Consulta de PF
Locked
 
|
Estimados Listeros:
Junto con saludarlos les consulto... tengo funcionando el PF sobre una OBSD-4.9 y tengo un solo problema... que es habilitar el HTTP hacia una maquina interna... pero no me está funcionando. el pf.conf es: #------------------------------------------------------------------------- # macros #------------------------------------------------------------------------- int_if="vr0" tcp_services="{ 22 }" icmp_types="echoreq" # opciones --------------------------------------------------------------- set block-policy return set loginterface em0 set skip on lo # reglas proxy FTP ------------------------------------------------------ anchor "ftp-proxy/*" pass in quick on $int_if inet proto tcp to any port ftp \ rdr-to 127.0.0.1 port 8021 # reglas match ---------------------------------------------------------- match out on egress inet from !(egress) to any nat-to (egress:0) # reglas de filtrado ---------------------------------------------------- block in log pass out quick antispoof quick for { lo $int_if } pass in on egress inet proto tcp from any to (egress) \ port $tcp_services pass in on egress inet proto tcp to (egress) port 53 rdr-to 10.1.0.30 \ synproxy state pass in on egress inet proto udp to (egress) port 53 rdr-to 10.1.0.30 \ synproxy state pass in on egress inet proto tcp to (egress) port 80 rdr-to 10.1.0.2 \ synproxy state pass in inet proto icmp all icmp-type $icmp_types pass in on $int_if ------------------------------------------------------------------------- Hay alguna otra forma de escribir la regla del puerto 80 para hacer lo mismo y probar otro método?... creo que si, pero no he logrado hacerlo aún. Se agradece cualquier ayuda. Saludos cordiales Ricardo -- Has recibido este mensaje porque estás suscrito al grupo "OpenBSD México" de Grupos de Google. Para publicar una entrada en este grupo, envía un correo electrónico a [hidden email]. Para anular tu suscripción a este grupo, envía un correo electrónico a [hidden email] Para tener acceso a más opciones, visita el grupo en http://groups.google.com/group/openbsd-mexico?hl=es. |
|
|
Hola Ricardo,
2011/10/3 Ricardo Albarracin B. <[hidden email]> Estimados Listeros: Quieres decir hacer un port forwarding? Si es así, define cual es la interfaz "wan" o desde donde quieres redireccionar los paquetes, aplica una regla como: pass in on [INTERFACE] proto tcp from any to any port 80 rdr-to [IP INTERNA] http://www.openbsd.org/faq/pf/rdr.html El egress funciona bien cuando se trata de interfaces de salida o multiples interfaces virtuales, pero de entrada se recomienda trabajar con la interfaz especifica. Saludos el pf.conf es: -- -------------- Fernando Quintero http://nonroot.blogspot.com/ Just a nonroot User -- Has recibido este mensaje porque estás suscrito al grupo "OpenBSD México" de Grupos de Google. Para publicar una entrada en este grupo, envía un correo electrónico a [hidden email]. Para anular tu suscripción a este grupo, envía un correo electrónico a [hidden email] Para tener acceso a más opciones, visita el grupo en http://groups.google.com/group/openbsd-mexico?hl=es. |
|
|
El Mon, 3 Oct 2011 13:49:46 -0500
Fernando Quintero <[hidden email]> escribió: > Hola Ricardo, Hola Fernando... > Quieres decir hacer un port forwarding? Si... Quiero dar servicios WEB desde una maquina interna hacia internet. > Si es así, define cual es la interfaz "wan" o desde donde quieres > redireccionar los paquetes, aplica una regla como: > > pass in on [INTERFACE] proto tcp from any to any port 80 rdr-to [IP > INTERNA] > > http://www.openbsd.org/faq/pf/rdr.html Gracias... La regla tal como me indicas quedó así: pass in on em0 proto tcp from any to any port 80 rdr-to 10.1.0.2 pero al correr un zemap, este me indica que el puerto 80 está filtrado. "80/tcp filtered http" > El egress funciona bien cuando se trata de interfaces de salida o > multiples interfaces virtuales, pero de entrada se recomienda > trabajar con la interfaz especifica. Ok... gracias por el comentario. > Saludos Gracias por tus comentarios. -- Has recibido este mensaje porque estás suscrito al grupo "OpenBSD México" de Grupos de Google. Para publicar una entrada en este grupo, envía un correo electrónico a [hidden email]. Para anular tu suscripción a este grupo, envía un correo electrónico a [hidden email] Para tener acceso a más opciones, visita el grupo en http://groups.google.com/group/openbsd-mexico?hl=es. |
|
|
Hola,
2011/10/3 Ricardo Albarracin B. <[hidden email]> El Mon, 3 Oct 2011 13:49:46 -0500 El zenmap lo estas corriendo desde la red externa?, estas seguro? Si es así, verifica que el puerto en la maquina 10.1.0.2 este abierto, compruebalo corriendo el zenmap contra la ip 10.1.0.2. Recuerda tambien que en la misma interface em0 debes dejar pasar el tráfico, te aconsejo que pongas una regla pass in all mientras funciona el redireccionamiento. Saludos.
-- -------------- Fernando Quintero http://nonroot.blogspot.com/ Just a nonroot User -- Has recibido este mensaje porque estás suscrito al grupo "OpenBSD México" de Grupos de Google. Para publicar una entrada en este grupo, envía un correo electrónico a [hidden email]. Para anular tu suscripción a este grupo, envía un correo electrónico a [hidden email] Para tener acceso a más opciones, visita el grupo en http://groups.google.com/group/openbsd-mexico?hl=es. |
|
|
El Mon, 3 Oct 2011 14:33:05 -0500
Fernando Quintero <[hidden email]> escribió: > Hola, Hola Fernando... > El zenmap lo estas corriendo desde la red externa?, estas seguro? Si... estoy conectado con otra maquina a la red externa... de hecho la puedes ver el openbsd tu mismo (te envío en privado la IP)... estoy en el mismo segmento con otra IP. > Si es así, verifica que el puerto en la maquina 10.1.0.2 este abierto, > compruebalo corriendo el zenmap contra la ip 10.1.0.2. Si lo está... de hecho desde el openbsd puedo navegar sobre la maquina interna sin problema. > Recuerda tambien que en la misma interface em0 debes dejar pasar el > tráfico, te aconsejo que pongas una regla > pass in all > mientras funciona el redireccionamiento. Perdona "pass in all" debe estar antes de: pass in on em0 proto tcp from any to em0 port 80 rdr-to 10.1.0.2 port 80 > Saludos. Gracias una vez mas. Saludos cordiales Ricardo -- Has recibido este mensaje porque estás suscrito al grupo "OpenBSD México" de Grupos de Google. Para publicar una entrada en este grupo, envía un correo electrónico a [hidden email]. Para anular tu suscripción a este grupo, envía un correo electrónico a [hidden email] Para tener acceso a más opciones, visita el grupo en http://groups.google.com/group/openbsd-mexico?hl=es. |
|
|
Hola,
2011/10/3 Ricardo Albarracin B. <[hidden email]> El Mon, 3 Oct 2011 14:33:05 -0500 Trata de poner otra como: pass in on em0 proto tcp from any to 10.1.0.2 port 80 > Saludos. -- -------------- Fernando Quintero http://nonroot.blogspot.com/ Just a nonroot User -- Has recibido este mensaje porque estás suscrito al grupo "OpenBSD México" de Grupos de Google. Para publicar una entrada en este grupo, envía un correo electrónico a [hidden email]. Para anular tu suscripción a este grupo, envía un correo electrónico a [hidden email] Para tener acceso a más opciones, visita el grupo en http://groups.google.com/group/openbsd-mexico?hl=es. |
«
Return to openbsd - Mexico
|
1 view|%1 views
| Free forum by Nabble | Edit this page |