 29/04/2014 01:01, Márcio Elias escreveu:
2014-04-29 0:22 GMT-03:00 Renato Sousa renso...@gmail.com
javascript:;
Boa noite a todos,
Estou implementando um firewall para um dos servidores
FreeBSD que
administro. Alterei o script padrão (/etc/rc.firewall) com
as
regras
que
necessito utilizando firewall_type=client no arquivo
/etc/rc.conf
Toda vez que vou rodar o firewall para testar minha sessão
ssh é
terminada
e quando vejo na maquina fisicamente o firewall só tem a
ultima
regra
dropando todas as conexões.
Observei melhor e notei que a sessão trava quando o comando
ipfw -f
é
executado, limpando todas as regras e deixando a ultima
regra fixa
de
drop.
Lembro-me que já utilizei esse script em versões anteriores
do
FreeBSD e
funcionava legal. Como fazer para que o resto do script
seja
executado
e o
comando ${fwcmd} add pass tcp from any to any
established garanta
o
funcionamento da sessão em andamento ?
Abraços,
Renato
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista:
https://www.fug.com.br/mailman/listinfo/freebsd
O que acontece é que quando vc executa um flush via ssh,
antes de ele
recarregar as regras ele já matou sua sessão e o comando de
reinicialização
do firewall atrelado a ela tmb.
Coloca isso na sua configuração de kernel:
options IPFIREWALL_DEFAULT_TO_ACCEPT
Com isso vc sempre terá a regra 65535 allow all from any to
any,
mesmo
rodando um ipfw -f flush. Durante aqueles instantes que o
seu script
está
aplicando as regras, seu firewall estará todo aberto, não
chega a ser
um
problema já que é por um período muito curto de tempo, e sua
sessão
ssh
não
vai cair.
Ai se vc quer aplicar uma politica de negação por padrão,
acrescente
no
seu
script de firewall uma regra tipo:
${fwcmd} add 65534 deny all from any to any
Ou para manter ainda a politica padrão do firewall para denied
nada
mais
simples e confortavel que um belo shell
ipfw -f /etc/rc.d/ipfw start
ou mais simples ainda,
Caso tenha configurado corretamente as variaveis do seu
/etc/rc.conf
basta um /etc/rc.d/ipfw restart
Que ele mesmo irá dar um flush e carregar suas regras.
Att.
--
Paulo Henrique.
Grupo de Usuários do FreeBSD no Brasil.
Fone: (21) 96713-5042
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Isso mesmo, geralmente faço pelo service ipfw restart
--
Atenciosamente,
Wenderson Souza - wendersonso...@gmail.com
Gerente de TI - 6P Telecom
+55 (43) 3235-1720 Oi Fixo
+55 (43) 9162-4333 Vivo Mobile
Skype: wendersonsouza
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Para resolver esses problemas com quedas de link, eu passei a usar
o
screen. E hoje eu não sei como fiquei tanto tempo se usar ele.
Além de quebrar um galho quando tem uma desconexão, quando cai o
link,
ou qualquer coisa do tipo, no meio de uma compilação ou outras
coisas,
até mesmo poder continuar algum trabalho de casa, de algo que eu
comecei no computador do trabalho.
+1, só que ao invés de screen uso o tmux, que é BSD e melhor
Re: [FUG-BR] firewall e sessão SSH
2014-04-29 0:22 GMT-03:00 Renato Sousa renso...@gmail.com:
Boa noite a todos,
Estou implementando um firewall para um dos servidores FreeBSD que
administro. Alterei o script padrão (/etc/rc.firewall) com as regras que
necessito utilizando firewall_type=client no arquivo /etc/rc.conf
Toda vez que vou rodar o firewall para testar minha sessão ssh é terminada
e quando vejo na maquina fisicamente o firewall só tem a ultima regra
dropando todas as conexões.
Observei melhor e notei que a sessão trava quando o comando ipfw -f é
executado, limpando todas as regras e deixando a ultima regra fixa de drop.
Lembro-me que já utilizei esse script em versões anteriores do FreeBSD e
funcionava legal. Como fazer para que o resto do script seja executado e o
comando ${fwcmd} add pass tcp from any to any established garanta o
funcionamento da sessão em andamento ?
Abraços,
Renato
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
O que acontece é que quando vc executa um flush via ssh, antes de ele
recarregar as regras ele já matou sua sessão e o comando de reinicialização
do firewall atrelado a ela tmb.
Coloca isso na sua configuração de kernel:
options IPFIREWALL_DEFAULT_TO_ACCEPT
Com isso vc sempre terá a regra 65535 allow all from any to any, mesmo
rodando um ipfw -f flush. Durante aqueles instantes que o seu script está
aplicando as regras, seu firewall estará todo aberto, não chega a ser um
problema já que é por um período muito curto de tempo, e sua sessão ssh não
vai cair.
Ai se vc quer aplicar uma politica de negação por padrão, acrescente no seu
script de firewall uma regra tipo:
${fwcmd} add 65534 deny all from any to any
--
Att.
__
Márcio Elias Hahn do Nascimento
Bacharel em Tecnologias da Informação e Comunicação - TIC
Cel: (55) 48-8469-1819
Emails: marcioel...@bsd.com.br / marcioel...@gmail.com
Skype: marcioeliash...@hotmail.com
FreeBSD - The Power To Serve
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] firewall e sessão SSH
Em 29/04/2014 01:01, Márcio Elias escreveu:
2014-04-29 0:22 GMT-03:00 Renato Sousa renso...@gmail.com:
Boa noite a todos,
Estou implementando um firewall para um dos servidores FreeBSD que
administro. Alterei o script padrão (/etc/rc.firewall) com as regras que
necessito utilizando firewall_type=client no arquivo /etc/rc.conf
Toda vez que vou rodar o firewall para testar minha sessão ssh é terminada
e quando vejo na maquina fisicamente o firewall só tem a ultima regra
dropando todas as conexões.
Observei melhor e notei que a sessão trava quando o comando ipfw -f é
executado, limpando todas as regras e deixando a ultima regra fixa de drop.
Lembro-me que já utilizei esse script em versões anteriores do FreeBSD e
funcionava legal. Como fazer para que o resto do script seja executado e o
comando ${fwcmd} add pass tcp from any to any established garanta o
funcionamento da sessão em andamento ?
Abraços,
Renato
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
O que acontece é que quando vc executa um flush via ssh, antes de ele
recarregar as regras ele já matou sua sessão e o comando de reinicialização
do firewall atrelado a ela tmb.
Coloca isso na sua configuração de kernel:
options IPFIREWALL_DEFAULT_TO_ACCEPT
Com isso vc sempre terá a regra 65535 allow all from any to any, mesmo
rodando um ipfw -f flush. Durante aqueles instantes que o seu script está
aplicando as regras, seu firewall estará todo aberto, não chega a ser um
problema já que é por um período muito curto de tempo, e sua sessão ssh não
vai cair.
Ai se vc quer aplicar uma politica de negação por padrão, acrescente no seu
script de firewall uma regra tipo:
${fwcmd} add 65534 deny all from any to any
Ou para manter ainda a politica padrão do firewall para denied nada mais
simples e confortavel que um belo shell
ipfw -f /etc/rc.d/ipfw start
ou mais simples ainda,
Caso tenha configurado corretamente as variaveis do seu /etc/rc.conf
basta um /etc/rc.d/ipfw restart
Que ele mesmo irá dar um flush e carregar suas regras.
Att.
--
Paulo Henrique.
Grupo de Usuários do FreeBSD no Brasil.
Fone: (21) 96713-5042
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] firewall bsd
Legal, muito bom! Em 07/07/12 16:50, Cleiton Alves escreveu: Pessoal quero contribuir com um otimo firewal que meu camarada c00ler fez , segue o link abaixo http://pastebin.com/7cZXhizt - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] firewall bsd
Em 07/07/2012 16:50, Cleiton Alves escreveu: Pessoal quero contribuir com um otimo firewal que meu camarada c00ler fez , segue o link abaixo http://pastebin.com/7cZXhizt Copiado rsrsrsrs - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall FreeBSD
Ipfw faz... Verifique o 'tee'. -- Eduardo Schoedler Enviado via iPhone Em 23/09/2011, às 11:05, Otavio Augusto otavi...@gmail.com escreveu: Bom dia galera. Alguem pode me dizer se algum firewall do FreeBSD ( pf, ipfw ) possui uma funcionalidade igual ou parecidade com o NFQUEUE do linux ( iptables ) ? Tipo ele passar o cabeçalho do pacote para um programa em userland e este tomara a decisão se nega libera faz divert e etc. -- Otavio Augusto - Consultor de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall FreeBSD
vou olhar. Valeu Em 23 de setembro de 2011 13:03, Eduardo Schoedler lis...@esds.com.br escreveu: Ipfw faz... Verifique o 'tee'. -- Eduardo Schoedler Enviado via iPhone Em 23/09/2011, às 11:05, Otavio Augusto otavi...@gmail.com escreveu: Bom dia galera. Alguem pode me dizer se algum firewall do FreeBSD ( pf, ipfw ) possui uma funcionalidade igual ou parecidade com o NFQUEUE do linux ( iptables ) ? Tipo ele passar o cabeçalho do pacote para um programa em userland e este tomara a decisão se nega libera faz divert e etc. -- Otavio Augusto - Consultor de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall FreeBSD
acredito que no pf do HEAD também :) divert-to ⟨host⟩ port ⟨port⟩ Used to redirect packets to a local socket bound to host and port. The packets will not be modified, so getsockname(2) on the socket will return the original destination address of the packet. Em 23 de setembro de 2011 13:54, Otavio Augusto otavi...@gmail.com escreveu: vou olhar. Valeu Em 23 de setembro de 2011 13:03, Eduardo Schoedler lis...@esds.com.br escreveu: Ipfw faz... Verifique o 'tee'. -- Eduardo Schoedler Enviado via iPhone Em 23/09/2011, às 11:05, Otavio Augusto otavi...@gmail.com escreveu: Bom dia galera. Alguem pode me dizer se algum firewall do FreeBSD ( pf, ipfw ) possui uma funcionalidade igual ou parecidade com o NFQUEUE do linux ( iptables ) ? Tipo ele passar o cabeçalho do pacote para um programa em userland e este tomara a decisão se nega libera faz divert e etc. -- Otavio Augusto - Consultor de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- /\ Luiz Gustavo S. Costa / \ Programmer at BSD Perimeter / \ /\/\/\ Visit the pfSense Project / \ \ \ http://www.pfsense.org - BSD da serra carioca, Teresopolis (visite: http://miud.in/Inv) Contatos: luizgust...@luizgustavo.pro.br / lgco...@pfsense.org Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall FreeBSD
HEAD é na versão CURRENT do free ? ou é a versão HEAD do pf e tem que aplicar um patch ? dúvida de iniciante :P Em 23 de setembro de 2011 14:04, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: acredito que no pf do HEAD também :) divert-to ⟨host⟩ port ⟨port⟩ Used to redirect packets to a local socket bound to host and port. The packets will not be modified, so getsockname(2) on the socket will return the original destination address of the packet. Em 23 de setembro de 2011 13:54, Otavio Augusto otavi...@gmail.com escreveu: vou olhar. Valeu Em 23 de setembro de 2011 13:03, Eduardo Schoedler lis...@esds.com.br escreveu: Ipfw faz... Verifique o 'tee'. -- Eduardo Schoedler Enviado via iPhone Em 23/09/2011, às 11:05, Otavio Augusto otavi...@gmail.com escreveu: Bom dia galera. Alguem pode me dizer se algum firewall do FreeBSD ( pf, ipfw ) possui uma funcionalidade igual ou parecidade com o NFQUEUE do linux ( iptables ) ? Tipo ele passar o cabeçalho do pacote para um programa em userland e este tomara a decisão se nega libera faz divert e etc. -- Otavio Augusto - Consultor de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- /\ Luiz Gustavo S. Costa / \ Programmer at BSD Perimeter / \ /\/\/\ Visit the pfSense Project / \ \ \ http://www.pfsense.org - BSD da serra carioca, Teresopolis (visite: http://miud.in/Inv) Contatos: luizgust...@luizgustavo.pro.br / lgco...@pfsense.org Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall FreeBSD
HEAD, versão do FreeBSD, no caso, hoje é o 9.0-BETA2 no HEAD o pf foi importado do openbsd 4.5 http://blog.pfsense.org/?p=592 Em 23 de setembro de 2011 14:07, Otavio Augusto otavi...@gmail.com escreveu: HEAD é na versão CURRENT do free ? ou é a versão HEAD do pf e tem que aplicar um patch ? dúvida de iniciante :P Em 23 de setembro de 2011 14:04, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: acredito que no pf do HEAD também :) divert-to ⟨host⟩ port ⟨port⟩ Used to redirect packets to a local socket bound to host and port. The packets will not be modified, so getsockname(2) on the socket will return the original destination address of the packet. Em 23 de setembro de 2011 13:54, Otavio Augusto otavi...@gmail.com escreveu: vou olhar. Valeu Em 23 de setembro de 2011 13:03, Eduardo Schoedler lis...@esds.com.br escreveu: Ipfw faz... Verifique o 'tee'. -- Eduardo Schoedler Enviado via iPhone Em 23/09/2011, às 11:05, Otavio Augusto otavi...@gmail.com escreveu: Bom dia galera. Alguem pode me dizer se algum firewall do FreeBSD ( pf, ipfw ) possui uma funcionalidade igual ou parecidade com o NFQUEUE do linux ( iptables ) ? Tipo ele passar o cabeçalho do pacote para um programa em userland e este tomara a decisão se nega libera faz divert e etc. -- Otavio Augusto - Consultor de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- /\ Luiz Gustavo S. Costa / \ Programmer at BSD Perimeter / \ /\/\/\ Visit the pfSense Project / \ \ \ http://www.pfsense.org - BSD da serra carioca, Teresopolis (visite: http://miud.in/Inv) Contatos: luizgust...@luizgustavo.pro.br / lgco...@pfsense.org Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- /\ Luiz Gustavo S. Costa / \ Programmer at BSD Perimeter / \ /\/\/\ Visit the pfSense Project / \ \ \ http://www.pfsense.org - BSD da serra carioca, Teresopolis (visite: http://miud.in/Inv) Contatos: luizgust...@luizgustavo.pro.br / lgco...@pfsense.org Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall FreeBSD
Valeu. Agora olhando o divert o divert do ipfw tb faz o mesmo ? Em 23 de setembro de 2011 14:12, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: HEAD, versão do FreeBSD, no caso, hoje é o 9.0-BETA2 no HEAD o pf foi importado do openbsd 4.5 http://blog.pfsense.org/?p=592 Em 23 de setembro de 2011 14:07, Otavio Augusto otavi...@gmail.com escreveu: HEAD é na versão CURRENT do free ? ou é a versão HEAD do pf e tem que aplicar um patch ? dúvida de iniciante :P Em 23 de setembro de 2011 14:04, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: acredito que no pf do HEAD também :) divert-to ⟨host⟩ port ⟨port⟩ Used to redirect packets to a local socket bound to host and port. The packets will not be modified, so getsockname(2) on the socket will return the original destination address of the packet. Em 23 de setembro de 2011 13:54, Otavio Augusto otavi...@gmail.com escreveu: vou olhar. Valeu Em 23 de setembro de 2011 13:03, Eduardo Schoedler lis...@esds.com.br escreveu: Ipfw faz... Verifique o 'tee'. -- Eduardo Schoedler Enviado via iPhone Em 23/09/2011, às 11:05, Otavio Augusto otavi...@gmail.com escreveu: Bom dia galera. Alguem pode me dizer se algum firewall do FreeBSD ( pf, ipfw ) possui uma funcionalidade igual ou parecidade com o NFQUEUE do linux ( iptables ) ? Tipo ele passar o cabeçalho do pacote para um programa em userland e este tomara a decisão se nega libera faz divert e etc. -- Otavio Augusto - Consultor de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- /\ Luiz Gustavo S. Costa / \ Programmer at BSD Perimeter / \ /\/\/\ Visit the pfSense Project / \ \ \ http://www.pfsense.org - BSD da serra carioca, Teresopolis (visite: http://miud.in/Inv) Contatos: luizgust...@luizgustavo.pro.br / lgco...@pfsense.org Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- /\ Luiz Gustavo S. Costa / \ Programmer at BSD Perimeter / \ /\/\/\ Visit the pfSense Project / \ \ \ http://www.pfsense.org - BSD da serra carioca, Teresopolis (visite: http://miud.in/Inv) Contatos: luizgust...@luizgustavo.pro.br / lgco...@pfsense.org Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall [OFF]
