2012/1/31 Diogo Dalfovo <b1n4r1w...@gmail.com> > Bom dia pessoal!!! > > A um bom tempo atras eu ja tinha recorrido lista por uma duvida parecida, > mas gostaria de saber se é possivel eu fazer o filtro de uma regra binat? > Ex: > > # ---- Redireionamento bidirecional para email > binat on $ext_if from 192.168.0.12/32 to any -> x.x.x.244/32 --> BRT > binat on $ext_if2 from 192.168.0.12/32 to any -> y.y.y.226/32 --> > Embratel > > .... > Bloqueia tudo por padrao > block in log on $ext_if > block in log on $ext_if2 > .... > pass in log quick on $ext_if2 proto tcp from any to y.y.y.226 port 22 keep > state --> não libera conexão ssh do binat. O ssh esta sendo usado apenas > como exemplo > ... > pass in log quick on $ext_if2 proto tcp to $ip_ext2_alias0 port 22 keep > state \ > (max-src-conn 3,max-src-conn-rate 5/3, overload > <bruteforce> flush global) label "Acesso SSH Embratel" --> acessa normal FW > $ip_ext2_alias0 = y.y.y.227 > > pass in log quick on $ext_if proto tcp to $ip_ext port 22 keep state \ > (max-src-conn 3,max-src-conn-rate 5/3, overload > <bruteforce> flush global) label "Acesso SSH BRT" --> acessa normal FW > $ip_ext = x.x.x.242 > > > Agora se eu alterar a regra do binat para: > binat pass on $ext_if from 192.168.0.12/32 to any -> x.x.x.244/32 > binat pass on $ext_if2 from 192.168.0.12/32 to any -> y.y.y.226/32 > > Funciona 100%, poderia deixar assim mas gostaria de deixar passar somente > algumas portas é possivel sem ter que deixar passar tudo na regra do binat? > Obs: Infelizmente não foi possivel "ainda" colocar o servidor de email em > uma DMZ. > > E o contrario tb deixando o binat com pass e tentando bloquear o acesso tb > não funcionou. > > Diogo Dalfovo > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >
opa boa tarde Diogo, não sou entendido do PF não, mas por acaso você já tentou usar a opção tag e tagged para marcar os pacotes? da uma olhada: http://www.openbsd.org/faq/pf/tagging.html -- *ENIO RODRIGO MARCONCINI* @eniomarconcini <http://twitter.com/eniomarconcini> skype: eniorm facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini> *"H**ave a trouble with windows: reboot!* *Have a trouble with unix: be root!"* ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd