Re: [FUG-BR] Ipfw - Natd, de novo !!!
um detalhe importante que o pessoal que faz nat com ipfw acaba esquecendo: sysctl net.inet.ip.forwarding = 1 ou pode ser habilitando no rc.conf: gateway_enable=YES preste atenção nessa sysctl que tem que estar habilitada pra fazer nat. isso ta no man do natd: 2. Ensure that your machine is acting as a gateway. This can be done by specifying the line gateway_enable=YES in the /etc/rc.conf file or using the command sysctl net.inet.ip.forwarding=1 abraços Em Qui, 2012-01-12 às 16:33 -0200, Adiel de Lima Ribeiro escreveu: > Ficou perfeito, mas isso eu já tinha feito, com relação ao conceito > estou vindo do Iptables ... > Acredito que o mundo BSD é melhor, principalmente para firewalls, eles > são mais completos. > Este conceito eu já tenho, mas comecei a mecher com Ipfw terça-feira > 12/01/2012, rs. > Agradeço a todos pela ajuda, vlw !! > > > > -Original Message- > From: Marcelo Gondim > Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!! > Date: Thu, 12 Jan 2012 15:31:23 -0200 > > > Em 12/01/2012 14:32, Adiel de Lima Ribeiro escreveu: > > Não sei se é uma boa idéia, mas vou migrar pro PF, vou ter que aprender > > as regras, mas tudo bem, ele me parece melhor que o IPFW. > > O que vocês tem a me dizer ? > > Você precisaria aprender 2. rsrsrsrsr > Não importa qual você vai usar o problema que está tendo parece mais de > conceito sobre Firewalls que dá própria aplicação. > Confesso que quando saí do Netfilter/IPTables e vi o ipfw e o pf quase > pirei nas regras mas o que ajuda mesmo é o conceito, graças à ele hoje > já tenho todos os meus Firewalls convertidos para pf e ipfw. > > Vou fazer algo que não deveria pois acertos e erros levam à aprendizagem > e mais que tudo aumento da experiência. Como o Irado dizia... melhor > ensinar à pescar que já dar o peixe pronto. > > Ps: gosto até de pescar mas limpar o peixe não é nada legal. > ahahahahahah Fazer o que? > > Vou fazer o seguinte ambiente imaginário: > > Firewall com 2 interfaces de rede: em0 para a Internet e em1 para a rede > Interna. > Rede Interna: 192.168.0.0/24 > > estação > Firewall > == > 192.168.0.2 <===> 192.168.0.1/24(em1) 10.0.0.1/24(em0) > <===> INTERNET > > No seu Kernel compilado: > > options IPFIREWALL > options IPFIREWALL_VERBOSE > options IPFIREWALL_VERBOSE_LIMIT=100 > options IPFIREWALL_DEFAULT_TO_ACCEPT > options IPFIREWALL_FORWARD > options IPFIREWALL_NAT > options LIBALIAS > options DUMMYNET > options IPDIVERT > > No script de Firewall: > > ## > #!/bin/sh > fw="/sbin/ipfw" > > ext_if="em0" > int_if="em1" > > $fw disable one_pass > $fw -f flush > $fw zero > $fw table all flush > > # Estacoes > $fw table 1 add 192.168.0.2 > $fw table 1 add 192.168.0.3 > $fw table 1 add 192.168.0.4 > > $fw add allow all from any to any via lo0 > $fw add deny all from 127.0.0.0/8 to any > $fw add deny all from any to 127.0.0.0/8 > > $fw add deny all from any to any not antispoof > > # Redireciona para o natd > $fw add divert 8668 ip from 192.168.0.0/24 to any out via $ext_if > $fw add divert 8668 ip from any to me in via $ext_if > > # Permite IPs na table 2 o acesso à DNS externo > $fw add allow udp from "table(2)" to any 53 keep-state > $fw add allow tcp from "table(2)" to any 53 setup keep-state > > # Permite IPs para acesso web > $fw add allow tcp from "table(2)" to any 80 setup keep-state > > $fw add allow tcp from me to any out setup keep-state > $fw add allow all from me to any out keep-state > $fw add 65534 deny all from any to any > > ### > > # natd.conf > instance default > interface em0 > dynamic no > same_ports yes > use_sockets yes > unregistered_only yes > > Bem esse é um script bem simples, tem que funcionar aí. Basta agora você > adaptar para a sua realidade. > > Melhor não consigo fazer pra vc entender rsrsrsr > > > > > > > -Original Message- > > From: Lucas Dias > > Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > > > > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > > > > Subject: Re: [FUG-BR] Ipfw - Natd, de novo !
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Ficou perfeito, mas isso eu já tinha feito, com relação ao conceito estou vindo do Iptables ... Acredito que o mundo BSD é melhor, principalmente para firewalls, eles são mais completos. Este conceito eu já tenho, mas comecei a mecher com Ipfw terça-feira 12/01/2012, rs. Agradeço a todos pela ajuda, vlw !! -Original Message- From: Marcelo Gondim Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!! Date: Thu, 12 Jan 2012 15:31:23 -0200 Em 12/01/2012 14:32, Adiel de Lima Ribeiro escreveu: > Não sei se é uma boa idéia, mas vou migrar pro PF, vou ter que aprender > as regras, mas tudo bem, ele me parece melhor que o IPFW. > O que vocês tem a me dizer ? Você precisaria aprender 2. rsrsrsrsr Não importa qual você vai usar o problema que está tendo parece mais de conceito sobre Firewalls que dá própria aplicação. Confesso que quando saí do Netfilter/IPTables e vi o ipfw e o pf quase pirei nas regras mas o que ajuda mesmo é o conceito, graças à ele hoje já tenho todos os meus Firewalls convertidos para pf e ipfw. Vou fazer algo que não deveria pois acertos e erros levam à aprendizagem e mais que tudo aumento da experiência. Como o Irado dizia... melhor ensinar à pescar que já dar o peixe pronto. Ps: gosto até de pescar mas limpar o peixe não é nada legal. ahahahahahah Fazer o que? Vou fazer o seguinte ambiente imaginário: Firewall com 2 interfaces de rede: em0 para a Internet e em1 para a rede Interna. Rede Interna: 192.168.0.0/24 estação Firewall == 192.168.0.2 <===> 192.168.0.1/24(em1) 10.0.0.1/24(em0) <===> INTERNET No seu Kernel compilado: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_FORWARD options IPFIREWALL_NAT options LIBALIAS options DUMMYNET options IPDIVERT No script de Firewall: ## #!/bin/sh fw="/sbin/ipfw" ext_if="em0" int_if="em1" $fw disable one_pass $fw -f flush $fw zero $fw table all flush # Estacoes $fw table 1 add 192.168.0.2 $fw table 1 add 192.168.0.3 $fw table 1 add 192.168.0.4 $fw add allow all from any to any via lo0 $fw add deny all from 127.0.0.0/8 to any $fw add deny all from any to 127.0.0.0/8 $fw add deny all from any to any not antispoof # Redireciona para o natd $fw add divert 8668 ip from 192.168.0.0/24 to any out via $ext_if $fw add divert 8668 ip from any to me in via $ext_if # Permite IPs na table 2 o acesso à DNS externo $fw add allow udp from "table(2)" to any 53 keep-state $fw add allow tcp from "table(2)" to any 53 setup keep-state # Permite IPs para acesso web $fw add allow tcp from "table(2)" to any 80 setup keep-state $fw add allow tcp from me to any out setup keep-state $fw add allow all from me to any out keep-state $fw add 65534 deny all from any to any ### # natd.conf instance default interface em0 dynamic no same_ports yes use_sockets yes unregistered_only yes Bem esse é um script bem simples, tem que funcionar aí. Basta agora você adaptar para a sua realidade. Melhor não consigo fazer pra vc entender rsrsrsr > > > -Original Message- > From: Lucas Dias > Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > > Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!! > Date: Thu, 12 Jan 2012 13:06:35 -0300 > > > Adiel > > Então você deve estar esquecendo de algum detalhe. > Reveja o que os colegas Marcelo Gondim e Luiz Gustavo falaram. > > Se for possível, e resolver seu problema, usa o pf, pois ele é cheio de > recursos interessantes para NAT. > Agora, se for questão de honra colocar pra funcionar o NAT com o IPFW, > reveja com calma as regras e as ordens das mesmas > > Vale ressaltar que nat from any to any não é muito legal... > entendo any, como 0.0.0.0/0, eu acredito que você quer fazer nat sua rede, > algo como 192.168.10.0/24. > > Seja um pouco mais seletivo na criação das regras. > > Os Scripts do Patrick e a apostila do treinamento (que lembra a história do > livro horrivel hehehe) estão com muito conteúdo que vão lhe ajudar. > > Abraços e espero ter ajudado... > > # flames> /dev/null (by irado, o furioso com tudo) > RIP Irado > > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Eu acho mais interessante fazer a coisa funcionar com ipfw e depois aprender também com PF, o conceito apreendido e em entendido em um vale para outro. :-) se tiver tempo aprende também com IPF, vai que aparece um Solaris prá administrar! hehehehhehe Em 12/01/2012 14:32, Adiel de Lima Ribeiro escreveu: > Não sei se é uma boa idéia, mas vou migrar pro PF, vou ter que aprender > as regras, mas tudo bem, ele me parece melhor que o IPFW. > O que vocês tem a me dizer ? > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Em 12/01/2012 15:31, Marcelo Gondim escreveu: > Em 12/01/2012 14:32, Adiel de Lima Ribeiro escreveu: >> Não sei se é uma boa idéia, mas vou migrar pro PF, vou ter que aprender >> as regras, mas tudo bem, ele me parece melhor que o IPFW. >> O que vocês tem a me dizer ? > Você precisaria aprender 2. rsrsrsrsr > Não importa qual você vai usar o problema que está tendo parece mais de > conceito sobre Firewalls que dá própria aplicação. > Confesso que quando saí do Netfilter/IPTables e vi o ipfw e o pf quase > pirei nas regras mas o que ajuda mesmo é o conceito, graças à ele hoje > já tenho todos os meus Firewalls convertidos para pf e ipfw. > > Vou fazer algo que não deveria pois acertos e erros levam à aprendizagem > e mais que tudo aumento da experiência. Como o Irado dizia... melhor > ensinar à pescar que já dar o peixe pronto. > > Ps: gosto até de pescar mas limpar o peixe não é nada legal. > ahahahahahah Fazer o que? > > Vou fazer o seguinte ambiente imaginário: > > Firewall com 2 interfaces de rede: em0 para a Internet e em1 para a rede > Interna. > Rede Interna: 192.168.0.0/24 > > estação > Firewall > == > 192.168.0.2<===> 192.168.0.1/24(em1) 10.0.0.1/24(em0) > <===> INTERNET > > No seu Kernel compilado: > > options IPFIREWALL > options IPFIREWALL_VERBOSE > options IPFIREWALL_VERBOSE_LIMIT=100 > options IPFIREWALL_DEFAULT_TO_ACCEPT > options IPFIREWALL_FORWARD > options IPFIREWALL_NAT > options LIBALIAS > options DUMMYNET > options IPDIVERT > > No script de Firewall: > > ## > #!/bin/sh > fw="/sbin/ipfw" > > ext_if="em0" > int_if="em1" > > $fw disable one_pass > $fw -f flush > $fw zero > $fw table all flush > > # Estacoes > $fw table 1 add 192.168.0.2 > $fw table 1 add 192.168.0.3 > $fw table 1 add 192.168.0.4 > > $fw add allow all from any to any via lo0 > $fw add deny all from 127.0.0.0/8 to any > $fw add deny all from any to 127.0.0.0/8 > > $fw add deny all from any to any not antispoof > > # Redireciona para o natd > $fw add divert 8668 ip from 192.168.0.0/24 to any out via $ext_if > $fw add divert 8668 ip from any to me in via $ext_if > > # Permite IPs na table 2 o acesso à DNS externo > $fw add allow udp from "table(2)" to any 53 keep-state > $fw add allow tcp from "table(2)" to any 53 setup keep-state Correção em tempo é "table(1)" > > # Permite IPs para acesso web > $fw add allow tcp from "table(2)" to any 80 setup keep-state > > $fw add allow tcp from me to any out setup keep-state > $fw add allow all from me to any out keep-state > $fw add 65534 deny all from any to any > > ### > > # natd.conf > instance default > interface em0 > dynamic no > same_ports yes > use_sockets yes > unregistered_only yes > > Bem esse é um script bem simples, tem que funcionar aí. Basta agora você > adaptar para a sua realidade. > > Melhor não consigo fazer pra vc entender rsrsrsr > >> >> -Original Message- >> From: Lucas Dias >> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) >> >> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) >> >> Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!! >> Date: Thu, 12 Jan 2012 13:06:35 -0300 >> >> >> Adiel >> >> Então você deve estar esquecendo de algum detalhe. >> Reveja o que os colegas Marcelo Gondim e Luiz Gustavo falaram. >> >> Se for possível, e resolver seu problema, usa o pf, pois ele é cheio de >> recursos interessantes para NAT. >> Agora, se for questão de honra colocar pra funcionar o NAT com o IPFW, >> reveja com calma as regras e as ordens das mesmas >> >> Vale ressaltar que nat from any to any não é muito legal... >> entendo any, como 0.0.0.0/0, eu acredito que você quer fazer nat sua rede, >> algo como 192.168.10.0/24. >> >> Seja um pouco mais seletivo na criação das regras. >> >> Os Scripts do Patrick e a apostila do treinamento (que lembra a história do >> livro horrivel hehehe) estão com muito conteúdo que vão lhe ajudar. >> >> Abraços e espero ter ajudado... >> >> # flames> /dev/null (by irado, o furioso com tudo) >> RIP Irado >> >> > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Em 12/01/2012 14:32, Adiel de Lima Ribeiro escreveu: > Não sei se é uma boa idéia, mas vou migrar pro PF, vou ter que aprender > as regras, mas tudo bem, ele me parece melhor que o IPFW. > O que vocês tem a me dizer ? Você precisaria aprender 2. rsrsrsrsr Não importa qual você vai usar o problema que está tendo parece mais de conceito sobre Firewalls que dá própria aplicação. Confesso que quando saí do Netfilter/IPTables e vi o ipfw e o pf quase pirei nas regras mas o que ajuda mesmo é o conceito, graças à ele hoje já tenho todos os meus Firewalls convertidos para pf e ipfw. Vou fazer algo que não deveria pois acertos e erros levam à aprendizagem e mais que tudo aumento da experiência. Como o Irado dizia... melhor ensinar à pescar que já dar o peixe pronto. Ps: gosto até de pescar mas limpar o peixe não é nada legal. ahahahahahah Fazer o que? Vou fazer o seguinte ambiente imaginário: Firewall com 2 interfaces de rede: em0 para a Internet e em1 para a rede Interna. Rede Interna: 192.168.0.0/24 estação Firewall == 192.168.0.2 <===> 192.168.0.1/24(em1) 10.0.0.1/24(em0) <===> INTERNET No seu Kernel compilado: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_FORWARD options IPFIREWALL_NAT options LIBALIAS options DUMMYNET options IPDIVERT No script de Firewall: ## #!/bin/sh fw="/sbin/ipfw" ext_if="em0" int_if="em1" $fw disable one_pass $fw -f flush $fw zero $fw table all flush # Estacoes $fw table 1 add 192.168.0.2 $fw table 1 add 192.168.0.3 $fw table 1 add 192.168.0.4 $fw add allow all from any to any via lo0 $fw add deny all from 127.0.0.0/8 to any $fw add deny all from any to 127.0.0.0/8 $fw add deny all from any to any not antispoof # Redireciona para o natd $fw add divert 8668 ip from 192.168.0.0/24 to any out via $ext_if $fw add divert 8668 ip from any to me in via $ext_if # Permite IPs na table 2 o acesso à DNS externo $fw add allow udp from "table(2)" to any 53 keep-state $fw add allow tcp from "table(2)" to any 53 setup keep-state # Permite IPs para acesso web $fw add allow tcp from "table(2)" to any 80 setup keep-state $fw add allow tcp from me to any out setup keep-state $fw add allow all from me to any out keep-state $fw add 65534 deny all from any to any ### # natd.conf instance default interface em0 dynamic no same_ports yes use_sockets yes unregistered_only yes Bem esse é um script bem simples, tem que funcionar aí. Basta agora você adaptar para a sua realidade. Melhor não consigo fazer pra vc entender rsrsrsr > > > -Original Message- > From: Lucas Dias > Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > > Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!! > Date: Thu, 12 Jan 2012 13:06:35 -0300 > > > Adiel > > Então você deve estar esquecendo de algum detalhe. > Reveja o que os colegas Marcelo Gondim e Luiz Gustavo falaram. > > Se for possível, e resolver seu problema, usa o pf, pois ele é cheio de > recursos interessantes para NAT. > Agora, se for questão de honra colocar pra funcionar o NAT com o IPFW, > reveja com calma as regras e as ordens das mesmas > > Vale ressaltar que nat from any to any não é muito legal... > entendo any, como 0.0.0.0/0, eu acredito que você quer fazer nat sua rede, > algo como 192.168.10.0/24. > > Seja um pouco mais seletivo na criação das regras. > > Os Scripts do Patrick e a apostila do treinamento (que lembra a história do > livro horrivel hehehe) estão com muito conteúdo que vão lhe ajudar. > > Abraços e espero ter ajudado... > > # flames> /dev/null (by irado, o furioso com tudo) > RIP Irado > > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Em 11/01/2012 20:20, Adiel de Lima Ribeiro escreveu:
> Obrigado a todos, com seus exemplos e lendo bastante consegui algum
> progresso, a pessoa que mais entendeu minha necessidade foi o Jean, foi
> de grande valia o exemplo dele, apenas tive que complementar minhas
> regras do IPFW e no rc.conf modificar o natd_flags de
> ="-f /etc/natd.conf" para "-dynamic -m".
> No caso dessa lan de exemplo, o acesso a internet está funcionando com o
> exemplo do Jean, e se eu quizer publicar algum servidor dela na
> internet, como faço ?
Oi Adiel?
Bom, é uma porta de um servidor que você quer publicar?
>
> -Original Message-
> From: Jean Zanuzo
> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>
> Subject: Re: [FUG-BR] IPFW - natd.
> Date: Wed, 11 Jan 2012 17:42:58 -0300
>
>
> Boa tarde,
>
> Nao acompanhei o assunto, e não li mensagens anteriores, mas como é um
> exemplo novo, segue um exemplo de regra que te atende.
>
> Em 11/01/2012 16:40, Adiel de Lima Ribeiro escreveu:
>> Vou tentar ser mais prático, mudarei de exemplo.
>> Vamos supor que tenho um servidor IPFW.
>> em0 - interface externa, internet.
>> em1 - interface interna, lan.
>> Ipfw com política fechada.
>>
>> Quero fazer um nat da lan para a internet, para que a lan possa navegar, ou
>> seja, porta 80.
>> Quando coloco do jeito abaixo, funciona:
>>
>> ipfw add divert natd ip from any to any
>> ipfw add allow ip from any to any
>>
>> Mas isso está permitindo tudo.
> Neste caso o nat libera tudo tratando a informação que está entrando e
> saindo da interface para qualquer porta e qualquer endereço.
>> Quero restringir para que seja feito o nat apenas da lan, restrito a
>> navegação na internet. Fiz assim, mas não funcionou:
>>
>> ipfw add divert natd tcp from {lan} to any 80
>> ipfw add allow tcp from {lan} to any 80
> Vamos considerar que a informação que vem dos endereços da sua rede
> interna com destino a porta 80 precisa entrar no nat
>
> ipfw add divert natd tcp from {lan} to any 80 in via em1
>
> Agora a informação quando volta da Internet precisa passar pelo nat para
> desfazer o mascaramento
>
> ipfw add divert natd tcp from any 80 to me in via em0
>
> Caso seu servidor tenha um bloco de ips publicos alocado e voce
> configure no natd.conf um ip especifico (xxx.xxx.xxx.xxx) para usar
> neste nat, sendo e ele um alias na em0, então podemos utilizar outra
> regra no lugar da anterior para ser mais seletivo:
>
> ipfw add divert natd tcp from any 80 to xxx.xxx.xxx.xxx in via em0
>
>
>
>> O que estou fazendo de errado ?
>> Agradeço a todas as sugestões e peço desculpas se não fui claro em minha
>> dúvida.
>>
>> Obrigado.
>>
>>
> Att.
>
> Jean Zanuzo
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Não sei se é uma boa idéia, mas vou migrar pro PF, vou ter que aprender as regras, mas tudo bem, ele me parece melhor que o IPFW. O que vocês tem a me dizer ? -Original Message- From: Lucas Dias Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!! Date: Thu, 12 Jan 2012 13:06:35 -0300 Adiel Então você deve estar esquecendo de algum detalhe. Reveja o que os colegas Marcelo Gondim e Luiz Gustavo falaram. Se for possível, e resolver seu problema, usa o pf, pois ele é cheio de recursos interessantes para NAT. Agora, se for questão de honra colocar pra funcionar o NAT com o IPFW, reveja com calma as regras e as ordens das mesmas Vale ressaltar que nat from any to any não é muito legal... entendo any, como 0.0.0.0/0, eu acredito que você quer fazer nat sua rede, algo como 192.168.10.0/24. Seja um pouco mais seletivo na criação das regras. Os Scripts do Patrick e a apostila do treinamento (que lembra a história do livro horrivel hehehe) estão com muito conteúdo que vão lhe ajudar. Abraços e espero ter ajudado... # flames > /dev/null (by irado, o furioso com tudo) RIP Irado -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Adiel Então você deve estar esquecendo de algum detalhe. Reveja o que os colegas Marcelo Gondim e Luiz Gustavo falaram. Se for possível, e resolver seu problema, usa o pf, pois ele é cheio de recursos interessantes para NAT. Agora, se for questão de honra colocar pra funcionar o NAT com o IPFW, reveja com calma as regras e as ordens das mesmas Vale ressaltar que nat from any to any não é muito legal... entendo any, como 0.0.0.0/0, eu acredito que você quer fazer nat sua rede, algo como 192.168.10.0/24. Seja um pouco mais seletivo na criação das regras. Os Scripts do Patrick e a apostila do treinamento (que lembra a história do livro horrivel hehehe) estão com muito conteúdo que vão lhe ajudar. Abraços e espero ter ajudado... # flames > /dev/null (by irado, o furioso com tudo) RIP Irado -- .:: Lucas Dias .:: Analista de Sistemas .:: OS3 Soluções em TI .:: (82) 8813-1494 / 8111-2288 .:: Antes de imprimir, veja se realmente é necessário!!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Em 12/01/2012 12:41, Adiel de Lima Ribeiro escreveu: > Lucas, já li e reli este material, fiz o curso da FreeBSD Brasil e > estou com a apostila em mãos. Adiel no curso o Patrick não diz pra fazer nat de tudo não. :) Você copiou os scripts das aulas? > > -Original Message- > From: Lucas Dias > Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > > Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!! > Date: Thu, 12 Jan 2012 11:07:47 -0300 > > > Em 12 de janeiro de 2012 10:52, Tiago > Furbetaescreveu: > >> pra começar o nat from any to any... >> são nessas horas que o Irado faz falta... >> >> >> Em 12 de janeiro de 2012 10:35, Adiel de Lima Ribeiro< >> adiel.netad...@gmail.com> escreveu: >> >>> Pessoal, bom dia. >>> Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue >>> na internet. >>> No ipfw a placa de rede em0 está ligada na internet, em1 está na rede >>> interna. >>> O Ipfw consegue acessar tudo, foi testado, ele está como Statefull. >>> Segue a configuração relevante do IPFW: >>> >>> >>> >> # >>> ### Divert ### >>> >>> >> # >>> ipfw add 010 divert natd ip from any to any via em0 >>> >>> >> # >>> ### Permite acesso ### >>> ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state >>> >>> Configuração do natd no rc.conf: >>> >>> natd_flags="-dynamic -m". >>> >>> Com a configuração acima a máquina não navega, agora se coloco a >>> seguinte regra, funciona tudo. >>> ipfw add 012 allow ip from any to any >>> >>> O que estou fazendo de errado ? > Adiel > > dá uma sacada nesses materiais > > http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html > http://www.freebsddiary.org/ipfw.php > > acho que vai lhe ajudar > > > > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Em 12/01/2012 11:52, Tiago Furbeta escreveu: > pra começar o nat from any to any... > são nessas horas que o Irado faz falta... Pois é eu falei sobre isso mas não me deram ouvidos rsrsrsrs nat só se faz para endereços da RFC 1918: 192.168.0.0/16, 10.0.0.0/8 e 172.16.0.0/12 > > Em 12 de janeiro de 2012 10:35, Adiel de Lima Ribeiro< > adiel.netad...@gmail.com> escreveu: > >> Pessoal, bom dia. >> Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue >> na internet. >> No ipfw a placa de rede em0 está ligada na internet, em1 está na rede >> interna. >> O Ipfw consegue acessar tudo, foi testado, ele está como Statefull. >> Segue a configuração relevante do IPFW: >> >> >> # >> ### Divert ### >> >> # >> ipfw add 010 divert natd ip from any to any via em0 >> >> # >> ### Permite acesso ### >> ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state >> >> Configuração do natd no rc.conf: >> >> natd_flags="-dynamic -m". >> >> Com a configuração acima a máquina não navega, agora se coloco a >> seguinte regra, funciona tudo. >> ipfw add 012 allow ip from any to any >> >> O que estou fazendo de errado ? >> >> >>Adiel de Lima Ribeiro >> http://www.facebook.com/sembr.dyndns.info >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >> > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Em 12/01/2012 10:35, Adiel de Lima Ribeiro escreveu: > Pessoal, bom dia. > Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue > na internet. > No ipfw a placa de rede em0 está ligada na internet, em1 está na rede > interna. > O Ipfw consegue acessar tudo, foi testado, ele está como Statefull. > Segue a configuração relevante do IPFW: > > # > ### Divert ### > # > ipfw add 010 divert natd ip from any to any via em0 > # > ### Permite acesso ### > ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state Onde está a regra que libera acesso de dns 53/udp e 53/tcp? Se não resolver nome não acessa mesmo liberando o acesso da máquina. > Configuração do natd no rc.conf: > > natd_flags="-dynamic -m". > > Com a configuração acima a máquina não navega, agora se coloco a > seguinte regra, funciona tudo. > ipfw add 012 allow ip from any to any > > O que estou fazendo de errado ? > > > Adiel de Lima Ribeiro > http://www.facebook.com/sembr.dyndns.info > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
cadê a regra que aponta para o natd ? outra pedida é fazer nat com pf, eu acho que seria mais intuitivo para você. PS: Uma outra coisa que percebo, é o porque a alteração de nat do ipfw embutida no kernel não pegou. a opção LIBALIAS do kernel [1] http://wiki.freebsd.org/Libalias [2] http://tiagonux.blogspot.com/2008/12/natd-j-era-agora-ipfw-nat-no-freebsd.html Em Qui, 2012-01-12 às 10:35 -0200, Adiel de Lima Ribeiro escreveu: > Pessoal, bom dia. > Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue > na internet. > No ipfw a placa de rede em0 está ligada na internet, em1 está na rede > interna. > O Ipfw consegue acessar tudo, foi testado, ele está como Statefull. > Segue a configuração relevante do IPFW: > > # > ### Divert ### > # > ipfw add 010 divert natd ip from any to any via em0 > # > ### Permite acesso ### > ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state > > Configuração do natd no rc.conf: > > natd_flags="-dynamic -m". > > Com a configuração acima a máquina não navega, agora se coloco a > seguinte regra, funciona tudo. > ipfw add 012 allow ip from any to any > > O que estou fazendo de errado ? > > >Adiel de Lima Ribeiro > http://www.facebook.com/sembr.dyndns.info > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Lucas, já li e reli este material, fiz o curso da FreeBSD Brasil e estou com a apostila em mãos. -Original Message- From: Lucas Dias Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!! Date: Thu, 12 Jan 2012 11:07:47 -0300 Em 12 de janeiro de 2012 10:52, Tiago Furbeta escreveu: > pra começar o nat from any to any... > são nessas horas que o Irado faz falta... > > > Em 12 de janeiro de 2012 10:35, Adiel de Lima Ribeiro < > adiel.netad...@gmail.com> escreveu: > > > Pessoal, bom dia. > > Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue > > na internet. > > No ipfw a placa de rede em0 está ligada na internet, em1 está na rede > > interna. > > O Ipfw consegue acessar tudo, foi testado, ele está como Statefull. > > Segue a configuração relevante do IPFW: > > > > > > > # > > ### Divert ### > > > > > # > > ipfw add 010 divert natd ip from any to any via em0 > > > > > # > > ### Permite acesso ### > > ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state > > > > Configuração do natd no rc.conf: > > > > natd_flags="-dynamic -m". > > > > Com a configuração acima a máquina não navega, agora se coloco a > > seguinte regra, funciona tudo. > > ipfw add 012 allow ip from any to any > > > > O que estou fazendo de errado ? > Adiel dá uma sacada nesses materiais http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html http://www.freebsddiary.org/ipfw.php acho que vai lhe ajudar -- Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
Em 12 de janeiro de 2012 10:52, Tiago Furbeta escreveu: > pra começar o nat from any to any... > são nessas horas que o Irado faz falta... > > > Em 12 de janeiro de 2012 10:35, Adiel de Lima Ribeiro < > adiel.netad...@gmail.com> escreveu: > > > Pessoal, bom dia. > > Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue > > na internet. > > No ipfw a placa de rede em0 está ligada na internet, em1 está na rede > > interna. > > O Ipfw consegue acessar tudo, foi testado, ele está como Statefull. > > Segue a configuração relevante do IPFW: > > > > > > > # > > ### Divert ### > > > > > # > > ipfw add 010 divert natd ip from any to any via em0 > > > > > # > > ### Permite acesso ### > > ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state > > > > Configuração do natd no rc.conf: > > > > natd_flags="-dynamic -m". > > > > Com a configuração acima a máquina não navega, agora se coloco a > > seguinte regra, funciona tudo. > > ipfw add 012 allow ip from any to any > > > > O que estou fazendo de errado ? > Adiel dá uma sacada nesses materiais http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html http://www.freebsddiary.org/ipfw.php acho que vai lhe ajudar -- .:: Lucas Dias .:: Analista de Sistemas .:: OS3 Soluções em TI .:: (82) 8813-1494 / 8111-2288 .:: Antes de imprimir, veja se realmente é necessário!!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipfw - Natd, de novo !!!
