[FUGSPBR] Gateway com Firewall que não ta qurendo funcionar

Cristian Thiago Moecke moecke em lmp.ufsc.br
Ter Abr 2 11:47:06 BRT 2002


>

Não ta dando certo (ainda bem q mudei de ideia qto a tacar o servidor da
janela... )

Resolvi tentar primeiro a bridge, e deixar a rede1 ligada por enqunato
diretamente no hub que esta ligado com o roteador, ligar o FreeBSD no Hub e um
pc que ERA da rede 1 ligado na fxp1 para simular a rede2.

A configuracao do rc.conf no FreeBSD qdo peguei ele estava assim:
#INICIO

ifconfig_fxp0="inet 150.xxx.xxx.44 netmask 255.255.255.0"
ifconfig_fxp1="inet 192.168.0.1 netmask 255.255.255.0"
# 150.xxx.xxx.44 eh o ip valido do pc que vou transformar em bridge.

firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_type="OPEN"

gateway_enable="YES"

hostname="maquina.lmp.ufsc.br"
defaultrouter="150.xxx.xxx.254"
# 150.xxx.xxx.254 = Ip do roteador

#FIM
Bom.. Antes de comecar, fiz os testes pingando todo mundo e talz, funcionava
da sequinte maneira: Pingava todo mundo, menos o pc de testes ligado na placa
fxp1. OBS: Deixei ele com o ip valido q ele tinha, 150.xxx.xxx.4.. Algum
problema em fazer isso? Ou tem ou não sei qual eh o problema aqui...

Mesmo assim, resolvi fazer a bridge

>
> obviamente voce precisade: suporte a bridge no kernel.
>

Compilei o Kernel com todas as opcoes q vc falou

>
> Passado isso, suas configuracoes vao ser via o (poderoso) sysctl(8):
>
> # Faz essa Box uma bridge.
> sysctl -w net.link.ether.bridge_ipfw=1
> sysctl -w net.link.ether.bridge=1
> sysctl -w net.link.ether.bridge_cfg=fxp0,fxp1,fxp2
>

sysctl -w net.link.ether.bridge_ipfw=1
sysctl -w net.link.ether.bridge=1
sysctl -w net.link.ether.bridge_cfg=fxp0,fxp1

Como soh ia fazer pra rede2 primeiro, soh tinha fxp0 (ligado ao hub q esta
ligado ao reoteador) e fxp1 (ligado ao pc de testes)

A partir desse momento, a partit do freeBSD nao consigo mais pingar nada, com
execao do ip 150.xxx.xxx.44 que é o ip do proprio freebsd =).. Isso ta certo?

>
> Pronto, agora seu freebsd virou uma bridge (super complexo hein?)
> Voce nao precisar por nem IP nas interfaces, elas ja vao estar se
> comunicando diretamente apos isso... se voce nao definir IP, isso quer
> dizer que (thchanan) eh uma bridge transparente, ou seja, os gateways da
> sua rede interna vao continuar sendo o seu roteador la na outra ponto,
> visto que eles nao vai nem saber que existe um freebsd no meio da
> jogada... Talvez essa seja a forma mais fera de se fazer firewall (ao
> menos eh a que eu mais gosto...). E com ipfw eh ainda mais fera do que
> com ipfilter.

Ai q nao entendi.. e como faco isso de nao por ip nas interfaces? Deixo a fxp0
e a fxp1 sem ip? Dai não tenho como pingar ela nem acessar a maquina pelo ssh,
ela vira somente um bridge certo?
Bom, de qq forma. Se for pra deixar bridge transparente, como faco?


>
>
> Bom, quando voce ta fazendo firewall com bridge, lembre-se que voce tem
> que mudar um pouco os seus conceitos, e fazer suas regras apoiando-se
> nos "in/out via interface" muito mais do que baseado em IP (o ideal eh
> sempre as duas formas, claro). Outra coisa, voce fica restrito `a
> algumas funcionalidades.

Bom, isso acho q pode ficar pra depois de fucnionar a bridge.
De qq forma, as regras "default" (que estavam aqui na maquina antes de eu
comecar a mecher nela são:

00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
65000 allow ip from any to any
65535 allow ip from any to any

Algum problema ai?

Bom... Acho q o problema comeca jah la na placa fxp1, visto q naum consigo
pingar o ip dela (192.168.0.1) a partir do pc de testes, ligado a laca fxp1...

Alguem tem alguma ideia.. onde eu estou conseguindo errar depois de uma
explicacao daquele tamanho?

[]'s
Cristian

--
---------------------------------------
 Cristian Thiago Moecke
 CPD - LMP - UFSC
 moecke em lmp.ufsc.br
---------------------------------------


----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.



Mais detalhes sobre a lista de discussão freebsd