[FUG-BR] RES: ENC: Conectividade social - Existe solução?

Marcio A. Sepp marcio em zyontecnologia.com.br
Sexta Outubro 19 13:40:54 BRST 2007


Oi Welington,


Minha regra atual de nat é esta:
nat on $ext_if from $internal_net to any -> ($ext_if)

Onde internal_net é: 
internal_net="192.168.0.0/24"

Me parece que a principal diferença da minha regra pra sua é:

... -> ($ext:0).

A noite farei testes com estas regras conforme vc me passou. 


Segue abaixo o meu firewall:
########## 1) MACROS ##########
ext_if="xl0"
int_if="xl1"

internal_net="192.168.0.0/24"


########## 3) OPTIONS ##########
set skip on lo

# Options: tune the behavior of pf, default values are given.
set timeout { interval 10, frag 30 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 10000, frags 5000 }
#set loginterface none
#set optimization normal
set block-policy drop
set require-order yes
set fingerprints "/etc/pf.os"

#set block-policy return
set loginterface $ext_if


########## 4) NORMALIZATION ##########
scrub in

nat on $ext_if from $internal_net to any -> ($ext_if)


no rdr on { lo0, lo1 } from any to any
#no rdr on $int_if from any to { ($ext_if), ($int_if) }


########## 7) FILTERING ##########

antispoof quick for { lo $int_if }


pass in
pass out

pass in on $ext_if proto tcp to ($ext_if) port ssh keep state

#pass in  on $int_if from $int_if:network to any keep state
#pass out on $int_if from any to $int_if:network keep state
#pass out on $ext_if proto tcp all modulate state flags S/SA
#pass out on $ext_if proto { udp } all keep state



Att.
Márcio A. Sepp
 

> > > Estou enfrentando problemas com a conectividade social em um 
> > > servidor freebsd 6.2 com pf e sem passar pelo squid.
> > >
> > > Neste cliente usávamos o OpenBSD com tudo funcionando 
> perfeitamente. 
> > > O Open era versão 3.7, mas por motivos que não convem ao momento 
> > > mudamos para o FreeBSD 6.2. Após esta migração o sistema da caixa 
> > > deixou de funcionar.
> > >
> > > Antes de enviar este email para a lista fiz os seguintes passos:
> > > - Li a grande maioria das respostas da lista sobre este assunto, 
> > > sendo que muitas tratavam do firewall ipf e outras mesmo falam do 
> > > squid, que eu sequer configurei para esta máquina passar por ele;
> > > - Tentamos limpar todas as regras do pf.conf e apenas 
> adicionamos um 
> > > nat na interface externa com pass in all e pass out all e 
> também não 
> > > funcionou;
> > >
> > > Com isso, não sabemos mais para que lado recorrer (ou 
> correr), pois 
> > > o suporte da caixa consegue apenas auxiliar o usuário final e nós 
> > > ficamos completamente desamparados.
> > >
> > > Ainda fizemos os testes:
> > > - Colocamos uma máquina openbsd com o mesmo firewall e 
> ela funcionou 
> > > perfeitamente;
> > > - Colocamos as duas máquinas que tenho instalado a 
> "irritabilidade social"
> > > (dica de nome que li no histórico da lista) ligadas 
> diretamente no 
> > > meu modem e também funcionou perfeitamente;
> > >
> > > Meu ambiente:
> > > FreeBSD 6.2 - stable;
> > > Pf (com apenas o nat e liberado tudo de saída e entrada); Squid 
> > > (para as demais máquinas da rede, exceto as que rodam o 
> > > conectividade);
> > >
> > >
> > > Olhamos também este link, mas não evoluímos muito:
> > > http://www.openbsd.org/faq/pf/pt/scrub.html
> > >
> > > O que podemos fazer? Alguém já passou por isso e 
> encontrou alguma solução?
> > >
> > >
> > >
> > >
> > > Att.
> > > Márcio A. Sepp
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> Márcio,
> Aqui uso esta regra abaixo,
> 
> Os ips não podem fazer nada somente podem acessar conectividade socil
> 
> # conectividade Social
> nat on $ext_if from {10.0.0.7,10.0.0.8,10.0.0.9, 10.0.0.10} 
> to {200.201.174.0/24, 200.201.173.68} -> ($ext_if:0)
> 
> --
> Welington F.J
> BSD User: 51392
> IVOZ: 4668
> MSN: welingtonfj em gmail.com
> Drogas ? Pra que? Já Tenho Meu Windows!!
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 



Mais detalhes sobre a lista de discussão freebsd