[FUG-BR] PF: Marcar Pacotes. Anchors?
Marcelo/Porks
marcelorossi em gmail.com
Terça Dezembro 4 16:51:19 BRST 2007
On Dec 4, 2007 2:58 PM, Giancarlo Rubio <gianrubio at gmail.com> wrote:
> Fala porks
Opa!
> eu nao entendi direito o que vc quer, mais uma regra especifica de nat
> para esse kra nao resolveria seu problema?
Perai... eu tô boiando ou:
Você está falando para eu fazer nat para todo mundo apenas para as
portas 80, 5432, 1433
e para esse cara (IP interno que eu quero liberar tudo) eu fazer o nat
de todas as portas?
Algo como:
nat on $IF_Ext from 10.45.23.5 to any -> ($IF_Ext)
nat on $IF_Ext from any to any port 80, 5432, 1433 -> ($IF_Ext)
é isso?
Me pergunto como eu não pensei em algo tão simples...
Valeu, Giancarlo!
Vou testar aqui...
> Em 04/12/07, Marcelo/Porks<marcelorossi at gmail.com> escreveu:
>
> > Senhores, alguém já fez algo deste tipo com o PF?
> >
> > IF_Int1 = Interface interna da rede 1
> > IF_Int2 = Interface interna da rede 2
> > IF_Ext = Interface Externa (Internet)
> > nat on $IF_Ext from any to any -> ($IF_Ext)
> > rdr pass on { $IF_Int1 $IF_Int2 } proto tcp from any to any port 21 ->
> > 127.0.0.1 port 8021
> > block out on $IF_Ext all
> > block in on $IF_Ext all
> > pass quick on $IF_Ext proto tcp from any port > 49151 to any \
> > flags S/SA keep state
> > pass out quick on $All_IF_Ext inet proto tcp from any \
> > to any port { ftp ftp-data 80 5432 1433 } flags S/SA modulate state
> >
> > Eu uso o ftp-proxy, funciona perfeitamente
> >
> > Essa é a parte fácil. A parte difícil é:
> >
> > Eu quero que o Ip 10.45.23.5 que faz parte da Rede 1 possa passar
> > livremente pelo firewall, ou seja, que ele não fique restrito apenas
> > ao acesso da porta 80, 5432, 1433, ftp, ftp-data
> >
> > Tem como fazer isso?
> >
> > Se eu fizer o bloqueio nas **interfaces Internas**, e liberar apenas
> > as portas 80, 5432, 1433, ftp, ftp-data e as portas > 49151... e para
> > o IP 10.45.23.5 eu liberasse tudo na **Interface Interna**... e não
> > bloqueasse nada (para todos) na **interface externa**, então eu
> > conseguiria fazer o que eu quero, exceto que... deste modo os outros
> > clientes não conseguem transferir usando ftp.
> >
> > Conseguem conectar no ftp, mas não transferir dados, pois apesar de eu
> > permitir portas > 49151 (que é usado pelo ftp-proxy)... os clientes da
> > rede interna conectam-se com o ftp-proxy por portas aleatórias. e
> > essas estariam bloqueadas para todos (menos para o 10.45.23.5)
> >
> > O que resolveria meu problema, creio eu, seria se eu pudesse falar algo do tipo:
> > pass quick on $IF_Ext from 10.45.23.5 to any keep state
> >
> > O problema é que na interface externa não chega o ip 10.45.23.5, por
> > causa do NAT, né?
> >
> > Então... teria como eu marcar os pacotes deste ip na interface interna
> > e liberar esses pacotes marcados na interface externa?
> >
> > Muito Obrigado, pessoal.
> >
> > --
> > Marcelo Rossi
> > "This e-mail is provided "AS IS" with no warranties, and confers no rights."
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
> --
> Giancarlo Rubio
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Marcelo Rossi
"This e-mail is provided "AS IS" with no warranties, and confers no rights."
Mais detalhes sobre a lista de discussão freebsd