OpenBSD Archive › openbsd - Mexico

Consulta de PF

_‹ Previous Topic Next Topic _›

Classic

List

Threaded

6 messages Options

Ricardo Albarracin B.

Consulta de PF

Estimados Listeros:

Junto con saludarlos les consulto... tengo funcionando el PF sobre una
OBSD-4.9 y tengo un solo problema... que es habilitar el HTTP hacia una
maquina interna... pero no me está funcionando.

el pf.conf es:

#-------------------------------------------------------------------------
# macros
#-------------------------------------------------------------------------
int_if="vr0"

tcp_services="{ 22 }"
icmp_types="echoreq"

# opciones ---------------------------------------------------------------

set block-policy return
set loginterface em0
set skip on lo

# reglas proxy FTP ------------------------------------------------------

anchor "ftp-proxy/*"

pass in quick on $int_if inet proto tcp to any port ftp \
rdr-to 127.0.0.1 port 8021

# reglas match ----------------------------------------------------------

match out on egress inet from !(egress) to any nat-to (egress:0)

# reglas de filtrado ----------------------------------------------------

block in log
pass out quick

antispoof quick for { lo $int_if }

pass in on egress inet proto tcp from any to (egress) \
port $tcp_services

pass in on egress inet proto tcp to (egress) port 53 rdr-to 10.1.0.30 \
synproxy state
pass in on egress inet proto udp to (egress) port 53 rdr-to 10.1.0.30 \
synproxy state

pass in on egress inet proto tcp to (egress) port 80 rdr-to 10.1.0.2 \
synproxy state

pass in inet proto icmp all icmp-type $icmp_types

pass in on $int_if
-------------------------------------------------------------------------

Hay alguna otra forma de escribir la regla del puerto 80 para hacer lo
mismo y probar otro método?... creo que si, pero no he logrado hacerlo
aún.

Se agradece cualquier ayuda.

Saludos cordiales
Ricardo

--
Has recibido este mensaje porque estás suscrito al grupo "OpenBSD México" de Grupos de Google.
Para publicar una entrada en este grupo, envía un correo electrónico a [hidden email].
Para anular tu suscripción a este grupo, envía un correo electrónico a [hidden email]
Para tener acceso a más opciones, visita el grupo en http://groups.google.com/group/openbsd-mexico?hl=es.

Fernando Quintero

Re: Consulta de PF

Hola Ricardo,

2011/10/3 Ricardo Albarracin B. <[hidden email]>

Estimados Listeros:

Junto con saludarlos les consulto... tengo funcionando el PF sobre una
OBSD-4.9 y tengo un solo problema... que es habilitar el HTTP hacia una
maquina interna... pero no me está funcionando.

Quieres decir hacer un port forwarding?

Si es así, define cual es la interfaz "wan" o desde donde quieres redireccionar los paquetes, aplica una regla como:

pass in on [INTERFACE] proto tcp from any to any port 80 rdr-to [IP INTERNA] http://www.openbsd.org/faq/pf/rdr.htmlEl egress funciona bien cuando se trata de interfaces de salida o multiples interfaces virtuales, pero de entrada se recomienda trabajar con la interfaz especifica.

Saludos

el pf.conf es:

#-------------------------------------------------------------------------
# macros
#-------------------------------------------------------------------------
int_if="vr0"

tcp_services="{ 22 }"
icmp_types="echoreq"

# opciones ---------------------------------------------------------------

set block-policy return
set loginterface em0
set skip on lo

# reglas proxy FTP ------------------------------------------------------

anchor "ftp-proxy/*"

pass in quick on $int_if inet proto tcp to any port ftp \
rdr-to 127.0.0.1 port 8021

# reglas match ----------------------------------------------------------

match out on egress inet from !(egress) to any nat-to (egress:0)

# reglas de filtrado ----------------------------------------------------

block in log
pass out quick

antispoof quick for { lo $int_if }

pass in on egress inet proto tcp from any to (egress) \
port $tcp_services

pass in on egress inet proto tcp to (egress) port 53 rdr-to 10.1.0.30 \
synproxy state
pass in on egress inet proto udp to (egress) port 53 rdr-to 10.1.0.30 \
synproxy state

pass in on egress inet proto tcp to (egress) port 80 rdr-to 10.1.0.2 \
synproxy state

pass in inet proto icmp all icmp-type $icmp_types

pass in on $int_if
-------------------------------------------------------------------------

Hay alguna otra forma de escribir la regla del puerto 80 para hacer lo
mismo y probar otro método?... creo que si, pero no he logrado hacerlo
aún.

Se agradece cualquier ayuda.

Saludos cordiales
Ricardo

--
Has recibido este mensaje porque estás suscrito al grupo "OpenBSD México" de Grupos de Google.
Para publicar una entrada en este grupo, envía un correo electrónico a [hidden email].
Para anular tu suscripción a este grupo, envía un correo electrónico a [hidden email]
Para tener acceso a más opciones, visita el grupo en http://groups.google.com/group/openbsd-mexico?hl=es.

--

--------------
Fernando Quintero
http://nonroot.blogspot.com/
Just a nonroot User

--
Has recibido este mensaje porque estás suscrito al grupo "OpenBSD México" de Grupos de Google.
Para publicar una entrada en este grupo, envía un correo electrónico a [hidden email].
Para anular tu suscripción a este grupo, envía un correo electrónico a [hidden email]
Para tener acceso a más opciones, visita el grupo en http://groups.google.com/group/openbsd-mexico?hl=es.

Ricardo Albarracin B.

Re: Consulta de PF

El Mon, 3 Oct 2011 13:49:46 -0500
Fernando Quintero <[hidden email]> escribió:
> Hola Ricardo,

Hola Fernando...

> Quieres decir hacer un port forwarding?

Si... Quiero dar servicios WEB desde una maquina interna hacia internet.

> Si es así, define cual es la interfaz "wan" o desde donde quieres
> redireccionar los paquetes, aplica una regla como:
>
> pass in on [INTERFACE] proto tcp from any to any port 80 rdr-to [IP
> INTERNA]
>
> http://www.openbsd.org/faq/pf/rdr.html

Gracias...

La regla tal como me indicas quedó así:

pass in on em0 proto tcp from any to any port 80 rdr-to 10.1.0.2

pero al correr un zemap, este me indica que el puerto 80 está filtrado.

"80/tcp filtered http"

> El egress funciona bien cuando se trata de interfaces de salida o
> multiples interfaces virtuales, pero de entrada se recomienda
> trabajar con la interfaz especifica.

Ok... gracias por el comentario.

> Saludos
Gracias por tus comentarios.

--
Has recibido este mensaje porque estás suscrito al grupo "OpenBSD México" de Grupos de Google.
Para publicar una entrada en este grupo, envía un correo electrónico a [hidden email].
Para anular tu suscripción a este grupo, envía un correo electrónico a [hidden email]
Para tener acceso a más opciones, visita el grupo en http://groups.google.com/group/openbsd-mexico?hl=es.

Fernando Quintero

Re: Consulta de PF

Hola,

2011/10/3 Ricardo Albarracin B. <[hidden email]>

El Mon, 3 Oct 2011 13:49:46 -0500
Fernando Quintero <[hidden email]> escribió:
> Hola Ricardo,

Hola Fernando...

> Quieres decir hacer un port forwarding?

Si... Quiero dar servicios WEB desde una maquina interna hacia internet.

> Si es así, define cual es la interfaz "wan" o desde donde quieres
> redireccionar los paquetes, aplica una regla como:
>
> pass in on [INTERFACE] proto tcp from any to any port 80 rdr-to [IP
> INTERNA]
>
> http://www.openbsd.org/faq/pf/rdr.html

Gracias...

La regla tal como me indicas quedó así:

pass in on em0 proto tcp from any to any port 80 rdr-to 10.1.0.2

pero al correr un zemap, este me indica que el puerto 80 está filtrado.

"80/tcp filtered http"

El zenmap lo estas corriendo desde la red externa?, estas seguro?

Si es así, verifica que el puerto en la maquina 10.1.0.2 este abierto, compruebalo corriendo el zenmap contra la ip 10.1.0.2.
Recuerda tambien que en la misma interface em0 debes dejar pasar el tráfico, te aconsejo que pongas una regla
pass in all
mientras funciona el redireccionamiento.

Saludos.

> El egress funciona bien cuando se trata de interfaces de salida o
> multiples interfaces virtuales, pero de entrada se recomienda
> trabajar con la interfaz especifica.

Ok... gracias por el comentario.

> Saludos
Gracias por tus comentarios.

--
Has recibido este mensaje porque estás suscrito al grupo "OpenBSD México" de Grupos de Google.
Para publicar una entrada en este grupo, envía un correo electrónico a [hidden email].
Para anular tu suscripción a este grupo, envía un correo electrónico a [hidden email]
Para tener acceso a más opciones, visita el grupo en http://groups.google.com/group/openbsd-mexico?hl=es.

--

--------------
Fernando Quintero
http://nonroot.blogspot.com/
Just a nonroot User

Ricardo Albarracin B.

Re: Consulta de PF

El Mon, 3 Oct 2011 14:33:05 -0500
Fernando Quintero <[hidden email]> escribió:
> Hola,

Hola Fernando...

> El zenmap lo estas corriendo desde la red externa?, estas seguro?

Si... estoy conectado con otra maquina a la red externa... de hecho la
puedes ver el openbsd tu mismo (te envío en privado la IP)... estoy en
el mismo segmento con otra IP.

> Si es así, verifica que el puerto en la maquina 10.1.0.2 este abierto,
> compruebalo corriendo el zenmap contra la ip 10.1.0.2.

Si lo está... de hecho desde el openbsd puedo navegar sobre la maquina
interna sin problema.

> Recuerda tambien que en la misma interface em0 debes dejar pasar el
> tráfico, te aconsejo que pongas una regla
> pass in all
> mientras funciona el redireccionamiento.

Perdona "pass in all" debe estar antes de:

pass in on em0 proto tcp from any to em0 port 80 rdr-to 10.1.0.2 port 80

> Saludos.

Gracias una vez mas.
Saludos cordiales
Ricardo

--
Has recibido este mensaje porque estás suscrito al grupo "OpenBSD México" de Grupos de Google.
Para publicar una entrada en este grupo, envía un correo electrónico a [hidden email].
Para anular tu suscripción a este grupo, envía un correo electrónico a [hidden email]
Para tener acceso a más opciones, visita el grupo en http://groups.google.com/group/openbsd-mexico?hl=es.

Fernando Quintero

Re: Consulta de PF

Hola,

2011/10/3 Ricardo Albarracin B. <[hidden email]>

El Mon, 3 Oct 2011 14:33:05 -0500
Fernando Quintero <[hidden email]> escribió:
> Hola,

Hola Fernando...

> El zenmap lo estas corriendo desde la red externa?, estas seguro?

Si... estoy conectado con otra maquina a la red externa... de hecho la
puedes ver el openbsd tu mismo (te envío en privado la IP)... estoy en
el mismo segmento con otra IP.

> Si es así, verifica que el puerto en la maquina 10.1.0.2 este abierto,
> compruebalo corriendo el zenmap contra la ip 10.1.0.2.

Si lo está... de hecho desde el openbsd puedo navegar sobre la maquina
interna sin problema.

> Recuerda tambien que en la misma interface em0 debes dejar pasar el
> tráfico, te aconsejo que pongas una regla
> pass in all
> mientras funciona el redireccionamiento.

Perdona "pass in all" debe estar antes de:

pass in on em0 proto tcp from any to em0 port 80 rdr-to 10.1.0.2 port 80

Trata de poner otra como:

pass in on em0 proto tcp from any to 10.1.0.2 port 80

> Saludos.

Gracias una vez mas.
Saludos cordiales
Ricardo

--
Has recibido este mensaje porque estás suscrito al grupo "OpenBSD México" de Grupos de Google.
Para publicar una entrada en este grupo, envía un correo electrónico a [hidden email].
Para anular tu suscripción a este grupo, envía un correo electrónico a [hidden email]
Para tener acceso a más opciones, visita el grupo en http://groups.google.com/group/openbsd-mexico?hl=es.

--

--------------
Fernando Quintero
http://nonroot.blogspot.com/
Just a nonroot User