pra começar o nat from any to any... são nessas horas que o Irado faz falta... Em 12 de janeiro de 2012 10:35, Adiel de Lima Ribeiro < adiel.netad...@gmail.com> escreveu: > Pessoal, bom dia. > Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue > na internet. > No ipfw a placa de rede em0 está ligada na internet, em1 está na rede > interna. > O Ipfw consegue acessar tudo, foi testado, ele está como Statefull. > Segue a configuração relevante do IPFW: > > > # > ### Divert ### > > # > ipfw add 010 divert natd ip from any to any via em0 > > # > ### Permite acesso ### > ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state > > Configuração do natd no rc.conf: > > natd_flags="-dynamic -m". > > Com a configuração acima a máquina não navega, agora se coloco a > seguinte regra, funciona tudo. > ipfw add 012 allow ip from any to any > > O que estou fazendo de errado ? > > > Adiel de Lima Ribeiro > http://www.facebook.com/sembr.dyndns.info > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > -- Att. Tiago N. Furbeta Cangere Online Provedor de Internet Ltda. Empresa de Telecomunicações Autorizada SCM/ANATEL tfurb...@cangere.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Ipfw - Natd, de novo !!!
Pessoal, bom dia. Tenho o Ipfw aqui, preciso que uma máquina de IP 192.168.230.2 navegue na internet. No ipfw a placa de rede em0 está ligada na internet, em1 está na rede interna. O Ipfw consegue acessar tudo, foi testado, ele está como Statefull. Segue a configuração relevante do IPFW: # ### Divert ### # ipfw add 010 divert natd ip from any to any via em0 # ### Permite acesso ### ipfw add 011 allow ip from 192.168.230.2/32 to any keep-state Configuração do natd no rc.conf: natd_flags="-dynamic -m". Com a configuração acima a máquina não navega, agora se coloco a seguinte regra, funciona tudo. ipfw add 012 allow ip from any to any O que estou fazendo de errado ? Adiel de Lima Ribeiro http://www.facebook.com/sembr.dyndns.info - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Obrigado a todos, com seus exemplos e lendo bastante consegui algum
progresso, a pessoa que mais entendeu minha necessidade foi o Jean, foi
de grande valia o exemplo dele, apenas tive que complementar minhas
regras do IPFW e no rc.conf modificar o natd_flags de
="-f /etc/natd.conf" para "-dynamic -m".
No caso dessa lan de exemplo, o acesso a internet está funcionando com o
exemplo do Jean, e se eu quizer publicar algum servidor dela na
internet, como faço ?
-Original Message-
From: Jean Zanuzo
Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Subject: Re: [FUG-BR] IPFW - natd.
Date: Wed, 11 Jan 2012 17:42:58 -0300
Boa tarde,
Nao acompanhei o assunto, e não li mensagens anteriores, mas como é um
exemplo novo, segue um exemplo de regra que te atende.
Em 11/01/2012 16:40, Adiel de Lima Ribeiro escreveu:
> Vou tentar ser mais prático, mudarei de exemplo.
> Vamos supor que tenho um servidor IPFW.
> em0 - interface externa, internet.
> em1 - interface interna, lan.
> Ipfw com política fechada.
>
> Quero fazer um nat da lan para a internet, para que a lan possa navegar, ou
> seja, porta 80.
> Quando coloco do jeito abaixo, funciona:
>
> ipfw add divert natd ip from any to any
> ipfw add allow ip from any to any
>
> Mas isso está permitindo tudo.
Neste caso o nat libera tudo tratando a informação que está entrando e
saindo da interface para qualquer porta e qualquer endereço.
>
> Quero restringir para que seja feito o nat apenas da lan, restrito a
> navegação na internet. Fiz assim, mas não funcionou:
>
> ipfw add divert natd tcp from {lan} to any 80
> ipfw add allow tcp from {lan} to any 80
Vamos considerar que a informação que vem dos endereços da sua rede
interna com destino a porta 80 precisa entrar no nat
ipfw add divert natd tcp from {lan} to any 80 in via em1
Agora a informação quando volta da Internet precisa passar pelo nat para
desfazer o mascaramento
ipfw add divert natd tcp from any 80 to me in via em0
Caso seu servidor tenha um bloco de ips publicos alocado e voce
configure no natd.conf um ip especifico (xxx.xxx.xxx.xxx) para usar
neste nat, sendo e ele um alias na em0, então podemos utilizar outra
regra no lugar da anterior para ser mais seletivo:
ipfw add divert natd tcp from any 80 to xxx.xxx.xxx.xxx in via em0
>
> O que estou fazendo de errado ?
> Agradeço a todas as sugestões e peço desculpas se não fui claro em minha
> dúvida.
>
> Obrigado.
>
>
Att.
Jean Zanuzo
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Em 11/01/2012 19:12, Marcelo Gondim escreveu:
> Em 11/01/2012 17:40, Adiel de Lima Ribeiro escreveu:
>> Vou tentar ser mais prático, mudarei de exemplo.
>> Vamos supor que tenho um servidor IPFW.
>> em0 - interface externa, internet.
>> em1 - interface interna, lan.
>> Ipfw com política fechada.
>>
>> Quero fazer um nat da lan para a internet, para que a lan possa navegar, ou
>> seja, porta 80.
>> Quando coloco do jeito abaixo, funciona:
>>
>> ipfw add divert natd ip from any to any
>> ipfw add allow ip from any to any
>>
>> Mas isso está permitindo tudo.
>>
>> Quero restringir para que seja feito o nat apenas da lan, restrito a
>> navegação na internet. Fiz assim, mas não funcionou:
>>
>> ipfw add divert natd tcp from {lan} to any 80
>> ipfw add allow tcp from {lan} to any 80
> Adiel procure separar as coisas. NAT você precisa fazer para qualquer IP
> não público acessar a Internet. Não se preocupe com o NAT para limitar o
> acesso, se preocupe com as regras de filtragem. O NAT como coloquei em
> outros e-mails seria a forma que vejo menos custosa porque você não
> precisa fazer NAT de tudo e sim dos IPs internos RFC 1918 (
> 192.168.0.0/16, 10.0.0.0/8 e 172.16.0.0/12) independente das regras.
>
> Depois do NAT feito e funcionando aí você faz a política de liberação
> que deseja, procure sempre liberar o DNS 53/udp e algumas vezes o 53/tcp
> para os servidores de DNS que você está usando externamente. Dessa forma
> suas estações vão pelo menos resolver os endereços, sem resolução não
> existe acesso por nome. :)
Outra coisa que esqueci de dizer, se você está bloqueando tudo então
você precisa escolher se vais usar um firewall stateless ou stateful.
Acredito que o seu problema está aí. Quando usamos um Firewall em
stateless precisamos colocar regras de saída e de entrada isso em uma
política default de tudo bloqueado.
Já se você usar regras stateful você só precisaria da saída. Um exemplo:
ipfw add allow tcp from any to any 80 setup keep-state
Nesse caso acima estou dizendo que permito a rede acessar a porta 80/tcp
exigindo o handshake e fazendo o stateful
Se não for usar o stateful aí teria que fazer:
ipfw add allow tcp from any to any 80
ipfw add allow tcp from any 80 to me
Sacou a diferença? Logicamente que isso é um pequeno exemplo. :)
>
>> O que estou fazendo de errado ?
>> Agradeço a todas as sugestões e peço desculpas se não fui claro em minha
>> dúvida.
>>
>> Obrigado.
>>
>>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Em 11/01/2012 17:40, Adiel de Lima Ribeiro escreveu:
> Vou tentar ser mais prático, mudarei de exemplo.
> Vamos supor que tenho um servidor IPFW.
> em0 - interface externa, internet.
> em1 - interface interna, lan.
> Ipfw com política fechada.
>
> Quero fazer um nat da lan para a internet, para que a lan possa navegar, ou
> seja, porta 80.
> Quando coloco do jeito abaixo, funciona:
>
> ipfw add divert natd ip from any to any
> ipfw add allow ip from any to any
>
> Mas isso está permitindo tudo.
>
> Quero restringir para que seja feito o nat apenas da lan, restrito a
> navegação na internet. Fiz assim, mas não funcionou:
>
> ipfw add divert natd tcp from {lan} to any 80
> ipfw add allow tcp from {lan} to any 80
Adiel procure separar as coisas. NAT você precisa fazer para qualquer IP
não público acessar a Internet. Não se preocupe com o NAT para limitar o
acesso, se preocupe com as regras de filtragem. O NAT como coloquei em
outros e-mails seria a forma que vejo menos custosa porque você não
precisa fazer NAT de tudo e sim dos IPs internos RFC 1918 (
192.168.0.0/16, 10.0.0.0/8 e 172.16.0.0/12) independente das regras.
Depois do NAT feito e funcionando aí você faz a política de liberação
que deseja, procure sempre liberar o DNS 53/udp e algumas vezes o 53/tcp
para os servidores de DNS que você está usando externamente. Dessa forma
suas estações vão pelo menos resolver os endereços, sem resolução não
existe acesso por nome. :)
>
> O que estou fazendo de errado ?
> Agradeço a todas as sugestões e peço desculpas se não fui claro em minha
> dúvida.
>
> Obrigado.
>
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Boa tarde,
Nao acompanhei o assunto, e não li mensagens anteriores, mas como é um
exemplo novo, segue um exemplo de regra que te atende.
Em 11/01/2012 16:40, Adiel de Lima Ribeiro escreveu:
> Vou tentar ser mais prático, mudarei de exemplo.
> Vamos supor que tenho um servidor IPFW.
> em0 - interface externa, internet.
> em1 - interface interna, lan.
> Ipfw com política fechada.
>
> Quero fazer um nat da lan para a internet, para que a lan possa navegar, ou
> seja, porta 80.
> Quando coloco do jeito abaixo, funciona:
>
> ipfw add divert natd ip from any to any
> ipfw add allow ip from any to any
>
> Mas isso está permitindo tudo.
Neste caso o nat libera tudo tratando a informação que está entrando e
saindo da interface para qualquer porta e qualquer endereço.
>
> Quero restringir para que seja feito o nat apenas da lan, restrito a
> navegação na internet. Fiz assim, mas não funcionou:
>
> ipfw add divert natd tcp from {lan} to any 80
> ipfw add allow tcp from {lan} to any 80
Vamos considerar que a informação que vem dos endereços da sua rede
interna com destino a porta 80 precisa entrar no nat
ipfw add divert natd tcp from {lan} to any 80 in via em1
Agora a informação quando volta da Internet precisa passar pelo nat para
desfazer o mascaramento
ipfw add divert natd tcp from any 80 to me in via em0
Caso seu servidor tenha um bloco de ips publicos alocado e voce
configure no natd.conf um ip especifico (xxx.xxx.xxx.xxx) para usar
neste nat, sendo e ele um alias na em0, então podemos utilizar outra
regra no lugar da anterior para ser mais seletivo:
ipfw add divert natd tcp from any 80 to xxx.xxx.xxx.xxx in via em0
>
> O que estou fazendo de errado ?
> Agradeço a todas as sugestões e peço desculpas se não fui claro em minha
> dúvida.
>
> Obrigado.
>
>
Att.
Jean Zanuzo
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
só uma pergunta, e se trocasse para pf ??
Em 11 de janeiro de 2012 18:10, Adiel de Lima Ribeiro <
adiel.netad...@gmail.com> escreveu:
> Marcelo, usei seu exemplo, mas não funcionou.
> Já estou perdendo os cabelos, rs.
> Como disse, só funciona quando libero tudo.
> Acho que vou liberar tudo e monitorar as regras dinâmicas pra ver se
> descubro algo.
>
> -Original Message-
> From: Marcelo Gondim
> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>
> Subject: Re: [FUG-BR] IPFW - natd.
> Date: Wed, 11 Jan 2012 17:25:00 -0200
>
>
> Em 11/01/2012 17:09, Adiel de Lima Ribeiro escreveu:
> > Sim, seria.
> >
> > ipfw add divert natd ip from any to any -> OK e depois ?
> >
> > ipfw add allow from {servidor} to any 53
> > ipfw add allow from any 53 to servidor
> Posso estar enganado mas ainda acho a abordagem de nat que coloquei mais
> light em caso de processamento. :)
>
> ipfw add divert natd ip from 192.168.66.0/24 to any out via em0
> ipfw add divert natd ip from any to me in via em0
>
> Onde no exemplo acima a em0 é a interface externa e 192.168.66.0/24 um
> exemplo de rede interna.
>
>
> >
> > Isso permitiria um nat da rede dos meus servidores para resolver nomes
> > na internet ?
> >
> > -Original Message-----
> > From: Renato Frederick
> > Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> >
> > To: freebsd@fug.com.br
> > Subject: Re: [FUG-BR] IPFW - natd.
> > Date: Wed, 11 Jan 2012 16:21:23 -0200
> >
> >
> > Opa,
> >
> > Não seria mais fácil fazer um dirvert natd all from any to any,
> >
> > e depois as regras de allow
> > e por fim deny?
> >
> > Acredito que vai economizar algumas dezenas de linhas de firewall
> > assim... :-)
> >
> >
> > Em 11/01/2012 16:15, Wenderson Souza escreveu:
> >> Não seria...
> >>
> >> ipfw add 666 divert natd tcp from any to {servidor} 53
> >> ipfw add 669 divert natd udp from any to {servidor} 53
> >> ipfw add 667 allow tcp from any to {servidor} 53
> >> ipfw add 668 allow udp from any to {servidor} 53
> >>
> >> ?
> >>
> >> Wenderson Souza
> >>
> >>
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> >
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
> --
> Adiel de Lima Ribeiro
> http://www.facebook.com/sembr.dyndns.info
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
João Luis Mancy dos Santos
joaocep at gmail.com(msn too)
http://joaocep.blogspot.com
http://www.istf.com.br/perguntas/
http://www.fug.com.br/content/view/20/69/
uin 82889044
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Marcelo, usei seu exemplo, mas não funcionou.
Já estou perdendo os cabelos, rs.
Como disse, só funciona quando libero tudo.
Acho que vou liberar tudo e monitorar as regras dinâmicas pra ver se
descubro algo.
-Original Message-
From: Marcelo Gondim
Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Subject: Re: [FUG-BR] IPFW - natd.
Date: Wed, 11 Jan 2012 17:25:00 -0200
Em 11/01/2012 17:09, Adiel de Lima Ribeiro escreveu:
> Sim, seria.
>
> ipfw add divert natd ip from any to any -> OK e depois ?
>
> ipfw add allow from {servidor} to any 53
> ipfw add allow from any 53 to servidor
Posso estar enganado mas ainda acho a abordagem de nat que coloquei mais
light em caso de processamento. :)
ipfw add divert natd ip from 192.168.66.0/24 to any out via em0
ipfw add divert natd ip from any to me in via em0
Onde no exemplo acima a em0 é a interface externa e 192.168.66.0/24 um
exemplo de rede interna.
>
> Isso permitiria um nat da rede dos meus servidores para resolver nomes
> na internet ?
>
> -Original Message-
> From: Renato Frederick
> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>
> To: freebsd@fug.com.br
> Subject: Re: [FUG-BR] IPFW - natd.
> Date: Wed, 11 Jan 2012 16:21:23 -0200
>
>
> Opa,
>
> Não seria mais fácil fazer um dirvert natd all from any to any,
>
> e depois as regras de allow
> e por fim deny?
>
> Acredito que vai economizar algumas dezenas de linhas de firewall
> assim... :-)
>
>
> Em 11/01/2012 16:15, Wenderson Souza escreveu:
>> Não seria...
>>
>> ipfw add 666 divert natd tcp from any to {servidor} 53
>> ipfw add 669 divert natd udp from any to {servidor} 53
>> ipfw add 667 allow tcp from any to {servidor} 53
>> ipfw add 668 allow udp from any to {servidor} 53
>>
>> ?
>>
>> Wenderson Souza
>>
>>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Vou tentar ser mais prático, mudarei de exemplo.
Vamos supor que tenho um servidor IPFW.
em0 - interface externa, internet.
em1 - interface interna, lan.
Ipfw com política fechada.
Quero fazer um nat da lan para a internet, para que a lan possa navegar, ou
seja, porta 80.
Quando coloco do jeito abaixo, funciona:
ipfw add divert natd ip from any to any
ipfw add allow ip from any to any
Mas isso está permitindo tudo.
Quero restringir para que seja feito o nat apenas da lan, restrito a navegação
na internet. Fiz assim, mas não funcionou:
ipfw add divert natd tcp from {lan} to any 80
ipfw add allow tcp from {lan} to any 80
O que estou fazendo de errado ?
Agradeço a todas as sugestões e peço desculpas se não fui claro em minha dúvida.
Obrigado.
--
Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Em 11/01/2012 17:09, Adiel de Lima Ribeiro escreveu:
> Sim, seria.
>
> ipfw add divert natd ip from any to any -> OK e depois ?
>
> ipfw add allow from {servidor} to any 53
> ipfw add allow from any 53 to servidor
Posso estar enganado mas ainda acho a abordagem de nat que coloquei mais
light em caso de processamento. :)
ipfw add divert natd ip from 192.168.66.0/24 to any out via em0
ipfw add divert natd ip from any to me in via em0
Onde no exemplo acima a em0 é a interface externa e 192.168.66.0/24 um
exemplo de rede interna.
>
> Isso permitiria um nat da rede dos meus servidores para resolver nomes
> na internet ?
>
> -Original Message-
> From: Renato Frederick
> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>
> To: freebsd@fug.com.br
> Subject: Re: [FUG-BR] IPFW - natd.
> Date: Wed, 11 Jan 2012 16:21:23 -0200
>
>
> Opa,
>
> Não seria mais fácil fazer um dirvert natd all from any to any,
>
> e depois as regras de allow
> e por fim deny?
>
> Acredito que vai economizar algumas dezenas de linhas de firewall
> assim... :-)
>
>
> Em 11/01/2012 16:15, Wenderson Souza escreveu:
>> Não seria...
>>
>> ipfw add 666 divert natd tcp from any to {servidor} 53
>> ipfw add 669 divert natd udp from any to {servidor} 53
>> ipfw add 667 allow tcp from any to {servidor} 53
>> ipfw add 668 allow udp from any to {servidor} 53
>>
>> ?
>>
>> Wenderson Souza
>>
>>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Sim, seria.
ipfw add divert natd ip from any to any -> OK e depois ?
ipfw add allow from {servidor} to any 53
ipfw add allow from any 53 to servidor
Isso permitiria um nat da rede dos meus servidores para resolver nomes
na internet ?
-Original Message-
From: Renato Frederick
Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
To: freebsd@fug.com.br
Subject: Re: [FUG-BR] IPFW - natd.
Date: Wed, 11 Jan 2012 16:21:23 -0200
Opa,
Não seria mais fácil fazer um dirvert natd all from any to any,
e depois as regras de allow
e por fim deny?
Acredito que vai economizar algumas dezenas de linhas de firewall
assim... :-)
Em 11/01/2012 16:15, Wenderson Souza escreveu:
> Não seria...
>
> ipfw add 666 divert natd tcp from any to {servidor} 53
> ipfw add 669 divert natd udp from any to {servidor} 53
> ipfw add 667 allow tcp from any to {servidor} 53
> ipfw add 668 allow udp from any to {servidor} 53
>
> ?
>
> Wenderson Souza
>
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Amigo já que você quer liberar apenas o nat para dns, configura o
dnsmasq e vc não precisa nem de NAT para o dns.
Pronto.
Em 11/01/2012 16:40, Wenderson Souza escreveu:
> Em 11 de janeiro de 2012 14:36, Adiel de Lima Ribeiro
> escreveu:
>> Marcelo, esqueci de dizer.
>> Em teoria esta regra deveria permitir consultas DNS do meu servidor para
>> a internet, mas não funciona, quando libero o nat total funciona.
>> ipfw add 666 divert natd tcp from {servidor} to any 53
>>> ipfw add 669 divert natd udp from {servidor} to any 53
>>> ipfw add 667 allow tcp from {servidor} to any 53
>>> ipfw add 668 allow udp from {servidor} to any 53
> Entendi,
>
> Na verdade o que está acontecendo é:
>
> Quando libara o NATd total, os clientes (LAN) conseguem acessar o DNS
> externo (creio eu).
>
> Quando bloqueia o NATd total, os clientes não conseguem, mas conseguem
> acessar local certo?
>
> Então verifique se o próprio servidor (local) tem acesso a internet,
> para isso deve liberar "entrada" para a sua porta 53, para poder o DNS
> Server "poder consultar" na internet.
>
> Tente algo como:
>
> ipfw add 667 permit all from any to me 53 in via em0
> ipfw add 668 permit all from me 53 to any out via em0
>
> Ou se quiser ser mais especifico, liberando apenas de 53 parar 53.
>
> ipfw add 667 permit all from any 53 to me 53 in via em0
> ipfw add 668 permit all from me 53 to any 53 out via em0
>
> Não sei se era essa dúvida.
>
> Sobre o NATd em si não posso ajudar muito, pois utilizo PF.
>
> Sem contar que ainda não sabemos como é seu firewall, se STATEFUL ou
> STATELESS.
>
> []'s
>
>
> Wenderson Souza
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Em 11 de janeiro de 2012 14:36, Adiel de Lima Ribeiro
escreveu:
> Marcelo, esqueci de dizer.
> Em teoria esta regra deveria permitir consultas DNS do meu servidor para
> a internet, mas não funciona, quando libero o nat total funciona.
> ipfw add 666 divert natd tcp from {servidor} to any 53
>> ipfw add 669 divert natd udp from {servidor} to any 53
>> ipfw add 667 allow tcp from {servidor} to any 53
>> ipfw add 668 allow udp from {servidor} to any 53
Entendi,
Na verdade o que está acontecendo é:
Quando libara o NATd total, os clientes (LAN) conseguem acessar o DNS
externo (creio eu).
Quando bloqueia o NATd total, os clientes não conseguem, mas conseguem
acessar local certo?
Então verifique se o próprio servidor (local) tem acesso a internet,
para isso deve liberar "entrada" para a sua porta 53, para poder o DNS
Server "poder consultar" na internet.
Tente algo como:
ipfw add 667 permit all from any to me 53 in via em0
ipfw add 668 permit all from me 53 to any out via em0
Ou se quiser ser mais especifico, liberando apenas de 53 parar 53.
ipfw add 667 permit all from any 53 to me 53 in via em0
ipfw add 668 permit all from me 53 to any 53 out via em0
Não sei se era essa dúvida.
Sobre o NATd em si não posso ajudar muito, pois utilizo PF.
Sem contar que ainda não sabemos como é seu firewall, se STATEFUL ou STATELESS.
[]'s
Wenderson Souza
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
faça o nat normal para sua(s) rede(s) privada(s) e trate isso no firewall,
regras de DMZ: nega tudo e libera o necessário...
Em 11 de janeiro de 2012 16:17, Adiel de Lima Ribeiro <
adiel.netad...@gmail.com> escreveu:
> Wenderson, não é publicação DNS, é nat de consulta DNS de meus
> servidores DNS para a internet.
>
> -Original Message-
> From: Wenderson Souza
> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>
> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>
> Subject: Re: [FUG-BR] IPFW - natd.
> Date: Wed, 11 Jan 2012 15:15:17 -0300
>
>
> Não seria...
>
> ipfw add 666 divert natd tcp from any to {servidor} 53
> ipfw add 669 divert natd udp from any to {servidor} 53
> ipfw add 667 allow tcp from any to {servidor} 53
> ipfw add 668 allow udp from any to {servidor} 53
>
> ?
>
> Wenderson Souza
>
>
>
> Em 11 de janeiro de 2012 15:09, Adiel de Lima Ribeiro
> escreveu:
> > Sim, no caso é, pois entendendo como se faz isso parto para o resto da
> > configuração.
> >
> > -Original Message-
> > From: Tiago Furbeta
> > Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> >
> > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> >
> > Subject: Re: [FUG-BR] IPFW - natd.
> > Date: Wed, 11 Jan 2012 16:04:21 -0200
> >
> >
> > você deseja fazer masquerade apenas para as consultas a servdores DNS
> > externos realizadas pelos seus servidores? mais nada?
> >
> >
> > Em 11 de janeiro de 2012 15:37, Adiel de Lima Ribeiro <
> > adiel.netad...@gmail.com> escreveu:
> >
> >> Tiago, no caso mascarar consultas dns dos servidores para a internet.
> >>
> >> -Original Message-
> >> From: Tiago Furbeta
> >> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> >>
> >> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> >>
> >> Subject: Re: [FUG-BR] IPFW - natd.
> >> Date: Wed, 11 Jan 2012 15:28:38 -0200
> >>
> >>
> >> sua necessidade é redirecionamento de portas (nat estatico) ou apenas
> >> mascarar a rede interna? não ficou claro...
> >>
> >> Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro <
> >> adiel.netad...@gmail.com> escreveu:
> >>
> >> > Senhores, boa tarde.
> >> >
> >> > Tenho um IPFW como firewall aqui em minha infraestrutura.
> >> > Ele tem uma interface de rede ligada a internet com IP fixo, em0.
> >> > Tenho uma interface de rede ligada a lan dos servidores, em1.
> >> >
> >> > Recompilei o kernel com as devidas opções de natd e o ativei no
> rc.conf,
> >> > quando crio as seguintes regras no meu firewall, o redirecionamento da
> >> > lan dos servidores para a internet funciona, por exemplo, ping e
> >> > consultas DNS.
> >> > ipfw add 099 divert natd all from any to any
> >> > ipfw add 100 allow all from any to any
> >> >
> >> > Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
> >> > exemplo:
> >> > ipfw add 666 divert natd tcp from {servidor} to any 53
> >> > ipfw add 669 divert natd udp from {servidor} to any 53
> >> > ipfw add 667 allow tcp from {servidor} to any 53
> >> > ipfw add 668 allow udp from {servidor} to any 53
> >> >
> >> > Se não houver, gostaria de saber se faço isso pelas flags do natd,
> >> > gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
> >> > pelas flags do natd.
> >> > Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
> >> > algum.
> >> >
> >> > Obrigado.
> >> >
> >> > --
> >> > Adiel de Lima Ribeiro
> >> > http://www.facebook.com/sembr.dyndns.info
> >> >
> >> > -
> >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> >
> >> >
> >>
> >>
> >>
> >>
> >> --
> >> Adiel de Lima Ribeiro
> >> http://www.facebook.com/sembr.dyndns.info
> >>
> >> -
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >>
> >
> >
> >
> >
> > --
> > Adiel de Lima Ribeiro
> > http://www.facebook.com/sembr.dyndns.info
> >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
> --
> Adiel de Lima Ribeiro
> http://www.facebook.com/sembr.dyndns.info
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
--
Att.
Tiago N. Furbeta
Cangere Online Provedor de Internet Ltda.
Empresa de Telecomunicações Autorizada SCM/ANATEL
tfurb...@cangere.com.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Opa,
Não seria mais fácil fazer um dirvert natd all from any to any,
e depois as regras de allow
e por fim deny?
Acredito que vai economizar algumas dezenas de linhas de firewall
assim... :-)
Em 11/01/2012 16:15, Wenderson Souza escreveu:
> Não seria...
>
> ipfw add 666 divert natd tcp from any to {servidor} 53
> ipfw add 669 divert natd udp from any to {servidor} 53
> ipfw add 667 allow tcp from any to {servidor} 53
> ipfw add 668 allow udp from any to {servidor} 53
>
> ?
>
> Wenderson Souza
>
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Wenderson Souza
Em 11 de janeiro de 2012 15:17, Adiel de Lima Ribeiro
escreveu:
> Wenderson, não é publicação DNS, é nat de consulta DNS de meus
> servidores DNS para a internet.
>
> -Original Message-
> From: Wenderson Souza
> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>
> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>
> Subject: Re: [FUG-BR] IPFW - natd.
> Date: Wed, 11 Jan 2012 15:15:17 -0300
>
>
> Não seria...
>
> ipfw add 666 divert natd tcp from any to {servidor} 53
> ipfw add 669 divert natd udp from any to {servidor} 53
> ipfw add 667 allow tcp from any to {servidor} 53
> ipfw add 668 allow udp from any to {servidor} 53
>
> ?
>
> Wenderson Souza
>
>
>
> Em 11 de janeiro de 2012 15:09, Adiel de Lima Ribeiro
> escreveu:
>> Sim, no caso é, pois entendendo como se faz isso parto para o resto da
>> configuração.
>>
>> -Original Message-
>> From: Tiago Furbeta
>> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>>
>> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>>
>> Subject: Re: [FUG-BR] IPFW - natd.
>> Date: Wed, 11 Jan 2012 16:04:21 -0200
>>
>>
>> você deseja fazer masquerade apenas para as consultas a servdores DNS
>> externos realizadas pelos seus servidores? mais nada?
>>
>>
>> Em 11 de janeiro de 2012 15:37, Adiel de Lima Ribeiro <
>> adiel.netad...@gmail.com> escreveu:
>>
>>> Tiago, no caso mascarar consultas dns dos servidores para a internet.
>>>
>>> -Original Message-
>>> From: Tiago Furbeta
>>> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>>>
>>> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>>>
>>> Subject: Re: [FUG-BR] IPFW - natd.
>>> Date: Wed, 11 Jan 2012 15:28:38 -0200
>>>
>>>
>>> sua necessidade é redirecionamento de portas (nat estatico) ou apenas
>>> mascarar a rede interna? não ficou claro...
>>>
>>> Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro <
>>> adiel.netad...@gmail.com> escreveu:
>>>
>>> > Senhores, boa tarde.
>>> >
>>> > Tenho um IPFW como firewall aqui em minha infraestrutura.
>>> > Ele tem uma interface de rede ligada a internet com IP fixo, em0.
>>> > Tenho uma interface de rede ligada a lan dos servidores, em1.
>>> >
>>> > Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
>>> > quando crio as seguintes regras no meu firewall, o redirecionamento da
>>> > lan dos servidores para a internet funciona, por exemplo, ping e
>>> > consultas DNS.
>>> > ipfw add 099 divert natd all from any to any
>>> > ipfw add 100 allow all from any to any
>>> >
>>> > Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
>>> > exemplo:
>>> > ipfw add 666 divert natd tcp from {servidor} to any 53
>>> > ipfw add 669 divert natd udp from {servidor} to any 53
>>> > ipfw add 667 allow tcp from {servidor} to any 53
>>> > ipfw add 668 allow udp from {servidor} to any 53
>>> >
>>> > Se não houver, gostaria de saber se faço isso pelas flags do natd,
>>> > gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
>>> > pelas flags do natd.
>>> > Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
>>> > algum.
>>> >
>>> > Obrigado.
>>> >
>>> > --
>>> > Adiel de Lima Ribeiro
>>> > http://www.facebook.com/sembr.dyndns.info
>>> >
>>> > -
>>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> >
>>> >
>>>
>>>
>>>
>>>
>>> --
>>> Adiel de Lima Ribeiro
>>> http://www.facebook.com/sembr.dyndns.info
>>>
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>>
>>
>>
>>
>> --
>> Adiel de Lima Ribeiro
>> http://www.facebook.com/sembr.dyndns.info
>>
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
> --
> Adiel de Lima Ribeiro
> http://www.facebook.com/sembr.dyndns.info
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Wenderson, não é publicação DNS, é nat de consulta DNS de meus
servidores DNS para a internet.
-Original Message-
From: Wenderson Souza
Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Subject: Re: [FUG-BR] IPFW - natd.
Date: Wed, 11 Jan 2012 15:15:17 -0300
Não seria...
ipfw add 666 divert natd tcp from any to {servidor} 53
ipfw add 669 divert natd udp from any to {servidor} 53
ipfw add 667 allow tcp from any to {servidor} 53
ipfw add 668 allow udp from any to {servidor} 53
?
Wenderson Souza
Em 11 de janeiro de 2012 15:09, Adiel de Lima Ribeiro
escreveu:
> Sim, no caso é, pois entendendo como se faz isso parto para o resto da
> configuração.
>
> -Original Message-
> From: Tiago Furbeta
> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>
> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>
> Subject: Re: [FUG-BR] IPFW - natd.
> Date: Wed, 11 Jan 2012 16:04:21 -0200
>
>
> você deseja fazer masquerade apenas para as consultas a servdores DNS
> externos realizadas pelos seus servidores? mais nada?
>
>
> Em 11 de janeiro de 2012 15:37, Adiel de Lima Ribeiro <
> adiel.netad...@gmail.com> escreveu:
>
>> Tiago, no caso mascarar consultas dns dos servidores para a internet.
>>
>> -Original Message-
>> From: Tiago Furbeta
>> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>>
>> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>>
>> Subject: Re: [FUG-BR] IPFW - natd.
>> Date: Wed, 11 Jan 2012 15:28:38 -0200
>>
>>
>> sua necessidade é redirecionamento de portas (nat estatico) ou apenas
>> mascarar a rede interna? não ficou claro...
>>
>> Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro <
>> adiel.netad...@gmail.com> escreveu:
>>
>> > Senhores, boa tarde.
>> >
>> > Tenho um IPFW como firewall aqui em minha infraestrutura.
>> > Ele tem uma interface de rede ligada a internet com IP fixo, em0.
>> > Tenho uma interface de rede ligada a lan dos servidores, em1.
>> >
>> > Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
>> > quando crio as seguintes regras no meu firewall, o redirecionamento da
>> > lan dos servidores para a internet funciona, por exemplo, ping e
>> > consultas DNS.
>> > ipfw add 099 divert natd all from any to any
>> > ipfw add 100 allow all from any to any
>> >
>> > Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
>> > exemplo:
>> > ipfw add 666 divert natd tcp from {servidor} to any 53
>> > ipfw add 669 divert natd udp from {servidor} to any 53
>> > ipfw add 667 allow tcp from {servidor} to any 53
>> > ipfw add 668 allow udp from {servidor} to any 53
>> >
>> > Se não houver, gostaria de saber se faço isso pelas flags do natd,
>> > gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
>> > pelas flags do natd.
>> > Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
>> > algum.
>> >
>> > Obrigado.
>> >
>> > --
>> > Adiel de Lima Ribeiro
>> > http://www.facebook.com/sembr.dyndns.info
>> >
>> > -
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >
>> >
>>
>>
>>
>>
>> --
>> Adiel de Lima Ribeiro
>> http://www.facebook.com/sembr.dyndns.info
>>
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>
>
>
>
>
> --
> Adiel de Lima Ribeiro
> http://www.facebook.com/sembr.dyndns.info
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Não seria...
ipfw add 666 divert natd tcp from any to {servidor} 53
ipfw add 669 divert natd udp from any to {servidor} 53
ipfw add 667 allow tcp from any to {servidor} 53
ipfw add 668 allow udp from any to {servidor} 53
?
Wenderson Souza
Em 11 de janeiro de 2012 15:09, Adiel de Lima Ribeiro
escreveu:
> Sim, no caso é, pois entendendo como se faz isso parto para o resto da
> configuração.
>
> -Original Message-
> From: Tiago Furbeta
> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>
> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>
> Subject: Re: [FUG-BR] IPFW - natd.
> Date: Wed, 11 Jan 2012 16:04:21 -0200
>
>
> você deseja fazer masquerade apenas para as consultas a servdores DNS
> externos realizadas pelos seus servidores? mais nada?
>
>
> Em 11 de janeiro de 2012 15:37, Adiel de Lima Ribeiro <
> adiel.netad...@gmail.com> escreveu:
>
>> Tiago, no caso mascarar consultas dns dos servidores para a internet.
>>
>> -Original Message-
>> From: Tiago Furbeta
>> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>>
>> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>>
>> Subject: Re: [FUG-BR] IPFW - natd.
>> Date: Wed, 11 Jan 2012 15:28:38 -0200
>>
>>
>> sua necessidade é redirecionamento de portas (nat estatico) ou apenas
>> mascarar a rede interna? não ficou claro...
>>
>> Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro <
>> adiel.netad...@gmail.com> escreveu:
>>
>> > Senhores, boa tarde.
>> >
>> > Tenho um IPFW como firewall aqui em minha infraestrutura.
>> > Ele tem uma interface de rede ligada a internet com IP fixo, em0.
>> > Tenho uma interface de rede ligada a lan dos servidores, em1.
>> >
>> > Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
>> > quando crio as seguintes regras no meu firewall, o redirecionamento da
>> > lan dos servidores para a internet funciona, por exemplo, ping e
>> > consultas DNS.
>> > ipfw add 099 divert natd all from any to any
>> > ipfw add 100 allow all from any to any
>> >
>> > Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
>> > exemplo:
>> > ipfw add 666 divert natd tcp from {servidor} to any 53
>> > ipfw add 669 divert natd udp from {servidor} to any 53
>> > ipfw add 667 allow tcp from {servidor} to any 53
>> > ipfw add 668 allow udp from {servidor} to any 53
>> >
>> > Se não houver, gostaria de saber se faço isso pelas flags do natd,
>> > gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
>> > pelas flags do natd.
>> > Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
>> > algum.
>> >
>> > Obrigado.
>> >
>> > --
>> > Adiel de Lima Ribeiro
>> > http://www.facebook.com/sembr.dyndns.info
>> >
>> > -
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >
>> >
>>
>>
>>
>>
>> --
>> Adiel de Lima Ribeiro
>> http://www.facebook.com/sembr.dyndns.info
>>
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>
>
>
>
>
> --
> Adiel de Lima Ribeiro
> http://www.facebook.com/sembr.dyndns.info
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Sim, no caso é, pois entendendo como se faz isso parto para o resto da
configuração.
-Original Message-
From: Tiago Furbeta
Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Subject: Re: [FUG-BR] IPFW - natd.
Date: Wed, 11 Jan 2012 16:04:21 -0200
você deseja fazer masquerade apenas para as consultas a servdores DNS
externos realizadas pelos seus servidores? mais nada?
Em 11 de janeiro de 2012 15:37, Adiel de Lima Ribeiro <
adiel.netad...@gmail.com> escreveu:
> Tiago, no caso mascarar consultas dns dos servidores para a internet.
>
> -Original Message-
> From: Tiago Furbeta
> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>
> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>
> Subject: Re: [FUG-BR] IPFW - natd.
> Date: Wed, 11 Jan 2012 15:28:38 -0200
>
>
> sua necessidade é redirecionamento de portas (nat estatico) ou apenas
> mascarar a rede interna? não ficou claro...
>
> Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro <
> adiel.netad...@gmail.com> escreveu:
>
> > Senhores, boa tarde.
> >
> > Tenho um IPFW como firewall aqui em minha infraestrutura.
> > Ele tem uma interface de rede ligada a internet com IP fixo, em0.
> > Tenho uma interface de rede ligada a lan dos servidores, em1.
> >
> > Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
> > quando crio as seguintes regras no meu firewall, o redirecionamento da
> > lan dos servidores para a internet funciona, por exemplo, ping e
> > consultas DNS.
> > ipfw add 099 divert natd all from any to any
> > ipfw add 100 allow all from any to any
> >
> > Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
> > exemplo:
> > ipfw add 666 divert natd tcp from {servidor} to any 53
> > ipfw add 669 divert natd udp from {servidor} to any 53
> > ipfw add 667 allow tcp from {servidor} to any 53
> > ipfw add 668 allow udp from {servidor} to any 53
> >
> > Se não houver, gostaria de saber se faço isso pelas flags do natd,
> > gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
> > pelas flags do natd.
> > Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
> > algum.
> >
> > Obrigado.
> >
> > --
> > Adiel de Lima Ribeiro
> > http://www.facebook.com/sembr.dyndns.info
> >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> >
>
>
>
>
> --
> Adiel de Lima Ribeiro
> http://www.facebook.com/sembr.dyndns.info
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
--
Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
você deseja fazer masquerade apenas para as consultas a servdores DNS
externos realizadas pelos seus servidores? mais nada?
Em 11 de janeiro de 2012 15:37, Adiel de Lima Ribeiro <
adiel.netad...@gmail.com> escreveu:
> Tiago, no caso mascarar consultas dns dos servidores para a internet.
>
> -Original Message-
> From: Tiago Furbeta
> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>
> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>
> Subject: Re: [FUG-BR] IPFW - natd.
> Date: Wed, 11 Jan 2012 15:28:38 -0200
>
>
> sua necessidade é redirecionamento de portas (nat estatico) ou apenas
> mascarar a rede interna? não ficou claro...
>
> Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro <
> adiel.netad...@gmail.com> escreveu:
>
> > Senhores, boa tarde.
> >
> > Tenho um IPFW como firewall aqui em minha infraestrutura.
> > Ele tem uma interface de rede ligada a internet com IP fixo, em0.
> > Tenho uma interface de rede ligada a lan dos servidores, em1.
> >
> > Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
> > quando crio as seguintes regras no meu firewall, o redirecionamento da
> > lan dos servidores para a internet funciona, por exemplo, ping e
> > consultas DNS.
> > ipfw add 099 divert natd all from any to any
> > ipfw add 100 allow all from any to any
> >
> > Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
> > exemplo:
> > ipfw add 666 divert natd tcp from {servidor} to any 53
> > ipfw add 669 divert natd udp from {servidor} to any 53
> > ipfw add 667 allow tcp from {servidor} to any 53
> > ipfw add 668 allow udp from {servidor} to any 53
> >
> > Se não houver, gostaria de saber se faço isso pelas flags do natd,
> > gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
> > pelas flags do natd.
> > Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
> > algum.
> >
> > Obrigado.
> >
> > --
> > Adiel de Lima Ribeiro
> > http://www.facebook.com/sembr.dyndns.info
> >
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> >
>
>
>
>
> --
> Adiel de Lima Ribeiro
> http://www.facebook.com/sembr.dyndns.info
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
--
Att.
Tiago N. Furbeta
Cangere Online Provedor de Internet Ltda.
Empresa de Telecomunicações Autorizada SCM/ANATEL
tfurb...@cangere.com.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Em 11/01/2012 15:31, Adiel de Lima Ribeiro escreveu:
> Marcelo, justamente isso.
> Quando faço o nat de tudo, funciona, mas quando resrtinjo o nat apenas a
> consultas DNS na internet, não funciona, como pode ver nas regras.
> Quero justamente uma regra do IPFW que consiga restringir o nat.
> Não sei se tal regra funciona apenas com o IPFW divert any to any e deve
> ser configurada nas flags do natd ou se consigo criar tal bloqueio no
> ipfw mesmo.
> Obrigado.
Manda como está o seu natd.conf também. Mas vou te dar um exemplo:
no seu script do ipfw ficaria assim como exemplo:
ipfw add divert natd ip from 192.168.66.0/24 to any out via em0
ipfw add divert natd ip from any to me in via em0
No caso em0 é a interface externa que liga com a Internet.
no natd.conf um exemplo seria:
instance default
interface em0
dynamic no
same_ports yes
use_sockets yes
unregistered_only yes
[]´s
Gondim
>
> -Original Message-
> From: Marcelo Gondim
> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>
> Subject: Re: [FUG-BR] IPFW - natd.
> Date: Wed, 11 Jan 2012 14:48:21 -0200
>
>
> Em 11/01/2012 13:51, Adiel de Lima Ribeiro escreveu:
>> Senhores, boa tarde.
>>
>> Tenho um IPFW como firewall aqui em minha infraestrutura.
>> Ele tem uma interface de rede ligada a internet com IP fixo, em0.
>> Tenho uma interface de rede ligada a lan dos servidores, em1.
>>
>> Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
>> quando crio as seguintes regras no meu firewall, o redirecionamento da
>> lan dos servidores para a internet funciona, por exemplo, ping e
>> consultas DNS.
>> ipfw add 099 divert natd all from any to any
>> ipfw add 100 allow all from any to any
>>
>> Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
>> exemplo:
>> ipfw add 666 divert natd tcp from {servidor} to any 53
>> ipfw add 669 divert natd udp from {servidor} to any 53
>> ipfw add 667 allow tcp from {servidor} to any 53
>> ipfw add 668 allow udp from {servidor} to any 53
>>
>> Se não houver, gostaria de saber se faço isso pelas flags do natd,
>> gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
>> pelas flags do natd.
>> Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
>> algum.
>>
>> Obrigado.
>>
> Opa Adiel,
>
> Confesso que não entendi bem o que está acontecendo e o que você quer
> realmente fazer.
> Tenta explicar mais detalhadamente.
> Por exemplo no seu nat 099 você faz nat de tudo, eu faria nat apenas dos
> IPs internos para fora. Mas confesso que não entendi o que queres fazer.
> Também costumo usar o nat do pf com o filtro do ipfw, mas isso é uma
> opção minha porque acho o nat do pf muito tranquilo as regras.
>
> []´s
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Tiago, no caso mascarar consultas dns dos servidores para a internet.
-Original Message-
From: Tiago Furbeta
Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Subject: Re: [FUG-BR] IPFW - natd.
Date: Wed, 11 Jan 2012 15:28:38 -0200
sua necessidade é redirecionamento de portas (nat estatico) ou apenas
mascarar a rede interna? não ficou claro...
Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro <
adiel.netad...@gmail.com> escreveu:
> Senhores, boa tarde.
>
> Tenho um IPFW como firewall aqui em minha infraestrutura.
> Ele tem uma interface de rede ligada a internet com IP fixo, em0.
> Tenho uma interface de rede ligada a lan dos servidores, em1.
>
> Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
> quando crio as seguintes regras no meu firewall, o redirecionamento da
> lan dos servidores para a internet funciona, por exemplo, ping e
> consultas DNS.
> ipfw add 099 divert natd all from any to any
> ipfw add 100 allow all from any to any
>
> Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
> exemplo:
> ipfw add 666 divert natd tcp from {servidor} to any 53
> ipfw add 669 divert natd udp from {servidor} to any 53
> ipfw add 667 allow tcp from {servidor} to any 53
> ipfw add 668 allow udp from {servidor} to any 53
>
> Se não houver, gostaria de saber se faço isso pelas flags do natd,
> gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
> pelas flags do natd.
> Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
> algum.
>
> Obrigado.
>
> --
> Adiel de Lima Ribeiro
> http://www.facebook.com/sembr.dyndns.info
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
--
Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Marcelo, esqueci de dizer.
Em teoria esta regra deveria permitir consultas DNS do meu servidor para
a internet, mas não funciona, quando libero o nat total funciona.
ipfw add 666 divert natd tcp from {servidor} to any 53
> ipfw add 669 divert natd udp from {servidor} to any 53
> ipfw add 667 allow tcp from {servidor} to any 53
> ipfw add 668 allow udp from {servidor} to any 53
-Original Message-
From: Marcelo Gondim
Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Subject: Re: [FUG-BR] IPFW - natd.
Date: Wed, 11 Jan 2012 14:48:21 -0200
Em 11/01/2012 13:51, Adiel de Lima Ribeiro escreveu:
> Senhores, boa tarde.
>
> Tenho um IPFW como firewall aqui em minha infraestrutura.
> Ele tem uma interface de rede ligada a internet com IP fixo, em0.
> Tenho uma interface de rede ligada a lan dos servidores, em1.
>
> Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
> quando crio as seguintes regras no meu firewall, o redirecionamento da
> lan dos servidores para a internet funciona, por exemplo, ping e
> consultas DNS.
> ipfw add 099 divert natd all from any to any
> ipfw add 100 allow all from any to any
>
> Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
> exemplo:
> ipfw add 666 divert natd tcp from {servidor} to any 53
> ipfw add 669 divert natd udp from {servidor} to any 53
> ipfw add 667 allow tcp from {servidor} to any 53
> ipfw add 668 allow udp from {servidor} to any 53
>
> Se não houver, gostaria de saber se faço isso pelas flags do natd,
> gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
> pelas flags do natd.
> Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
> algum.
>
> Obrigado.
>
Opa Adiel,
Confesso que não entendi bem o que está acontecendo e o que você quer
realmente fazer.
Tenta explicar mais detalhadamente.
Por exemplo no seu nat 099 você faz nat de tudo, eu faria nat apenas dos
IPs internos para fora. Mas confesso que não entendi o que queres fazer.
Também costumo usar o nat do pf com o filtro do ipfw, mas isso é uma
opção minha porque acho o nat do pf muito tranquilo as regras.
[]´s
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Marcelo, justamente isso.
Quando faço o nat de tudo, funciona, mas quando resrtinjo o nat apenas a
consultas DNS na internet, não funciona, como pode ver nas regras.
Quero justamente uma regra do IPFW que consiga restringir o nat.
Não sei se tal regra funciona apenas com o IPFW divert any to any e deve
ser configurada nas flags do natd ou se consigo criar tal bloqueio no
ipfw mesmo.
Obrigado.
-Original Message-
From: Marcelo Gondim
Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Subject: Re: [FUG-BR] IPFW - natd.
Date: Wed, 11 Jan 2012 14:48:21 -0200
Em 11/01/2012 13:51, Adiel de Lima Ribeiro escreveu:
> Senhores, boa tarde.
>
> Tenho um IPFW como firewall aqui em minha infraestrutura.
> Ele tem uma interface de rede ligada a internet com IP fixo, em0.
> Tenho uma interface de rede ligada a lan dos servidores, em1.
>
> Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
> quando crio as seguintes regras no meu firewall, o redirecionamento da
> lan dos servidores para a internet funciona, por exemplo, ping e
> consultas DNS.
> ipfw add 099 divert natd all from any to any
> ipfw add 100 allow all from any to any
>
> Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
> exemplo:
> ipfw add 666 divert natd tcp from {servidor} to any 53
> ipfw add 669 divert natd udp from {servidor} to any 53
> ipfw add 667 allow tcp from {servidor} to any 53
> ipfw add 668 allow udp from {servidor} to any 53
>
> Se não houver, gostaria de saber se faço isso pelas flags do natd,
> gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
> pelas flags do natd.
> Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
> algum.
>
> Obrigado.
>
Opa Adiel,
Confesso que não entendi bem o que está acontecendo e o que você quer
realmente fazer.
Tenta explicar mais detalhadamente.
Por exemplo no seu nat 099 você faz nat de tudo, eu faria nat apenas dos
IPs internos para fora. Mas confesso que não entendi o que queres fazer.
Também costumo usar o nat do pf com o filtro do ipfw, mas isso é uma
opção minha porque acho o nat do pf muito tranquilo as regras.
[]´s
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
sua necessidade é redirecionamento de portas (nat estatico) ou apenas
mascarar a rede interna? não ficou claro...
Em 11 de janeiro de 2012 13:51, Adiel de Lima Ribeiro <
adiel.netad...@gmail.com> escreveu:
> Senhores, boa tarde.
>
> Tenho um IPFW como firewall aqui em minha infraestrutura.
> Ele tem uma interface de rede ligada a internet com IP fixo, em0.
> Tenho uma interface de rede ligada a lan dos servidores, em1.
>
> Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
> quando crio as seguintes regras no meu firewall, o redirecionamento da
> lan dos servidores para a internet funciona, por exemplo, ping e
> consultas DNS.
> ipfw add 099 divert natd all from any to any
> ipfw add 100 allow all from any to any
>
> Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
> exemplo:
> ipfw add 666 divert natd tcp from {servidor} to any 53
> ipfw add 669 divert natd udp from {servidor} to any 53
> ipfw add 667 allow tcp from {servidor} to any 53
> ipfw add 668 allow udp from {servidor} to any 53
>
> Se não houver, gostaria de saber se faço isso pelas flags do natd,
> gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
> pelas flags do natd.
> Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
> algum.
>
> Obrigado.
>
> --
> Adiel de Lima Ribeiro
> http://www.facebook.com/sembr.dyndns.info
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
--
Att.
Tiago N. Furbeta
Cangere Online Provedor de Internet Ltda.
Empresa de Telecomunicações Autorizada SCM/ANATEL
tfurb...@cangere.com.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW - natd.
Em 11/01/2012 13:51, Adiel de Lima Ribeiro escreveu:
> Senhores, boa tarde.
>
> Tenho um IPFW como firewall aqui em minha infraestrutura.
> Ele tem uma interface de rede ligada a internet com IP fixo, em0.
> Tenho uma interface de rede ligada a lan dos servidores, em1.
>
> Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
> quando crio as seguintes regras no meu firewall, o redirecionamento da
> lan dos servidores para a internet funciona, por exemplo, ping e
> consultas DNS.
> ipfw add 099 divert natd all from any to any
> ipfw add 100 allow all from any to any
>
> Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
> exemplo:
> ipfw add 666 divert natd tcp from {servidor} to any 53
> ipfw add 669 divert natd udp from {servidor} to any 53
> ipfw add 667 allow tcp from {servidor} to any 53
> ipfw add 668 allow udp from {servidor} to any 53
>
> Se não houver, gostaria de saber se faço isso pelas flags do natd,
> gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
> pelas flags do natd.
> Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
> algum.
>
> Obrigado.
>
Opa Adiel,
Confesso que não entendi bem o que está acontecendo e o que você quer
realmente fazer.
Tenta explicar mais detalhadamente.
Por exemplo no seu nat 099 você faz nat de tudo, eu faria nat apenas dos
IPs internos para fora. Mas confesso que não entendi o que queres fazer.
Também costumo usar o nat do pf com o filtro do ipfw, mas isso é uma
opção minha porque acho o nat do pf muito tranquilo as regras.
[]´s
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] IPFW - natd.
Senhores, boa tarde.
Tenho um IPFW como firewall aqui em minha infraestrutura.
Ele tem uma interface de rede ligada a internet com IP fixo, em0.
Tenho uma interface de rede ligada a lan dos servidores, em1.
Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
quando crio as seguintes regras no meu firewall, o redirecionamento da
lan dos servidores para a internet funciona, por exemplo, ping e
consultas DNS.
ipfw add 099 divert natd all from any to any
ipfw add 100 allow all from any to any
Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
exemplo:
ipfw add 666 divert natd tcp from {servidor} to any 53
ipfw add 669 divert natd udp from {servidor} to any 53
ipfw add 667 allow tcp from {servidor} to any 53
ipfw add 668 allow udp from {servidor} to any 53
Se não houver, gostaria de saber se faço isso pelas flags do natd,
gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
pelas flags do natd.
Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
algum.
Obrigado.
--
Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw - natd
Em 19 de agosto de 2010 21:04, Anderson Eduardo escreveu: > Em 19/8/2010 20:19, Celso Viana escreveu: >> Em 19 de agosto de 2010 14:51, Anderson Eduardo >> escreveu: >>> Em 19/8/2010 12:18, Celso Viana escreveu: Pessoal, No meu arquivo natd.conf acrescentei uma opção para redirecionamento de porta. Com a regra abaixo... ipfw add divert natd all from any to any via fxp0 ... consigo acessar normalmente uma máquina da minha rede via TS (3389). Ao tentar conectar com as regras abaixo, não vai nem com reza. ipfw add divert natd all from any to 200.200.200.200 in via fxp0 ipfw add divert natd all from 192.168.10.1 to any out via fxp0 Alguma dica? >>> >>> Testei aqui com mesmo ambiente e funcionou. >>> >>> no seu caso, o redirecionamento é para a máquina 192.168.10.1 mesmo? >>> >>> natd.conf: >>> interface tun0 >>> port 8668 >>> redirect_port tcp 192.168.1.100:6061 201.XXX.XXX.XXX:9090 >>> >>> >>> >>> >>> - >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >> >> Sim, é esse endereço mesmo. >> redirect_port tcp 192.168.10.1:3389 200.200.200.200:3389 >> >> O que não entendi é porque com a regra "any to any via fxp0" o >> redirecionamento funciona certinho. >> > > Realmente é estranho, mas montei um ambiente no exato momento que recebi > esse e-mail da lista e testei, funcionou corretamente. > > tenta usar tcpdump para verificar o tráfego correto. > quais opções está usando no natd.conf? > > A diferença é que com as duas regras você faz o nat em ambas direção > para determinado IP ( saindo e entrando ) por isso o motivo de 2 regras. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Anderson, Obrigado pelo retorno. Consegui fazer funcionar na verdade o próprio "ipfw" me deu a resposta. loguei a regra "any to any via fxp0" e adicionei as regras abaixo e funcionou... não entendi bem, mas funcionou certinho.. consigo conectar normalmente na máquina para a qual faço o redirecionamento. root# cat natd.conf instancedefault alias_address 200.200.200.200 same_ports yes log_ipfw_denied yes log_denied yes dynamic yes port8668 redirect_port tcp 192.168.10.1:3389 200.200.200.200:3389 regras ipfw ipfw add 100 divert natd all from any to 200.200.200.200 in via fxp0 ipfw add 200 divert natd all from any to 192.168.10.1 out via fxp0 ipfw add 300 divert natd all from 192.168.10.1 to 200.200.200.200 in via fxp0 ipfw add 400 divert natd all from 192.168.10.1 to any out via fxp0 -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw - natd
Em 19/8/2010 20:19, Celso Viana escreveu: > Em 19 de agosto de 2010 14:51, Anderson Eduardo > escreveu: >> Em 19/8/2010 12:18, Celso Viana escreveu: >>> Pessoal, >>> >>> No meu arquivo natd.conf acrescentei uma opção para redirecionamento >>> de porta. Com a regra abaixo... >>> >>> ipfw add divert natd all from any to any via fxp0 >>> >>> ... consigo acessar normalmente uma máquina da minha rede via TS >>> (3389). Ao tentar conectar com as regras abaixo, não vai nem com reza. >>> >>> ipfw add divert natd all from any to 200.200.200.200 in via fxp0 >>> ipfw add divert natd all from 192.168.10.1 to any out via fxp0 >>> >>> Alguma dica? >>> >> >> Testei aqui com mesmo ambiente e funcionou. >> >> no seu caso, o redirecionamento é para a máquina 192.168.10.1 mesmo? >> >> natd.conf: >> interface tun0 >> port 8668 >> redirect_port tcp 192.168.1.100:6061201.XXX.XXX.XXX:9090 >> >> >> >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > Sim, é esse endereço mesmo. > redirect_port tcp 192.168.10.1:3389 200.200.200.200:3389 > > O que não entendi é porque com a regra "any to any via fxp0" o > redirecionamento funciona certinho. > Realmente é estranho, mas montei um ambiente no exato momento que recebi esse e-mail da lista e testei, funcionou corretamente. tenta usar tcpdump para verificar o tráfego correto. quais opções está usando no natd.conf? A diferença é que com as duas regras você faz o nat em ambas direção para determinado IP ( saindo e entrando ) por isso o motivo de 2 regras. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw - natd
Em 19 de agosto de 2010 14:51, Anderson Eduardo escreveu: > Em 19/8/2010 12:18, Celso Viana escreveu: >> Pessoal, >> >> No meu arquivo natd.conf acrescentei uma opção para redirecionamento >> de porta. Com a regra abaixo... >> >> ipfw add divert natd all from any to any via fxp0 >> >> ... consigo acessar normalmente uma máquina da minha rede via TS >> (3389). Ao tentar conectar com as regras abaixo, não vai nem com reza. >> >> ipfw add divert natd all from any to 200.200.200.200 in via fxp0 >> ipfw add divert natd all from 192.168.10.1 to any out via fxp0 >> >> Alguma dica? >> > > Testei aqui com mesmo ambiente e funcionou. > > no seu caso, o redirecionamento é para a máquina 192.168.10.1 mesmo? > > natd.conf: > interface tun0 > port 8668 > redirect_port tcp 192.168.1.100:6061 201.XXX.XXX.XXX:9090 > > > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Sim, é esse endereço mesmo. redirect_port tcp 192.168.10.1:3389 200.200.200.200:3389 O que não entendi é porque com a regra "any to any via fxp0" o redirecionamento funciona certinho. -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ipfw - natd
Em 19/8/2010 12:18, Celso Viana escreveu: > Pessoal, > > No meu arquivo natd.conf acrescentei uma opção para redirecionamento > de porta. Com a regra abaixo... > > ipfw add divert natd all from any to any via fxp0 > > ... consigo acessar normalmente uma máquina da minha rede via TS > (3389). Ao tentar conectar com as regras abaixo, não vai nem com reza. > > ipfw add divert natd all from any to 200.200.200.200 in via fxp0 > ipfw add divert natd all from 192.168.10.1 to any out via fxp0 > > Alguma dica? > Testei aqui com mesmo ambiente e funcionou. no seu caso, o redirecionamento é para a máquina 192.168.10.1 mesmo? natd.conf: interface tun0 port 8668 redirect_port tcp 192.168.1.100:6061201.XXX.XXX.XXX:9090 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] ipfw - natd
Pessoal, No meu arquivo natd.conf acrescentei uma opção para redirecionamento de porta. Com a regra abaixo... ipfw add divert natd all from any to any via fxp0 ... consigo acessar normalmente uma máquina da minha rede via TS (3389). Ao tentar conectar com as regras abaixo, não vai nem com reza. ipfw add divert natd all from any to 200.200.200.200 in via fxp0 ipfw add divert natd all from 192.168.10.1 to any out via fxp0 Alguma dica? -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW + NATD + FTP ATIVO
yeap :D On 7/28/07, Rodolfo Zappa <[EMAIL PROTECTED]> wrote: > Gule # escreveu: > > proxy-ftp !? > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > !DSPAM:8,46ab4b346403216610029! > > Pelo ue eu li na documentação, o punch_fw faz esse papel de proxy-ftp > para o ipfw. > > é isso mesmo? > > -- > Cordialmente, > > Rodolfo Zappa > > Archive TSP - Total Solution Provider > Nosso negócio é garantir que a sua rede de informações não pare! > > (21) 2567-1842 > [EMAIL PROTECTED] > http://www.archive.com.br > > "Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É > extremamente difícil tomar decisões num estado de agitação. Por outro lado, > se sem se preocupar com as conseqüências menores, abordamos os problemas com > o espíito afiado como uma lâmina, sempre encontramos a solução em menos tempo > do que é necessáio para respirar sete vezes." Nabeshima Naoshige (1538-1618) > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW + NATD + FTP ATIVO
Gule # escreveu: > proxy-ftp !? > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > !DSPAM:8,46ab4b346403216610029! Pelo ue eu li na documentação, o punch_fw faz esse papel de proxy-ftp para o ipfw. é isso mesmo? -- Cordialmente, Rodolfo Zappa Archive TSP - Total Solution Provider Nosso negócio é garantir que a sua rede de informações não pare! (21) 2567-1842 [EMAIL PROTECTED] http://www.archive.com.br "Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É extremamente difícil tomar decisões num estado de agitação. Por outro lado, se sem se preocupar com as conseqüências menores, abordamos os problemas com o espíito afiado como uma lâmina, sempre encontramos a solução em menos tempo do que é necessáio para respirar sete vezes." Nabeshima Naoshige (1538-1618) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW + NATD + FTP ATIVO
On 7/27/07, Rodolfo Zappa <[EMAIL PROTECTED]> wrote:
> Galera,
>
> Antes de alguém vir com sermão, já pesquisei muito no histórico da lista
> de no google, ok?
>
> Estou montando um gateway de internet para uma lan pequena, cujas regras
> de firewall estou fazendo em IPFW.
>
> Esta é a primeira vez que utilizo o IPFW, pois antes utilizava o PF.
> Diga-se de passagem, que achei o IPFW muito mais flexível, enxuto e de
> sintaxe mais fácil de aprender que o PF.
>
> O problema que eu tive, foi para colocar o maldito ftp ativo (clientes
> na minha lan acessando servidores na internet) funcionando através do nat.
>
> O ftp passivo funciona, com a seguinte regra:
>
> # Regra pra liberar FTP passivo (eh phoda!)
> ${ipfwcmd} 03999 ${skipto} tcp from any 1024-65535 to any 10240-65535
> out via ${ext_if} setup keep-state
>
> Mas ficam muitas portas liberadas, e preferiria ter somente o ftp ativo.
>
> Para isto, estou iniciando o natd com a seguinte linha no rc.conf:
>
> firewall_enable="YES"
> firewall_script="/usr/local/etc/ipfw.sh"
> natd_enable="YES"
> natd_interface="fxp0"
> natd_flags="-dynamic -m -use_sockets -u -punch_fw 100:200"
>
> Para as regras do punch_fw ficarem logo após destas:
>
> # Divert para nat e checkagem de regras dinâmicas
> ${ipfwcmd} 00010 divert natd ip from any to any in via ${ext_if}
> ${ipfwcmd} 00011 check-state
>
> O problema é que o punch coloca regras liberando o tráfego da máquina
> cliente em direção ao servidor na porta 20, e vice-versa, mas a conexão
> de retorno do servidor não funciona (o cliente não consegue listar os
> diretórios depois de conectado).
>
> Perguntas:
> 1) A regra que o punch coloca não tem a opção setup keep-state. É assim
> mesmo?
> 2) A regra do punch tem que ficar onde exatamente? Ela está depois do
> divert in e check-state e antes das regras de skipto.
>
> Abaixo, segue meu script de firewall completo.
>
> Por favor, me enviem uma luz.
>
> -
> #!/bin/sh
>
> #--- Variáveis de ambiente
> ipfw='ipfw'
> ipfwcmd='ipfw -q add'
> skipto='skipto 65500'
>
> ext_if='fxp0'
> lan_if='rl0'
>
> src_num='300'
> src_free='192.168.0.34'
>
> dst_num='500'
> dst_free='200.177.225.0/24'
>
> tcp_num='2000'
> tcp_out='21 22 25 53 110 123 143 80 443 567 993 995'
>
> udp_num='3000'
> udp_out='53'
>
> icmptypes='0,3,8,11,12,13,14'
>
> # Limpa geral (exceto set 31)
> ${ipfw} -q -f flush
>
> # Libera tráfego oriundo próprio do firewall
> ${ipfwcmd} 1 allow all from any to any via lo
> ${ipfwcmd} 2 allow all from me to any out via ${ext_if} setup
> keep-state uid root
>
> # Libera tráfego na interface da LAN
> ${ipfwcmd} 3 allow all from any to any via ${lan_if}
>
> # Divert para nat e checkagem de regras dinâmicas
> ${ipfwcmd} 00010 divert natd ip from any to any in via ${ext_if}
> ${ipfwcmd} 00011 check-state
>
> # Tráfego de saída
> for src in ${src_free} ; do
> ${ipfwcmd} ${src_num} ${skipto} all from ${src} to any out via
> ${ext_if} keep-state
> src_num=$(echo "${src_num} + 1" | bc)
> done
>
> for dst in ${dst_free} ; do
> ${ipfwcmd} ${dst_num} ${skipto} all from any to ${dst} out via
> ${ext_if} keep-state
> dst_num=$(echo "${dst_num} + 1" | bc)
> done
>
> for tcp in ${tcp_out} ; do
> ${ipfwcmd} ${tcp_num} ${skipto} tcp from any to any ${tcp} out via
> ${ext_if} setup keep-state
> tcp_num=$(echo "${tcp_num} + 1" | bc)
> done
>
> for udp in ${udp_out} ; do
> ${ipfwcmd} ${udp_num} ${skipto} udp from any to any ${udp} out via
> ${ext_if} keep-state
> udp_num=$(echo "${udp_num} + 1" | bc)
> done
>
> ${ipfwcmd} 03998 ${skipto} icmp from any to any icmptypes ${icmptypes}
> out via ${ext_if} keep-state
>
> # Regra pra liberar FTP passivo (eh phoda!)
> ${ipfwcmd} 03999 ${skipto} tcp from any 1024-65535 to any 10240-65535
> out via ${ext_if} setup keep-state
>
> # Tráfego de entrada
> ${ipfwcmd} 05000 deny all from any to any frag in via ${ext_if}
> ${ipfwcmd} 05001 deny tcp from any to any established in via ${ext_if}
>
> ${ipfwcmd} 05010 deny all from 0.0.0.0/8 to any in via ${ext_if}
> # loopbak
> ${ipfwcmd} 05011 deny all from 127.0.0.0/8 to any in via ${ext_if}
> # loopbak
> ${ipfwcmd} 05012 deny all from 10.0.0.0/8 to any in via ${ext_if}
> # RFC 1928
> ${ipfwcmd} 05013 deny all from 172.16.0.0/12 to any in via ${ext_if}
> # RFC 1918
> ${ipfwcmd} 05014 deny all from 192.168.0.0/16 to any in via ${ext_if}
> # RFC 1918
> ${ipfwcmd} 05015 deny all from 169.254.0.0/16 to any in via ${ext_if}
> # DHCP auto-config
> ${ipfwcmd} 05016 deny all from 192.0.2.0/24 to any in via ${ext_if}
> # Reservado
> ${ipfwcmd} 05017 deny all from 204.152.64.0/23 to any in via ${ext_if}
> # Sun Cluster
> ${ipfwcmd} 05018 deny all from 224.0.0.0/3 to any in via ${ext_if}
> # Class D e E
>
> ${ipfwcmd} 05100 allow icmp from any to me icmptypes ${icmptypes} via
> ${ext_if} limit src-addr 2
> ${ipfwcmd} 05101 allow tcp from any to me 22 in via ${ext_if} limit
> src-addr 2
>
> ${
[FUG-BR] IPFW + NATD + FTP ATIVO
Galera,
Antes de alguém vir com sermão, já pesquisei muito no histórico da lista
de no google, ok?
Estou montando um gateway de internet para uma lan pequena, cujas regras
de firewall estou fazendo em IPFW.
Esta é a primeira vez que utilizo o IPFW, pois antes utilizava o PF.
Diga-se de passagem, que achei o IPFW muito mais flexível, enxuto e de
sintaxe mais fácil de aprender que o PF.
O problema que eu tive, foi para colocar o maldito ftp ativo (clientes
na minha lan acessando servidores na internet) funcionando através do nat.
O ftp passivo funciona, com a seguinte regra:
# Regra pra liberar FTP passivo (eh phoda!)
${ipfwcmd} 03999 ${skipto} tcp from any 1024-65535 to any 10240-65535
out via ${ext_if} setup keep-state
Mas ficam muitas portas liberadas, e preferiria ter somente o ftp ativo.
Para isto, estou iniciando o natd com a seguinte linha no rc.conf:
firewall_enable="YES"
firewall_script="/usr/local/etc/ipfw.sh"
natd_enable="YES"
natd_interface="fxp0"
natd_flags="-dynamic -m -use_sockets -u -punch_fw 100:200"
Para as regras do punch_fw ficarem logo após destas:
# Divert para nat e checkagem de regras dinâmicas
${ipfwcmd} 00010 divert natd ip from any to any in via ${ext_if}
${ipfwcmd} 00011 check-state
O problema é que o punch coloca regras liberando o tráfego da máquina
cliente em direção ao servidor na porta 20, e vice-versa, mas a conexão
de retorno do servidor não funciona (o cliente não consegue listar os
diretórios depois de conectado).
Perguntas:
1) A regra que o punch coloca não tem a opção setup keep-state. É assim
mesmo?
2) A regra do punch tem que ficar onde exatamente? Ela está depois do
divert in e check-state e antes das regras de skipto.
Abaixo, segue meu script de firewall completo.
Por favor, me enviem uma luz.
-
#!/bin/sh
#--- Variáveis de ambiente
ipfw='ipfw'
ipfwcmd='ipfw -q add'
skipto='skipto 65500'
ext_if='fxp0'
lan_if='rl0'
src_num='300'
src_free='192.168.0.34'
dst_num='500'
dst_free='200.177.225.0/24'
tcp_num='2000'
tcp_out='21 22 25 53 110 123 143 80 443 567 993 995'
udp_num='3000'
udp_out='53'
icmptypes='0,3,8,11,12,13,14'
# Limpa geral (exceto set 31)
${ipfw} -q -f flush
# Libera tráfego oriundo próprio do firewall
${ipfwcmd} 1 allow all from any to any via lo
${ipfwcmd} 2 allow all from me to any out via ${ext_if} setup
keep-state uid root
# Libera tráfego na interface da LAN
${ipfwcmd} 3 allow all from any to any via ${lan_if}
# Divert para nat e checkagem de regras dinâmicas
${ipfwcmd} 00010 divert natd ip from any to any in via ${ext_if}
${ipfwcmd} 00011 check-state
# Tráfego de saída
for src in ${src_free} ; do
${ipfwcmd} ${src_num} ${skipto} all from ${src} to any out via
${ext_if} keep-state
src_num=$(echo "${src_num} + 1" | bc)
done
for dst in ${dst_free} ; do
${ipfwcmd} ${dst_num} ${skipto} all from any to ${dst} out via
${ext_if} keep-state
dst_num=$(echo "${dst_num} + 1" | bc)
done
for tcp in ${tcp_out} ; do
${ipfwcmd} ${tcp_num} ${skipto} tcp from any to any ${tcp} out via
${ext_if} setup keep-state
tcp_num=$(echo "${tcp_num} + 1" | bc)
done
for udp in ${udp_out} ; do
${ipfwcmd} ${udp_num} ${skipto} udp from any to any ${udp} out via
${ext_if} keep-state
udp_num=$(echo "${udp_num} + 1" | bc)
done
${ipfwcmd} 03998 ${skipto} icmp from any to any icmptypes ${icmptypes}
out via ${ext_if} keep-state
# Regra pra liberar FTP passivo (eh phoda!)
${ipfwcmd} 03999 ${skipto} tcp from any 1024-65535 to any 10240-65535
out via ${ext_if} setup keep-state
# Tráfego de entrada
${ipfwcmd} 05000 deny all from any to any frag in via ${ext_if}
${ipfwcmd} 05001 deny tcp from any to any established in via ${ext_if}
${ipfwcmd} 05010 deny all from 0.0.0.0/8 to any in via ${ext_if}
# loopbak
${ipfwcmd} 05011 deny all from 127.0.0.0/8 to any in via ${ext_if}
# loopbak
${ipfwcmd} 05012 deny all from 10.0.0.0/8 to any in via ${ext_if}
# RFC 1928
${ipfwcmd} 05013 deny all from 172.16.0.0/12 to any in via ${ext_if}
# RFC 1918
${ipfwcmd} 05014 deny all from 192.168.0.0/16 to any in via ${ext_if}
# RFC 1918
${ipfwcmd} 05015 deny all from 169.254.0.0/16 to any in via ${ext_if}
# DHCP auto-config
${ipfwcmd} 05016 deny all from 192.0.2.0/24 to any in via ${ext_if}
# Reservado
${ipfwcmd} 05017 deny all from 204.152.64.0/23 to any in via ${ext_if}
# Sun Cluster
${ipfwcmd} 05018 deny all from 224.0.0.0/3 to any in via ${ext_if}
# Class D e E
${ipfwcmd} 05100 allow icmp from any to me icmptypes ${icmptypes} via
${ext_if} limit src-addr 2
${ipfwcmd} 05101 allow tcp from any to me 22 in via ${ext_if} limit
src-addr 2
${ipfwcmd} 05200 deny log all from any to any in via ${ext_if}
${ipfwcmd} 05201 deny log all from any to any out via ${ext_if}
# Regra skip to para nat do tráfego de saída
${ipfwcmd} 65500 divert natd ip from any to any out via ${ext_if}
${ipfwcmd} 6550
Re: [FUG-BR] IPFW+natd
> ppp_nat="YES" > > natd_enable="YES" Luis, vc esta usando dois nats, use apenas o do ppp e faca o redirect no ppp.conf ou use apenas o natd e faca o redirect nele conforme vc postou []´s JP-Ux - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPFW+natd
Luis Augusto escreveu: > Pessoal, > > Sou novo na lista e no mundo BSD. > > Montei um servidor FreeBSD 6.1 com proxy+firewall(ipfw) para > compartilhar o acesso a Internet (Velox) e está funcionando bem, mas > quando tento utilizar o nat para acessar um servidor interno na porta > 3389 não funciona. Já tentei de várias formas mas ainda não obtive > êxito, alguém poderia me dar uma luz? > > Abaixo seguem os arquivos de configuração. > > */etc/rc.conf* > > . > # Configuracao do PPPoE > gateway_enable="YES" > ppp_enable="YES" > ppp_mode="ddial" > ppp_nat="YES" > ppp_profile="default" > > # Ativa o firewall > firewall_enable="YES" > firewall_type="/etc/rc.firewall" > > # Ativa o NAT > natd_program="/sbin/natd" > natd_enable="YES" > natd_interface="tun0" > natd_flags="-s -m -u -reverse -f /etc/natd.conf" > . > > */etc/natd.conf* > > dynamic yes > log > use_sockect yes > same_ports yes > interface tun0 > unregistered_only > redirect_port tcp 10.16.88.2:3389 3389 > > > Desde já agradeço, > > Luis Augusto Bahiense Cardoso > [EMAIL PROTECTED] > > */etc/rc.firewall* > > 00010 check-state > 00100 allow ip from any to any via lo0 > 00101 deny ip from any to 127.0.0.0/8 > 00102 deny ip from 127.0.0.0/8 to any > 00200 allow ip from any to any established > 00201 allow ip from any to any out via tun0 keep-state > 00300 allow ip from any to any dst-port 22 via tun0 keep-state > 00320 allow tcp from any to any dst-port 3389 via tun0 keep-state > 00321 allow tcp from any 3389 to any via tun0 keep-state > 00400 fwd 127.0.0.1,3128 tcp from 10.16.88.0/22 to any dst-port 80 via rl0 > 00500 divert 8668 ip from 10.16.88.0/22 to any via tun0 > 00501 allow ip from any to 10.16.88.0/22 > 00600 allow ip from any to any via rl0 > 65535 deny ip from any to any > > > > > > > ___ > Você quer respostas para suas perguntas? Ou você sabe muito e quer > compartilhar seu conhecimento? Experimente o Yahoo! Respostas ! > http://br.answers.yahoo.com/ > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > A regra 320 deve ser a 502! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] IPFW+natd
Pessoal, Sou novo na lista e no mundo BSD. Montei um servidor FreeBSD 6.1 com proxy+firewall(ipfw) para compartilhar o acesso a Internet (Velox) e está funcionando bem, mas quando tento utilizar o nat para acessar um servidor interno na porta 3389 não funciona. Já tentei de várias formas mas ainda não obtive êxito, alguém poderia me dar uma luz? Abaixo seguem os arquivos de configuração. */etc/rc.conf* . # Configuracao do PPPoE gateway_enable="YES" ppp_enable="YES" ppp_mode="ddial" ppp_nat="YES" ppp_profile="default" # Ativa o firewall firewall_enable="YES" firewall_type="/etc/rc.firewall" # Ativa o NAT natd_program="/sbin/natd" natd_enable="YES" natd_interface="tun0" natd_flags="-s -m -u -reverse -f /etc/natd.conf" . */etc/natd.conf* dynamic yes log use_sockect yes same_ports yes interface tun0 unregistered_only redirect_port tcp 10.16.88.2:3389 3389 Desde já agradeço, Luis Augusto Bahiense Cardoso [EMAIL PROTECTED] */etc/rc.firewall* 00010 check-state 00100 allow ip from any to any via lo0 00101 deny ip from any to 127.0.0.0/8 00102 deny ip from 127.0.0.0/8 to any 00200 allow ip from any to any established 00201 allow ip from any to any out via tun0 keep-state 00300 allow ip from any to any dst-port 22 via tun0 keep-state 00320 allow tcp from any to any dst-port 3389 via tun0 keep-state 00321 allow tcp from any 3389 to any via tun0 keep-state 00400 fwd 127.0.0.1,3128 tcp from 10.16.88.0/22 to any dst-port 80 via rl0 00500 divert 8668 ip from 10.16.88.0/22 to any via tun0 00501 allow ip from any to 10.16.88.0/22 00600 allow ip from any to any via rl0 65535 deny ip from any to any ___ Você quer respostas para suas perguntas? Ou você sabe muito e quer compartilhar seu conhecimento? Experimente o Yahoo! Respostas ! http://br.answers.yahoo.com/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
