[FUGSPBR] Re: (no subject)
Patrick Tracanelli
eksffa em freebsdbrasil.com.br
Qui Nov 25 16:00:58 BRST 2004
Eduardo Meyer wrote:
> Assim, além de não funcionar também não garante segurança Marcela, já
> que você está abrindo um range alto de portas no firewall. O RDR de
> portas não vai resolver para você. Red
>
>
>>marcela wrote:
>
>
> >#out on $int
> >
> >pass out quick log on $int proto tcp from any to $ftp_server \
> > port 21 keep state
> >pass out quick log on $int proto tcp from any to $ftp_server \
> > port 20 keep state
> >pass out quick log on $int proto tcp from any to $ftp_server \
> > port > 49151 keep state
>
> Essa é uma limitação triste do NAT do OpenBSD (do PF). Isso que você
> quer não é possível. Por exemplo eu não uso NAT do PF para DMZ, uso o
> natd do FreeBSD que por algum motivo faz isso que você quer e o do PF
> não faz. Como você usa Open e não FreeBSD você não tem outra opção de
> NAT que te atenda, então considere usar proxy FTP. Mesmo assim se for
> a mesma máquina. Se for outra você pode ter problemas também.
>
No FreeBSD o mapeamento é 1:1 quando você faz isso. Por exemplo:
redirect_port tcp 10.10.10.20:40000-60000 40000-60000
É feito 1:1 apenas nessas portas. Você pode ainda usar um salto, por exemplo
redirect_port tcp 10.10.10.20:20000-40000 40000-60000
Nesse caso o que chega na porta 40000 vai p/ 20000, o que chega na 40001
vai pra 20001, ...
O rdr do PF não deve ser assim (nao tenho certeza).
Mas em todo caso, Marcela, se o servidor FTP chegar no mesmo IP do
firewall você pode fazer NAT 1:1 já que mapeamento de porta 1:1 não é
possível. Isso é simples de fazer no FreeBSD, mas com PF você pode fazer
com binat, por exemplo
binat on fxp0 from any to <servidor firewall> -> <servidor interno>
O Binat do PF nao modofica porta. Então não da pra fazer apenas as
portas do FTP para outra maquina. Nesse caso, que eu saiba, natd(8)
mesmo como disse o Eduardo.
--
Atenciosamente,
Patrick Tracanelli
FreeBSD Brasil LTDA.
The FreeBSD pt_BR Documentation Project
http://www.freebsdbrasil.com.br
patrick @ freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"
_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd