[FUG-BR] RES: [SPAM] RES: RES: RES: RES: ENC: Conectividade social - Existe solução?

Marcio A. Sepp marcio em zyontecnologia.com.br
Sexta Outubro 19 18:00:23 BRST 2007 

Tenho 03 ips na wan.

Vou mascarar para que a máquina que usa o conectividade social saia por um
único ip com a seguinte regra e depois posto o resultado.

nat on $ext_if from 192.168.0.252 to any -> <ip_de_saida>



Att.
Márcio A. Sepp
 

> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br 
> [mailto:freebsd-bounces em fug.com.br] Em nome de Augusto Jobim Badaraco
> Enviada em: sexta-feira, 19 de outubro de 2007 18:44
> Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
> Assunto: [SPAM] [FUG-BR] RES: RES: RES: RES: ENC: 
> Conectividade social - Existe solução?
> 
> Marcio, você tem somente umip na WAN certo?
> Tem que cuidar isso, pois se tiver mais de um ip poderá 
> acontecer de sair com ips diferentes.
> 
> Uma maneira para checar isso é 
> 
> pfctl -s state
> 
> 
> qquer coisa me avisa
> 
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br 
> [mailto:freebsd-bounces em fug.com.br] Em nome de Marcio A. Sepp 
> Enviada em: sexta-feira, 19 de outubro de 2007 16:36
> Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
> Assunto: [FUG-BR] RES: RES: RES: ENC: Conectividade social - 
> Existe solução?
> 
> 
> Oi Augusto,
> 
> 
> Acho que vc entendeu perfeitamente o problema que estou 
> enfrentando e talvez tenha tocado no ponto certo. Agendei 
> para fazer testes hoje a noite com o cliente. Obrigado.
> 
> Vejam que eu não estou preocupado com o proxy. Eu apenas 
> quero fazer o nat da interface externa, mascarando minha rede 
> interna. Só isso e não está funcionando. 
> 
> Este mesmo firewall, se eu colocar num openbsd, funciona 
> perfeitamente. 
> 
> 
> 
> Um abraço a todos.
> 
> 
> Att.
> Márcio A. Sepp
>  
> 
> > -----Mensagem original-----
> > De: freebsd-bounces em fug.com.br
> > [mailto:freebsd-bounces em fug.com.br] Em nome de Augusto 
> Jobim Badaraco 
> > Enviada em: sexta-feira, 19 de outubro de 2007 14:59
> > Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
> > Assunto: [FUG-BR] RES: RES: ENC: Conectividade social - Existe 
> > solução?
> > 
> > Vc tentou colocar assim:
> > nat on $ext_if from $internal_net to any -> ($ext_if) static-port
> > 
> > 
> > -----Mensagem original-----
> > De: freebsd-bounces em fug.com.br
> > [mailto:freebsd-bounces em fug.com.br] Em nome de Marcio A. 
> Sepp Enviada 
> > em: sexta-feira, 19 de outubro de 2007 12:41
> > Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
> > Assunto: [FUG-BR] RES: ENC: Conectividade social - Existe solução?
> > 
> > 
> > Oi Welington,
> > 
> > 
> > Minha regra atual de nat é esta:
> > nat on $ext_if from $internal_net to any -> ($ext_if)
> > 
> > Onde internal_net é: 
> > internal_net="192.168.0.0/24"
> > 
> > Me parece que a principal diferença da minha regra pra sua é:
> > 
> > ... -> ($ext:0).
> > 
> > A noite farei testes com estas regras conforme vc me passou. 
> > 
> > 
> > Segue abaixo o meu firewall:
> > ########## 1) MACROS ##########
> > ext_if="xl0"
> > int_if="xl1"
> > 
> > internal_net="192.168.0.0/24"
> > 
> > 
> > ########## 3) OPTIONS ##########
> > set skip on lo
> > 
> > # Options: tune the behavior of pf, default values are given.
> > set timeout { interval 10, frag 30 }
> > set timeout { tcp.first 120, tcp.opening 30, 
> tcp.established 86400 } 
> > set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 } set 
> > timeout { udp.first 60, udp.single 30, udp.multiple 60 } 
> set timeout { 
> > icmp.first 20, icmp.error 10 } set timeout { other.first 60, 
> > other.single 30, other.multiple 60 } set timeout { 
> adaptive.start 0, 
> > adaptive.end 0 } set limit { states 10000, frags 5000 } #set 
> > loginterface none #set optimization normal set block-policy 
> drop set 
> > require-order yes set fingerprints "/etc/pf.os"
> > 
> > #set block-policy return
> > set loginterface $ext_if
> > 
> > 
> > ########## 4) NORMALIZATION ########## scrub in
> > 
> > nat on $ext_if from $internal_net to any -> ($ext_if)
> > 
> > 
> > no rdr on { lo0, lo1 } from any to any #no rdr on $int_if 
> from any to 
> > { ($ext_if), ($int_if) }
> > 
> > 
> > ########## 7) FILTERING ##########
> > 
> > antispoof quick for { lo $int_if }
> > 
> > 
> > pass in
> > pass out
> > 
> > pass in on $ext_if proto tcp to ($ext_if) port ssh keep state
> > 
> > #pass in  on $int_if from $int_if:network to any keep state 
> #pass out 
> > on $int_if from any to $int_if:network keep state #pass out 
> on $ext_if 
> > proto tcp all modulate state flags S/SA #pass out on 
> $ext_if proto { 
> > udp } all keep state
> > 
> > 
> > 
> > Att.
> > Márcio A. Sepp
> >  
> > 
> > > > > Estou enfrentando problemas com a conectividade social em um 
> > > > > servidor freebsd 6.2 com pf e sem passar pelo squid.
> > > > >
> > > > > Neste cliente usávamos o OpenBSD com tudo funcionando
> > > perfeitamente. 
> > > > > O Open era versão 3.7, mas por motivos que não convem
> > ao momento
> > > > > mudamos para o FreeBSD 6.2. Após esta migração o
> > sistema da caixa
> > > > > deixou de funcionar.
> > > > >
> > > > > Antes de enviar este email para a lista fiz os 
> seguintes passos:
> > > > > - Li a grande maioria das respostas da lista sobre este
> > assunto,
> > > > > sendo que muitas tratavam do firewall ipf e outras
> > mesmo falam do
> > > > > squid, que eu sequer configurei para esta máquina
> > passar por ele;
> > > > > - Tentamos limpar todas as regras do pf.conf e apenas
> > > adicionamos um
> > > > > nat na interface externa com pass in all e pass out all e
> > > também não
> > > > > funcionou;
> > > > >
> > > > > Com isso, não sabemos mais para que lado recorrer (ou
> > > correr), pois
> > > > > o suporte da caixa consegue apenas auxiliar o usuário
> > final e nós
> > > > > ficamos completamente desamparados.
> > > > >
> > > > > Ainda fizemos os testes:
> > > > > - Colocamos uma máquina openbsd com o mesmo firewall e
> > > ela funcionou
> > > > > perfeitamente;
> > > > > - Colocamos as duas máquinas que tenho instalado a
> > > "irritabilidade social"
> > > > > (dica de nome que li no histórico da lista) ligadas
> > > diretamente no
> > > > > meu modem e também funcionou perfeitamente;
> > > > >
> > > > > Meu ambiente:
> > > > > FreeBSD 6.2 - stable;
> > > > > Pf (com apenas o nat e liberado tudo de saída e 
> entrada); Squid 
> > > > > (para as demais máquinas da rede, exceto as que rodam o 
> > > > > conectividade);
> > > > >
> > > > >
> > > > > Olhamos também este link, mas não evoluímos muito:
> > > > > http://www.openbsd.org/faq/pf/pt/scrub.html
> > > > >
> > > > > O que podemos fazer? Alguém já passou por isso e
> > > encontrou alguma solução?
> > > > >
> > > > >
> > > > >
> > > > >
> > > > > Att.
> > > > > Márcio A. Sepp
> > > > >
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > > Márcio,
> > > Aqui uso esta regra abaixo,
> > > 
> > > Os ips não podem fazer nada somente podem acessar
> > conectividade socil
> > > 
> > > # conectividade Social
> > > nat on $ext_if from {10.0.0.7,10.0.0.8,10.0.0.9, 10.0.0.10} to 
> > > {200.201.174.0/24, 200.201.173.68} -> ($ext_if:0)
> > > 
> > > --
> > > Welington F.J
> > > BSD User: 51392
> > > IVOZ: 4668
> > > MSN: welingtonfj em gmail.com
> > > Drogas ? Pra que? Já Tenho Meu Windows!!
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > 
> > 
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > 
> > 
> > __________ Informação do NOD32 IMON 2603 (20071019) __________
> > 
> > Esta mensagem foi verificada pelo NOD32 sistema antivírus 
> > http://www.eset.com.br
> > 
> > 
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > 
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
> 
> __________ Informação do NOD32 IMON 2603 (20071019) __________
> 
> Esta mensagem foi verificada pelo NOD32 sistema antivírus 
> http://www.eset.com.br
> 
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Mais detalhes sobre a lista de discussão freebsd