[FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU)
Wildes Miranda de Oliveira
gowmo em itecgyn.com.br
Quinta Outubro 2 08:35:32 BRT 2008
A minha configuracao funcionou. Tanto UDP quanto TCP.
Estava tendo dificuldades porque esta redirecionado os pacotes para uma rede DMZ.
Entao tambem tive que fazer uma regra reply-to na interface de acesso a DMZ.
ficou td +- assim :
route0="(" $ext_if0 $router0 ")"
route1="(" $ext_if1 $router1 ")"
rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag ROUTE0 -> $web_server
rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag ROUTE1 -> $web_server
pass in quick on $ext_if0 reply-to $route0 proto {tcp,udp} from any to $ext_ip0 keep state
pass in quick on $ext_if1 reply-to $route1 proto {tcp,udp} from any to $ext_ip1 keep state
#The reply-to option is similar to route-to, but routes packets that
#pass in the ***opposite*** direction (replies) to the specified inter-
#face.
pass out quick on $dmz_if reply-to $route0 from any to any tagged ROUTE0 keep state
pass out quick on $dmz_if reply-to $route1 from any to any tagged ROUTE1 keep state
pass out on $ext_if0 route-to $ext_if1 from $ext_if1 to any
pass out on $ext_if1 route-to $ext_if0 from $ext_if0 to any
basicamento o segredo estava na direcao da regra da interface dmz. na configuracao anterior
anterior eu estava coloando "pass in".
valeu ...!
----- Mensagem original -----
De: "Alexandre Biancalana" <biancalana em gmail.com>
Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" <freebsd em fug.com.br>
Enviadas: Quarta-feira, 1 de Outubro de 2008 17:23:15 GMT -03:00 Argentina
Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros <welkson em focusautomacao.com.br> wrote:
> Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um
> exemplo com udp, porque aqui não funciona nem a pau... =)
>
> Coloca xxx nos ips em produção.
>
> Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para
> udp, e de 65517 para 1194
>
> # tcp que funciona
>
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to
>
> any port 65517 keep state
>
> # udp que NAO funciona
> pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to
> any port 1194 keep state
>
Manda seu pf.conf completo.
O que pode estar acontecendo é que o pf cria o estado pela ultima
regra que fizer o match ou seja, se você tem a regra com reply-to e
depois tem uma com o pass normal ele cria o estado pela ultima regra e
não funciona mesmo.
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Wildes Miranda
Mais detalhes sobre a lista de discussão freebsd