[FUG-BR] RES: RDR no PF
Marcos de Jesus Faria
marcos em pompom.com.br
Terça Junho 26 16:30:10 BRT 2007
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome de Lutieri G.
> Enviada em: terça-feira, 26 de junho de 2007 14:10
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: [FUG-BR] RDR no PF
>
> To montando um firewall e está assim:
>
> srv# pfctl -sn
> No ALTQ support in kernel
> ALTQ related functions disabled
> nat pass on em1 inet all -> 201.xx.xx.161
> rdr on em1 inet proto tcp from any to 201.xx.xx.161 port = ftp ->
> 172.16.4.2 port 21
**** Subistitua por essa a sua regra de rdr.
rdr on em1 inet proto tcp from any to 201.xx.xx.161 port 20,21 -> 172.16.4.2 port 20,21
**** Adiciona essa:
rdr on em1 proto tcp from 172.16.4.2 to any port 21 -> 127.0.0.1 port 8021
pass in all keep state # Somente para teste
pass out all keep state # Somente para teste
**** descomentar a linha abaixo no /etc/inetd.conf e restartar o serviço.
ftp-proxy stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy
> srv#
>
>
> srv# pfctl -sr
> No ALTQ support in kernel
> ALTQ related functions disabled
> pass in all keep state
> pass out all keep state
> pass in on em0 inet proto tcp from <acessolocal> to 172.16.4.240 port
> = ssh keep state
> srv#
>
> Empaquei aqui. Olha a situação:
>
>
> eu estou na máquina 201.xx.x.5(uma máquina na internet) tentando
> acessar o firewall(201.xx.xx.161) que deveria redirecionar a conexao
> ftp para 172.16.4.2.
>
> Não vai de jeito nenhum ... cheguei a liberar tudo pra ver se funciona e nada.
> Li nos histórico da lista mas não encontrei a solução, não pro meu caso.
>
> O mais interessantes é que as regras estão passado pelos filtros. Pois
> quando eu vou na estação quem tá rodando o ftp(172.16.4.2) e rodo o
> tcpdump eu vejo pacotes vindos do IP remoto de onde eu tento acessar.
>
> local# tcpdump -n host 201.xx.x.5
>
> 13:52:13.368172 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> 1550150509:1550150509(0) ack 2596759555 win 5792 <mss
> 1460,sackOK,timestamp 10779497[|tcp]>
>
> 13:52:16.348249 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> 1550150509:1550150509(0) ack 2596759555 win 5792 <mss
> 1460,sackOK,timestamp 10779795[|tcp]>
>
> 13:52:17.361694 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> 1550150509:1550150509(0) ack 2596759555 win 5792 <mss
> 1460,sackOK,timestamp 10779897[|tcp]>
>
> 13:52:23.361246 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> 1550150509:1550150509(0) ack 2596759555 win 5792 <mss
> 1460,sackOK,timestamp 10780497[|tcp]>
>
> 13:52:35.560319 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> 1550150509:1550150509(0) ack 2596759555 win 5792 <mss
> 1460,sackOK,timestamp 10781717[|tcp]>
>
> 13:52:59.558496 IP 172.16.4.2.21 > 201.xx.x.5.51007: S
> 1550150509:1550150509(0) ack 2596759555 win 5792 <mss
> 1460,sackOK,timestamp 10784117[|tcp]>
>
>
> Porém me parece, talvez eu esteja errado(tomara que sim), que a
> estação 172.16.4.2 está enviando pacotes SYN para a máquina remota
> 201.xx.x.5. e mais estranho que eu num vejo os pacotes vindo da
> máquina externa só indo para ela.
>
> Alguma sugestão?
>
> É incrível mas tem meia dúzia de linhas e não funciona... por favor se
> alguém puder ajudar fico grato.
>
> --
> Att.
> Lutieri G. B.
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd