[FUG-BR] Problemas com ipfw + ipnat

Jonatas M. Victor jmvlistas em vetorial.net
Quinta Setembro 14 21:54:22 BRT 2006 

  Srs,

    Estou enfrentando seguidamente problemas com uma dupla que eu uso 
seguido que é o ipfw + ipnat. Não sei se seria melhor usar sempre pf + 
ipnat ou ipfw + natd pois nessas ordem funcionam perfeitos. Bom eu tenho 
2 problemas.

  1º) Redirecionamento de pacotes. Eu tenho um proxy transparente em 
172.16.1.250 e o GW default da minha rede é 172.16.1.254. Eu tenho ipnat 
para saída pelo GW default + ipfw para firewall. Eu tentei jogar o 
tráfego saindo pelo default na porta 80 para proxy como abaixo:

  Ex do ipnat:

map xl0 172.16.1.0/24 -> 200.200.200.200/32 proxy port ftp ftp/tcp
map xl0 172.16.1.0/24 -> 200.200.200.200/32
map xl0 172.16.1.0/24 -> 200.200.200.200/32 portmap tcp/udp auto

  Tentativas de regras no ipfw:

1º Tentativa:
ipfw add 1 fwd 172.16.1.250,3128 ip from any to any 80 via xl1 in

2º Tentativa:
ipfw add 1 fwd 172.16.1.250 ip from any to any 80 via xl1 in

( xl1 eh a placa de rede de entrada, simplesmente os pacotes passam na 
regra mas nao tem efeito seguem para o nat )

   Alguem tem alguma dica?


Segundo é um caso parecido só que eh source rounting  onde tem 2 placas 
de rede fazendo nat com ipnat e ao usar o ipfw para fazer os pacotes 
saírem pela placa de rede certa o ipfw simples não tem efeito. Passa os 
pacotes na regra mas não tem efeito.

  Ex:

   ipfw add 1 fwd 10.10.10.1 ip from any to any via rl1 out

   Onde 10.10.10.1 está no barramento que está na rl0.


  To com todas as opcoes no Kernel do ipfw e do ipf.


options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         IPFIREWALL_FORWARD
options         IPFIREWALL_FORWARD_EXTENDED
options         DUMMYNET
options         IPDIVERT


device          pf                      #PF OpenBSD packet-filter firewall
device          pflog                   #logging support interface for PF
device          pfsync                  #synchronization interface for PF
options         PPP_FILTER              #enable bpf filtering (needs bpf)
options         IPFILTER                #ipfilter support
options         IPFILTER_LOG            #ipfilter logging
options         IPFILTER_LOOKUP         #ipfilter pools
options         ALTQ
options         ALTQ_CBQ        # Class Bases Queueing
options         ALTQ_RED        # Random Early Detection
options         ALTQ_RIO        # RED In/Out
options         ALTQ_HFSC       # Hierarchical Packet Scheduler
options         ALTQ_CDNR       # Traffic conditioner
options         ALTQ_PRIQ       # Priority Queueing
options         ALTQ_NOPCC      # Required for SMP build
options         ALTQ_DEBUG


  Se alguem tiver alguma idéia agradeço.


   Jonatas M. Victor

Mais detalhes sobre a lista de discussão freebsd