[FUG-BR] Problema com o pf

Mario Lobo lobo em bsd.com.br
Sábado Julho 10 16:03:13 BRT 2010 

Primeiro, obrigado por responder, Welkson.

O pf substitui $ext_if pelo IP da interface. Quando entre parentesis, o man pf 
da a seguinte explicação:

" When the interface name is surrounded by parentheses, the rule is 
automatically updated whenever the interface changes its address.  The ruleset 
does not need to be reloaded."

Quanto a sua sugestão, a regra de https e http já estão assim e não funcionou.

A propósito meu pf.conf foi derivado deste site:

http://kestas.kuliukas.com/pf.conf/

Voce sabe que versão do pf este meu free está usando?

8.1-PRERELEASE FreeBSD 8.1-PRERELEASE #1: Fri Jun 11 09:41:37 BRT 2010

abraços,

-- 
Mario Lobo
http://www.mallavoodoo.com.br
FreeBSD since 2.2.8 [not Pro-Audio.... YET!!] (99% winfoes FREE)


On Saturday 10 July 2010 13:20:33 Welkson Renny de Medeiros wrote:
> Mário,
> 
> A única coisa estranha que vi no seu rdr é esse "to ($ext_if)".
> 
> Usando o exemplo do "Exchange":
> 
> Está assim:
> 
> # mail /owa
> rdr on $ext_if inet proto tcp from any to ($ext_if) port smtp  -> $exchange
> port smtp
> 
> Eu faria assim:
> 
> 
> # mail /owa
> rdr on $ext_if inet proto tcp from any to any port smtp  -> $exchange port
> smtp
> 
> 
> Testa e nos diz o que aconteceu.
> 
> Abraço,
> 
> (desculpe o top-posting)
> 
> > Ola pessoal.
> > 
> > Eu sei que tem muita gente craque em pf por aqui.
> > 
> > Eu fiz este pf.conf baseado nos muitos e muitos exemplos que consegui
> > achar na net (inclusive aqui na lista) e adaptando para as minhas
> > necessidades.
> > 
> > Ele é meio longo por isso coloquei ele no final.
> > 
> > Tudo Funciona!. VPN de fora pra dentro e vice-versa, SSH, roteamento,
> > navegação, bloqueios, tudo !
> > 
> > O problema é que apenas o rdr do ssh (lo0) e o do ftp estão funcionando.
> > Nenhum dos outros funciona !
> > 
> > Tentando acessar o servidor interno https por ex., eu vejo a seguinte
> > saida de tcpdump -n -e -ttt -s 256 -i pflog0 :
> > 
> > 00:00:00.000000 rule 21/0(match): pass in on sis0: 189.70.214.63.54429 >
> > 172.16.3.135.443: Flags [S], seq 2411890221, win 65535, options [mss
> > 1440,nop,wscale 4,sackOK,TS val 12824091 ecr 0], length 0
> > 
> > 00:00:00.000071 rule 27/0(match): pass out on dc0: 189.70.214.63.54429 >
> > 172.16.3.135.443: Flags [S], seq 2411890221, win 65535, options [mss
> > 1440,nop,wscale 4,sackOK,TS val 2357217445 ecr 0], length 0
> > 
> > e fica nisso !. Nenhum block aparece, a conexão não completa e o browser
> > dá timeout.
> > 
> > No entanto, fazendo via vpn, ela fecha rapidinho, e eu acesso o servidor
> > direto por ela:
> > 
> > 
> > 00:00:32.268808 rule 17/0(match): pass in on sis0: 189.70.214.63.55888 >
> > x.y.z.w.1723: Flags [S]
> > 00:00:00.133998 rule 0/0(match): pass out on lo0: 189.70.214.63.55888 >
> > x.y.z.w.1723: Flags [S]
> > 00:00:00.000047 rule 0/0(match): pass in on lo0: 189.70.214.63.55888 >
> > x.y.z.w.1723: Flags [S]
> > 00:00:00.416092 rule 87/0(match): pass out on sis0: x.y.z.w.9594 >
> > 200.255.255.65.53:
> > 00:00:00.020566 rule 16/0(match): pass in on sis0: 189.70.214.63 >
> > x.y.z.w: GREv1, call 5504, seq 0, proto PPP (0x880b)
> > 00:00:00.076102 rule 78/0(match): pass out on dc0: 172.16.3.150.25793 >
> > 172.16.3.133.1812: RADIUS, Access Request
> > 00:00:00.076784 rule 78/0(match): pass out on dc0: 172.16.3.150.28900 >
> > 172.16.3.133.1813: RADIUS, Accounting Request
> > 
> > # ja acessando pela vpn
> > 00:00:07.015407 rule 1/0(match): pass in on tun0: 172.16.3.237.60733 >
> > 172.16.3.135.443: Flags [S], seq 3902572411, win 65535, options [mss
> > 1256,nop,wscale 4,sackOK,TS val 13013947 ecr 0], length 0
> > 00:00:00.000075 rule 27/0(match): pass out on dc0: 172.16.3.237.60733 >
> > 172.16.3.135.443: Flags [S],
> > 
> > 
> > E eu PRECISO acessar estes servicos de fora de todo jeito!. Já estou ha
> > dias tentando e mexendo sem sucesso.
> > 
> > Eu até pensei no IPFW mas eu já to acostumado com o pf e eu não saberia
> > adaptar estas regras. Seria uma engenharia acima da minha capacidade.
> > 
> > 
> > Agradeço de coração àqueles que puderem me ajudar.
> > 
> > Abraços
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd