[FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU)

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Quinta Outubro 2 11:36:34 BRT 2008


Com esse pass in você não está LIBERANDO TUDO?

Eu uso o pass in, mas especifico somente a porta que quero liberar.

Você testou a porta udp com que? openvpn? tcp eu sei que funfa, udp é que é 
f...

welkson


----- Original Message ----- 
From: "Wildes Miranda de Oliveira" <gowmo em itecgyn.com.br>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
<freebsd em fug.com.br>
Sent: Thursday, October 02, 2008 8:35 AM
Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI 
NOVU)


A minha configuracao funcionou. Tanto UDP quanto TCP.
Estava tendo dificuldades porque esta redirecionado os pacotes para uma rede 
DMZ.
Entao tambem tive que fazer uma regra reply-to na interface de acesso a DMZ.
ficou td +- assim :

route0="(" $ext_if0 $router0 ")"
route1="(" $ext_if1 $router1 ")"

rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag 
ROUTE0 -> $web_server
rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag 
ROUTE1 -> $web_server

pass in quick on $ext_if0 reply-to $route0 proto {tcp,udp} from any to 
$ext_ip0 keep state
pass in quick on $ext_if1 reply-to $route1 proto {tcp,udp} from any to 
$ext_ip1 keep state


#The reply-to option is similar to route-to, but routes packets that
#pass in the ***opposite*** direction (replies) to the specified inter-
#face.
pass out quick on $dmz_if reply-to $route0 from any to any tagged ROUTE0 
keep state
pass out quick on $dmz_if reply-to $route1 from any to any tagged ROUTE1 
keep state

pass out on $ext_if0 route-to $ext_if1 from $ext_if1 to any
pass out on $ext_if1 route-to $ext_if0 from $ext_if0 to any

basicamento o segredo estava na direcao da regra da interface dmz. na 
configuracao anterior
anterior eu estava coloando "pass in".

valeu ...!

----- Mensagem original ----- 
De: "Alexandre Biancalana" <biancalana em gmail.com>
Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
<freebsd em fug.com.br>
Enviadas: Quarta-feira, 1 de Outubro de 2008 17:23:15 GMT -03:00 Argentina
Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI 
NOVU)

On 10/1/08, Welkson Renny de Medeiros <welkson em focusautomacao.com.br> wrote:
> Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um
> exemplo com udp, porque aqui não funciona nem a pau... =)
>
> Coloca xxx nos ips em produção.
>
> Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para
> udp, e de 65517 para 1194
>
> # tcp que funciona
>
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to
>
> any port 65517 keep state
>
> # udp que NAO funciona
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to
> any port 1194 keep state
>

Manda seu pf.conf completo.

O que pode estar acontecendo é que o pf cria o estado pela ultima
regra que fizer o match ou seja, se você tem a regra com reply-to e
depois tem uma com o pass normal ele cria o estado pela ultima regra e
não funciona mesmo.
------------------------- 
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-- 
Wildes Miranda

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



Mais detalhes sobre a lista de discussão freebsd