[FUG-BR] Dúvida Natd (fluxo de pacotes pelo ipfw)

Rodolfo Zappa listas-rod em zappa.eti.br
Sexta Agosto 24 09:38:12 BRT 2007


João Paulo Just escreveu:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Rodolfo Zappa escreveu:
>   
>> Alguém pode me passar o fluxo de um pacote pelo firewall?
>>
>> Minha dúvida é a seguinte:
>>
>> Depois de fazer o divert para o natd, o pacote é traduzido (nateado).
>>
>> Após isso ele é re-injetado no fluxo do firewall, podendo ser reavalidao 
>> pelo filtro de pacotes?
>>
>> Exemplo:
>>
>> ${ipfw} 00400 divert natd ip from any to any via ${ext_if}
>> ${ipfw} 00401 check-state
>> ${ipfw} 00402 deny log tcp from any to any 80 out via ${ext_if} setup 
>> keep-state
>>
>> Esta terceira regra nunca é acionada.
>>     
>
> Sim. Eu faço o divert pro natd no meu servidor e em seguida, limito a
> banda com o próprio IPFW.
>
> - --
> João Paulo Just
> Diretor Executivo - Justsoft Informática Ltda.
> http://www.justsoft.com.br/
> - --
> Ilhéus, BA, Brasil.
> +55 75 8104 8473

Ok, mas o pacote é reavaliado desde o início das regras, ou a partir do 
ponto do divert?

O problema que eu tenho é o seguinte: eu quero bloquear ou liberar 
pacotes da minha lan para a internet, baseados no ip de origem. Mas, 
após passar pelo natd, o pacote perde a referência do ip de origem, e a 
terceira regra abaixo, nunca é acionada.

${ipfw} 100 divert natd ip from any to any via ${ext_if}
${ipfw} 101 chek-state
${ipfw} 102 allow tcp from 192.168.0.25 to any 80 out via ${ext_if}

Estou estudando o IPFW, acho a sintaxe maravilhosa e simples, os 
controles de banda facílimos de aprender, mas o fluxo do pacote pelo 
firewall, quando tem um divert para o natd,  são muito mal documentados 
e completamente diferentes do PF, IPF e até do IPTABLES do netfilter.

Por exemplo, no netfilter o fluxo é assim (simplificando):

 nat prerouting --> forward --> nat postrouting

e quando eu quero liberar ou bloquear um pacote, baseado na origem, uso 
a chain forward, que memso depois de pasara pelo nat, não perde a 
referência do ip de origem.

Alguém tem um bom doc sobre ipfw + natd, mostrando o fluxo dos pacotes 
pelo firewall?

Patrick, pode dar uma mãozinha de novo?

-- 
Cordialmente,

Rodolfo Zappa

Archive TSP - Total Solution Provider
Nosso negócio é garantir que a sua rede de informações não pare!

(21) 2567-1842
rodolfo em archive.com.br
http://www.archive.com.br

"Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É extremamente difícil tomar decisões num estado de agitação. Por outro lado, se sem se preocupar com as conseqüências menores, abordamos os problemas com o espírito afiado como uma lâmina, sempre encontramos a solução em menos tempo do que é necessáio para respirar sete vezes." Nabeshima Naoshige (1538-1618) 






Mais detalhes sobre a lista de discussão freebsd