[FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU)

Wildes Miranda de Oliveira gowmo em itecgyn.com.br
Quinta Outubro 2 08:35:32 BRT 2008


A minha configuracao funcionou. Tanto UDP quanto TCP. 
Estava tendo dificuldades porque esta redirecionado os pacotes para uma rede DMZ. 
Entao tambem tive que fazer uma regra reply-to na interface de acesso a DMZ. 
ficou td +- assim : 

route0="(" $ext_if0 $router0 ")" 
route1="(" $ext_if1 $router1 ")" 

rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag ROUTE0 -> $web_server 
rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag ROUTE1 -> $web_server 

pass in quick on $ext_if0 reply-to $route0 proto {tcp,udp} from any to $ext_ip0 keep state 
pass in quick on $ext_if1 reply-to $route1 proto {tcp,udp} from any to $ext_ip1 keep state 


#The reply-to option is similar to route-to, but routes packets that 
#pass in the ***opposite*** direction (replies) to the specified inter- 
#face.
pass out quick on $dmz_if reply-to $route0 from any to any tagged ROUTE0 keep state 
pass out quick on $dmz_if reply-to $route1 from any to any tagged ROUTE1 keep state 

pass out on $ext_if0 route-to $ext_if1 from $ext_if1 to any 
pass out on $ext_if1 route-to $ext_if0 from $ext_if0 to any 

basicamento o segredo estava na direcao da regra da interface dmz. na configuracao anterior
anterior eu estava coloando "pass in".

valeu ...!

----- Mensagem original ----- 
De: "Alexandre Biancalana" <biancalana em gmail.com> 
Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" <freebsd em fug.com.br> 
Enviadas: Quarta-feira, 1 de Outubro de 2008 17:23:15 GMT -03:00 Argentina 
Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) 

On 10/1/08, Welkson Renny de Medeiros <welkson em focusautomacao.com.br> wrote: 
> Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um 
> exemplo com udp, porque aqui não funciona nem a pau... =) 
> 
> Coloca xxx nos ips em produção. 
> 
> Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para 
> udp, e de 65517 para 1194 
> 
> # tcp que funciona 
> 
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to 
> 
> any port 65517 keep state 
> 
> # udp que NAO funciona 
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to 
> any port 1194 keep state 
> 

Manda seu pf.conf completo. 

O que pode estar acontecendo é que o pf cria o estado pela ultima 
regra que fizer o match ou seja, se você tem a regra com reply-to e 
depois tem uma com o pass normal ele cria o estado pela ultima regra e 
não funciona mesmo. 
------------------------- 
Histórico: http://www.fug.com.br/historico/html/freebsd/ 
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 


-- 
Wildes Miranda 



Mais detalhes sobre a lista de discussão freebsd