[FUG-BR] Res: RES: RES: ENC: Conectividade social - Existe solução?

Pedro Ricardo Oliveira prrecife em yahoo.com.br
Sexta Outubro 19 16:18:36 BRST 2007 

A melhor maneira de contornar o problema com o Conectividade Social da CEF seria vc aplicar uma regra de skip to antes da regra do proxy avitando assim que os endereços da CEF passagem pelas regras do proxy.

Sdd
 
Pedro Ricardo de Oliveira
MSN: prlinux1 em hotmail.com
Skype: prrecife



----- Mensagem original ----
De: Augusto Jobim Badaraco <ajobim em comnet.com.br>
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) <freebsd em fug.com.br>
Enviadas: Sexta-feira, 19 de Outubro de 2007 13:58:46
Assunto: [FUG-BR] RES: RES: ENC: Conectividade social - Existe solução?

Vc tentou colocar assim:
nat on $ext_if from $internal_net to any -> ($ext_if) static-port


-----Mensagem original-----
De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
nome de Marcio A. Sepp
Enviada em: sexta-feira, 19 de outubro de 2007 12:41
Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
Assunto: [FUG-BR] RES: ENC: Conectividade social - Existe solução?


Oi Welington,


Minha regra atual de nat é esta:
nat on $ext_if from $internal_net to any -> ($ext_if)

Onde internal_net é: 
internal_net="192.168.0.0/24"

Me parece que a principal diferença da minha regra pra sua é:

... -> ($ext:0).

A noite farei testes com estas regras conforme vc me passou. 


Segue abaixo o meu firewall:
########## 1) MACROS ##########
ext_if="xl0"
int_if="xl1"

internal_net="192.168.0.0/24"


########## 3) OPTIONS ##########
set skip on lo

# Options: tune the behavior of pf, default values are given.
set timeout { interval 10, frag 30 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 10000, frags 5000 }
#set loginterface none
#set optimization normal
set block-policy drop
set require-order yes
set fingerprints "/etc/pf.os"

#set block-policy return
set loginterface $ext_if


########## 4) NORMALIZATION ##########
scrub in

nat on $ext_if from $internal_net to any -> ($ext_if)


no rdr on { lo0, lo1 } from any to any
#no rdr on $int_if from any to { ($ext_if), ($int_if) }


########## 7) FILTERING ##########

antispoof quick for { lo $int_if }


pass in
pass out

pass in on $ext_if proto tcp to ($ext_if) port ssh keep state

#pass in  on $int_if from $int_if:network to any keep state
#pass out on $int_if from any to $int_if:network keep state
#pass out on $ext_if proto tcp all modulate state flags S/SA
#pass out on $ext_if proto { udp } all keep state



Att.
Márcio A. Sepp


> > > Estou enfrentando problemas com a conectividade social em um 
> > > servidor freebsd 6.2 com pf e sem passar pelo squid.
> > >
> > > Neste cliente usávamos o OpenBSD com tudo funcionando 
> perfeitamente. 
> > > O Open era versão 3.7, mas por motivos que não convem ao momento 
> > > mudamos para o FreeBSD 6.2. Após esta migração o sistema da caixa 
> > > deixou de funcionar.
> > >
> > > Antes de enviar este email para a lista fiz os seguintes passos:
> > > - Li a grande maioria das respostas da lista sobre este assunto, 
> > > sendo que muitas tratavam do firewall ipf e outras mesmo falam do 
> > > squid, que eu sequer configurei para esta máquina passar por ele;
> > > - Tentamos limpar todas as regras do pf.conf e apenas 
> adicionamos um 
> > > nat na interface externa com pass in all e pass out all e 
> também não 
> > > funcionou;
> > >
> > > Com isso, não sabemos mais para que lado recorrer (ou 
> correr), pois 
> > > o suporte da caixa consegue apenas auxiliar o usuário final e nós 
> > > ficamos completamente desamparados.
> > >
> > > Ainda fizemos os testes:
> > > - Colocamos uma máquina openbsd com o mesmo firewall e 
> ela funcionou 
> > > perfeitamente;
> > > - Colocamos as duas máquinas que tenho instalado a 
> "irritabilidade social"
> > > (dica de nome que li no histórico da lista) ligadas 
> diretamente no 
> > > meu modem e também funcionou perfeitamente;
> > >
> > > Meu ambiente:
> > > FreeBSD 6.2 - stable;
> > > Pf (com apenas o nat e liberado tudo de saída e entrada); Squid 
> > > (para as demais máquinas da rede, exceto as que rodam o 
> > > conectividade);
> > >
> > >
> > > Olhamos também este link, mas não evoluímos muito:
> > > http://www.openbsd.org/faq/pf/pt/scrub.html
> > >
> > > O que podemos fazer? Alguém já passou por isso e 
> encontrou alguma solução?
> > >
> > >
> > >
> > >
> > > Att.
> > > Márcio A. Sepp
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> Márcio,
> Aqui uso esta regra abaixo,
> 
> Os ips não podem fazer nada somente podem acessar conectividade socil
> 
> # conectividade Social
> nat on $ext_if from {10.0.0.7,10.0.0.8,10.0.0.9, 10.0.0.10} 
> to {200.201.174.0/24, 200.201.173.68} -> ($ext_if:0)
> 
> --
> Welington F.J
> BSD User: 51392
> IVOZ: 4668
> MSN: welingtonfj em gmail.com
> Drogas ? Pra que? Já Tenho Meu Windows!!
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


__________ Informação do NOD32 IMON 2603 (20071019) __________

Esta mensagem foi verificada pelo NOD32 sistema antivírus
http://www.eset.com.br


-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


      Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento!
http://br.mail.yahoo.com/

Mais detalhes sobre a lista de discussão freebsd