[FUG-BR] Duvidas com PF

Quarta Dezembro 7 17:27:28 BRST 2011

Boa Tarde Luiz...

Muito obrigado pelas dicas... neste caso entao nao vou precisar da tabela
FIB pergunto isso pelo seguinte
atras do firewall vou ter um servidor de email oq eu fiz:
duas regras do binat para testar ver se vai funcionar uma para cada link se
nao funcionar iria usar o reply-to para tudo que entrar pelo link sair por
ele mesmo

o route-to eu ja tenho aqui para trafego de saida http,https e funciona
maravilhosamente bem... não sei se estou na caminho certo ou so estou
fazendo confusao hehehe...

E sobre a regra eu escrevi errado mesmo hehehe

Muito obrigado

Diogo

Em 7 de dezembro de 2011 15:47, Luiz Gustavo <luizgustavo em luizgustavo.pro.br
> escreveu:

> Buenas,
>
> A primeira dúvida tá parecendo tabela de estado.
>
> talvez se você tentar limpar a tabela com o comando:
>
> pfctl -Fs
>
> Em relação a segunda dúvida, para o uso de reply-to/route-to você não
> precisa usar a tabela FIB, o próprio pf faz o roteamento.
>
> no caso ai, eu não sei se já tem ou não nas suas regras, mas você
> precisa especificar a saida dos links, tipo:
>
> pass out quick on $if_link1 route-to ($if_link1 $gw_link1) from any to
> $if_link2
> pass out quick on $if_link2 route-to ($if_link2 $gw_link2) from any to
> $if_link1
>
> *** Eu fiz de cabeça, não sei se é exatamente assim, mas é mais para
> entendimento (to sem tempo aqui pra pegar cola).
>
> abços
>
> Em Qua, 2011-12-07 às 15:31 -0200, Diogo Dalfovo escreveu:
> > Boa Tarde Pessoal!!
> >
> >
> > Estou refazendo o meu PF e surgiram algumas duvidas em relação ao
> bloqueio
> > e liberação, vamos la:
> >
> > tenho como padrao bloquear tudo que entra:
> > #set block-policy drop
> > set block-policy return
> >
> > #bloqueia tudo por padrao
> > block in log all
> >
> > e depois eu libero o icmp por exemplo
> > #teste
> > pass in log quick on $int_if proto icmp from $lan_net to $ip_firewall
> >
> > ele vai pingar sem problemas, agora quando eu comento essa regra do icmp
> ou
> > coloco block no lugar do pass e do um pfctl -f /etc/pf.conf  no
> > monitoramento do pftop ele "desaparece" mas continua o ping
> > agora se eu depois de comentar a regra eu desabilitar e reabilitar o PF o
> > bloqueio funciona. Pergunta:
> > Existe alguma forma de fazer essa liberaçao e bloqueio sem que seja
> > necessario parar e iniciar o PF? apenas usando o pfctl?
> >
> > Eu imagino o seguinte, estou recebendo um brute-force por exemplo se eu
> > bloquear esse IP que ja tem uma sessao aberta no meu firewall so vou ter
> > resultado se eu desabilitar e habilitar o PF?
> >
> >
> >
> > Segunda duvida.
> > Estava lendo sobre o reply-to, configurei a tabela FIB para eu ter dois
> > gateways OI/BRT e Embratel preciso que tudo que venha por um link volte
> > pelo mesmo link ai que entra a duvida. Faço isso na regra de entrada da
> > interface com o reply-to ou existe outra forma?
> >
> > #Link OI/BRT
> > pass in log on $ext_if1 reply-to ($ext_if1 ($ext_if1)) inet proto tcp \
> >     from any to any port { ssh } \
> >     (max-src-conn 10, max-src-conn-rate 5/3, \
> >     overload <bruteforce> flush global)
> >
> > #Link Embratel
> > pass in log on $ext_if2 reply-to ($ext_if2 ($ext_if2)) inet proto tcp \
> >     from any to any port { ssh } \
> >     (max-src-conn 10, max-src-conn-rate 5/3, \
> >     overload <bruteforce> flush global)
> >
> >
> > Diogo Dalfovo
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> --
> Luiz Gustavo Costa (Powered by BSD)
> *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
> mundoUnix - Consultoria em Software Livre
> http://www.mundounix.com.br
> ICQ: 2890831 / MSN: contato em mundounix.com.br
> Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
> Blog: http://www.luizgustavo.pro.br
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>