[FUGSPBR] divert (meio longo)
Antonio Torres
antonio.torres em newspace.net.br
Qua Nov 12 23:55:57 BRST 2003
At 23:51 12/11/2003, you wrote:
>* Carlos Alberto (carlinho em xprt.eti.br) wrote:
> > > Na verdade o que ocorre é que há um recebimento do pacote
> > > pelo sistema e depois um envio (por parte do sistema) e esse
> > > envio está sujeito as regras como qualquer outro pacote
> > > originando no seu gateway.
> > ok, chegamos a um ponto interessante, e a minha pergunta e a seguinte:
> > como eu posso criar uma regra que permita que esse pacote reinjetado
> > passe para a rede interna sem abrir a externa ?
>
> Você usa regras o recurso de regras dinâmicas. Minha experiência é maior
> com o ipfilter mas veja se as regras abaixo não resolvem para você.
>
> ipfw add 50 divert natd ip from 192.168.0.0/24 to any via xl0
> ipfw add 100 check-state
> ipfw add 200 allow all from any to any via xl0 keep-state
> ipfw add 300 deny tcp from any to any established in via
>
> Não é um conjunto de regras muito completo mas deve servir.. se tiver
> algo errado alguém por favor me corrija.
>
> Boa noite,
>
> --
> Giovanni P. Tirloni <gpt at tirloni.org>
> Fingerprint: 8C3F BEC5 79BD 3E9B EDB8 72F4 16E8 BA5E D031 5C26
leia o man com *muita*, mas *muita* mesmo, atenção !!! como está dito no
final (BUGS) o man ainda está incompleto e "generico" (muito superficial);
mas tem tudo. Deveria constar no BUGS: requer excelente conhecimento de
TCP/IP, especialmente em ethernet "layer 2" (quem quiser filtrar por MAC
address;)
O truque principal: entenda *exatamente* (repetindo para enfatizar:
*exatamente*) o que voce precisa !!
Pelo pouco que voce descreveu do problema, me pareceu que voce tem duas (ou
várias) "redes" na mesma NIC e está querendo fazer o NAT para uma rede
acessar a outra (é isso? ou chutei muito fora?). Se for esse o caso, ponha
uma regra de NAT para esses acessos "internos" e outra para os acessos
"externos"
Pode-se usar o NAT (divert) e o forward para fazer "mágicas"
Dicas:
histórico da lista freebsd-ipfw (em ingles)
testes.... muitos testes...
Mais detalhes sobre a lista de discussão freebsd