[FUGSPBR] firewall

Diego Linke - GAMK linke em calnet.com.br
Qui Jan 10 18:00:34 BRST 2002


Ola

por falar nisso eu tive problemas com um Firewall (bridge) + Nat

Era assim:

xl0 <- Bridge -> xl1 (para IP validos)
xl2 tinha um IP 192.168.0.X (para Rede interna)

Na xl0 tinha IP (Ip valido).

Bom o que eu queria fazer era bridge+firewall para servidores e natd para os clientes da rede interna.

O problema eh o seguinte 

A nat separada, e o bridge funcionavam mas quando abilitava os dois juntos dava pau...

Pois a regra de divert do natd exigia ser a primeira e o Bridge se encontrava a regra de divert ele dizia que nao tinha regra de match...

Alguem tem alguma solucao para isso ? 


OBS: o que eu fiz eh fazer bridge+ipfw e acabei usando ipnat do IPF para fazer NAT.

Mas gostaria de usar apenas IPFW alguem tem alguma ideia ?
Valeu


-- 
Atenciosamente,
--
[ Diego Linke - GAMK ]
System/Network Administrator
Curitiba - Parana - Brazil
E-Mail: gamk em gamk.com.br
Web Site: http://www.gamk.com.br
Phone Number: (+5541) 9905-6067
 
<----.     Of course it runs
<----|============================
<----' NetBSD, OpenBSD or FreeBSD 

On Thu, 10 Jan 2002 17:48:34 -0200 (BRST)
Edson Brandi <ebrandi.home em uol.com.br> wrote:

> Olha o ideal seria voce colocar 3 placas, uma para administrar e 2 como
> bridge.
> 
> Edson
> 
> On Thu, 10 Jan 2002, Max wrote:
> 
> > Ola a todos, valeu pela dica.
> >
> >  Só uma duvida: Posso utilizar apenas 2 placas de rede para fazer a bridge e
> > em uma delas utilizar um ip para que eu possa controla-la remotamente?
> >
> > Outra coisa, eu consiguirei limitar banda por ip utilizando o ipfw do
> > trafego que passará por ela?
> >
> > Obrigado mais umavez,
> >
> > Max
> > -----Mensagem original-----
> > De: Santos Anderson <amsnetbr em yahoo.com.br>
> > Para: fugspbr em fugspbr.org <fugspbr em fugspbr.org>
> > Data: Quarta-feira, 9 de Janeiro de 2002 22:26
> > Assunto: Re: [FUGSPBR] firewall
> >
> >
> > > O esquema q o colega Alessandro e assim:
> > >
> > >
> > >
> > >          router (20.20.20.1)
> > >             |
> > >             |                            (servidores)
> > >             |--------------------xl1----20.20.20.2
> > >             |XL0 IPF BRIDGE         ----20.20.20.3
> > >             |--------------------   ----20.20.20.4
> > >             |
> > >             |                              (estacoes)
> > >             |---------------------xl2-----20.20.20.5
> > >                                      -----20.20.20.6
> > >                                      -----20.20.20.7
> > >
> > >  Neste exemplo nao sei se vc entendeu,temos tres
> > >interfaces 1 com ip e as outras duas sem ip fazendo a
> > >funcao de brigde.
> > >
> > >Para habilitar,se vc estiver usando openbsd-2.9:
> > >
> > >    brconfig bridge0 add xl0 add xl1 up
> > >    ifconfig xl0 up
> > >    ifconfig xl1 up
> > >
> > >
> > >Agora so falta vc colocar sua regras,vai abaixo um
> > >exemplo que temno howto do ipf,lembrando que o
> > >open-3.0 nao trabalha mais com ipf.
> > >
> > >
> > >
> > >pass  in quick on xl0 proto udp from any to
> > >20.20.20.2/32 port=53 keep state
> > >pass  in quick on xl0 proto tcp from any to
> > >20.20.20.2/32 port=53 flags S keep state
> > >pass  in quick on xl0 proto tcp from any to
> > >20.20.20.3/32 port=25 flags S keep state
> > >pass  in quick on xl0 proto tcp from any to
> > >20.20.20.7/32 port=80 flags S keep state
> > >block in quick on xl0
> > >pass  in quick on xl1 proto tcp  keep state
> > >pass  in quick on xl1 proto udp  keep state
> > >pass  in quick on xl1 proto icmp keep state
> > >block in quick on xl1
> > >pass  in quick on xl2 proto tcp  keep state
> > >pass  in quick on xl2 proto udp  keep state
> > >pass  in quick on xl2 proto icmp keep state
> > >block in quick on xl2
> > >
> > >
> > >  Lembrando que so uns exemplos,vc pode melhorar isso
> > >mais ainda otimizando suas regras.
> > >
> > >referencias:
> > >http://www.obfuscation.org/ipf/ipf-howto.txt
> > >http://www.inebriated.demon.nl/pf-howto/pf-howto.txt
> > >http://www.openbsd.org/faq/faq6.html
> > >
> > >
> > >No freebsd:
> > >
> > >No kernel habilitar os options abaixo:
> > >options BRIDGE
> > >options IPFIREWALL
> > >options IPFIREWALL_VERBOSE
> > >
> > >neste caso se vc usar ipfw.
> > >
> > >Edite /etc/rc.conf:
> > >
> > >Habilitando seu firewall da maneira que achar melhor.
> > >
> > >Habilite a bridge:
> > >sysctl -w net.link.ether.bridge_ipfw=1
> > >sysctl -w net.link.ether.bridge=1
> > >
> > >Pronto sua bridge esta pronta
> > >
> > >referencias:
> > >www.freebsd.org
> > >www.free.bsd.com.br
> > >www.freebsd.ag.com.br
> > >http://free.bsd.com.br/~eksffa/freebsd/ipfw.php
> > >(Howto traduzido pelo Goto e Patrick-Esta muito bom!!)
> > >
> > > Espero que tenha ajudado,qualquer problema fale
> > >comigo.
> > >  Peco desculpas se esqueci alguma coisa
> > >
> > >   Um grande abraco
> > >Anderson
> > >
> > >--- "Alessandro M. S. Sant'Anna"
> > ><santanna em telecom.eng.br> escreveu: > > Olá,
> > >>
> > >> Olá Max,
> > >>
> > >> >
> > >> >
> > >> >    Vi em um provedor um firewall que trabalha de
> > >> forma transparente, como
> > >> > uma brige, barrando os pacotes. Ele fica entre o
> > >> roteador e o swchit, tudo
> > >> > que entra ou sai para internet passa por ele. Como
> > >> se chama este tipo de
> > >> > aplicação? Onde posso encontrar informações a
> > >> respeito? Para um link de 2M
> > >> > qual seria a configuração idel da maquina que vai
> > >> fazer isso?
> > >> >
> > >> > Agradeço a ajuda!
> > >> >
> > >> > Max
> > >>
> > >> Bem, acho que hoje, o sistema que tem o melhor
> > >> suporte a isto é o OpenBSD.
> > >> Você configura um OpenBSD com duas ou mais placas de
> > >> rede e habilita uma
> > >> bridge entre estas placas. Você ai faz uso de um
> > >> filtro de pacotes IPFilter
> > >> nas versões até 2.9 ou pf na 3.0 e cria suas regras
> > >> utilizando a bridge.
> > >>
> > >> O FreeBSD faz isto também o OpenBSD fazia melhor.
> > >> Não sei como está hoje.
> > >> Eles podem estar em pé de igualdade ou até melhor.
> > >>
> > >> Alessandro.
> > >>
> > >>
> > >> ----
> > >> Para sair da lista envie um e-mail para
> > >> majordomo em fugspbr.org
> > >> com as palavras "unsubscribe fugspbr" no corpo da
> > >mensagem.
> > >
> > >___________________________________________________________________________
> > ____________________
> > >Yahoo! GeoCities
> > >Tenha seu lugar na Web. Construa hoje mesmo sua home page no Yahoo!
> > GeoCities. É fácil e grátis!
> > >http://br.geocities.yahoo.com/
> > >----
> > >Para sair da lista envie um e-mail para majordomo em fugspbr.org
> > >com as palavras "unsubscribe fugspbr" no corpo da mensagem.
> > >
> >
> > ----
> > Para sair da lista envie um e-mail para majordomo em fugspbr.org
> > com as palavras "unsubscribe fugspbr" no corpo da mensagem.
> >
> 
> [ ]'s Edson
>                                                    ,        ,
>    Edson Brandi                                   /(        )`
>    Consultor UNIX                                 \ \___   / |
>    Fone:   0XX11 96512996                         /- _  `-/  '
>            0XX11 32717325                        (/\/ \ \   /\
>    ICQ at  Home: 100503189                       / /   | `    \
>                                                  O O   ) /    |
> ---------------------------------------          `-^--'`<     '
>                                                 (_.)  _  )   /
> Transforme seu PC numa Workstation Unix.         `.___/`    /
>  Visite http://www.primeirospassos.org            `-----' /
>         http://www.fugspbr.org        <----.     __ / __   \
>         http://livecd.fugspbr.org     <----|====O)))==) \) /====
>                                       <----'    `--' `.__,' \
> 
> ----
> Para sair da lista envie um e-mail para majordomo em fugspbr.org
> com as palavras "unsubscribe fugspbr" no corpo da mensagem.
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.



Mais detalhes sobre a lista de discussão freebsd