É cada uma que o cara le. Nao precisa me responder, vai e senta no colo de quem vc esta defendendo valew kkk Em 3 de agosto de 2011 13:57, irado furioso com tudo ir...@bsd.com.brescreveu: Em 3 de agosto de 2011 11:52, pedro almeida almeida.l...@gmail.com escreveu: Para esclarecer se estivesse pedindo algo pronto eu falaria quero comprar um trabalho mais e o seguinte acho que ninguém aqui Intendeu vc, mas (provavelmente) Entendeu bem: vc é arrogante, não tem um pinguinho de humildade e NÃO LÊ, nas entrelinhas, as mensagens. Uma delas bem significativa: .. especifique suas dúvidas e ... todos contribuirão, cada um com seu conhecimento. então, insisto: RELEIA as mensagens, releia a SUA mensagem, medite sobre elas e, EDUCADAMENTE, como convém a alguém que PRECISA de informação. Se não vai fazer ou se vai responder ESTÚPIDAMENTE como já fez, POR FAVOR: NÃO PERCA NOSSO TEMPO, não temos qualquer obrigação para com vc, nem mesmo queremos amar vc. Se quer colo, procure pai e mãe, que estão aí pra isso. flames /dev/null -- saudações, irado furioso com tudo mais crimes são cometidos em nome das religiões do que em nome do ateismo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall [OFF]
2011/8/3 pedro almeida almeida.l...@gmail.com Pessoal, Estou fazendo tcc e preciso descobrir alguns ataques que o firewall pode ajudar a evitartb como produzir esses ataques em um ambente de teste. Alguem poderia me dar uma força com isso já pesquisei bastante e tenho muita coisa encaminhada mais ainda tenho algumas duvidas quanto esta parte. Obrigado desde já - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Eu posso lhe dar esse tipo de consultoria, me envie um e-mail em PVT que nós combinamos o preço. -- Atenciosamente, Antônio Pessoa - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall [OFF]
Sacanagem Antonio, Pedro, seguinte ping flood, hijack ou mais conhecido como IP Spoof são ataques no qual firewall poderá bloquear, IP Scan entra entre eles, se definir firewall a junção de filtro de pacotes e IDS, a lista setor quase completa. Expõem as suas duvidas que podemos ajudar, se quiser algo pronto, paga para o Antonio. Abraços. Em 3/8/2011 09:28, Antônio Pessoa escreveu: 2011/8/3 pedro almeidaalmeida.l...@gmail.com Pessoal, Estou fazendo tcc e preciso descobrir alguns ataques que o firewall pode ajudar a evitartb como produzir esses ataques em um ambente de teste. Alguem poderia me dar uma força com isso já pesquisei bastante e tenho muita coisa encaminhada mais ainda tenho algumas duvidas quanto esta parte. Obrigado desde já - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Eu posso lhe dar esse tipo de consultoria, me envie um e-mail em PVT que nós combinamos o preço. -- Atenciosamente, Antônio Pessoa - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Quando a Morte decide contar uma historia, A melhor ação que possa fazer é ouvi-la, e torcer por não ser a sua própria a tal história. Paulo Henrique. Analista de Sistemas / Programador BSDs Brasil. Genuine Unix/BSD User. Fone: (21) 9683-5433. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall [OFF]
2011/8/3 Paulo Henrique BSD Brasil paulo.rd...@bsd.com.br Sacanagem Antonio, Não considero sacanagem, sacanagem para mim é querer que o pessoal da lista lhe entregue dados para um TCC que ele deveria pesquisar. Tudo bem querer esclarecer uma dúvida ou outra e discutir ambientes de testes, mas não foi isso que eu li. Se por acaso entendi errado, então a pergunta foi feita de forma errada e recomendo a leitura do How To Ask Questions The Smart Way [1] ou sua tradução [2]. Se por acaso entendi certo, podemos conversar em PVT (mas apenas consultoria, não entrego TCC's prontos), se entendi errado, detalhe o que você realmente quer que podemos ajudar. [1] http://www.catb.org/~esr/faqs/smart-questions.html [2] http://www.istf.com.br/perguntas/ -- Atenciosamente, Antônio Pessoa - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall [OFF]
2011/8/3 Paulo Henrique BSD Brasil paulo.rd...@bsd.com.br: Sobre esse ponto de vista também estou de acordo Antônio, Pedro, para consultoria também estou ai, entra em PVT para ajustar o valor e formas de pagamentos !! Entendeu o espírito ;D. -- Atenciosamente, Antônio Pessoa - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall [OFF]
Em 03/08/11 11:17, Antônio Pessoa escreveu: 2011/8/3 Paulo Henrique BSD Brasilpaulo.rd...@bsd.com.br: Sobre esse ponto de vista também estou de acordo Antônio, Pedro, para consultoria também estou ai, entra em PVT para ajustar o valor e formas de pagamentos !! Entendeu o espírito ;D. http://www.zemoleza.com.br/carreiras/exatas/informatica/trabalho/25307-firewall-seguranca-digital.html hehehehehe Zé Moleza, seu parceiro acadêmico :-) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall [OFF]
Para esclarecer se estivesse pedindo algo pronto eu falaria quero comprar um trabalho mais e o seguinte pedi fontes caso tenha preguiça de passar tudo certo mais nao precisa perder seu tempo respondendo nem criticando pois sua opiniao acho que nao tem valor. Mais para o pessoal que entendeu obrigado pelas dicas e pra quem nao intendeu melhor ler com mais cuidado e nem perder tempo respondendo. Em 3 de agosto de 2011 11:35, Renato Frederick ren...@frederick.eti.brescreveu: Em 03/08/11 11:17, Antônio Pessoa escreveu: 2011/8/3 Paulo Henrique BSD Brasilpaulo.rd...@bsd.com.br: Sobre esse ponto de vista também estou de acordo Antônio, Pedro, para consultoria também estou ai, entra em PVT para ajustar o valor e formas de pagamentos !! Entendeu o espírito ;D. http://www.zemoleza.com.br/carreiras/exatas/informatica/trabalho/25307-firewall-seguranca-digital.html hehehehehe Zé Moleza, seu parceiro acadêmico :-) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall [OFF]
2011/8/3 pedro almeida almeida.l...@gmail.com Para esclarecer se estivesse pedindo algo pronto eu falaria quero comprar um trabalho mais e o seguinte pedi fontes caso tenha preguiça de passar tudo certo mais nao precisa perder seu tempo respondendo nem criticando pois sua opiniao acho que nao tem valor. Mais para o pessoal que entendeu obrigado pelas dicas e pra quem nao intendeu melhor ler com mais cuidado e nem perder tempo respondendo. Em 3 de agosto de 2011 11:35, Renato Frederick ren...@frederick.eti.brescreveu: Em 03/08/11 11:17, Antônio Pessoa escreveu: 2011/8/3 Paulo Henrique BSD Brasilpaulo.rd...@bsd.com.br: Sobre esse ponto de vista também estou de acordo Antônio, Pedro, para consultoria também estou ai, entra em PVT para ajustar o valor e formas de pagamentos !! Entendeu o espírito ;D. http://www.zemoleza.com.br/carreiras/exatas/informatica/trabalho/25307-firewall-seguranca-digital.html hehehehehe Zé Moleza, seu parceiro acadêmico :-) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd http://www.deliberatedumbingdown.com/ -- #!/bin/bash Luciano Antonio Borguetti Faustino ICQ UIN number: 82092097 http://lucianoborguetti.wordpress.com http://www.ipv6firewall.com.br :wq - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall [OFF]
Em 3 de agosto de 2011 11:52, pedro almeida almeida.l...@gmail.comescreveu: Para esclarecer se estivesse pedindo algo pronto eu falaria quero comprar um trabalho mais e o seguinte acho que ninguém aqui Intendeu vc, mas (provavelmente) Entendeu bem: vc é arrogante, não tem um pinguinho de humildade e NÃO LÊ, nas entrelinhas, as mensagens. Uma delas bem significativa: .. especifique suas dúvidas e ... todos contribuirão, cada um com seu conhecimento. então, insisto: RELEIA as mensagens, releia a SUA mensagem, medite sobre elas e, EDUCADAMENTE, como convém a alguém que PRECISA de informação. Se não vai fazer ou se vai responder ESTÚPIDAMENTE como já fez, POR FAVOR: NÃO PERCA NOSSO TEMPO, não temos qualquer obrigação para com vc, nem mesmo queremos amar vc. Se quer colo, procure pai e mãe, que estão aí pra isso. flames /dev/null -- saudações, irado furioso com tudo mais crimes são cometidos em nome das religiões do que em nome do ateismo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Failover with pfsync and CARP
Obrigado Rodrigo. To tentando arrumar um tempinho aqui para implementar. Em 13 de maio de 2011 14:56, Rodrigo Mosconi free...@mosconi.mat.brescreveu: não, a filtragem deve ser feita na interface real Em 13 de maio de 2011 10:36, Christiano Liberato christianoliber...@gmail.com escreveu: Opa Rodrigo, valeu pela ajuda (e desculpe a demora na resposta). Vou implementar aqui e ver no que dá. Como na carp0 serao criados alias para os ips validos, terei q mudar minhas regras para atender por ela, certo? Em 5 de maio de 2011 11:51, Rodrigo Mosconi free...@mosconi.mat.br escreveu: Em 3 de maio de 2011 17:32, Christiano Liberato christianoliber...@gmail.com escreveu: Caros, ja perguntei isso anteriormente mas vou perturbar de novo pois ainda nao resolvi. Preciso de uma redundância de firewall e ja tenho o ambiente todo pronto: placa de rede disponivel nos dois firewalls, regras com carp e pfsync etc. Mas estou esbarrando numa questao: meu fw esta configurado com todos ips em uma interface. Com isso nao consigo que o pfsync mantenha o estado pois ele faz de 1 ip para outro ip. Como posso configurar o firewall para que tenha apenas um ip na interface atendendo tambem os outros ips? A mesma interface atende email, dns, web etc. Com apenas 1 ip como atenderei todos serviços? Vamos supor que seus fws tenham 3 interfaces: wan0, lan0 e inter0 (sendo esta ultima um cabo cross com o outro fw). Configure nas wan um dumy ip, ie, configure com um ip invalido: 10.0.0.1/29 no fw1 e 10.0.0.2/29 no fw2 analogo para as interfaces lans (10.0.1.1/29 no fw1 e 10.0.1.2/29 no fw2) idem para as inters (10.1.1.1/30 fw1 e 10.1.1.2/30 no fw2) Definiremos os ips 10.0.0.3 e 10.0.1.3 como ips virtuais do cluster (Wan e lan) Configure as interface carps no fw1: FreeBSD: ifconfig carp0 create ifconfig carp0 vhid1 pass senha inet 10.0.0.3/29 ifconfig carp0 inet 200.x.y.z/n alias (...) analogo para a wan No OpenBSD: ifconfig carp0 create ifconfig carp0 vhid 1 pass senha carpdev wan0 ifconfig carp0 inet 10.0.0.3/29 ifconfig carp0 inet 200.x.y.z/n alias (...) Repare que no freebsd não existe o carpdev No fw1 analogo, mas adicionando advskew na definicao do vhid http://www.freebsd.org/cgi/man.cgi?query=carpsektion=4 http://www.openbsd.org/cgi-bin/man.cgi?query=carpsektion=4manpath=OpenBSD+4.9 Obrigado a todos! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Failover with pfsync and CARP
Opa Rodrigo, valeu pela ajuda (e desculpe a demora na resposta). Vou implementar aqui e ver no que dá. Como na carp0 serao criados alias para os ips validos, terei q mudar minhas regras para atender por ela, certo? Em 5 de maio de 2011 11:51, Rodrigo Mosconi free...@mosconi.mat.brescreveu: Em 3 de maio de 2011 17:32, Christiano Liberato christianoliber...@gmail.com escreveu: Caros, ja perguntei isso anteriormente mas vou perturbar de novo pois ainda nao resolvi. Preciso de uma redundância de firewall e ja tenho o ambiente todo pronto: placa de rede disponivel nos dois firewalls, regras com carp e pfsync etc. Mas estou esbarrando numa questao: meu fw esta configurado com todos ips em uma interface. Com isso nao consigo que o pfsync mantenha o estado pois ele faz de 1 ip para outro ip. Como posso configurar o firewall para que tenha apenas um ip na interface atendendo tambem os outros ips? A mesma interface atende email, dns, web etc. Com apenas 1 ip como atenderei todos serviços? Vamos supor que seus fws tenham 3 interfaces: wan0, lan0 e inter0 (sendo esta ultima um cabo cross com o outro fw). Configure nas wan um dumy ip, ie, configure com um ip invalido: 10.0.0.1/29 no fw1 e 10.0.0.2/29 no fw2 analogo para as interfaces lans (10.0.1.1/29 no fw1 e 10.0.1.2/29 no fw2) idem para as inters (10.1.1.1/30 fw1 e 10.1.1.2/30 no fw2) Definiremos os ips 10.0.0.3 e 10.0.1.3 como ips virtuais do cluster (Wan e lan) Configure as interface carps no fw1: FreeBSD: ifconfig carp0 create ifconfig carp0 vhid1 pass senha inet 10.0.0.3/29 ifconfig carp0 inet 200.x.y.z/n alias (...) analogo para a wan No OpenBSD: ifconfig carp0 create ifconfig carp0 vhid 1 pass senha carpdev wan0 ifconfig carp0 inet 10.0.0.3/29 ifconfig carp0 inet 200.x.y.z/n alias (...) Repare que no freebsd não existe o carpdev No fw1 analogo, mas adicionando advskew na definicao do vhid http://www.freebsd.org/cgi/man.cgi?query=carpsektion=4 http://www.openbsd.org/cgi-bin/man.cgi?query=carpsektion=4manpath=OpenBSD+4.9 Obrigado a todos! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Failover with pfsync and CARP
não, a filtragem deve ser feita na interface real Em 13 de maio de 2011 10:36, Christiano Liberato christianoliber...@gmail.com escreveu: Opa Rodrigo, valeu pela ajuda (e desculpe a demora na resposta). Vou implementar aqui e ver no que dá. Como na carp0 serao criados alias para os ips validos, terei q mudar minhas regras para atender por ela, certo? Em 5 de maio de 2011 11:51, Rodrigo Mosconi free...@mosconi.mat.brescreveu: Em 3 de maio de 2011 17:32, Christiano Liberato christianoliber...@gmail.com escreveu: Caros, ja perguntei isso anteriormente mas vou perturbar de novo pois ainda nao resolvi. Preciso de uma redundância de firewall e ja tenho o ambiente todo pronto: placa de rede disponivel nos dois firewalls, regras com carp e pfsync etc. Mas estou esbarrando numa questao: meu fw esta configurado com todos ips em uma interface. Com isso nao consigo que o pfsync mantenha o estado pois ele faz de 1 ip para outro ip. Como posso configurar o firewall para que tenha apenas um ip na interface atendendo tambem os outros ips? A mesma interface atende email, dns, web etc. Com apenas 1 ip como atenderei todos serviços? Vamos supor que seus fws tenham 3 interfaces: wan0, lan0 e inter0 (sendo esta ultima um cabo cross com o outro fw). Configure nas wan um dumy ip, ie, configure com um ip invalido: 10.0.0.1/29 no fw1 e 10.0.0.2/29 no fw2 analogo para as interfaces lans (10.0.1.1/29 no fw1 e 10.0.1.2/29 no fw2) idem para as inters (10.1.1.1/30 fw1 e 10.1.1.2/30 no fw2) Definiremos os ips 10.0.0.3 e 10.0.1.3 como ips virtuais do cluster (Wan e lan) Configure as interface carps no fw1: FreeBSD: ifconfig carp0 create ifconfig carp0 vhid1 pass senha inet 10.0.0.3/29 ifconfig carp0 inet 200.x.y.z/n alias (...) analogo para a wan No OpenBSD: ifconfig carp0 create ifconfig carp0 vhid 1 pass senha carpdev wan0 ifconfig carp0 inet 10.0.0.3/29 ifconfig carp0 inet 200.x.y.z/n alias (...) Repare que no freebsd não existe o carpdev No fw1 analogo, mas adicionando advskew na definicao do vhid http://www.freebsd.org/cgi/man.cgi?query=carpsektion=4 http://www.openbsd.org/cgi-bin/man.cgi?query=carpsektion=4manpath=OpenBSD+4.9 Obrigado a todos! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Failover with pfsync and CARP
Renato, acho q no meu caso nao vai ser possivel implementar o carp pois tenho 5 interfaces no firewall. Em 3 de maio de 2011 17:41, Renato Frederick ren...@frederick.eti.brescreveu: Não entendi... se você usa carp, você vai publicar o ip que precisa ter redundância na carpX. Na interface física vai colocar outro ip na mesma subnet apenas para que o carp saiba a qual interface física associar(limitação da implementação carp do free, no openbsd você pude usar a flag 'carpdev'[1]). algo do tipo: Email publicado no IP - 200.1.1.1/24 bce0 na maquina master ficaria com o IP 200.1.1.254/24 bce0 na maquina slave ficaria com o IP 200.1.1.253/24 carp0 http://200.1.1.253/24%0Acarp0 ficaria com o IP 200.1.1.1/24, em ambas, cada uma com o advskew diferente. E seus apontamentos de firewall e afins vao pra 200.1.1.1. Quando a master cair, o IP 200.1.1.254 fica parado, mas o 200.1.1.1 assume na slave devido ao advskew diferente. [1] http://www.mail-archive.com/freebsd-pf@freebsd.org/msg02640.html Em 03/05/2011 17:32, Christiano Liberato escreveu: Caros, ja perguntei isso anteriormente mas vou perturbar de novo pois ainda nao resolvi. Preciso de uma redundância de firewall e ja tenho o ambiente todo pronto: placa de rede disponivel nos dois firewalls, regras com carp e pfsync etc. Mas estou esbarrando numa questao: meu fw esta configurado com todos ips em uma interface. Com isso nao consigo que o pfsync mantenha o estado pois ele faz de 1 ip para outro ip. Como posso configurar o firewall para que tenha apenas um ip na interface atendendo tambem os outros ips? A mesma interface atende email, dns, web etc. Com apenas 1 ip como atenderei todos serviços? Obrigado a todos! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Failover with pfsync and CARP
Em 3 de maio de 2011 17:32, Christiano Liberato christianoliber...@gmail.com escreveu: Caros, ja perguntei isso anteriormente mas vou perturbar de novo pois ainda nao resolvi. Preciso de uma redundância de firewall e ja tenho o ambiente todo pronto: placa de rede disponivel nos dois firewalls, regras com carp e pfsync etc. Mas estou esbarrando numa questao: meu fw esta configurado com todos ips em uma interface. Com isso nao consigo que o pfsync mantenha o estado pois ele faz de 1 ip para outro ip. Como posso configurar o firewall para que tenha apenas um ip na interface atendendo tambem os outros ips? A mesma interface atende email, dns, web etc. Com apenas 1 ip como atenderei todos serviços? Vamos supor que seus fws tenham 3 interfaces: wan0, lan0 e inter0 (sendo esta ultima um cabo cross com o outro fw). Configure nas wan um dumy ip, ie, configure com um ip invalido: 10.0.0.1/29 no fw1 e 10.0.0.2/29 no fw2 analogo para as interfaces lans (10.0.1.1/29 no fw1 e 10.0.1.2/29 no fw2) idem para as inters (10.1.1.1/30 fw1 e 10.1.1.2/30 no fw2) Definiremos os ips 10.0.0.3 e 10.0.1.3 como ips virtuais do cluster (Wan e lan) Configure as interface carps no fw1: FreeBSD: ifconfig carp0 create ifconfig carp0 vhid1 pass senha inet 10.0.0.3/29 ifconfig carp0 inet 200.x.y.z/n alias (...) analogo para a wan No OpenBSD: ifconfig carp0 create ifconfig carp0 vhid 1 pass senha carpdev wan0 ifconfig carp0 inet 10.0.0.3/29 ifconfig carp0 inet 200.x.y.z/n alias (...) Repare que no freebsd não existe o carpdev No fw1 analogo, mas adicionando advskew na definicao do vhid http://www.freebsd.org/cgi/man.cgi?query=carpsektion=4 http://www.openbsd.org/cgi-bin/man.cgi?query=carpsektion=4manpath=OpenBSD+4.9 Obrigado a todos! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Failover with pfsync and CARP
Não entendi... se você usa carp, você vai publicar o ip que precisa ter redundância na carpX. Na interface física vai colocar outro ip na mesma subnet apenas para que o carp saiba a qual interface física associar(limitação da implementação carp do free, no openbsd você pude usar a flag 'carpdev'[1]). algo do tipo: Email publicado no IP - 200.1.1.1/24 bce0 na maquina master ficaria com o IP 200.1.1.254/24 bce0 na maquina slave ficaria com o IP 200.1.1.253/24 carp0 ficaria com o IP 200.1.1.1/24, em ambas, cada uma com o advskew diferente. E seus apontamentos de firewall e afins vao pra 200.1.1.1. Quando a master cair, o IP 200.1.1.254 fica parado, mas o 200.1.1.1 assume na slave devido ao advskew diferente. [1] http://www.mail-archive.com/freebsd-pf@freebsd.org/msg02640.html Em 03/05/2011 17:32, Christiano Liberato escreveu: Caros, ja perguntei isso anteriormente mas vou perturbar de novo pois ainda nao resolvi. Preciso de uma redundância de firewall e ja tenho o ambiente todo pronto: placa de rede disponivel nos dois firewalls, regras com carp e pfsync etc. Mas estou esbarrando numa questao: meu fw esta configurado com todos ips em uma interface. Com isso nao consigo que o pfsync mantenha o estado pois ele faz de 1 ip para outro ip. Como posso configurar o firewall para que tenha apenas um ip na interface atendendo tambem os outros ips? A mesma interface atende email, dns, web etc. Com apenas 1 ip como atenderei todos serviços? Obrigado a todos! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall congelando e caindo internet
Em 22/03/2011, às 17:46, Christiano Liberato christianoliber...@gmail.com escreveu: Caros, estive vendo no firewall e minha interface de saída está como *media: Ethernet autoselect (100baseTX half-duplex)* É possível setar ela para full-duplex ou seria melhor trocá-la? Christiano, veja o parâmetro -m do ifconfig e veja a lista de mídia de operação suportadas, caso a full-duplex esteja listada, não vai ser preciso trocar a sua placa. Veja um exemplo abaixo: *#ifconfig -m re1* re1: flags=8843UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST metric 0 mtu 1500 options=389bRXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC capabilities=4399bRXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_UCAST,WOL_MCAST,WOL_MAGIC,VLAN_HWTSO ether 00:1a:3f:59:62:99 inet 192.168.1.101 netmask 0xff00 broadcast 192.168.1.255 media: Ethernet autoselect (1000baseT full-duplex) status: active * supported media:* *media autoselect media 1000baseT mediaopt full-duplex media 1000baseT media 100baseTX mediaopt full-duplex media 100baseTX media 10baseT/UTP mediaopt full-duplex media 10baseT/UTP media none* -- Airton Arantes Coelho Filho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall congelando e caindo internet
Em 1 de abril de 2011 11:26, Airton Arantes airton.aran...@gmail.comescreveu: Em 22/03/2011, às 17:46, Christiano Liberato christianoliber...@gmail.com escreveu: Caros, estive vendo no firewall e minha interface de saída está como *media: Ethernet autoselect (100baseTX half-duplex)* É possível setar ela para full-duplex ou seria melhor trocá-la? Christiano, veja o parâmetro -m do ifconfig e veja a lista de mídia de operação suportadas, caso a full-duplex esteja listada, não vai ser preciso trocar a sua placa. Veja um exemplo abaixo: *#ifconfig -m re1* re1: flags=8843UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST metric 0 mtu 1500 options=389bRXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC capabilities=4399bRXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_UCAST,WOL_MCAST,WOL_MAGIC,VLAN_HWTSO ether 00:1a:3f:59:62:99 inet 192.168.1.101 netmask 0xff00 broadcast 192.168.1.255 media: Ethernet autoselect (1000baseT full-duplex) status: active * supported media:* *media autoselect media 1000baseT mediaopt full-duplex media 1000baseT media 100baseTX mediaopt full-duplex media 100baseTX media 10baseT/UTP mediaopt full-duplex media 10baseT/UTP media none* Aew Airton =) Mando ver hein... E o nosso curso, vai sair né =) Chsistiano, veja a dica do Airton... E veja tambném como está a outra ponta... está ligado num switch??? Ele tbm é 1000BaseT full-duplex??? Abraços -- .:: Lucas Dias .:: Analista de Sistemas .:: Gerência de Redes - CETIS / GTIN / UNCISAL .:: OS3 Soluções em TI .:: (82) 3315-6779 / 8833-8811 / 8813-1494 / 8111-2288 .:: Antes de imprimir, veja se realmente é necessário - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall congelando e caindo internet
Caros, estive vendo no firewall e minha interface de saída está como *media: Ethernet autoselect (100baseTX half-duplex)* É possível setar ela para full-duplex ou seria melhor trocá-la? []'s Em 21 de março de 2011 17:06, Renato Frederick ren...@frederick.eti.brescreveu: o sysctl.conf vem sem nada por padrão, vocÊ vai ter que colocar os parâmetros lá para carregar no boot. Pode carregar manualmente: sysctl -w kern.maxclusters=123456 Em 21/03/2011 16:36, Christiano Liberato escreveu: Renato, agradeço pela resposta. No sysctl.conf nao tem nada com esse parâmetro. Mas veja o resultado do comando sysctl kern.maxclusters: root@meuserver ~ # sysctl kern.maxclusters kern.maxclusters=6144 Como nao tem esse parametro terei q incluir na mao? Qual valor adicionar? Obrigado. Em 21 de março de 2011 16:26, Renato Frederick ren...@frederick.eti.brescreveu: Aumente a variável kern.maxclusters no sysctl.conf[1] e também aproveite para verificar o tunning de nmbcluster [1] http://www.listshow.net/201005/misc/21206-bsd-warning-mclpools-limit-reached-increase-kernmaxclusters.html Em 21/03/2011 16:22, Christiano Liberato escreveu: Caros, tenho um firewall funcionando a meses e de uma hora pra outra ele congela e depois de uns 7 segundos volta. Com isso a internet cai, conexao ssh pra ele tambem. Vendo no /var/log/messages aparece a mensagem: /bsd: WARNING: mclpools limit reached; increase kern.maxclusteS Alguem ja passou por isso? Obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall congelando e caindo internet
A outra ponta deve estar com velocidade fixa, basta configurar igual. -- Eduardo Schoedler Enviado via iPhone Em 22/03/2011, às 17:46, Christiano Liberato christianoliber...@gmail.com escreveu: Caros, estive vendo no firewall e minha interface de saída está como *media: Ethernet autoselect (100baseTX half-duplex)* É possível setar ela para full-duplex ou seria melhor trocá-la? []'s Em 21 de março de 2011 17:06, Renato Frederick ren...@frederick.eti.brescreveu: o sysctl.conf vem sem nada por padrão, vocÊ vai ter que colocar os parâmetros lá para carregar no boot. Pode carregar manualmente: sysctl -w kern.maxclusters=123456 Em 21/03/2011 16:36, Christiano Liberato escreveu: Renato, agradeço pela resposta. No sysctl.conf nao tem nada com esse parâmetro. Mas veja o resultado do comando sysctl kern.maxclusters: root@meuserver ~ # sysctl kern.maxclusters kern.maxclusters=6144 Como nao tem esse parametro terei q incluir na mao? Qual valor adicionar? Obrigado. Em 21 de março de 2011 16:26, Renato Frederick ren...@frederick.eti.brescreveu: Aumente a variável kern.maxclusters no sysctl.conf[1] e também aproveite para verificar o tunning de nmbcluster [1] http://www.listshow.net/201005/misc/21206-bsd-warning-mclpools-limit-reached-increase-kernmaxclusters.html Em 21/03/2011 16:22, Christiano Liberato escreveu: Caros, tenho um firewall funcionando a meses e de uma hora pra outra ele congela e depois de uns 7 segundos volta. Com isso a internet cai, conexao ssh pra ele tambem. Vendo no /var/log/messages aparece a mensagem: /bsd: WARNING: mclpools limit reached; increase kern.maxclusteS Alguem ja passou por isso? Obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall congelando e caindo internet
Aumente a variável kern.maxclusters no sysctl.conf[1] e também aproveite para verificar o tunning de nmbcluster [1] http://www.listshow.net/201005/misc/21206-bsd-warning-mclpools-limit-reached-increase-kernmaxclusters.html Em 21/03/2011 16:22, Christiano Liberato escreveu: Caros, tenho um firewall funcionando a meses e de uma hora pra outra ele congela e depois de uns 7 segundos volta. Com isso a internet cai, conexao ssh pra ele tambem. Vendo no /var/log/messages aparece a mensagem: /bsd: WARNING: mclpools limit reached; increase kern.maxclusteS Alguem ja passou por isso? Obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall congelando e caindo internet
Renato, agradeço pela resposta. No sysctl.conf nao tem nada com esse parâmetro. Mas veja o resultado do comando sysctl kern.maxclusters: root@meuserver ~ # sysctl kern.maxclusters kern.maxclusters=6144 Como nao tem esse parametro terei q incluir na mao? Qual valor adicionar? Obrigado. Em 21 de março de 2011 16:26, Renato Frederick ren...@frederick.eti.brescreveu: Aumente a variável kern.maxclusters no sysctl.conf[1] e também aproveite para verificar o tunning de nmbcluster [1] http://www.listshow.net/201005/misc/21206-bsd-warning-mclpools-limit-reached-increase-kernmaxclusters.html Em 21/03/2011 16:22, Christiano Liberato escreveu: Caros, tenho um firewall funcionando a meses e de uma hora pra outra ele congela e depois de uns 7 segundos volta. Com isso a internet cai, conexao ssh pra ele tambem. Vendo no /var/log/messages aparece a mensagem: /bsd: WARNING: mclpools limit reached; increase kern.maxclusteS Alguem ja passou por isso? Obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall congelando e caindo internet
o sysctl.conf vem sem nada por padrão, vocÊ vai ter que colocar os parâmetros lá para carregar no boot. Pode carregar manualmente: sysctl -w kern.maxclusters=123456 Em 21/03/2011 16:36, Christiano Liberato escreveu: Renato, agradeço pela resposta. No sysctl.conf nao tem nada com esse parâmetro. Mas veja o resultado do comando sysctl kern.maxclusters: root@meuserver ~ # sysctl kern.maxclusters kern.maxclusters=6144 Como nao tem esse parametro terei q incluir na mao? Qual valor adicionar? Obrigado. Em 21 de março de 2011 16:26, Renato Frederick ren...@frederick.eti.brescreveu: Aumente a variável kern.maxclusters no sysctl.conf[1] e também aproveite para verificar o tunning de nmbcluster [1] http://www.listshow.net/201005/misc/21206-bsd-warning-mclpools-limit-reached-increase-kernmaxclusters.html Em 21/03/2011 16:22, Christiano Liberato escreveu: Caros, tenho um firewall funcionando a meses e de uma hora pra outra ele congela e depois de uns 7 segundos volta. Com isso a internet cai, conexao ssh pra ele tambem. Vendo no /var/log/messages aparece a mensagem: /bsd: WARNING: mclpools limit reached; increase kern.maxclusteS Alguem ja passou por isso? Obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall com prioridade para Navegaçã o
Voce testou essas regras antes de postar?
Simulou o ambiente?
m3
Em 8 de novembro de 2010 12:50, Gustavo Freitas
gst.frei...@gmail.com escreveu:
Pessoal,
Estou com iniciando no BSD e implementei um firewall usando PF, objetivo dele
é
somente controlar e dar prioridade para navegação na internet com uma
reserva de banda
de 80%, sem controle de trafego e nem bloqueio de portas.
Gostaria da opinião de você e se esta correto..
int_if = rl0
ext_if = vr0
unsafe = { rl0, vr0 }
int_net = 10.0.0.0/8
int_alias = 10.10.0.0/16
set loginterface $int_if
set skip on lo
match in all scrub (no-df)
nat on $ext_if from !($ext_if) - ($ext_if:0)
antispoof quick for { lo $int_if }
set block-policy return
block in log quick proto tcp flags FUP/WEUAPRSF
block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
block in log quick proto tcp flags SRAFU/WEUAPRSF
block in log quick proto tcp flags /WEUAPRSF
block in log quick proto tcp flags SR/SR
block in log quick proto tcp flags SF/SF
altq on $ext_if cbq bandwidth 512Kb queue { def, http }
queue def bandwidth 20% cbq(default borrow red)
queue http bandwidth 80% cbq(borrow red)
pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags
S/SA \
keep state queue http
# block in traffic from private networks on external interface
block drop in quick on $ext_if from $int_alias to any
# block out traffic to private networks on external interface
block drop out quick on $ext_if from any to $int_alias
antispoof quick for { lo $int_if }
block in quick on $ext_if proto tcp from sshguard to any port 22
label ssh bruteforce
# SSH connection
pass in log on $int_if inet proto tcp from $int_net to { $int_if
$ext_if } port ssh
pass out log on $int_if inet proto tcp from $int_if to any port ssh
# DNS queries
pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port
{ domain bootps }
# ping
block in log on $int_if proto icmp from $int_alias to $int_alias
# File sharing applications
pass in log on $int_if proto { tcp udp } from $int_net to any port socks
--
Gustavo Freitas
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Atenciosmente
Mario Augusto Mania m3BSD
---
m3.bsd.ma...@gmail.com
Cel.: (43) 9938-9629
Msn: ma...@oquei.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall com prioridade para Navegaçã o
sim testei.. estou navegando com ele e enviando esta msg... já baixei arquivos
o que eu gostaria de saber opinião de vocês principamente com relação
a prioridade
para navegação..
não sei esta funcionado .. tem como saber ?? outro detalhe é o consumo de banda
por p2p.. o que eu quero não é bloquear é fazer que eles não tenha prioridade.
Em 8 de novembro de 2010 12:13, Mario Augusto Mania
m3.bsd.ma...@gmail.com escreveu:
Voce testou essas regras antes de postar?
Simulou o ambiente?
m3
Em 8 de novembro de 2010 12:50, Gustavo Freitas
gst.frei...@gmail.com escreveu:
Pessoal,
Estou com iniciando no BSD e implementei um firewall usando PF, objetivo
dele é
somente controlar e dar prioridade para navegação na internet com uma
reserva de banda
de 80%, sem controle de trafego e nem bloqueio de portas.
Gostaria da opinião de você e se esta correto..
int_if = rl0
ext_if = vr0
unsafe = { rl0, vr0 }
int_net = 10.0.0.0/8
int_alias = 10.10.0.0/16
set loginterface $int_if
set skip on lo
match in all scrub (no-df)
nat on $ext_if from !($ext_if) - ($ext_if:0)
antispoof quick for { lo $int_if }
set block-policy return
block in log quick proto tcp flags FUP/WEUAPRSF
block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
block in log quick proto tcp flags SRAFU/WEUAPRSF
block in log quick proto tcp flags /WEUAPRSF
block in log quick proto tcp flags SR/SR
block in log quick proto tcp flags SF/SF
altq on $ext_if cbq bandwidth 512Kb queue { def, http }
queue def bandwidth 20% cbq(default borrow red)
queue http bandwidth 80% cbq(borrow red)
pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags
S/SA \
keep state queue http
# block in traffic from private networks on external interface
block drop in quick on $ext_if from $int_alias to any
# block out traffic to private networks on external interface
block drop out quick on $ext_if from any to $int_alias
antispoof quick for { lo $int_if }
block in quick on $ext_if proto tcp from sshguard to any port 22
label ssh bruteforce
# SSH connection
pass in log on $int_if inet proto tcp from $int_net to { $int_if
$ext_if } port ssh
pass out log on $int_if inet proto tcp from $int_if to any port ssh
# DNS queries
pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port
{ domain bootps }
# ping
block in log on $int_if proto icmp from $int_alias to $int_alias
# File sharing applications
pass in log on $int_if proto { tcp udp } from $int_net to any port socks
--
Gustavo Freitas
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Atenciosmente
Mario Augusto Mania m3BSD
---
m3.bsd.ma...@gmail.com
Cel.: (43) 9938-9629
Msn: ma...@oquei.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Gustavo Freitas
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall com prioridade para Navegaçã o
Entao você nao testou heheheh, já que vc mesmo disse que nao sabe se
esta funcionando :)
Como vc pode testar:
Coloca outro freebsd na outra ponta do cabo com ftp e apache.
Gere um arquivo com dd de uns 50Gbs.
Comece a baixar o arquivo por ftp, e veja a velocidade.
Monitore por 1 minuto mais ou menos, e entao comece a baixar o mesmo
arquivo, mas agora por http.
Voce vai testar baixando os dois ao mesmo tempo, 1 por ftp e outro por http.
Se suas regras funcionarem, a velocidade do ftp vai cair para 20% e a
do http sera equivalente a 80%.
m3
Em 8 de novembro de 2010 13:31, Gustavo Freitas
gst.frei...@gmail.com escreveu:
sim testei.. estou navegando com ele e enviando esta msg... já baixei arquivos
o que eu gostaria de saber opinião de vocês principamente com relação
a prioridade
para navegação..
não sei esta funcionado .. tem como saber ?? outro detalhe é o consumo de
banda
por p2p.. o que eu quero não é bloquear é fazer que eles não tenha prioridade.
Em 8 de novembro de 2010 12:13, Mario Augusto Mania
m3.bsd.ma...@gmail.com escreveu:
Voce testou essas regras antes de postar?
Simulou o ambiente?
m3
Em 8 de novembro de 2010 12:50, Gustavo Freitas
gst.frei...@gmail.com escreveu:
Pessoal,
Estou com iniciando no BSD e implementei um firewall usando PF, objetivo
dele é
somente controlar e dar prioridade para navegação na internet com uma
reserva de banda
de 80%, sem controle de trafego e nem bloqueio de portas.
Gostaria da opinião de você e se esta correto..
int_if = rl0
ext_if = vr0
unsafe = { rl0, vr0 }
int_net = 10.0.0.0/8
int_alias = 10.10.0.0/16
set loginterface $int_if
set skip on lo
match in all scrub (no-df)
nat on $ext_if from !($ext_if) - ($ext_if:0)
antispoof quick for { lo $int_if }
set block-policy return
block in log quick proto tcp flags FUP/WEUAPRSF
block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
block in log quick proto tcp flags SRAFU/WEUAPRSF
block in log quick proto tcp flags /WEUAPRSF
block in log quick proto tcp flags SR/SR
block in log quick proto tcp flags SF/SF
altq on $ext_if cbq bandwidth 512Kb queue { def, http }
queue def bandwidth 20% cbq(default borrow red)
queue http bandwidth 80% cbq(borrow red)
pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags
S/SA \
keep state queue http
# block in traffic from private networks on external interface
block drop in quick on $ext_if from $int_alias to any
# block out traffic to private networks on external interface
block drop out quick on $ext_if from any to $int_alias
antispoof quick for { lo $int_if }
block in quick on $ext_if proto tcp from sshguard to any port 22
label ssh bruteforce
# SSH connection
pass in log on $int_if inet proto tcp from $int_net to { $int_if
$ext_if } port ssh
pass out log on $int_if inet proto tcp from $int_if to any port ssh
# DNS queries
pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port
{ domain bootps }
# ping
block in log on $int_if proto icmp from $int_alias to $int_alias
# File sharing applications
pass in log on $int_if proto { tcp udp } from $int_net to any port socks
--
Gustavo Freitas
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Atenciosmente
Mario Augusto Mania m3BSD
---
m3.bsd.ma...@gmail.com
Cel.: (43) 9938-9629
Msn: ma...@oquei.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Gustavo Freitas
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Atenciosmente
Mario Augusto Mania m3BSD
---
m3.bsd.ma...@gmail.com
Cel.: (43) 9938-9629
Msn: ma...@oquei.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall com prioridade para Navegaçã o
pessoal,
fiz o teste e não funcionou.. utilizei o seguintes links
http://na.mirror.garr.it/mirrors/zeroshell/kernel-2.6.19.7-source-compiled.tar.bz2
ftp://na.mirror.garr.it/mirrors/zeroshell/
A velocidade ficou a mesma..
Adicionei a regra abaixo e nada..
pass in quick on $ext_if proto tcp from any to any flags S/SA \
keep state queue def
Em 8 de novembro de 2010 13:04, Mario Augusto Mania
m3.bsd.ma...@gmail.com escreveu:
Entao você nao testou heheheh, já que vc mesmo disse que nao sabe se
esta funcionando :)
Como vc pode testar:
Coloca outro freebsd na outra ponta do cabo com ftp e apache.
Gere um arquivo com dd de uns 50Gbs.
Comece a baixar o arquivo por ftp, e veja a velocidade.
Monitore por 1 minuto mais ou menos, e entao comece a baixar o mesmo
arquivo, mas agora por http.
Voce vai testar baixando os dois ao mesmo tempo, 1 por ftp e outro por http.
Se suas regras funcionarem, a velocidade do ftp vai cair para 20% e a
do http sera equivalente a 80%.
m3
Em 8 de novembro de 2010 13:31, Gustavo Freitas
gst.frei...@gmail.com escreveu:
sim testei.. estou navegando com ele e enviando esta msg... já baixei
arquivos
o que eu gostaria de saber opinião de vocês principamente com relação
a prioridade
para navegação..
não sei esta funcionado .. tem como saber ?? outro detalhe é o consumo de
banda
por p2p.. o que eu quero não é bloquear é fazer que eles não tenha
prioridade.
Em 8 de novembro de 2010 12:13, Mario Augusto Mania
m3.bsd.ma...@gmail.com escreveu:
Voce testou essas regras antes de postar?
Simulou o ambiente?
m3
Em 8 de novembro de 2010 12:50, Gustavo Freitas
gst.frei...@gmail.com escreveu:
Pessoal,
Estou com iniciando no BSD e implementei um firewall usando PF, objetivo
dele é
somente controlar e dar prioridade para navegação na internet com uma
reserva de banda
de 80%, sem controle de trafego e nem bloqueio de portas.
Gostaria da opinião de você e se esta correto..
int_if = rl0
ext_if = vr0
unsafe = { rl0, vr0 }
int_net = 10.0.0.0/8
int_alias = 10.10.0.0/16
set loginterface $int_if
set skip on lo
match in all scrub (no-df)
nat on $ext_if from !($ext_if) - ($ext_if:0)
antispoof quick for { lo $int_if }
set block-policy return
block in log quick proto tcp flags FUP/WEUAPRSF
block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
block in log quick proto tcp flags SRAFU/WEUAPRSF
block in log quick proto tcp flags /WEUAPRSF
block in log quick proto tcp flags SR/SR
block in log quick proto tcp flags SF/SF
altq on $ext_if cbq bandwidth 512Kb queue { def, http }
queue def bandwidth 20% cbq(default borrow red)
queue http bandwidth 80% cbq(borrow red)
pass in quick on $ext_if proto tcp from any to any port { 80, 443 } flags
S/SA \
keep state queue http
# block in traffic from private networks on external interface
block drop in quick on $ext_if from $int_alias to any
# block out traffic to private networks on external interface
block drop out quick on $ext_if from any to $int_alias
antispoof quick for { lo $int_if }
block in quick on $ext_if proto tcp from sshguard to any port 22
label ssh bruteforce
# SSH connection
pass in log on $int_if inet proto tcp from $int_net to { $int_if
$ext_if } port ssh
pass out log on $int_if inet proto tcp from $int_if to any port ssh
# DNS queries
pass in log on $int_if proto { tcp udp } from $int_net to $ext_if port
{ domain bootps }
# ping
block in log on $int_if proto icmp from $int_alias to $int_alias
# File sharing applications
pass in log on $int_if proto { tcp udp } from $int_net to any port socks
--
Gustavo Freitas
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Atenciosmente
Mario Augusto Mania m3BSD
---
m3.bsd.ma...@gmail.com
Cel.: (43) 9938-9629
Msn: ma...@oquei.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Gustavo Freitas
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Atenciosmente
Mario Augusto Mania m3BSD
---
m3.bsd.ma...@gmail.com
Cel.: (43) 9938-9629
Msn: ma...@oquei.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Gustavo Freitas
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall quando reinicia, não volta o PF
2010/10/8 eduwu...@gmail.com eduwu...@gmail.com: Bom dia Tenho um Servidor Firewall/Gateway, rodando PF, Todas as vezes que reinicio o servidor, tenho que executar meu script para subir o PF, que tem o seguinte conteúdo. #!/bin/sh pfctl -F all /root/scripts/pf.log pfctl -f /etc/pf.conf /root/scripts/pf.log Até aí, tudo bem, Porem, percebi que foi depois que adicionei uma regra no meu PF.CONF, contendo um host dinamico, que usava dyndns. pass in quick on rl0 from $rede_interna to layher-serv.ddns.com.br keep state Antes dessa regra, eu não tinha esse problema, rebootava, e subia normalmente o PF. Você mesmo já achou o problema, não se deve usar URLs no pf.conf. Se você precisa disso, uma solução (a primeira que me veio a mente), seria criar uma table no pf.conf, sem nenhum IP, e criar a regra de firewall usando ela. Depois vc adiciona um script bem simples pra executar no seu rc.local, que resolva o IP do host que vc precisa e adicione-o na table. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] firewall freebsd + pf -- 32bits ou 64bits dife rença de performace ? existe ?
Diogo, Eu não vi tanta diferença, agora se tem a oportunidade de fazer com 64bits, faça logo! Sds, Em 7 de junho de 2010 17:44, Diogo Rodrigo diogo1...@gmail.com escreveu: Prezados amigos , existe alguma diferença de performace em um firewall em freebsd 32bits e 64bits ? preciso de um firewall para fazer balanceamento de carga de entrada em alguns serviços internos da empresa . att Digoo Rodrigo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ___ Bruno Torres Viana Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante por opção! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] firewall freebsd + pf -- 32bits ou 64bits dife rença de performace ? existe ?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Em 08-06-2010 09:32, Bruno Torres Viana escreveu: Diogo, Eu não vi tanta diferença, agora se tem a oportunidade de fazer com 64bits, faça logo! Sds, Em 7 de junho de 2010 17:44, Diogo Rodrigo diogo1...@gmail.com escreveu: Prezados amigos , existe alguma diferença de performace em um firewall em freebsd 32bits e 64bits ? preciso de um firewall para fazer balanceamento de carga de entrada em alguns serviços internos da empresa . att Digoo Rodrigo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Look at this http://en.wikipedia.org/wiki/Year_2038_problem -BEGIN PGP SIGNATURE- Version: GnuPG v2.0.15 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAkwOSXsACgkQ35zeJy7JhCiwHQCdEn4Or5rlY84Gko0FOspcdqaS rosAoI43TIwnZR8gjPIbJcAfZbr4OkrU =dY6j -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] firewall freebsd + pf -- 32bits ou 64bits diferença de performace ? existe ?
Em 8/6/2010 10:45, Zhu Sha Zang escreveu: Look at this http://en.wikipedia.org/wiki/Year_2038_problem Esse está igual ao bug de 2000. Mais uma grande coisa pra gente perder tempo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] firewall freebsd + pf -- 32bits ou 64bits diferença de performace ? existe ?
On Tue, June 8, 2010 10:45, Zhu Sha Zang wrote: tenho um FW 7.1R em produção e não me dá dor de cabeça alguma. como o pc tem EM64T, uso amd64 e recomendo. matheus -- We will call you cygnus, The God of balance you shall be A: Because it messes up the order in which people normally read text. Q: Why is top-posting such a bad thing? http://en.wikipedia.org/wiki/Posting_style - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall freebsd com proxy squid
On Apr 9, 2010, at 5:22 PM, Thiago Pollachini wrote: Acredito que possa ser feito se for mexido no codigo do msn-proxy. O desenvolvedor do msn-proxy é um usuario ativo do fórum. Porque nao questiona-lo? Saudações, Em 8 de abril de 2010 23:04, Neriberto Caetano do Prado neribe...@gmail.com escreveu: o msn usa uma porta especifica para ele, mas também utiliza-se do protocolo http, não sei te dizer agora se os arquivos enviados e recebidos pelo msn utilizam esta porta dele ou o http, se for por http então seria escaneado pelo antivírus sim,... --- pausa para googlar :) --- A porta do MSN é a 1863 Achei este site ( http://www.hypothetic.org/docs/msn/client/file_transfer.php ) que fala de um série de coisas sobre transferencia de arquivo pelo MSN fiquei na dúvida e fui na fonte causadora de todo o MAL e achei isto : http://support.microsoft.com/kb/927847 tem uma relação de portas usadas pelo MSN, Live Messenger e tem mais este kb : http://support.microsoft.com/kb/960820 bom testes, estudos e reporta aí depois :) Bom, O msn pode conectar das duas maneiras (porta 1863 ou pela porta 80) dependo dos bloqueios na sua rede. A transferencia de arquivos (de qualquer maneira) é feita através do envio de pequenas mensagens (o arquivo é quebrado em pedaços pequenos antes de ser transmitido) e isso dificulta se não impede totalmente o trabalho do anti-virus, que não vai ver em momento algum o arquivo completo. Mesmo no msn-proxy seria dificil de implementar o anti-virus (o msn-proxy teria que receber o arquivo automaticamente, verificar e depois encaminhar para o usuário de destino - não é impossível mas seria dificil). Att., Luiz - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall freebsd com proxy squid
Acredito que possa ser feito se for mexido no codigo do msn-proxy. O desenvolvedor do msn-proxy é um usuario ativo do fórum. Porque nao questiona-lo? Saudações, Em 8 de abril de 2010 23:04, Neriberto Caetano do Prado neribe...@gmail.com escreveu: o msn usa uma porta especifica para ele, mas também utiliza-se do protocolo http, não sei te dizer agora se os arquivos enviados e recebidos pelo msn utilizam esta porta dele ou o http, se for por http então seria escaneado pelo antivírus sim,... --- pausa para googlar :) --- A porta do MSN é a 1863 Achei este site ( http://www.hypothetic.org/docs/msn/client/file_transfer.php ) que fala de um série de coisas sobre transferencia de arquivo pelo MSN fiquei na dúvida e fui na fonte causadora de todo o MAL e achei isto : http://support.microsoft.com/kb/927847 tem uma relação de portas usadas pelo MSN, Live Messenger e tem mais este kb : http://support.microsoft.com/kb/960820 bom testes, estudos e reporta aí depois :) Em 8 de abril de 2010 19:41, Anderson Alves de Albuquerque anderso...@gmail.com escreveu: Eu tenho o meu firewall com proxy squid e antivirus no freebsd. Eu queria garantir, que os usuários tenham os seus arquivos, transferidos via MSN, escaneados pelo antivirus do proxy squid. Isto eh possível? -- [], Anderson Alves de Albuquerque. --- E-mails: andersonalvesdealbuquerque#hotmail.com (replace # by @) andersonaa#gmail.com (replace # by @) ICQ: 73222660 --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall freebsd com proxy squid
o msn usa uma porta especifica para ele, mas também utiliza-se do protocolo http, não sei te dizer agora se os arquivos enviados e recebidos pelo msn utilizam esta porta dele ou o http, se for por http então seria escaneado pelo antivírus sim,... --- pausa para googlar :) --- A porta do MSN é a 1863 Achei este site ( http://www.hypothetic.org/docs/msn/client/file_transfer.php ) que fala de um série de coisas sobre transferencia de arquivo pelo MSN fiquei na dúvida e fui na fonte causadora de todo o MAL e achei isto : http://support.microsoft.com/kb/927847 tem uma relação de portas usadas pelo MSN, Live Messenger e tem mais este kb : http://support.microsoft.com/kb/960820 bom testes, estudos e reporta aí depois :) Em 8 de abril de 2010 19:41, Anderson Alves de Albuquerque anderso...@gmail.com escreveu: Eu tenho o meu firewall com proxy squid e antivirus no freebsd. Eu queria garantir, que os usuários tenham os seus arquivos, transferidos via MSN, escaneados pelo antivirus do proxy squid. Isto eh possível? -- [], Anderson Alves de Albuquerque. --- E-mails: andersonalvesdealbuquerque#hotmail.com (replace # by @) andersonaa#gmail.com (replace # by @) ICQ: 73222660 --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall banda por usuário
Veja as regras abaixo eu tenho um regra de controle de 64k e outro de 100k
A mediada que crio as baixas de IPs no arquivo cbanda já caiem no controle
de banda especificada no rc.filters.
Veja que da pra fazer o controle MAC no cbanda tambem
Arquivo cbanda
#Cliente 01
ifconfig rl1 inet 10.1.1.11 netmask 255.255.255.224 alias
/usr/sbin/arp -S 10.1.1.106 00:10:69:48:d4:90
#Cliente 02
ifconfig rl1 inet 10.2.0.1 netmask 255.255.255.252 alias
/usr/sbin/arp -S 10.2.0.2 00:10:69:48:d4:90
#Cliente 03
ifconfig rl1 inet 11.2.0.1 netmask 255.255.255.252 alias
/usr/sbin/arp -S 11.2.0.2 00:1c:f0:85:e8:73
#Cliente 04
ifconfig rl1 inet 12.1.0.1 netmask 255.255.255.252 alias
/usr/sbin/arp -S 12.1.0.2 00:1c:f0:85:e8:73
#Cliente 05
ifconfig rl1 inet 12.2.0.1 netmask 255.255.255.252 alias
/usr/sbin/arp -S 12.2.0.2 00:1c:f0:85:e8:73
Aruivo rc.filters
#Banda-64k
REDE_64=10.0.0.0/8,11.0.0.0/8
REDE_100=12.0.0.0/8, 13.0.0.0/8
###
# CONTROLE DE BANDA VEL 64Kbit/s#
###
#
$IPFW add 1000 pipe 1000 ip from ${REDE_64} to any in
$IPFW add 1001 pipe 1001 ip from any to ${REDE_64} out
$IPFW pipe 1000 config mask src-ip 0xffe0 bw 64Kbit/s
$IPFW pipe 1001 config mask dst-ip 0xffe0 bw 64Kbit/s
#
###
# CONTROLE DE BANDA DA REDE VEL 100Kbit/s #
###
#
$IPFW add 1010 pipe 1010 ip from ${REDE_100} to any in
$IPFW add 1011 pipe 1011 ip from any to ${REDE_100} out
$IPFW pipe 1010 config mask src-ip 0xffe0 bw 100Kbit/s
$IPFW pipe 1011 config mask dst-ip 0xffe0 bw 100Kbit/s
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall banda por usuário
Cara rede 11.x.x.x e 12.x.x.x tah errado meu hehehehehe
Soh pode usar 10.x.x.x
Em 22 de março de 2010 08:28, Gelsimauro Batista dos Santos
mauro...@gmail.com escreveu:
Veja as regras abaixo eu tenho um regra de controle de 64k e outro de 100k
A mediada que crio as baixas de IPs no arquivo cbanda já caiem no controle
de banda especificada no rc.filters.
Veja que da pra fazer o controle MAC no cbanda tambem
Arquivo cbanda
#Cliente 01
ifconfig rl1 inet 10.1.1.11 netmask 255.255.255.224 alias
/usr/sbin/arp -S 10.1.1.106 00:10:69:48:d4:90
#Cliente 02
ifconfig rl1 inet 10.2.0.1 netmask 255.255.255.252 alias
/usr/sbin/arp -S 10.2.0.2 00:10:69:48:d4:90
#Cliente 03
ifconfig rl1 inet 11.2.0.1 netmask 255.255.255.252 alias
/usr/sbin/arp -S 11.2.0.2 00:1c:f0:85:e8:73
#Cliente 04
ifconfig rl1 inet 12.1.0.1 netmask 255.255.255.252 alias
/usr/sbin/arp -S 12.1.0.2 00:1c:f0:85:e8:73
#Cliente 05
ifconfig rl1 inet 12.2.0.1 netmask 255.255.255.252 alias
/usr/sbin/arp -S 12.2.0.2 00:1c:f0:85:e8:73
Aruivo rc.filters
#Banda-64k
REDE_64=10.0.0.0/8,11.0.0.0/8
REDE_100=12.0.0.0/8, 13.0.0.0/8
###
# CONTROLE DE BANDA VEL 64Kbit/s #
###
#
$IPFW add 1000 pipe 1000 ip from ${REDE_64} to any in
$IPFW add 1001 pipe 1001 ip from any to ${REDE_64} out
$IPFW pipe 1000 config mask src-ip 0xffe0 bw 64Kbit/s
$IPFW pipe 1001 config mask dst-ip 0xffe0 bw 64Kbit/s
#
###
# CONTROLE DE BANDA DA REDE VEL 100Kbit/s #
###
#
$IPFW add 1010 pipe 1010 ip from ${REDE_100} to any in
$IPFW add 1011 pipe 1011 ip from any to ${REDE_100} out
$IPFW pipe 1010 config mask src-ip 0xffe0 bw 100Kbit/s
$IPFW pipe 1011 config mask dst-ip 0xffe0 bw 100Kbit/s
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Atenciosmente
Mario Augusto Mania m3BSD
---
m3.bsd.ma...@gmail.com
Cel.: (43) 9938-9629
Msn: ma...@oquei.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall banda por usuário
2010/3/22 Gelsimauro Batista dos Santos mauro...@gmail.com: #Cliente 03 ifconfig rl1 inet 11.2.0.1 netmask 255.255.255.252 alias /usr/sbin/arp -S 11.2.0.2 00:1c:f0:85:e8:73 #Cliente 04 ifconfig rl1 inet 12.1.0.1 netmask 255.255.255.252 alias /usr/sbin/arp -S 12.1.0.2 00:1c:f0:85:e8:73 #Cliente 05 ifconfig rl1 inet 12.2.0.1 netmask 255.255.255.252 alias /usr/sbin/arp -S 12.2.0.2 00:1c:f0:85:e8:73 Dá uma lida na RFC 1918, você não deve usar esses IPs para redes internas, existem classes certas pra isso 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall banda por usuário
Em 20 de março de 2010 18:22, Anderson Alves de Albuquerque anderso...@gmail.com escreveu: Como eu posso fazer um QoS garantindo X megas por usuário. Como tenho uns 150 usuários, eu não quero escrever uma regra para cada user, -- Anderson, Uma forma seria utilizar máscaras na queue ou no pipe de cada fluxo. Assim o dummynet vai criar uma fila igual para cada host, com as mesmas configurações definidas no pipe ou na queue. http://www2.unijui.edu.br/~heini/freebsd/dummynet.html http://www.freebsdbrasil.com.br/fbsdbr_files/File/public_docs/ipfw-howto.pdf - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Tenho o bruteblock em alguns servidores para controle de conexão no smtp, ele le o arquivo de log e adiciona automaticamente o ip com um determinado numero de conexões em uma tabela do ipfw. Joao, voce poderia enviar os arquivos de configuração para ssh e ftp? 2010/3/17 Davi Vercillo C. Garcia davivcgar...@bsd.com.br: Fala pessoal, Sua indagação despertou em mim a curiosidade de saber como softwares como fail2ban interagem com PF ou IPtables. De acordo com o site oficial... Eu uso o BruteBlock para bloquear IPs que tentam fazer muito ssh e muito ftp, e obtém erros de conexão. Ele recebe do syslog as mensagens de erro, compara com uma regex, e coloca em uma table se passa de um número de tentativas em um determinado tempo. Mas no final de 2006 fiz um outro uso para ele. Eu fiz uma regex para verificar setup de conexão a uma porta TCP 25, e se tiver muitas tentativas em 1 minuto, ele coloca em uma table que é usada em uma regra que proíbe conexões SMTP. A quem interessar, eu posso mandar os arquivos de regras. João Rocha. Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP that makes too many password failures. It updates firewall rules to reject the IP address. Achei bem legal... não conhecia essa ferramenta... =P Abraços, -- Davi Vercillo C. Garcia http://www.google.com/profiles/davivcgarcia Waste time in learning things that do not interest us, deprives us of discovering interesting things. - Carlos Drummond de Andrade - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Olá Lista, já olhou alguma coisa sobre o http://www.ossec.net/ Em 18 de março de 2010 08:13, Felipe N. Oliva felipe.n...@yahoo.com.brescreveu: Tenho o bruteblock em alguns servidores para controle de conexão no smtp, ele le o arquivo de log e adiciona automaticamente o ip com um determinado numero de conexões em uma tabela do ipfw. Joao, voce poderia enviar os arquivos de configuração para ssh e ftp? 2010/3/17 Davi Vercillo C. Garcia davivcgar...@bsd.com.br: Fala pessoal, Sua indagação despertou em mim a curiosidade de saber como softwares como fail2ban interagem com PF ou IPtables. De acordo com o site oficial... Eu uso o BruteBlock para bloquear IPs que tentam fazer muito ssh e muito ftp, e obtém erros de conexão. Ele recebe do syslog as mensagens de erro, compara com uma regex, e coloca em uma table se passa de um número de tentativas em um determinado tempo. Mas no final de 2006 fiz um outro uso para ele. Eu fiz uma regex para verificar setup de conexão a uma porta TCP 25, e se tiver muitas tentativas em 1 minuto, ele coloca em uma table que é usada em uma regra que proíbe conexões SMTP. A quem interessar, eu posso mandar os arquivos de regras. João Rocha. Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP that makes too many password failures. It updates firewall rules to reject the IP address. Achei bem legal... não conhecia essa ferramenta... =P Abraços, -- Davi Vercillo C. Garcia http://www.google.com/profiles/davivcgarcia Waste time in learning things that do not interest us, deprives us of discovering interesting things. - Carlos Drummond de Andrade - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- atenciosamente, Franklin de França - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
João, Gostaria de receber os arquivos. Obrigado, Marcos Ferreira A quem interessar, eu posso mandar os arquivos de regras. João Rocha. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Marcos Ferreira escreveu: João, Manda pra lista pra ficar documentado Pode ser? Abraço Evaldo fcm.unicamp.br Gostaria de receber os arquivos. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Dê um lida nesse material www.dynsec.com.br/arquivos/ossec-snort-activeresponse_pt-BR.pdf Abs[] Em 18 de março de 2010 09:46, Evaldo Silva eva...@fcm.unicamp.br escreveu: Marcos Ferreira escreveu: João, Manda pra lista pra ficar documentado Pode ser? Abraço Evaldo fcm.unicamp.br Gostaria de receber os arquivos. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- http://www.augustoferronato.net FreeBSD: The Freedom to Perform! http://www.spreadbsd.org/aff/40/1 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Augusto Ferronato escreveu: Dê um lida nesse material www.dynsec.com.br/arquivos/ossec-snort-activeresponse_pt-BR.pdf Abs[] Gosto desse setup, junto a qualquer setup com Snort+SnortSam. Tambem gosto e aconselho o setup ossec+iptraf+activeresponse (mas esse tem q ser tunado o iptraf pra evitar problemas, depois de tunado fica fino). -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Patrick Tracanelli escreveu: Augusto Ferronato escreveu: Dê um lida nesse material www.dynsec.com.br/arquivos/ossec-snort-activeresponse_pt-BR.pdf Abs[] Gosto desse setup, junto a qualquer setup com Snort+SnortSam. Tambem gosto e aconselho o setup ossec+iptraf+activeresponse (mas esse tem q ser tunado o iptraf pra evitar problemas, depois de tunado fica fino). Usei Snort+OSSEC durante um bom tempo (no início do OSSEC ajudei a portar as regras de firewall do Linux para FreeBSD... versão IPFW... depois fizeram em PF... e melhoraram minhas regras em IPFW que não usavam tables). Instalei também o BASE... ficou bem legal... No meu caso, tive muitos problemas com falsos alertas... o snort gerava um log alertando um cabeçalho com tamanho grande por exemplo... o ossec lia o log, e já chamava o active-response, que bloqueava o IP... o problema é que em 90% dos casos não era ataque... acabava bloqueando clientes e me dando uma enorme dor de cabeça =) Fui mexendo nos rules do snort, até que deixou de acontecer... depois perdi o servidor (queimou), instalei o freebsd novo e não tive tempo de voltar a brincar com Snort+OSSEC. Me diverti muito conectando em freebsd de amigos, e rodando NMAP no meu... em poucos segundos a conexão caía (era bloqueada)... ou até mesmo rodando um nikto no servidor web... é bem legal! -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Obrigado a todos pela contribuição. Irei dar uma olhada no snort + ossec . Saudações, Em 18 de março de 2010 12:01, Welkson Renny de Medeiros welk...@focusautomacao.com.br escreveu: Patrick Tracanelli escreveu: Augusto Ferronato escreveu: Dê um lida nesse material www.dynsec.com.br/arquivos/ossec-snort-activeresponse_pt-BR.pdf Abs[] Gosto desse setup, junto a qualquer setup com Snort+SnortSam. Tambem gosto e aconselho o setup ossec+iptraf+activeresponse (mas esse tem q ser tunado o iptraf pra evitar problemas, depois de tunado fica fino). Usei Snort+OSSEC durante um bom tempo (no início do OSSEC ajudei a portar as regras de firewall do Linux para FreeBSD... versão IPFW... depois fizeram em PF... e melhoraram minhas regras em IPFW que não usavam tables). Instalei também o BASE... ficou bem legal... No meu caso, tive muitos problemas com falsos alertas... o snort gerava um log alertando um cabeçalho com tamanho grande por exemplo... o ossec lia o log, e já chamava o active-response, que bloqueava o IP... o problema é que em 90% dos casos não era ataque... acabava bloqueando clientes e me dando uma enorme dor de cabeça =) Fui mexendo nos rules do snort, até que deixou de acontecer... depois perdi o servidor (queimou), instalei o freebsd novo e não tive tempo de voltar a brincar com Snort+OSSEC. Me diverti muito conectando em freebsd de amigos, e rodando NMAP no meu... em poucos segundos a conexão caía (era bloqueada)... ou até mesmo rodando um nikto no servidor web... é bem legal! -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
2010/3/18 Felipe N. Oliva felipe.n...@yahoo.com.br:
Tenho o bruteblock em alguns servidores para controle de conexão no
smtp, ele le o arquivo de log e adiciona automaticamente o ip com um
determinado numero de conexões em uma tabela do ipfw.
Aqui estão. Algumas linhas foram quebradas, mas com um pouco de
atenção pode-se ver como consertar. São basicamente as regex.
ssh.conf:
8x Cut Here Corte aqui
# Sample configuration file for the OpenSSH daemon
# regexp rule. Please rember that you MUST specify only one match for
# ip address to block
#
# this regexp for the OpenSSH server matches lines like:
#
# comment: auth via key only
#sshd[72593]: Illegal user hacker from 1.2.3.4
#
# comment: pwd auth, but no such user
#sshd[72593]: Failed password for illegal user sa from 1.2.3.4
#
# comment: correct user, but wrong password
#sshd[72626]: Failed password for samm from 1.2.3.4
#
# Versao aprimorada de regras implementada em 18/11/2006
# A versao anterior estah num arquivo com a data no final do nome.
regexp = sshd.*Illegal user \S+ from
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
regexp1 = sshd.*Failed password for (?:illegal user )?\S+ from
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
regexp2 = sshd.*Did not receive identification string from
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
regexp3 = sshd.*Invalid user \S+ from
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
regexp4 = sshd.*reverse mapping checking getaddrinfo for .*
.(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}). failed - POSSIBLE BREAK-IN
ATTEMPT!
# Number of failed login attempts within time before we block
max_count = 4
# Time in seconds in which all failed login attempts must occur
# Modificado por Joao Rocha em 30/08/2006.
#within_time = 60
within_time = 300
# Time in seconds to block ip in firewall
# 10 minutes
# Modificado por Joao Rocha em 30/08/2006.
#reset_ip = 600
reset_ip = 14400
# IPFW table number to add bad hosts
# Modificado por Joao Rocha em 30/08/2006.
#ipfw2_table_no = 1
ipfw2_table_no = 0
8x Cut Here Corte aqui
ftp:
8x Cut Here Corte aqui
# Sample configuration file for the ProFTPD daemon
# regexp rule. Please rember that you MUST specify only one match for
# ip address to block
#
# this regexp for the ProFTPD server matches lines like:
#
# proftpd[71905]: server.com (hack.com[1.2.3.4]) - USER hacker: no such user
# proftpd[72020]: server.com (hack.com[1.2.3.4]) - USER hacker (Login failed)
#
# Illegal user test from 10.0.0.1
# Failed password for illegal user x from 10.0.0.1 port x ssh2
# Failed password for x from 10.0.0.1 port x ssh2
#regexp = (?:did not receive identification string
from|illegal user .+ from|failed .+ for (?:illegal user )?.+
from).*\b(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}).*
#regexp=Did not receive identification string from 10.0.0.1
#regexp=proftpd.*\[(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\]\) - USER \S+
(?:no such user|\(Login failed)
regexp =ftpd.*: FTP LOGIN FAILED FROM (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
# Number of failed login attempts within time before we block
max_count = 4
# Time in seconds in which all failed login attempts must occur
#within_time = 60
within_time = 300
# Time in seconds to block ip in firewall
# 10 minutes
#reset_ip = 600
reset_ip = 14400
# IPFW table number to add bad hosts
#ipfw2_table_no = 0
ipfw2_table_no = 0
8x Cut Here Corte aqui
Acrescente a seguinte linha no
8x Cut Here Corte aqui
auth.info;authpriv.info | exec /usr/local/sbin/bruteblock -f
/usr/local/etc/bruteblock/ssh.conf
auth.info | exec /usr/local/sbin/bruteblock -f
/usr/local/etc/bruteblock/ftp.conf
8x Cut Here Corte aqui
João Rocha.
Joao, voce poderia enviar os arquivos de configuração para ssh e ftp?
2010/3/17 Davi Vercillo C. Garcia davivcgar...@bsd.com.br:
Fala pessoal,
Sua indagação despertou em mim a curiosidade de saber como softwares como
fail2ban interagem com PF ou IPtables.
De acordo com o site oficial...
Eu uso o BruteBlock para bloquear IPs que tentam fazer muito ssh
e muito ftp, e obtém erros de conexão. Ele recebe do syslog as
mensagens de erro, compara com uma regex, e coloca em uma
table se passa de um número de tentativas em um determinado
tempo. Mas no final de 2006 fiz um outro uso para ele.
Eu fiz uma regex para verificar setup de conexão a uma porta TCP 25,
e se tiver muitas tentativas em 1 minuto, ele coloca em uma table
que é usada em uma regra que proíbe conexões SMTP.
A quem interessar, eu posso mandar os arquivos de regras.
João Rocha.
Fail2ban scans log files like /var/log/pwdfail or
/var/log/apache/error_log and bans IP that makes too many password
failures. It updates firewall rules to reject the IP address.
Achei bem legal... não conhecia essa ferramenta... =P
Abraços,
--
Davi Vercillo C. Garcia
Re: [FUG-BR] Firewall Pró Ativo
2010/3/18 Evaldo Silva eva...@fcm.unicamp.br:
Marcos Ferreira escreveu:
João,
Manda pra lista pra ficar documentado
Pode ser?
Tem que colocar uma regra como a seguinte:
ipfw add 17000 deny log tcp from 'table(3)' to any 25
ipfw add 17040count log logamount 1 tcp from any to any 25 setup in via em0
No /etc/syslog.conf coloque:
8x Cut Here Corte aqui
security.* | exec /usr/local/sbin/bruteblock -f
/usr/local/etc/bruteblock/spam.conf
8x Cut Here Corte aqui
E o arquivo /usr/local/etc/bruteblock/spam.conf:
8x Cut Here Corte aqui
#regexp = kernel: ipfw: [0-9][0-9]* Count TCP
\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}:[0-9][0-9]* [0-9][0-9]*\.[0-9][0
-9]*\.[0-9][0-9]*\.[0-9][0-9]*:25
regexp = kernel: ipfw: 1[17]040 Count TCP
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}):.*:25 in
regexp2 = kernel: ipfw: 40040 Count TCP
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}):.*:25 in
# Number of mail connections attempts within time before we block
max_count = 20
# Time in seconds in which all attempts must occur
within_time = 60
# Time in seconds to block ip in firewall
# Representa na tabela o segundo seguinte ao do bloqueio.
reset_ip = 1
# IPFW table number to add bad hosts
ipfw2_table_no = 3
8x Cut Here Corte aqui
Claro que o número da regra tem que ser de acordo com o seu firewall.
João Rocha.
Abraço
Evaldo
fcm.unicamp.br
Gostaria de receber os arquivos.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Sempre se apanha mais com as menores besteiras. Experiência própria.
goffr...@gmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Ninguem? Saudações, Em 15 de março de 2010 14:58, Thiago Pollachini thiagopollach...@bsd.com.br escreveu: Olá lista, Alguem tem alguma informação a respeito de firewall pró ativo? Tinha em mente que seria um firewall com IDS só que vi que existem equipamentos com pouca CPU e memória com esse recurso. Saudações, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Olá Thiago, meu dia-a-dia de trabalho esta tendo uma bosa de dose de firewalls camada 3, mas infelizemente não posso contribuir com esse topico de Firewall pró-ativo. Sua indagação despertou em mim a curiosidade de saber como softwares como fail2ban interagem com PF ou IPtables. Estou lendo sobre, em breve poderei contribuir neste espaço. Em 17 de março de 2010 17:45, Thiago Pollachini thiagopollach...@bsd.com.br escreveu: Ninguem? Saudações, Em 15 de março de 2010 14:58, Thiago Pollachini thiagopollach...@bsd.com.br escreveu: Olá lista, Alguem tem alguma informação a respeito de firewall pró ativo? Tinha em mente que seria um firewall com IDS só que vi que existem equipamentos com pouca CPU e memória com esse recurso. Saudações, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Elias Moreira (71) 8156-0850 MSN: elias_j...@hotmail.com Linkedin: http://br.linkedin.com/in/jeliasmoreira - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Obrigado pela contribuição José. Espero que mais fugianos deixem suas idéias, experiências e até mesmo expectativas. Saudações, Em 17 de março de 2010 21:00, josé elias ribeiro moreira jeliasmore...@gmail.com escreveu: Olá Thiago, meu dia-a-dia de trabalho esta tendo uma bosa de dose de firewalls camada 3, mas infelizemente não posso contribuir com esse topico de Firewall pró-ativo. Sua indagação despertou em mim a curiosidade de saber como softwares como fail2ban interagem com PF ou IPtables. Estou lendo sobre, em breve poderei contribuir neste espaço. Em 17 de março de 2010 17:45, Thiago Pollachini thiagopollach...@bsd.com.br escreveu: Ninguem? Saudações, Em 15 de março de 2010 14:58, Thiago Pollachini thiagopollach...@bsd.com.br escreveu: Olá lista, Alguem tem alguma informação a respeito de firewall pró ativo? Tinha em mente que seria um firewall com IDS só que vi que existem equipamentos com pouca CPU e memória com esse recurso. Saudações, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Elias Moreira (71) 8156-0850 MSN: elias_j...@hotmail.com Linkedin: http://br.linkedin.com/in/jeliasmoreira - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Fala pessoal, Sua indagação despertou em mim a curiosidade de saber como softwares como fail2ban interagem com PF ou IPtables. De acordo com o site oficial... Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP that makes too many password failures. It updates firewall rules to reject the IP address. Achei bem legal... não conhecia essa ferramenta... =P Abraços, -- Davi Vercillo C. Garcia http://www.google.com/profiles/davivcgarcia Waste time in learning things that do not interest us, deprives us of discovering interesting things. - Carlos Drummond de Andrade - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
2010/3/17 Davi Vercillo C. Garcia davivcgar...@bsd.com.br: Fala pessoal, Sua indagação despertou em mim a curiosidade de saber como softwares como fail2ban interagem com PF ou IPtables. De acordo com o site oficial... Eu uso o BruteBlock para bloquear IPs que tentam fazer muito ssh e muito ftp, e obtém erros de conexão. Ele recebe do syslog as mensagens de erro, compara com uma regex, e coloca em uma table se passa de um número de tentativas em um determinado tempo. Mas no final de 2006 fiz um outro uso para ele. Eu fiz uma regex para verificar setup de conexão a uma porta TCP 25, e se tiver muitas tentativas em 1 minuto, ele coloca em uma table que é usada em uma regra que proíbe conexões SMTP. A quem interessar, eu posso mandar os arquivos de regras. João Rocha. Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP that makes too many password failures. It updates firewall rules to reject the IP address. Achei bem legal... não conhecia essa ferramenta... =P Abraços, -- Davi Vercillo C. Garcia http://www.google.com/profiles/davivcgarcia Waste time in learning things that do not interest us, deprives us of discovering interesting things. - Carlos Drummond de Andrade - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. goffr...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall
Davi Vercillo C. Garcia escreveu: Fala pessoal, Sou novo no mundo BSD mas já estou apaixonado ! O que me confundiu um pouco foi a grande variedade de opções pra firewall no FreeBSD: ipf, pf e ipfw. Gostaria de saber qual deles vem por padrão numa instalação do FreeBSD ? Existe realmente muita diferença, para firewalls simples, entre o PF e o IPFW ? Davi, Recomendo fortemente o uso do PF, que é um excelente filtro de pacotes. No link [1], você encontra os primeiros passos para ativação dele no FreeBSD e no link [2] você encontra dicas para utilização do mesmo [1]. http://www.freebsd.org/doc/en/books/handbook/firewalls-pf.html [2]. http://www.openbsd.org/faq/pf/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall
Como Marcio disse, alem do PF, vc pode tambem utilizar o ipfw olha esta artido do patrick http://freebsdbrasil.com.br/fbsdbr_files/File/public_docs/ipfw-howto.pdf 2009/10/9 Márcio Luciano Donada mdon...@gmail.com: Davi Vercillo C. Garcia escreveu: Fala pessoal, Sou novo no mundo BSD mas já estou apaixonado ! O que me confundiu um pouco foi a grande variedade de opções pra firewall no FreeBSD: ipf, pf e ipfw. Gostaria de saber qual deles vem por padrão numa instalação do FreeBSD ? Existe realmente muita diferença, para firewalls simples, entre o PF e o IPFW ? Davi, Recomendo fortemente o uso do PF, que é um excelente filtro de pacotes. No link [1], você encontra os primeiros passos para ativação dele no FreeBSD e no link [2] você encontra dicas para utilização do mesmo [1]. http://www.freebsd.org/doc/en/books/handbook/firewalls-pf.html [2]. http://www.openbsd.org/faq/pf/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall
Em Fri, 9 Oct 2009 00:19:24 -0300 Davi Vercillo C. Garcia daviverci...@gmail.com, conhecido consumidor de drogas (BigMac's com Coke) escreveu: ipf, pf e ipfw. Gostaria de saber qual deles vem por padrão numa instalação do FreeBSD ? Existe realmente muita diferença, para firewalls simples, entre o PF e o IPFW ? minha sugestão é EXPERIMENTE OS 3. O ipf não é suportado nos *BSDs devido a problemas de licenciamento, mas é muito bom, gostei dêle quando usei-o. O ipfw (IMHO) tem um sintaxe um pouco mais complicada, convém avaliar os scripts que estão em /etc (não lembro o nome, e não tenho aqui). o pf é (aparentemente) muito simples, mas é MUITO eficiente, inclusive se vc planejar suas regras; ler o manual dêle é ESSENCIAL. enfim.. use os 3, experimente-os por algum tempo e depois escolha o seu. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Homens convictos são prisioneiros Nietzsche - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall
eu uso o IPFW e não acho complicado ehehehe só tem o problema de ter que recompilar o kernel pra ativar ele, mas depois disto basta criar um arquivo em /etc/ipfw.rules com as regras, iniciá-lo no /etc/rc.conf e pronto. []s Emmanuel Alves manel...@gmail.com - Twitter: http://www.twitter.com/emartsnet Linked In: http://www.linkedin.com/in/emartsnet 2009/10/9 irado furioso com tudo ir...@bsd.com.br Em Fri, 9 Oct 2009 00:19:24 -0300 Davi Vercillo C. Garcia daviverci...@gmail.com, conhecido consumidor de drogas (BigMac's com Coke) escreveu: ipf, pf e ipfw. Gostaria de saber qual deles vem por padrão numa instalação do FreeBSD ? Existe realmente muita diferença, para firewalls simples, entre o PF e o IPFW ? minha sugestão é EXPERIMENTE OS 3. O ipf não é suportado nos *BSDs devido a problemas de licenciamento, mas é muito bom, gostei dêle quando usei-o. O ipfw (IMHO) tem um sintaxe um pouco mais complicada, convém avaliar os scripts que estão em /etc (não lembro o nome, e não tenho aqui). o pf é (aparentemente) muito simples, mas é MUITO eficiente, inclusive se vc planejar suas regras; ler o manual dêle é ESSENCIAL. enfim.. use os 3, experimente-os por algum tempo e depois escolha o seu. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Homens convictos são prisioneiros Nietzsche - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall
2009/10/9 Emmanuel Alves manel...@gmail.com: eu uso o IPFW e não acho complicado ehehehe só tem o problema de ter que recompilar o kernel pra ativar ele, mas depois disto basta criar um arquivo em /etc/ipfw.rules com as regras, iniciá-lo no /etc/rc.conf e pronto. # kldload ipfw # kldload ipdivert # kldload ipfw_nat Assim não precisa recompilar o kernel -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall
2009/10/9 Emmanuel Alves manel...@gmail.com: eu uso o IPFW e não acho complicado ehehehe só tem o problema de ter que recompilar o kernel pra ativar ele, mas depois disto basta criar um arquivo em /etc/ipfw.rules com as regras, iniciá-lo no /etc/rc.conf e pronto. # kldload ipfw # kldload ipdivert # kldload ipfw_nat Assim não precisa recompilar o kernel -- Renato Botelho - É uma forma bastante cômoda, agradável e fácil de carregar o IPFW, porém deve ser considerado que as funcionalidades estarão parcialmente disponíveis, como no caso do fwd (forward): To enable fwd a custom kernel needs to be compiled with the option options IPFIREWALL_FORWARD.[1] [1] http://www.freebsd.org/cgi/man.cgi?query=ipfwsektion=8 Saudações, Trober - - - - - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall
Pessoal, Quais destes vem com suporte habilitado numa instalação default do FreeBSD 7.2, o PF ou o IPFW ? Abraços, -- Davi Vercillo C. Garcia B.Sc. Student - DCC-IM/UFRJ Fedora Project Contributor http://davivercillo.fedorapeople.org/ If a million people say a foolish thing, it is still a foolish thing. - Anatole France - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall
2009/10/10 Davi Vercillo C. Garcia daviverci...@gmail.com Pessoal, Quais destes vem com suporte habilitado numa instalação default do FreeBSD 7.2, o PF ou o IPFW ? Abraços, -- Davi Vercillo C. Garcia B.Sc. Student - DCC-IM/UFRJ Fedora Project Contributor http://davivercillo.fedorapeople.org/ If a million people say a foolish thing, it is still a foolish thing. - Anatole France - Davi, Nenhum. Você pode compilar o kernel ou carregar os modulos. O ideal é que você compile o Kernel para utilizar um desses filtros de pacotes. Se preferir, você pode ter os dois em funcionamento no seu servidor. Boa noite. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] FIREWALL IPFW + PF
2009/8/27 Hitch Cock net.hitch@gmail.com
Pessoal,
to montando um firewall com ipfw + pf e vou usar o ipfw para fazer o
controle de banda das estações e o pf para os filtros e nat.
A parte pf está funcionando perfeitamente porém o ipfw quando ativado está
bloqueando toda estação que tenta atravessar o gw mesmo eu usando default
accept.
Segue minhas configurações.
firewall# uname -a
FreeBSD firewall.exam.br 7.2-STABLE FreeBSD 7.2-STABLE #1: Tue Aug 4
19:16:54 BRT 2009
r...@firewall.exam.br:/usr/obj/usr/src/sys/GENERICwithPFandIPFW
i386
firewall# cat /etc/ipfw.conf
#!/bin/sh
fwcmd=/sbin/ipfw
${fwcmd} -f flush
${fwcmd} -f pipe flush
${fwcmd} pipe 1 config bw 64Kbit/s queue 5Kbytes mask all
${fwcmd} pipe 2 config bw 128Kbit/s queue 10Kbytes mask all
${fwcmd} pipe 3 config bw 256Kbit/s queue 25Kbytes mask all
${fwcmd} pipe 4 config bw 512Kbit/s queue 50Kbytes mask all
${fwcmd} pipe 5 config bw 1024Kbit/s queue 100Kbytes mask all
${fwcmd} pipe 6 config bw 0Mbit/s
${fwcmd} add 1 pass all from any to any via lo0
${fwcmd} add 2 deny all from any to 127.0.0.0/8
${fwcmd} add 3 deny ip from 127.0.0.0/8 to any
${fwcmd} add 5 pipe 6 all from 10.0.0.0/16 to 200.xxx.xxx.xxx/26
${fwcmd} add 6 pipe 6 all from 200.xxx.xxx.xxx/26 to 10.0.0.0/16
${fwcmd} add 7 pipe 6 all from 10.0.0.0/16 to 201.xxx.xxx.xxx/27
${fwcmd} add 8 pipe 6 all from 201.xxx.xxx.xxx/27 to 10.0.0.0/16
${fwcmd} add 9 pipe 6 all from 10.0.0.0/16 to 189.xxx.xxx.xxx/27
${fwcmd} add 10 pipe 6 all from 189.xxx.xxx.xxx/27 to 10.0.0.0/16
${fwcmd} add 11 pipe 6 all from 10.0.0.0/16 to 10.0.0.0/16
${fwcmd} add 12 pipe 6 all from 10.0.0.0/16 to 192.168.0.0/16
${fwcmd} add 13 pipe 6 all from 192.168.0.0/16 to 10.0.0.0/16
${fwcmd} add pipe 1 all from 10.0.0.22 to any
${fwcmd} add pipe 2 all from any to 10.0.0.22
${fwcmd} add pipe 1 all from 10.0.0.23 to any
${fwcmd} add pipe 2 all from any to 10.0.0.23
${fwcmd} add pipe 1 all from 10.0.1.22 to any
${fwcmd} add pipe 2 all from any to 10.0.1.22
firewall# ipfw show
1 0 0 allow ip from any to any via lo0
2 0 0 deny ip from any to 127.0.0.0/8
3 0 0 deny ip from 127.0.0.0/8 to any
5 0 0 pipe 6 ip from 10.0.0.0/16 to 200.xxx.xxx.xxx/26
6 0 0 pipe 6 ip from 200.xxx.xxx.xxx/26 to 10.0.0.0/16
7 0 0 pipe 6 ip from 10.0.0.0/16 to 201.xxx.xxx.xxx/27
8 0 0 pipe 6 ip from 201.xxx.xxx.xxx/27 to 10.0.0.0/16
9 0 0 pipe 6 ip from 10.0.0.0/16 to 189.xxx.xxx.xxx/27
00010 0 0 pipe 6 ip from 189.xxx.xxx.xxx/27 to 10.0.0.0/16
00011 120 10290 pipe 6 ip from 10.0.0.0/16 to 10.0.0.0/16
00012 0 0 pipe 6 ip from 10.0.0.0/16 to 192.168.0.0/16
00013 0 0 pipe 6 ip from 192.168.0.0/16 to 10.0.0.0/16
00023 0 0 pipe 1 ip from 10.0.0.22 to any
00033 0 0 pipe 2 ip from any to 10.0.0.22
00043 0 0 pipe 1 ip from 10.0.0.23 to any
00053 0 0 pipe 2 ip from any to 10.0.0.23
00063 0 0 pipe 1 ip from 10.0.1.22 to any
00073 0 0 pipe 2 ip from any to 10.0.1.22
65535 1180136 254268606 allow ip from any to any
firewall# cat /etc/rc.conf
defaultrouter=200.xxx.xxx.xxx
hostname=firewall.exam.br
ifconfig_le0=inet 10.0.0.1 netmask 255.255.0.0
ifconfig_le1=inet 200.xxx.xxx.xxx netmask 255.255.255.128
sshd_enable=YES
firewall_enable=YES
firewall_script=/etc/ipfw.conf
firewall_type=UNKNOWN
dummynet_enable=YES
pf_enable=YES
pf_rules=/etc/pf.conf
pflog_enable=YES
pflog_logfile=/var/log/pflog
ftpproxy_enable=YES
squid_enable=YES
Alguma sugestão? Faltou ativar alguma coisa? Tenho o mesmo firewall ipfw
rodando numa bridge e funciona perfeitamente.
obs: acho que esse assunto já deve ter sido bastante discutido aqui mas não
encontrei nada que resolvesse meu problema por isso recorro aos amigos.
Att,
Hitch
Boa noite.
Eu utilizei o ipfw/dummynet junto ao pf tempos atrás, a única diferença que
me recordo nesse momento são: Carreguei o ipfw depois do pf. Nas regras do
ipfw/dummynet utilizei a interface interna nos pipes. Não me recordo ao
certo, mas pela manhã vou procurar e te informo.
Algo como:
$fw pipe 10 config mask src-ip 0x00ff bw 512Kbit/s
$fw pipe 20 config mask dst-ip 0x00ff bw 512Kbit/s
$fw add 10 pipe 10 ip from 192.168.100.1/32 to any via ${int_if}
$fw add 20 pipe 20 ip from any to 192.168.100.1/32 via ${int_if}
$fw add 100 allow ip from any to any
Boa noite.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] firewall x gateway
Em Thu, 23 Jul 2009 18:36:47 -0700 (PDT) Lista FreeBSD lista_free...@yahoo.com.br, conhecido consumidor de drogas (BigMac's com Coke) escreveu: Este servidor que ativei o firewall não é um gateway, o gateway é outro servidor... ainda tentando entender seu cenário: está assim: lan][firewall]---[gateway]---[internet] firewall E gateway estão no mesmo barramento (ou, pelo menos entendi assim) Neste firewall tem um proxy transparente, porém antes da regra do proxy transparente, tem regras para liberar os diretores a não passar pelo proxy, enfim, liberar tudo. ok, entendi Se a regra libera tudo e não passa pelo proxy, é óbvio que não precisa colocar o proxy nos navegadores dos diretores. A minha dúvida é: se este servidor que foi ativado esse firewall for um gateway, aí sim que os diretores conseguirão navegar tranquilamente, né? Porque este servidor AINDA não é um gateway, portanto, sem o proxy é impossível navegar. depende de QUAL máquina seus diretores estão usando como gateway. Se estiverem apontando para o gw mesmo, jamais passarão pelo firewall e vão cair no proxy; se estiverem apontando para o firewall e êste tiver o gateway como 'default gw', mesmo que haja regra liberando-os, o gw (portanto o squid) não tem conhecimento disso e êles VÃO cair no proxy. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Entre as três coisas melhores desta vida, comer está em segundo e dormir em terceiro [apud Stanislaw Ponte Preta - Sergio Porto - in maximas inéditas da Tia Zulmira] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] firewall x gateway
Irado, Explicando melhor... Este servidor que ativei o firewall não é um gateway, o gateway é outro servidor... Neste firewall tem um proxy transparente, porém antes da regra do proxy transparente, tem regras para liberar os diretores a não passar pelo proxy, enfim, liberar tudo. Se a regra libera tudo e não passa pelo proxy, é óbvio que não precisa colocar o proxy nos navegadores dos diretores. A minha dúvida é: se este servidor que foi ativado esse firewall for um gateway, aí sim que os diretores conseguirão navegar tranquilamente, né? Porque este servidor AINDA não é um gateway, portanto, sem o proxy é impossível navegar. Estou correto que falta este servidor ser um gateway? Ric. Veja quais são os assuntos do momento no Yahoo! +Buscados http://br.maisbuscados.yahoo.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] firewall x gateway
Lista FreeBSD escreveu: Irado, Explicando melhor... Este servidor que ativei o firewall não é um gateway, o gateway é outro servidor... Neste firewall tem um proxy transparente, porém antes da regra do proxy transparente, tem regras para liberar os diretores a não passar pelo proxy, enfim, liberar tudo. Se a regra libera tudo e não passa pelo proxy, é óbvio que não precisa colocar o proxy nos navegadores dos diretores. A minha dúvida é: se este servidor que foi ativado esse firewall for um gateway, aí sim que os diretores conseguirão navegar tranquilamente, né? Porque este servidor AINDA não é um gateway, portanto, sem o proxy é impossível navegar. Estou correto que falta este servidor ser um gateway? Ric. Veja quais são os assuntos do momento no Yahoo! +Buscados http://br.maisbuscados.yahoo.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd No cenário que você descreveu, só precisa fazer um nat pros IPs necessários e ativar o encaminhamento(forwarding) de pacotes. []'s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] firewall x gateway
Em Wed, 22 Jul 2009 16:38:59 -0700 (PDT) Lista FreeBSD lista_free...@yahoo.com.br, conhecido consumidor de drogas (BigMac's com Coke) escreveu: Tenho uma dúvida quanto a isso. Isto só vai funcionar se tiver um gateway configurado neste servidor que ativei o firewall, né? Pois este servidor no qual ativei e configurei o firewall ainda não é um gateway. aqui me perdi.. mande um topológico (em ascii, claro) dessa situação. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Salário Menstruação Vem uma vez por mês e dura cinco dias. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] firewall x gateway
Leia sobre skipto, creio que tem na lista. Wesley Miranda FreeBSD Consult www.freebsdconsult.com.br - Original Message - From: Lista FreeBSD lista_free...@yahoo.com.br To: freebsd@fug.com.br Sent: Wednesday, July 22, 2009 8:38 PM Subject: [FUG-BR] firewall x gateway Lista! Boa noite! Configurei um firewall e adicionei uma regra para liberar o ip da diretoria para que este ip passe por onde quiser sem ser bloqueado e sem passar pelo proxy. #ip's diretores 115 allow ip from 192.168.0.18 to any 116 allow ip from 192.168.0.19 to any 117 allow ip from 192.168.0.20 to any 401 fwd 127.0.0.1,3128 tcp from any to any dst-port 80 via rl0 setup keep-state Fiz o teste e não acessa a internet, só funciona a net realmente se tiver o proxy configurado no navegador, mas dessa forma, este ip entra nas regras de bloqueio e liberação do squid. O certo era este ip da diretoria acessar qualquer coisa, sem ter que estar configurado o proxy no navegador do usuário, certo?! Já que esta regra vem antes do proxy transparente. Tenho uma dúvida quanto a isso. Isto só vai funcionar se tiver um gateway configurado neste servidor que ativei o firewall, né? Pois este servidor no qual ativei e configurei o firewall ainda não é um gateway. Estou errado ou não é isso? Abraços, Ric Veja quais são os assuntos do momento no Yahoo! +Buscados http://br.maisbuscados.yahoo.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall autenticado
usa o pFsense.. é show de bola.. 2009/5/7 Ricardo LG linogonza...@gmail.com: Bom dia a todos, estou com uma grande duvida referente a firewall no sistema FreeBSD. Estou recomendando aqui para a empresa onde trabalho a implatação de um firewall, por questões de verba não posso adquirir um firewall comercial onde pelo menos vou gastar uns R$ 15.000,00, então optei por aplicar um que esteja disponivel na grande comunidade Free. Bom a minha ideia depois de muita pesquisa e consulta aqui mesmo na lista, da implantação do FreeBSD com PF e AuthPF para que as pessoas tenha que se autenticar para poder passar pelo firewall/gateway e como proxy pretendo colocar o Squid com o SquidGuard para poder criar um filtro de conteudo. Gostaria de saber o que vocês acham da solução apresentada e se possivel o que vocês como grandes conhecedores do mundo Free podem me recomendar? Gostaria que tudo que essa pessoa fizesse desde acessar um servidor de banco de dados até os sites que ele navegou tivesse que ser autenticado. Agradeço muito qualquer ajuda. Att, Ricardo Lino Gonzalez - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall autenticado
Ricardo LG escreveu: Bom dia a todos, estou com uma grande duvida referente a firewall no sistema FreeBSD. Estou recomendando aqui para a empresa onde trabalho a implatação de um firewall, por questões de verba não posso adquirir um firewall comercial onde pelo menos vou gastar uns R$ 15.000,00, então optei por aplicar um que esteja disponivel na grande comunidade Free. Bom a minha ideia depois de muita pesquisa e consulta aqui mesmo na lista, da implantação do FreeBSD com PF e AuthPF para que as pessoas tenha que se autenticar para poder passar pelo firewall/gateway e como proxy pretendo colocar o Squid com o SquidGuard para poder criar um filtro de conteudo. Gostaria de saber o que vocês acham da solução apresentada e se possivel o que vocês como grandes conhecedores do mundo Free podem me recomendar? Gostaria que tudo que essa pessoa fizesse desde acessar um servidor de banco de dados até os sites que ele navegou tivesse que ser autenticado. Agradeço muito qualquer ajuda. Att, Ricardo Lino Gonzalez - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Pretende usar, proxy-cache ou só filtro de conteudo sobre http/ftp ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall autenticado
Thiago Gomes escreveu: usa o pFsense.. é show de bola.. tem suporte ao LDAP? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall autenticado
o proxy-cache é interessante para agilidade e redução do uso da internet. 2009/5/7 Paulo Henrique paulo.rd...@bsd.com.br Ricardo LG escreveu: Bom dia a todos, estou com uma grande duvida referente a firewall no sistema FreeBSD. Estou recomendando aqui para a empresa onde trabalho a implatação de um firewall, por questões de verba não posso adquirir um firewall comercial onde pelo menos vou gastar uns R$ 15.000,00, então optei por aplicar um que esteja disponivel na grande comunidade Free. Bom a minha ideia depois de muita pesquisa e consulta aqui mesmo na lista, da implantação do FreeBSD com PF e AuthPF para que as pessoas tenha que se autenticar para poder passar pelo firewall/gateway e como proxy pretendo colocar o Squid com o SquidGuard para poder criar um filtro de conteudo. Gostaria de saber o que vocês acham da solução apresentada e se possivel o que vocês como grandes conhecedores do mundo Free podem me recomendar? Gostaria que tudo que essa pessoa fizesse desde acessar um servidor de banco de dados até os sites que ele navegou tivesse que ser autenticado. Agradeço muito qualquer ajuda. Att, Ricardo Lino Gonzalez - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Pretende usar, proxy-cache ou só filtro de conteudo sobre http/ftp ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall autenticado
melhor seria ter algum tipo de integração com o AD, mesmo. 2009/5/7 Márcio Luciano Donada mdon...@gmail.com Thiago Gomes escreveu: usa o pFsense.. é show de bola.. tem suporte ao LDAP? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall autenticado
Ricardo LG escreveu: melhor seria ter algum tipo de integração com o AD, mesmo. Sim, e qual é a diferença? Estamos falando do protocolo em si, e não de softwares que implementam o protocolo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall autenticado
sim, desculpe. a integração com o LDAP seria de grande utilidade, para reduzir a quantidade de senhas dos usuarios. Obrigado. 2009/5/7 Márcio Luciano Donada mdon...@gmail.com Ricardo LG escreveu: melhor seria ter algum tipo de integração com o AD, mesmo. Sim, e qual é a diferença? Estamos falando do protocolo em si, e não de softwares que implementam o protocolo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall autenticado
tem suporte ao LDAP? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd tem sim.. pfsense é FreeBSD.. então ja diz tudo.. sem contar que vc pode usar a interface web ou então fazer na mão mesmo.. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall
Dilceu bem vindo a litas e ao mundo BSD Procure pelo firewall pf que como o ipfw é muito bom e é bem simples para aprender nao que o ipfw nao seja facil tb mas uns preferem ipfw outros pf todos os dois eu uso e gosto muito O pf voce pode encontrar uma otima documentaçao em portugues no site do openbsd :http://www.openbsd.org/faq/pf/pt/index.html Sobre o ipfw tb temos uma otima documentacao traduzida pelo grande Patrick uma figura na verdade um dos doutores do freebsd que voce logo deve conhecer aqui na lista ipfw : https://www.freebsdbrasil.com.br/fbsdbr_files/File/public_docs/ipfw-howto.pdf Grande abraço !!! 2009/4/15 Dilceu Luiz Pazinatto dlpazina...@gmail.com Olá, sou novo na lista e no mundo BSD, Instalei o FreeBSD 7.1 e compilei o kernel com suporte a NAT e com firewall fechado. Alguém teria algum exemplo de script de firewall com proxy transparente e com direcionamento de portas (por exemplo direcionar a porta 5900 (VNC) para uma maquina qquer da rede interna. Fiz pesquisa e encontrei alguns, mas na verdade não consegui entender direito como ele funciona. Obs: estou usando ipfw2 Grato Dilceu - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall
parceiro da uma olhada nesse link deve te ajudar e bem antigo mais funciona que uma maravilha http://www.vivaolinux.com.br/artigo/Firewall-e-NAT-em-FreeBSD-com-controle-de-banda-e-redirecionamento-de-portas-e-IPs?pagina=4 - Original Message - From: renato martins renato...@gmail.com To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, April 15, 2009 1:56 PM Subject: Re: [FUG-BR] Firewall Dilceu bem vindo a litas e ao mundo BSD Procure pelo firewall pf que como o ipfw é muito bom e é bem simples para aprender nao que o ipfw nao seja facil tb mas uns preferem ipfw outros pf todos os dois eu uso e gosto muito O pf voce pode encontrar uma otima documentaçao em portugues no site do openbsd :http://www.openbsd.org/faq/pf/pt/index.html Sobre o ipfw tb temos uma otima documentacao traduzida pelo grande Patrick uma figura na verdade um dos doutores do freebsd que voce logo deve conhecer aqui na lista ipfw : https://www.freebsdbrasil.com.br/fbsdbr_files/File/public_docs/ipfw-howto.pdf Grande abraço !!! 2009/4/15 Dilceu Luiz Pazinatto dlpazina...@gmail.com Olá, sou novo na lista e no mundo BSD, Instalei o FreeBSD 7.1 e compilei o kernel com suporte a NAT e com firewall fechado. Alguém teria algum exemplo de script de firewall com proxy transparente e com direcionamento de portas (por exemplo direcionar a porta 5900 (VNC) para uma maquina qquer da rede interna. Fiz pesquisa e encontrei alguns, mas na verdade não consegui entender direito como ele funciona. Obs: estou usando ipfw2 Grato Dilceu - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall
redirecionamento rdr on $ext_if1 proto tcp from any to any port 21 - 200.0.0.1 rdr on $ext_if1 proto tcp from any to any port 20 - 200.0.0.1 rdr on $ext_if1 proto tcp from any to any port 48000 - 200.0.0.1 rdr on $ext_if1 proto tcp from any to any port 49005 - 200.0.0.1 rdr on $ext_if1 proto tcp from any to any port 6900 - 200.0.0.17 rdr on $ext_if1 proto tcp from any to any port 5900 - 200.0.0.90 rdr on $ext_if1 proto tcp from any to any port 5800 - 200.0.0.139 rdr on $ext_if1 proto tcp from any to any port 3389 - 200.0.0.71 rdr on $ext_if1 proto tcp from any to any port 5901 - 200.0.0.17 2009/4/15 Willian Alves will...@radartelecom.com.br: parceiro da uma olhada nesse link deve te ajudar e bem antigo mais funciona que uma maravilha http://www.vivaolinux.com.br/artigo/Firewall-e-NAT-em-FreeBSD-com-controle-de-banda-e-redirecionamento-de-portas-e-IPs?pagina=4 - Original Message - From: renato martins renato...@gmail.com To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, April 15, 2009 1:56 PM Subject: Re: [FUG-BR] Firewall Dilceu bem vindo a litas e ao mundo BSD Procure pelo firewall pf que como o ipfw é muito bom e é bem simples para aprender nao que o ipfw nao seja facil tb mas uns preferem ipfw outros pf todos os dois eu uso e gosto muito O pf voce pode encontrar uma otima documentaçao em portugues no site do openbsd :http://www.openbsd.org/faq/pf/pt/index.html Sobre o ipfw tb temos uma otima documentacao traduzida pelo grande Patrick uma figura na verdade um dos doutores do freebsd que voce logo deve conhecer aqui na lista ipfw : https://www.freebsdbrasil.com.br/fbsdbr_files/File/public_docs/ipfw-howto.pdf Grande abraço !!! 2009/4/15 Dilceu Luiz Pazinatto dlpazina...@gmail.com Olá, sou novo na lista e no mundo BSD, Instalei o FreeBSD 7.1 e compilei o kernel com suporte a NAT e com firewall fechado. Alguém teria algum exemplo de script de firewall com proxy transparente e com direcionamento de portas (por exemplo direcionar a porta 5900 (VNC) para uma maquina qquer da rede interna. Fiz pesquisa e encontrei alguns, mas na verdade não consegui entender direito como ele funciona. Obs: estou usando ipfw2 Grato Dilceu - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall IPFW ou IPTABLES
Por exemplo não tem nem como comparar um firewall Aker com um Cisco ASA, Checkpoint, etc... Não tem nem como comparar o Aker com muita coisa não... eheheheheh -- http://setsockopt.wordpress.com http://www.webcrunchers.com/crunch - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall 2 Links
Caro Amigos Estou apanhando feio desse 2 link 1000 X 0 Não parti ainda para o PF pois instalei o trafshow no firewall para acompanhar os pacotes E percebi que o firewall faz o direcionamento correto do link externo para o servidor interno. Reparei que as requisições que chegam para o servidor interno o mesmo tenta responde, mas no firewall essas respostas não saem... Provavelmente é alguma coisa no IPFW Obs: Acho que teria que ser por Natd pois agora tenho que redirecionar todo o trafego do link 2 para esse servidor via redirect_address não sei se existe algum outro daemon que faz isso. Agradeço a todos pela atenção e ajuda. []s Nilton Pavan 2009/1/6 Wesley FreeBSD Consult li...@freebsdconsult.com.br - Original Message - From: Nilton Carlos Pavan niltonpa...@gmail.com To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, January 06, 2009 1:40 PM Subject: Re: [FUG-BR] Firewall 2 Links Legal mas nunca trabalhei com PF Tem que habilitar alguma opção no kernel? R: Sim device pf options ALTQ options ALTQ_CBQ options ALTQ_RED options ALTQ_RIO options ALTQ_HFSC options ALTQ_PRIQ options ALTQ_NOPCC -- Recompile o kernel Ele trabalha junto com o IPFW? R: Sim habilitando é só colocar essa regra? dentro do /etc/rc.conf pf_enable=YES pf_rules=/etc/pf.conf pf_flags= Coloque a configuração do pf.conf de acordo com sua necessidade. Pode utilizar o faq-example1 /usr/share/examples/pf que é simples e básico, modificando a sua placa de rede e ips CLARO. O arquivo pf.conf tem sete partes: a.. Macros: Variáveis definidas pelo usuário, que podem armazenar endereços IP, nomes de interface, etc. b.. Tabelas: Uma estrutura usada para armazenar listas de endereços IP. c.. Opções: Várias opções de controle do funcionamento do PF. d.. Scrub: Reprocessamento de pacotes para normalização e desfragmentação. e.. Filas: Fornece controle de banda e priorização de pacotes. f.. Tradução: Controla NAT (Tradução do Endereço de Rede) e redirecionamento de pacotes. g.. Regras de Filtragem: Permite selecionar pacotes para filtragem ou bloquea-los conforme chegam nas interfaces. Referencia: http://www.openbsd.org/faq/pf/pt/index.html Agradeço a atenção. []s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall 2 Links
Caro Wanderson, seguindo sua sugestão deu certo :) consegui pingar o IP do link2 acessar o firewall, etc... Agora estou com problema no natd :(, precisaria direcionar o trafego da porta 8081 para o servidor interno, configurei o natd mas não vai nem por reza. ( e olha que rezei bastante viu, rsss ), até apelei para o redir ( que funcionou mas depois de alguns minutos ele para de responder ) Segue Configurações. Kernel ### options IPFIREWALL options IPDIVERT rc.conf ### ipfirewall_enable=YES natd_enable=YES rc.local natd -s -n dc1 -p 8668 -f /etc/natd.conf natd -s -n dc2 -p 8669 natd.conf ### redirect_port tcp 192.168.1.111:8082 8082 Agradeço a atenção. []s 2009/1/4 Wanderson Tinti wander...@bsd.com.br 2009/1/2 Nilton Carlos Pavan niltonpa...@gmail.com: Seguinte, o link 2 é para servir somente uma aplicação de um servidor interno porta 8081, é um servidor de aplicação web, Tom cat No meu firewall eu teria que adicionar uma rota para esse segundo link? Como ficaria o firewall ipfw e o natd? Agradeço a atenção... []s Nilton Seu natd ficaria parecido como: natd -s -n dc1 -p 8668 natd -s -n dc2 -p 8669 e seu ipfw dc2 = link2 gw_if2 = gateway link2 ext_ip2 = ip link2 websrv = 10.10.10.1 03 divert 8669 ip from any to $ext_ip2 in recv dc2 04 divert 8669 ip from 10.10.10.1 to any out xmit dc1 05 fwd $gw_if2 ip from $ext_ip2 to any .. restante das regras Não conheço bem o ipfw mas acredito que sejá algo proximo disso, me corrija se estiver errado. Att. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall 2 Links
2009/1/6 Nilton Carlos Pavan niltonpa...@gmail.com: Caro Wanderson, seguindo sua sugestão deu certo :) consegui pingar o IP do link2 acessar o firewall, etc... Agora estou com problema no natd :(, precisaria direcionar o trafego da porta 8081 para o servidor interno, configurei o natd mas não vai nem por reza. ( e olha que rezei bastante viu, rsss ), até apelei para o redir ( que funcionou mas depois de alguns minutos ele para de responder ) Segue Configurações. Kernel ### options IPFIREWALL options IPDIVERT rc.conf ### ipfirewall_enable=YES natd_enable=YES rc.local natd -s -n dc1 -p 8668 -f /etc/natd.conf natd -s -n dc2 -p 8669 natd.conf ### redirect_port tcp 192.168.1.111:8082 8082 Agradeço a atenção. Bom dia. Tente usa o rinetd ele é bem simples '/usr/ports/net/rinetd', a vantagem é que da pra usar em maquinas com 2 links, sua configuração fica como: /usr/local/etc/rinetd.conf ip-link-2 8082 192.168.1.111 8082 Sobre o natd, eu acho que da pra usar outro arquivo, por exemplo: natd -s -n dc1 -p 8668 -f /etc/natd.conf natd -s -n dc2 -p 8669 -f /etc/natd2.conf /etc/natd2.conf dynamic yes same_ports yes use_sockets yes redirect_port tcp 192.168.1.111:8082 8082 ou redirect_port tcp 192.168.1.111:8082 ip-link-2:8082 Algumas pessoas na lista disse que o redir pode abrir o bico se o trafego for alto. Talves pode ser isso que aconteceu com voce. Att. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall 2 Links
2009/1/2 Nilton Carlos Pavan niltonpa...@gmail.com
Olá pessoal!
Tenho um servidor FreeBSD 6.3 com 2 links (1 adsl outro via rádio) ambos
com
ips válidos e fixo, estou precisando fazer o seguinte.
Link 1 - Acesso da rede interna à internet, acesso externo ao FTP, PPTP SSH
Link 2 - Redirecionar a porta 8081 para um servidor IP 192.168.1.105.
O Link 1 está como default gateway, a rede interna e os serviços referente
estão funcionando ok.
O Link 2 não estou conseguindo configurei o ip adicionei a rota via
route add para o gateway do link e nada... não consigo pingar ele
externamente (pingo até o gateway dele) não acessa a porta referente 8081.
isso voce coloca no pf.
rdr inet proto {tcp,udp} from any to ip-link2 port 8081 - 192.168.1.105
ipfw:
iipfw 00030 add fwd gateway-link2 ip from ip-link2 to any
Esta funcionando aqui que e ficou show!
posso separar as saidas, deixar o proxy no link 2, nat no link1, emails no
link 2, ftp no link 1, tomcat no link 2 enfim
Creio que esse seja o caminho.
OBS: não usei natd
Como devo proceder com IPFW e Natd?
Agradeço desde já.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Welington F.J
BSD User: 51392
IVOZ: 4668
MSN: welingto...@gmail.com
Drogas ? Pra que? Já Tenho Meu Windows!!
...e serás instável, trará o caos, destruição, dor e sofrimento a todos.
Haverá choro e ranger de dentes Apocalipse sobre Windows
Malandro é o cavalo marinho que se finge de peixe pra não puxar carroça.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
