[FUG-BR] PF: Marcar Pacotes. Anchors?

Marcelo/Porks marcelorossi em gmail.com
Terça Dezembro 4 10:37:38 BRST 2007 

Senhores, alguém já fez algo deste tipo com o PF?

IF_Int1 = Interface interna da rede 1
IF_Int2 = Interface interna da rede 2
IF_Ext = Interface Externa (Internet)
nat on $IF_Ext from any to any -> ($IF_Ext)
rdr pass on { $IF_Int1 $IF_Int2 } proto tcp from any to any port 21 ->
127.0.0.1 port 8021
block             out on $IF_Ext           all
block             in  on $IF_Ext           all
pass quick on $IF_Ext proto tcp from any port > 49151 to any \
   flags S/SA keep state
pass out quick on $All_IF_Ext inet proto tcp from any \
   to any port { ftp ftp-data 80 5432 1433 } flags S/SA modulate state

Eu uso o ftp-proxy, funciona perfeitamente

Essa é a parte fácil. A parte difícil é:

Eu quero que o Ip 10.45.23.5 que faz parte da Rede 1 possa passar
livremente pelo firewall, ou seja, que ele não fique restrito apenas
ao acesso da porta 80, 5432, 1433, ftp, ftp-data

Tem como fazer isso?

Se eu fizer o bloqueio nas **interfaces Internas**, e liberar apenas
as portas 80, 5432, 1433, ftp, ftp-data e as portas > 49151... e para
o IP 10.45.23.5 eu liberasse tudo na **Interface Interna**... e não
bloqueasse nada (para todos) na **interface externa**, então eu
conseguiria fazer o que eu quero, exceto que... deste modo os outros
clientes não conseguem transferir usando ftp.

Conseguem conectar no ftp, mas não transferir dados, pois apesar de eu
permitir portas > 49151 (que é usado pelo ftp-proxy)... os clientes da
rede interna conectam-se com o ftp-proxy por portas aleatórias. e
essas estariam bloqueadas para todos (menos para o 10.45.23.5)

O que resolveria meu problema, creio eu, seria se eu pudesse falar algo do tipo:
pass quick on $IF_Ext from 10.45.23.5 to any keep state

O problema é que na interface externa não chega o ip 10.45.23.5, por
causa do NAT, né?

Então... teria como eu marcar os pacotes deste ip na interface interna
e liberar esses pacotes marcados na interface externa?

Muito Obrigado, pessoal.

-- 
Marcelo Rossi
"This e-mail is provided "AS IS" with no warranties, and confers no rights."

Mais detalhes sobre a lista de discussão freebsd