A melhor maneira de contornar o problema com o Conectividade Social da CEF seria vc aplicar uma regra de skip to antes da regra do proxy avitando assim que os endereços da CEF passagem pelas regras do proxy.
Sdd Pedro Ricardo de Oliveira MSN: [EMAIL PROTECTED] Skype: prrecife ----- Mensagem original ---- De: Augusto Jobim Badaraco <[EMAIL PROTECTED]> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) <freebsd@fug.com.br> Enviadas: Sexta-feira, 19 de Outubro de 2007 13:58:46 Assunto: [FUG-BR] RES: RES: ENC: Conectividade social - Existe solução? Vc tentou colocar assim: nat on $ext_if from $internal_net to any -> ($ext_if) static-port -----Mensagem original----- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Marcio A. Sepp Enviada em: sexta-feira, 19 de outubro de 2007 12:41 Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' Assunto: [FUG-BR] RES: ENC: Conectividade social - Existe solução? Oi Welington, Minha regra atual de nat é esta: nat on $ext_if from $internal_net to any -> ($ext_if) Onde internal_net é: internal_net="192.168.0.0/24" Me parece que a principal diferença da minha regra pra sua é: ... -> ($ext:0). A noite farei testes com estas regras conforme vc me passou. Segue abaixo o meu firewall: ########## 1) MACROS ########## ext_if="xl0" int_if="xl1" internal_net="192.168.0.0/24" ########## 3) OPTIONS ########## set skip on lo # Options: tune the behavior of pf, default values are given. set timeout { interval 10, frag 30 } set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 } set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 } set timeout { udp.first 60, udp.single 30, udp.multiple 60 } set timeout { icmp.first 20, icmp.error 10 } set timeout { other.first 60, other.single 30, other.multiple 60 } set timeout { adaptive.start 0, adaptive.end 0 } set limit { states 10000, frags 5000 } #set loginterface none #set optimization normal set block-policy drop set require-order yes set fingerprints "/etc/pf.os" #set block-policy return set loginterface $ext_if ########## 4) NORMALIZATION ########## scrub in nat on $ext_if from $internal_net to any -> ($ext_if) no rdr on { lo0, lo1 } from any to any #no rdr on $int_if from any to { ($ext_if), ($int_if) } ########## 7) FILTERING ########## antispoof quick for { lo $int_if } pass in pass out pass in on $ext_if proto tcp to ($ext_if) port ssh keep state #pass in on $int_if from $int_if:network to any keep state #pass out on $int_if from any to $int_if:network keep state #pass out on $ext_if proto tcp all modulate state flags S/SA #pass out on $ext_if proto { udp } all keep state Att. Márcio A. Sepp > > > Estou enfrentando problemas com a conectividade social em um > > > servidor freebsd 6.2 com pf e sem passar pelo squid. > > > > > > Neste cliente usávamos o OpenBSD com tudo funcionando > perfeitamente. > > > O Open era versão 3.7, mas por motivos que não convem ao momento > > > mudamos para o FreeBSD 6.2. Após esta migração o sistema da caixa > > > deixou de funcionar. > > > > > > Antes de enviar este email para a lista fiz os seguintes passos: > > > - Li a grande maioria das respostas da lista sobre este assunto, > > > sendo que muitas tratavam do firewall ipf e outras mesmo falam do > > > squid, que eu sequer configurei para esta máquina passar por ele; > > > - Tentamos limpar todas as regras do pf.conf e apenas > adicionamos um > > > nat na interface externa com pass in all e pass out all e > também não > > > funcionou; > > > > > > Com isso, não sabemos mais para que lado recorrer (ou > correr), pois > > > o suporte da caixa consegue apenas auxiliar o usuário final e nós > > > ficamos completamente desamparados. > > > > > > Ainda fizemos os testes: > > > - Colocamos uma máquina openbsd com o mesmo firewall e > ela funcionou > > > perfeitamente; > > > - Colocamos as duas máquinas que tenho instalado a > "irritabilidade social" > > > (dica de nome que li no histórico da lista) ligadas > diretamente no > > > meu modem e também funcionou perfeitamente; > > > > > > Meu ambiente: > > > FreeBSD 6.2 - stable; > > > Pf (com apenas o nat e liberado tudo de saída e entrada); Squid > > > (para as demais máquinas da rede, exceto as que rodam o > > > conectividade); > > > > > > > > > Olhamos também este link, mas não evoluímos muito: > > > http://www.openbsd.org/faq/pf/pt/scrub.html > > > > > > O que podemos fazer? Alguém já passou por isso e > encontrou alguma solução? > > > > > > > > > > > > > > > Att. > > > Márcio A. Sepp > > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > Márcio, > Aqui uso esta regra abaixo, > > Os ips não podem fazer nada somente podem acessar conectividade socil > > # conectividade Social > nat on $ext_if from {10.0.0.7,10.0.0.8,10.0.0.9, 10.0.0.10} > to {200.201.174.0/24, 200.201.173.68} -> ($ext_if:0) > > -- > Welington F.J > BSD User: 51392 > IVOZ: 4668 > MSN: [EMAIL PROTECTED] > Drogas ? Pra que? Já Tenho Meu Windows!! > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __________ Informação do NOD32 IMON 2603 (20071019) __________ Esta mensagem foi verificada pelo NOD32 sistema antivírus http://www.eset.com.br ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento! http://br.mail.yahoo.com/ ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
