[FUG-BR] RES: RES: RES: ENC: Conectividade social - Existe solução?

Marcio A. Sepp marcio em zyontecnologia.com.br
Sexta Outubro 19 17:35:35 BRST 2007 

Oi Augusto,


Acho que vc entendeu perfeitamente o problema que estou enfrentando e talvez
tenha tocado no ponto certo. Agendei para fazer testes hoje a noite com o
cliente. Obrigado.

Vejam que eu não estou preocupado com o proxy. Eu apenas quero fazer o nat
da interface externa, mascarando minha rede interna. Só isso e não está
funcionando. 

Este mesmo firewall, se eu colocar num openbsd, funciona perfeitamente. 



Um abraço a todos.


Att.
Márcio A. Sepp
 

> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br 
> [mailto:freebsd-bounces em fug.com.br] Em nome de Augusto Jobim Badaraco
> Enviada em: sexta-feira, 19 de outubro de 2007 14:59
> Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
> Assunto: [FUG-BR] RES: RES: ENC: Conectividade social - 
> Existe solução?
> 
> Vc tentou colocar assim:
> nat on $ext_if from $internal_net to any -> ($ext_if) static-port
> 
> 
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br 
> [mailto:freebsd-bounces em fug.com.br] Em nome de Marcio A. Sepp 
> Enviada em: sexta-feira, 19 de outubro de 2007 12:41
> Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
> Assunto: [FUG-BR] RES: ENC: Conectividade social - Existe solução?
> 
> 
> Oi Welington,
> 
> 
> Minha regra atual de nat é esta:
> nat on $ext_if from $internal_net to any -> ($ext_if)
> 
> Onde internal_net é: 
> internal_net="192.168.0.0/24"
> 
> Me parece que a principal diferença da minha regra pra sua é:
> 
> ... -> ($ext:0).
> 
> A noite farei testes com estas regras conforme vc me passou. 
> 
> 
> Segue abaixo o meu firewall:
> ########## 1) MACROS ##########
> ext_if="xl0"
> int_if="xl1"
> 
> internal_net="192.168.0.0/24"
> 
> 
> ########## 3) OPTIONS ##########
> set skip on lo
> 
> # Options: tune the behavior of pf, default values are given.
> set timeout { interval 10, frag 30 }
> set timeout { tcp.first 120, tcp.opening 30, tcp.established 
> 86400 } set timeout { tcp.closing 900, tcp.finwait 45, 
> tcp.closed 90 } set timeout { udp.first 60, udp.single 30, 
> udp.multiple 60 } set timeout { icmp.first 20, icmp.error 10 
> } set timeout { other.first 60, other.single 30, 
> other.multiple 60 } set timeout { adaptive.start 0, 
> adaptive.end 0 } set limit { states 10000, frags 5000 } #set 
> loginterface none #set optimization normal set block-policy 
> drop set require-order yes set fingerprints "/etc/pf.os"
> 
> #set block-policy return
> set loginterface $ext_if
> 
> 
> ########## 4) NORMALIZATION ##########
> scrub in
> 
> nat on $ext_if from $internal_net to any -> ($ext_if)
> 
> 
> no rdr on { lo0, lo1 } from any to any
> #no rdr on $int_if from any to { ($ext_if), ($int_if) }
> 
> 
> ########## 7) FILTERING ##########
> 
> antispoof quick for { lo $int_if }
> 
> 
> pass in
> pass out
> 
> pass in on $ext_if proto tcp to ($ext_if) port ssh keep state
> 
> #pass in  on $int_if from $int_if:network to any keep state 
> #pass out on $int_if from any to $int_if:network keep state 
> #pass out on $ext_if proto tcp all modulate state flags S/SA 
> #pass out on $ext_if proto { udp } all keep state
> 
> 
> 
> Att.
> Márcio A. Sepp
>  
> 
> > > > Estou enfrentando problemas com a conectividade social em um 
> > > > servidor freebsd 6.2 com pf e sem passar pelo squid.
> > > >
> > > > Neste cliente usávamos o OpenBSD com tudo funcionando
> > perfeitamente. 
> > > > O Open era versão 3.7, mas por motivos que não convem 
> ao momento 
> > > > mudamos para o FreeBSD 6.2. Após esta migração o 
> sistema da caixa 
> > > > deixou de funcionar.
> > > >
> > > > Antes de enviar este email para a lista fiz os seguintes passos:
> > > > - Li a grande maioria das respostas da lista sobre este 
> assunto, 
> > > > sendo que muitas tratavam do firewall ipf e outras 
> mesmo falam do 
> > > > squid, que eu sequer configurei para esta máquina 
> passar por ele;
> > > > - Tentamos limpar todas as regras do pf.conf e apenas
> > adicionamos um
> > > > nat na interface externa com pass in all e pass out all e
> > também não
> > > > funcionou;
> > > >
> > > > Com isso, não sabemos mais para que lado recorrer (ou
> > correr), pois
> > > > o suporte da caixa consegue apenas auxiliar o usuário 
> final e nós 
> > > > ficamos completamente desamparados.
> > > >
> > > > Ainda fizemos os testes:
> > > > - Colocamos uma máquina openbsd com o mesmo firewall e
> > ela funcionou
> > > > perfeitamente;
> > > > - Colocamos as duas máquinas que tenho instalado a
> > "irritabilidade social"
> > > > (dica de nome que li no histórico da lista) ligadas
> > diretamente no
> > > > meu modem e também funcionou perfeitamente;
> > > >
> > > > Meu ambiente:
> > > > FreeBSD 6.2 - stable;
> > > > Pf (com apenas o nat e liberado tudo de saída e entrada); Squid 
> > > > (para as demais máquinas da rede, exceto as que rodam o 
> > > > conectividade);
> > > >
> > > >
> > > > Olhamos também este link, mas não evoluímos muito:
> > > > http://www.openbsd.org/faq/pf/pt/scrub.html
> > > >
> > > > O que podemos fazer? Alguém já passou por isso e
> > encontrou alguma solução?
> > > >
> > > >
> > > >
> > > >
> > > > Att.
> > > > Márcio A. Sepp
> > > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > Márcio,
> > Aqui uso esta regra abaixo,
> > 
> > Os ips não podem fazer nada somente podem acessar 
> conectividade socil
> > 
> > # conectividade Social
> > nat on $ext_if from {10.0.0.7,10.0.0.8,10.0.0.9, 10.0.0.10} to 
> > {200.201.174.0/24, 200.201.173.68} -> ($ext_if:0)
> > 
> > --
> > Welington F.J
> > BSD User: 51392
> > IVOZ: 4668
> > MSN: welingtonfj em gmail.com
> > Drogas ? Pra que? Já Tenho Meu Windows!!
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > 
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
> 
> __________ Informação do NOD32 IMON 2603 (20071019) __________
> 
> Esta mensagem foi verificada pelo NOD32 sistema antivírus 
> http://www.eset.com.br
> 
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Mais detalhes sobre a lista de discussão freebsd