The pfSense Store

Author Topic: [Resolvido] Alteração de regra, mediante resultado de script  (Read 175 times)

0 Members and 1 Guest are viewing this topic.

Offline brunok

  • Full Member
  • ***
  • Posts: 279
  • Karma: +33/-2
    • View Profile
Boa tarde,

Tenho uma questão fora do comum (estou procurando a solução), mas talvez alguém mais experiente possa dar o caminhos das pedras.

Estou criando um script para validar uns endereços IP (externo) e dependendo o resultado, alterar nas regras automaticamente.  :P



Estou validando com o arquivo /tmp/rules.debug e o esquema vai me atender.
Após alterações, com o comando
Code: [Select]
pfctl -f /tmp/rules.debug as regras são atualizadas APENAS temporariamente, não ficam no backup.


Em qual local eu posso fazer update das regras de forma completa?
« Last Edit: March 23, 2017, 12:35:49 pm by brunok »

Offline guitarcleiton

  • Full Member
  • ***
  • Posts: 198
  • Karma: +6/-1
  • FreeBSD
    • View Profile
    • I.T Open Source
Re: Dúvida - Alteração de regra, mediante resultado de script
« Reply #1 on: March 20, 2017, 04:30:24 pm »
Não entendi qual a finalidade desse script.

O acesso externo creio que voce liberou via Nat, correto? bom.. lá você pode criar uma aliase dos ips que podem acessar sua rede.

caso o endereço externo seja a saída você também pode fazer via aliase nas regras da lan.
Analista de Sistemas
Bacharel em Sistemas de Informação
======================

https://cleiton.tech.blog/

Offline brunok

  • Full Member
  • ***
  • Posts: 279
  • Karma: +33/-2
    • View Profile
Re: Dúvida - Alteração de regra, mediante resultado de script
« Reply #2 on: March 21, 2017, 05:56:00 am »
O endereço em questão, é um IP dinâmico.

Eu pego o endereço atualizado (quando alterar) e atualizo na rules.debug.


Mas está funcionando só em memória, queria integrar de forma completa.



** NÃO TEM VPN **

Offline empbilly

  • Hero Member
  • *****
  • Posts: 746
  • Karma: +32/-4
  • Jesus é Senhor!
    • View Profile
Re: Dúvida - Alteração de regra, mediante resultado de script
« Reply #3 on: March 21, 2017, 09:04:49 am »
O endereço em questão, é um IP dinâmico.

Eu pego o endereço atualizado (quando alterar) e atualizo na rules.debug.


Mas está funcionando só em memória, queria integrar de forma completa.



** NÃO TEM VPN **

Como tu sabe que esses endereços são os que tu precisa pegar? Se são teus clientes, manda instalar um serviço de DNS dinâmico. :D

Offline brunok

  • Full Member
  • ***
  • Posts: 279
  • Karma: +33/-2
    • View Profile
Re: [Dúvida] Alteração de regra, mediante resultado de script
« Reply #4 on: March 21, 2017, 09:28:00 am »
O pf atualiza "automaticamente" se eu criar um alias com DNS ao invés de IP ?

Se sim, o problema se resolve por aí.


Sempre cadastro ips / cidr, mas nunca um DNS.  ???


Vou testar desse jeito!

Offline brunok

  • Full Member
  • ***
  • Posts: 279
  • Karma: +33/-2
    • View Profile
Re: [Dúvida] Alteração de regra, mediante resultado de script
« Reply #5 on: March 21, 2017, 09:31:50 am »
Sim, ele da um "host DNS" e atribui o IP.

Não tinha pensado nisso antes...


Perfeito!


Tão simples  :P

Offline brunok

  • Full Member
  • ***
  • Posts: 279
  • Karma: +33/-2
    • View Profile
Re: [Resolvido] Alteração de regra, mediante resultado de script
« Reply #6 on: March 21, 2017, 09:54:26 am »
Mas tem um detalhe...

De quanto em quanto tempo ocorrerá o refresh disto?  ??? :o

Offline empbilly

  • Hero Member
  • *****
  • Posts: 746
  • Karma: +32/-4
  • Jesus é Senhor!
    • View Profile
Re: [Resolvido] Alteração de regra, mediante resultado de script
« Reply #7 on: March 21, 2017, 10:11:12 am »
Bah cara, não tenho ideia. Aqui pra mim nunca tive problemas quanto a isso. :D

Offline brunok

  • Full Member
  • ***
  • Posts: 279
  • Karma: +33/-2
    • View Profile
Re: [Não Resolvido] Alteração de regra, mediante resultado de script
« Reply #8 on: March 23, 2017, 09:50:23 am »
Realmente não resolveu da maneira que eu esperava.


Somente quando insere/altera algo nos aliases, quando aplica ele atualiza o DNS.

Notei no log - DNS Resolver, lá aparece o host sendo atualizado.


Existe uma maneira, mas não sei como.


Forçar o refresh dos hosts para atualizar na tabela seu ip dinâmico.

Offline brunok

  • Full Member
  • ***
  • Posts: 279
  • Karma: +33/-2
    • View Profile
Re: [Não Resolvido] Alteração de regra, mediante resultado de script
« Reply #9 on: March 23, 2017, 09:53:45 am »
Como eu chamo a função do botão Apply pelo shell?


Minha ideia é agendar um script no cron...

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 12994
  • Karma: +545/-5
    • View Profile
Re: [Não Resolvido] Alteração de regra, mediante resultado de script
« Reply #10 on: March 23, 2017, 11:21:31 am »
Use o nome do host dinâmico dentro de um alias, depois aplique em uma regra.

Tenho vários firewalls com regras para hosts e ips dinâmicos e funciona muito bem. O ponto chave está no cliente de dns dinamico que você vai usar. A maioria dos clientes no modo 'gratis' atualiza o ip poucas vezes ao dia enquanto o mesmo cliente com a licença comercial atualiza em poucos segundos.



Offline brunok

  • Full Member
  • ***
  • Posts: 279
  • Karma: +33/-2
    • View Profile
Re: [Não Resolvido] Alteração de regra, mediante resultado de script
« Reply #11 on: March 23, 2017, 11:28:19 am »
Use o nome do host dinâmico dentro de um alias, depois aplique em uma regra.

Tenho vários firewalls com regras para hosts e ips dinâmicos e funciona muito bem. O ponto chave está no cliente de dns dinamico que você vai usar. A maioria dos clientes no modo 'gratis' atualiza o ip poucas vezes ao dia enquanto o mesmo cliente com a licença comercial atualiza em poucos segundos.


O client DNS é pago e atualiza de forma rápida.

Onde não está atualizando, é no PFSENSE.


Se eu pingar o nome, aponta o ip novo, mas na parte do ALIAS, demora pra atualizar. Preciso editar um alias e dar apply, pra forçar refresh dos hosts cadastrados.

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 12994
  • Karma: +545/-5
    • View Profile
Re: [Não Resolvido] Alteração de regra, mediante resultado de script
« Reply #12 on: March 23, 2017, 11:30:32 am »
Onde não está atualizando, é no PFSENSE.

Quando meu ip atualiza, não demora nem 5minutos para o alias atualizar...

Offline empbilly

  • Hero Member
  • *****
  • Posts: 746
  • Karma: +32/-4
  • Jesus é Senhor!
    • View Profile
Re: [Não Resolvido] Alteração de regra, mediante resultado de script
« Reply #13 on: March 23, 2017, 11:54:49 am »
Aqui o pessoal utiliza um serviço gratis (duckdns) e nunca deu problema.

Offline brunok

  • Full Member
  • ***
  • Posts: 279
  • Karma: +33/-2
    • View Profile
Re: [Não Resolvido] Alteração de regra, mediante resultado de script
« Reply #14 on: March 23, 2017, 12:35:36 pm »
Vou fazer mais uns testes aqui... Valeu!