[FUG-BR] IPFIREWALL_NAT sem PUNCH_FW

Trober trober em trober.com
Domingo Maio 24 17:43:05 BRT 2009


Olá a todos.

Estou montando um servidor FreeBSD 7.2 Stable (amd64) para testes, já
visionando substituição para os outros servidores em operação, rodando
FreeBSD 6.4 Stable (i386).

Um dos objetivos é abolir o natd e adotar o IPFIREWALL_NAT, que além de
mais eficaz[1][2], também pode concentrar regras de NAT e firewall num só
lugar (low overhead!).

A conversão de regras de /etc/natd.conf para IPFIREWALL_NAT foi muito
tranquila, porém, não encontrei a opção de configuração punch_fw, como
existente no natd, na enumeração "Option" e na estrutura "OptionInfo
OptionTable" (/usr/src/sbin/natd/natd.c).

Consultei então o código de /usr/src/sbin/ipfw/nat.c, e lá encontrei
somente as seguintes opções de nat: ip, if, log, deny_in, same_ports,
unreg_only, reset, reverse, proxy_only, redirect_addr, redirect_port e
redirect_proto. E nada do punch_fw.

Igor Konstantinov sugere carregar alias_ftp[3] (alias_ftp_load="YES", no
/boot/loader.conf). Testei e não fez diferença, já que, ao contrário do
que ocorre no punch_fw, não foram automaticamente geradas regras
temporárias (que possibilitam o transporte de dados durante a atividade de
transferência FTP/DCC).

Sendo assim, considerando que não quero abrir estaticamente uma faixa
(range) de portas para transferência passiva (o que é uma prática não
muito saudável[4]) e considerando que não tenho qualquer plano de usar um
"ftp proxy", pergunto: Há alternativa similar ao punch_fw no uso de
IPFIREWALL_NAT?

Desde já agradeço.

[1] http://forums.freebsd.org/showthread.php?t=2460
[2] http://forum.lissyara.su/viewtopic.php?f=8&t=15835#p152225
[3] http://www.myoguz.info/2008/10/17/freebsd-7x-kernel-nat/
[4] http://www.rnp.br/newsgen/0011/ftp-passivo.html#ng-3-2

Saudações,

Trober
-
-
-
-
-






Mais detalhes sobre a lista de discussão freebsd