[FUG-BR] PF: Marcar Pacotes. Anchors?

Giancarlo Rubio gianrubio em gmail.com
Terça Dezembro 4 14:58:36 BRST 2007 

Fala porks

eu nao entendi direito o que vc quer, mais uma regra especifica de nat
para esse kra nao resolveria seu problema?

Em 04/12/07, Marcelo/Porks<marcelorossi em gmail.com> escreveu:
> Senhores, alguém já fez algo deste tipo com o PF?
>
> IF_Int1 = Interface interna da rede 1
> IF_Int2 = Interface interna da rede 2
> IF_Ext = Interface Externa (Internet)
> nat on $IF_Ext from any to any -> ($IF_Ext)
> rdr pass on { $IF_Int1 $IF_Int2 } proto tcp from any to any port 21 ->
> 127.0.0.1 port 8021
> block             out on $IF_Ext           all
> block             in  on $IF_Ext           all
> pass quick on $IF_Ext proto tcp from any port > 49151 to any \
>    flags S/SA keep state
> pass out quick on $All_IF_Ext inet proto tcp from any \
>    to any port { ftp ftp-data 80 5432 1433 } flags S/SA modulate state
>
> Eu uso o ftp-proxy, funciona perfeitamente
>
> Essa é a parte fácil. A parte difícil é:
>
> Eu quero que o Ip 10.45.23.5 que faz parte da Rede 1 possa passar
> livremente pelo firewall, ou seja, que ele não fique restrito apenas
> ao acesso da porta 80, 5432, 1433, ftp, ftp-data
>
> Tem como fazer isso?
>
> Se eu fizer o bloqueio nas **interfaces Internas**, e liberar apenas
> as portas 80, 5432, 1433, ftp, ftp-data e as portas > 49151... e para
> o IP 10.45.23.5 eu liberasse tudo na **Interface Interna**... e não
> bloqueasse nada (para todos) na **interface externa**, então eu
> conseguiria fazer o que eu quero, exceto que... deste modo os outros
> clientes não conseguem transferir usando ftp.
>
> Conseguem conectar no ftp, mas não transferir dados, pois apesar de eu
> permitir portas > 49151 (que é usado pelo ftp-proxy)... os clientes da
> rede interna conectam-se com o ftp-proxy por portas aleatórias. e
> essas estariam bloqueadas para todos (menos para o 10.45.23.5)
>
> O que resolveria meu problema, creio eu, seria se eu pudesse falar algo do tipo:
> pass quick on $IF_Ext from 10.45.23.5 to any keep state
>
> O problema é que na interface externa não chega o ip 10.45.23.5, por
> causa do NAT, né?
>
> Então... teria como eu marcar os pacotes deste ip na interface interna
> e liberar esses pacotes marcados na interface externa?
>
> Muito Obrigado, pessoal.
>
> --
> Marcelo Rossi
> "This e-mail is provided "AS IS" with no warranties, and confers no rights."
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


-- 
Giancarlo Rubio

Mais detalhes sobre a lista de discussão freebsd