[FUG-BR] Bridge+Firewall(pf)
irado em hotpop.com
irado em hotpop.com
Sex Jan 27 15:56:45 BRST 2006
------------------------------------------------
Search the web by email! mailto:www em web2mail.com
adding your search to the subject line like this:
search summer vacations
------------------------------------------------
bem.. vou tentar chutar um bocadinho aqui, um bocadinho ali. Afinal, chutar não ofende (depende de onde o chute acerta, claro.. rs).
bem.. vamos lá:
> set loginterface none
os vários "set" anteriores são convencionais, tais como constam do /etc/pf.conf original. Contudo, aí em cima vc está dizendo que NENHUMA das interfaces terá log gerado. Conviria alterar para:
set login interface $public
> block log all
ou
block return log all #bloqueia tudo
pass quick on lo0 all
bem.. agora deverá realmente gerar os log´s.
> Hostid: 0xb01f8215
>
> State Table Total Rate
> searches 9792 4.3/s
[...]
> match 9792 4.3/s
hmmm... aparentemente, TODOS os pacotes foram barrados, mas vc diz que não :(
experimente, novamente. Pode ser que eu nem possa ver mais hoje, ficaria para segunda. Mas eu espero que os coleguinhas que estão nos lendo venham ajudar, afinal, não entendo quase nada disso - risos.
como sugestão, apenas, envio o meu próprio pf.conf, remova as partes que não importam (só não o fiz para não ´bagunçar´ muito), como o "nat", por exemplo, ou ftp que (acho) são dispensáveis no momento.
:=== begin
# variaveis
EXT_nic = "rl0" # substitua pelos seus externos/internos
INT_nic = "rl1"
#ftp_proxy = "> 49151" # não importa (ainda)
LAN = "192.168.1.0/24" # a sua..
table <firewall> const { self }
servicos = "{ http, https, smtp, pop3, nntp, ssh }"
# Options: tune the behavior of pf, default values are given.
set timeout { interval 10, frag 30 }
# [aqui, aquêle montão de "set" que já tratamos]
set loginterface $EXT_nic # pra gerar os log´s
set optimization normal # para uma rede de muito trafego, definir como "aggressive".
set block-policy return # eu uso return, vc drop.. não importa agora
set require-order yes
set fingerprints "/etc/pf.os"
# normalizacao
scrub on $EXT_nic reassemble tcp no-df random-id # não sei se bridge usa.. que diz o seu tutorial?
# queueing --> aqui devem ser definidos os controles de banda (omitidos)
# nat e redirecionamentos (omitidos)
# redirecionar as solicitacoes de ftp para o ftp-proxy #omitido
# filtragem # é aqui que tudo começa
block return log all #bloqueia tudo e log nêles :)
pass quick on lo0 all # a máquina pode falar com ela mesma. De doido, até máquinas..
pass out on $EXT_nic inet proto tcp all flags S/SA modulate state
pass out on $EXT_nic inet proto { udp, icmp } all keep state
# incoming active ftp-data (this is required for active ftp to work
# omitido
pass in log quick on $INT_nic proto tcp from $LAN to !<firewall> port $servicos flags S/SA modulate state
#meio ocioso pq, se a placa não tem ip-addr, não tem como o firewall saber se é pra êle ou não. Mas enfim, não vai doer.
pass in log quick on $INT_nic inet proto { udp, icmp } from $LAN to !<firewall> keep state
# idem, idem.
:=== end
se funcionar como deve, está autorizado o tráfego da sua lan pra fora, vindo pela placa interna. Na verdade, como não examinei muito o funcionamento disso, não tenho muita certeza. O que, na verdade, imagino (com segurança) é que TUDO o que vier de fora será barrado. Experimente um "ping" a partir de máquina externa.
Muito tempo atrás fiz uma bridge mas foi com o ipf, ainda não converti para pf.
:(
mas enfim.. TUDO o que vier de fora COM CERTEZA será agora barrado e logado. Daí, é só "afinar" as regras.
divirta-se.
---
saudações,
irado furioso com tudo
FreeBSD BSD50853/Linux User 179402
Mais atrocidades são cometidas em nome das religiões do que em nome do ateísmo.
-------------- Próxima Parte ----------
_______________________________________________
Freebsd mailing list
Freebsd em fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Mais detalhes sobre a lista de discussão freebsd