[FUGSPBR] IPFW + NATD
Oswaldo Gomes
oswaldo_listas em brturbo.com
Qua Jun 25 11:37:49 BRT 2003
Olá pessoal,
quando se usa IPFW 2 + NATD, os pacotes passam a entrar no Firewall duas
vezes, ou seja, a primeira quando vem da rede interna, e a segunda depois de
passar pela regra de divert. Por exemplo (usando TELNET):
Interface interna (xl1): 10.1.1.1
Interface Externa (xl0): 200.1.1.1
Rede Interna: 10.1.1.0/24
Primeira vez: Quando vem com origem na rede interna e destino externo, ou
seja, vem como 10.1.1.x:
10.1.1.x:1050 -> 199.199.199.199:23
Segunda vez: Depois que passa pela NAT, o pacote volta com endereço de
origem igual ao endereço da interface externa do firewall:
200.1.1.1:1050 -> 199.199.199.199:23
Com isso, eu tenho que liberar regras permitindo tanto o IP da minha rede
interna, quanto o IP da interface interna do Firewall, confere?
Algo assim:
# habilita o natd
add 200 divert natd all from any to any via xl1
# inicia stateful
add 300 check-state
#essa libera a primeira vez que o pacote entra no firewall
add 2050 allow tcp from 10.1.1.0/24 to 199.199.199.199/32 23 in via xl0
setup keep-state
#essa libera a segunda vez que o pacote entra no firewall (depois de
nateado)
add 2051 allow tcp from 200.1.1.1/32 to 199.199.199.199/32 23 out via xl1
setup keep-state
Desta forma, em situações como essa, de IPFW2 + NATD, eu tenho sempre que
"duplicar" as regras, ou seja, tenho de liberar o acesso real (da máquina
interna para o host destino) e também o acesso pós-nat (quando o endereço de
origem do pacote é nateado para o IP da interface externa do firewall)??
Caso seja isso mesmo, o que se faz na prática? Simplifica-se colocando logo
uma única regra permitindo tudo que sai com a interface externa do firewall
(allow tcp from 200.1.1.1/32 to any out via xl1 setup keep-state), e depois
vai liberando somente o acesso dos hosts internos? Ou cria-se sempre duas
regras e cada caso para fechar melhor o firewall? Ou estou configurando tudo
errado? heheeh :)
[]´s
Oswaldo
_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd