[FUG-BR] Problemas com ipfw + ipnat

Thiago Damas tdamas em gmail.com
Sexta Setembro 15 12:27:32 BRT 2006 

  Ola,
  entao, voce quer fazer somente NAT da rede dos funcionarios?
  ipfw add XXX divert natd ip from REDEFUNCIONARIOS to any via xl0 out
  ipfw add YYY divert natd ip from any to any via xl0 in

  Ve se isso funciona.
[]s


On 9/15/06, corsini at unis <corsini at unis.edu.br> wrote:
> Oi amigo , aproveitando nossa discussão,
>
> tenho um cenário aqui seguinte:
>
> Aqui é uma universidade
>  tenho uma Freebsd 6.1 com tres interfaces de rede
> xl0  -  saída 192.168.0.1
> xl1  -  interna - rede dos funcionário
> xl2  - interna - rede dos alunos
>
>
> hoje to fazendo NAT da xl0 para todas as demais (xl1 e xl2) com IPFW
> to usando o Firewall_type="SIMPLE" que já tem essa linha de comando
> ${fwcmd} add divert natd all from any to any via ${natd_interface}
>
> na verdade preiciso fazer o NAT apenas da xl0 p/ a xl1, sendo que na xl2
> to com proxy
> que não precisa do NAT.. até pq quero obrigar o alunos a passar pelo proxy.
> poderia me ajudar ...???
>
> obrigadoooooo!!!!!!!
>
>
>
>
>
> Jonatas M. Victor escreveu:
> >   Srs,
> >
> >     Estou enfrentando seguidamente problemas com uma dupla que eu uso
> > seguido que é o ipfw + ipnat. Não sei se seria melhor usar sempre pf +
> > ipnat ou ipfw + natd pois nessas ordem funcionam perfeitos. Bom eu tenho
> > 2 problemas.
> >
> >   1º) Redirecionamento de pacotes. Eu tenho um proxy transparente em
> > 172.16.1.250 e o GW default da minha rede é 172.16.1.254. Eu tenho ipnat
> > para saída pelo GW default + ipfw para firewall. Eu tentei jogar o
> > tráfego saindo pelo default na porta 80 para proxy como abaixo:
> >
> >   Ex do ipnat:
> >
> > map xl0 172.16.1.0/24 -> 200.200.200.200/32 proxy port ftp ftp/tcp
> > map xl0 172.16.1.0/24 -> 200.200.200.200/32
> > map xl0 172.16.1.0/24 -> 200.200.200.200/32 portmap tcp/udp auto
> >
> >   Tentativas de regras no ipfw:
> >
> > 1º Tentativa:
> > ipfw add 1 fwd 172.16.1.250,3128 ip from any to any 80 via xl1 in
> >
> > 2º Tentativa:
> > ipfw add 1 fwd 172.16.1.250 ip from any to any 80 via xl1 in
> >
> > ( xl1 eh a placa de rede de entrada, simplesmente os pacotes passam na
> > regra mas nao tem efeito seguem para o nat )
> >
> >    Alguem tem alguma dica?
> >
> >
> > Segundo é um caso parecido só que eh source rounting  onde tem 2 placas
> > de rede fazendo nat com ipnat e ao usar o ipfw para fazer os pacotes
> > saírem pela placa de rede certa o ipfw simples não tem efeito. Passa os
> > pacotes na regra mas não tem efeito.
> >
> >   Ex:
> >
> >    ipfw add 1 fwd 10.10.10.1 ip from any to any via rl1 out
> >
> >    Onde 10.10.10.1 está no barramento que está na rl0.
> >
> >
> >   To com todas as opcoes no Kernel do ipfw e do ipf.
> >
> >
> > options         IPFIREWALL
> > options         IPFIREWALL_VERBOSE
> > options         IPFIREWALL_VERBOSE_LIMIT=100
> > options         IPFIREWALL_DEFAULT_TO_ACCEPT
> > options         IPFIREWALL_FORWARD
> > options         IPFIREWALL_FORWARD_EXTENDED
> > options         DUMMYNET
> > options         IPDIVERT
> >
> >
> > device          pf                      #PF OpenBSD packet-filter firewall
> > device          pflog                   #logging support interface for PF
> > device          pfsync                  #synchronization interface for PF
> > options         PPP_FILTER              #enable bpf filtering (needs bpf)
> > options         IPFILTER                #ipfilter support
> > options         IPFILTER_LOG            #ipfilter logging
> > options         IPFILTER_LOOKUP         #ipfilter pools
> > options         ALTQ
> > options         ALTQ_CBQ        # Class Bases Queueing
> > options         ALTQ_RED        # Random Early Detection
> > options         ALTQ_RIO        # RED In/Out
> > options         ALTQ_HFSC       # Hierarchical Packet Scheduler
> > options         ALTQ_CDNR       # Traffic conditioner
> > options         ALTQ_PRIQ       # Priority Queueing
> > options         ALTQ_NOPCC      # Required for SMP build
> > options         ALTQ_DEBUG
> >
> >
> >   Se alguem tiver alguma idéia agradeço.
> >
> >
> >    Jonatas M. Victor
> >
> >
> >
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> >
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Mais detalhes sobre a lista de discussão freebsd