[FUGSPBR] Duvida sobre nat

Joao Rocha Braga Filho goffredo em webkey.com.br
Ter Mar 16 14:11:54 BRT 2004 

ipfw add 300 allow tcp from <IP da máquina permitida> to <IP do servidor 
MySQL> via xl1
ipfw add 310 allow tcp from <IP do servidor MySQL> to <IP da máquina 
permitida> via xl1
eds_yahoo wrote:

>Pessoal estou com algumas duvidas
>
>Tenho um Free Bsd 4.9 stable onde rodo o squid, todos meus usuarios se
>conectam configurando um proxy nas maquinas
>Ate ai sem problemas, preciso liberar uma maquina para acessar um servidor
>mysql externo, configurei o natd e ta rolando sem problemas, é possivel
>configurar o nat apenas para a porta do mysql 3306 e deixar todas as outras
>portas bloqueadas, ja fiz varias tentativas mas não consegui, sera que
>alguem me da um help?
>
>segue meus arq de conf
>
>rc.conf
>firewall_enable="YES"
>firewall_script="/etc/rc.firewall.rules"
>firewall_type=""
>natd_enable="YES"
>natd_interface="xl0"
>natd_flags="-u -l -f /etc/natd.conf"
>gateway_enable="YES"
>  
>

    Faltam dados. Tipo IP externo, interno e do servidor MySQL. Interface de
dentro da sua rede (Vamos dizer que é xl1).

    Como regra, eu começo proibindo as portas perigosas para os
ruindows.

ipfw add 100 deny tcp from any to any 135,137,38,139,445
ipfw add 110 deny udp from any to any 135,137,38,139,445

ipfw add 200 allow all from any to any via lo0
ipfw add 210 deny all from any to 127.0.0.0/8
ipfw add 220 deny all from 127.0.0.0/8 to any

# Somente uma máquina pode acessar o MySQL
# Nota. As outras máquinas da sua rede não poderão acessar o MySQL 
daquele servidor, mas
# até podem acessar de outro servidor.
ipfw add 300 allow tcp from <IP da máquina permitida> to <IP do servidor 
MySQL> 3306 via xl1
ipfw add 310 allow tcp from <IP do servidor MySQL> 3306 to <IP da 
máquina permitida> via xl1
ipfw add 398 allow tcp from any to <IP do servidor MySQL> 3306 via xl1
ipfw add 399 allow tcp from <IP do servidor MySQL> 3306 to any via xl1

ipfw add divert 8668 ip from any to any via xl0

ipfw add 6500 allow ip from any to any


    Se quiser, pode ainda colocar um sisteminha de monitoração de 
tráfego, e de deny,
tal como o que tem na minha home page:

http://www.goffredo.eti.br

    Mais exatamente em:

http://goffredo.eti.br/io-judas/


    Abraços,
        João Rocha.

>rc.firewall.rules
>
>        #!/bin/sh
>        fwcmd=/sbin/ipfw
>        ${fwcmd} add 200 deny all from any to 127.0.0.0/8
>        ${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
>        #Desvia maq para nat
>        ${fwcmd} add 30  skipto 70 all from any to 192.168.0.219
>        ${fwcmd} add 31  skipto 70 all from 192.168.0.219 to any
>        # abre os ips para 192.168.0.1 proxy
>        ${fwcmd} add 40  allow ip from 192.168.0.0/24 to 192.168.0.1 via xl0
>        # fecha para  fora
>        ${fwcmd} add 60 deny ip from 192.168.0.0/24 to any via xl0
>        # regra para rodar o nat
>        ${fwcmd} add 70 divert 8668 ip from any to any via xl0
>        ${fwcmd} add 65000 allow ip from any to any
>
>
> Tks
>
>Edison
>  
>

_______________________________________________________________
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd