[FUG-BR] IPFW e redirecionamento de portas com nat e ppp, argggg

Mario Augusto Mania m3.bsd.mania em gmail.com
Sexta Setembro 3 19:45:09 BRT 2010


Cara

Se vc precisa configurar algum redir de nat no modem, ou ateh mesmo
dmz, significa que o o ip internet abre porta q precisa ser acessada
por alguem  "de fora".

Passa ae o q vc faz no modem, q a gente traduz pra natd.conf

m3

Em 3 de setembro de 2010 15:07, Leonardo Augusto <lalinden em gmail.com> escreveu:
> Opa,
>
> Obrigado pela resposta, mas...
>
> A conexao com o modem é via PPPoe, nao é dhcp...
>
> Segue o ifconfig desse servidor:
>
> em0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric
> 0 mtu 1500
>        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
>        ether 00:0f:1f:f9:f4:10
>        inet 10.10.10.1 netmask 0xffffff00 broadcast 10.10.10.255
>        inet 10.10.10.4 netmask 0xffffff00 broadcast 10.10.10.255
>        media: Ethernet 100baseTX <full-duplex>
>        status: active
> ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
> lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
>        options=3<RXCSUM,TXCSUM>
>        inet 127.0.0.1 netmask 0xff000000
> tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
>        inet 189.25.108.69 --> 200.222.118.26 netmask 0xffffffff
>        Opened by PID 1867
>
>
> O problema é redirecionar a porta 7869 da rede 10.10.10.x via a tun0....
>
> Segue o ipfw list:
>
> 00100 allow ip from any to any via lo0
> 00200 deny ip from any to 127.0.0.0/8
> 00300 deny ip from 127.0.0.0/8 to any
> 00400 fwd 10.10.10.1,3128 tcp from 10.10.10.0/24 to any dst-port 80
> # para o squid....
> 00500 divert 8668 ip from any to any via tun0
> 65535 allow ip from any to any
>
>
> Voce conseguiu entender o cenário ?
> Em casa eu tenho modem que faz dhcp, aí no modem eu redireciono a
> porta a funciona, mas aqui
> na empresa é via ppp a conexao do gateway bsd com o modem...
>
> []'s
>
>
>
>
>
> 2010/9/2 Mario Lobo <lobo em bsd.com.br>:
>> On Thursday 02 September 2010 19:22:37 Leonardo Augusto wrote:
>>> Entao,
>>>
>>> Nao sei se da pra configurar esse modem como bridge, eu conecto nele via
>>> ppp.
>>>
>>> Nao tem jeito de fazer assim ?
>>>
>>> 2010/9/2 Mario Lobo <lobo em bsd.com.br>:
>>> > On Thursday 02 September 2010 12:15:42 Leonardo Augusto wrote:
>>> >> Bom,
>>> >>
>>> >> Só nat nao funciona, tem que ser feita alguma coisa, pois quado
>>> >> conecto o notebook diretamente no
>>> >> modem da gvt, eu faco o direcionamento das portas no modem e entao o
>>> >> sistema funciona, pois o notebook
>>> >> fica com ip 192.168.xxx, o debug externo tem ip válido e fixo.
>>> >>
>>> >> Entao nao sei que tipo de redirecionamento o modem da gvt faz, pois
>>> >> quando faco isso funciona.
>>> >>
>>> >> Acredito que tem que ser feito isso no gateway do bsd tambem, pois o
>>> >> cenário é parecido.
>>> >>
>>> >> Como eu já disse, apenas o redirect port no natd.conf nao funciona.
>>> >>
>>> >> Eu vi um exemplo onde se poria mais um divert no ipfw para a porta
>>> >> 7869.. mas tambem nao funciona.
>>> >>
>>> >> :(
>>> >>
>>> >> 2010/9/2 Anderson Eduardo <listas em secover.com.br>:
>>> >> > Em 2/9/2010 11:33, Leonardo Augusto escreveu:
>>> >> >> Entao, desculpe a falta de clareza, vamos la:
>>> >> >>
>>> >> >> O servidor debug está na "rua" na porta 7869.
>>> >> >>
>>> >> >> O client que vai utilizar o debug esta na rede interna atraz dum
>>> >> >> gateway freebsd:
>>> >> >>
>>> >> >> gateway bsd ip interno =>  10.10.10.1
>>> >> >> gateway bsd ip externo =>  tun0, muda todos os dias (ppp)
>>> >> >>
>>> >> >> maquinas da rede interna =>  10.10.10.xx
>>> >> >>
>>> >> >> O que preciso é que a maquina da rede interna acesse a maquina
>>> >> >> externa do debug pegando
>>> >> >> o IP do tun0, no caso é um redirecionamento mesmo, da porta 7869.
>>> >> >>
>>> >> >> O /etc/natd.conf esta assim :
>>> >> >>
>>> >> >> interface tun0
>>> >> >> port 8668
>>> >> >> dynamic yes
>>> >> >> use_sockets yes
>>> >> >> same_ports yes
>>> >> >> redirect_port tcp 10.10.10.149:7869 7869
>>> >> >>
>>> >> >> E o ipfw rules assim:
>>> >> >>
>>> >> >> 00100 allow ip from any to any via lo0
>>> >> >> 00200 deny ip from any to 127.0.0.0/8
>>> >> >> 00300 deny ip from 127.0.0.0/8 to any
>>> >> >> 00400 fwd 10.10.10.1,3128 tcp from 10.10.10.0/24 to any dst-port 80
>>> >> >> 00500 divert 8668 ip from any to any via tun0
>>> >> >> 01100 allow ip from any to any
>>> >> >>
>>> >> >> E nao esta funcionando ainda,
>>> >> >> Alguma sugestao ?
>>> >> >>
>>> >> >> []'s
>>> >> >>
>>> >> >> 2010/9/1 Anderson Eduardo<listas em secover.com.br>:
>>> >> >>> Em 1/9/2010 13:42, Leonardo Augusto escreveu:
>>> >> >>>> Olá povo,
>>> >> >>>>
>>> >> >>>> Eu sou um retardado, peço desculpas por isso. Estou tentando fazer
>>> >> >>>> um redirecionamento de portas
>>> >> >>>> aqui e nao consigo de jeito nenhum.
>>> >> >>>>
>>> >> >>>> A situacao é a seguinte, tenho um gateway freebsd 8 para uma rede
>>> >> >>>> com maquinas windows, aí tem um
>>> >> >>>> servico de debug que usa a porta 7869, mas so funciona se a maquina
>>> >> >>>> cliente tem um ip roteavel para fora.
>>> >> >>>>
>>> >> >>>> Entao tenho que fazer com que "pareca" que a maquina da rede
>>> >> >>>> interna (10.10.10.55) seja vista com o ip
>>> >> >>>> da interface tun0 do ppp.
>>> >> >>>> O freebsd conecta num modem velox via ppp e entao temos a tun0 lá
>>> >> >>>> com o ip "real" do modem.
>>> >> >>>>
>>> >> >>>> Ja tentei por redirect_port no natd.conf e diverts no rc.ipfw de
>>> >> >>>> trocentas maneiras que achei no historico da lista
>>> >> >>>> e no google, mas nada funciona.
>>> >> >>>>
>>> >> >>>> O ipfw desse gateway esta assim:
>>> >> >>>>
>>> >> >>>> 00100 allow ip from any to any via lo0
>>> >> >>>> 00200 deny ip from any to 127.0.0.0/8
>>> >> >>>> 00300 deny ip from 127.0.0.0/8 to any
>>> >> >>>> 00400 fwd 10.10.10.1,3128 tcp from 10.10.10.0/24 to any dst-port 80
>>> >> >>>>  # SQUID 00500 divert 8668 ip from any to any via tun0
>>> >> >>>> 00700 deny udp from any to any dst-port 137-139 via tun0
>>> >> >>>> 00800 deny tcp from any to any dst-port 137-139 via tun0
>>> >> >>>> 00900 deny tcp from any to any dst-port 3306 via tun0
>>> >> >>>> 01000 deny udp from any to any dst-port 3306 via tun0
>>> >> >>>> 01100 deny tcp from any to any dst-port 2049 via tun0
>>> >> >>>> 01200 allow ip from any to any
>>> >> >>>>
>>> >> >>>> O natd.conf esta assim:
>>> >> >>>>
>>> >> >>>> cat /etc/natd.conf
>>> >> >>>> #
>>> >> >>>> # NAT
>>> >> >>>> #
>>> >> >>>> instance default
>>> >> >>>> interface tun0
>>> >> >>>> port 8668
>>> >> >>>> dynamic yes
>>> >> >>>> use_sockets yes
>>> >> >>>> same_ports yes
>>> >> >>>>
>>> >> >>>>
>>> >> >>>> Alguém já fez isso e tem como me dizer que regras por ali para que
>>> >> >>>> consiga fazer essa transparencia ?
>>> >> >>>> Ou um how to objetivo sobre o assunto, pois todos testes que fiz
>>> >> >>>> com divert, redirect, fwd, nada funciona.
>>> >> >>>> Entao fazer com que a estacao que conecte na porta 7869 pareca
>>> >> >>>> estar usando o ip externo do gateway, no caso do tun0 ?
>>> >> >>>>
>>> >> >>>> Obrigado
>>> >> >>>> -------------------------
>>> >> >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> >> >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> >> >>>
>>> >> >>> Qualquer redirecionamento, que funcione, vai ser transparente para
>>> >> >>> quem estiver acesso externamente.
>>> >> >>>
>>> >> >>> Para mim, faltou você explicar um pouco melhor o seu cenário, não
>>> >> >>> deu para ficar claro de onde-para-onde você esta tentando
>>> >> >>> acessar.(Mas vou chutar)
>>> >> >>>
>>> >> >>> Acredito que o servidor (debug) esteja fora da sua rede, você tem um
>>> >> >>> cliente atrás de um freebsd que precisa acessar esse servidor de
>>> >> >>> debug?
>>> >> >>>
>>> >> >>> Se for isso, não precisa de redirecionamento nenhum, apenas NAT.
>>> >> >>>
>>> >> >>> Desculpa qualquer coisa.
>>> >> >>>
>>> >> >>> --
>>> >> >>> Anderson Eduardo
>>> >> >>> Diretor Geral
>>> >> >>> Tel.: +55 (71) 3641-6450
>>> >> >>>
>>> >> >>> Secover - Serviços em Tecnologia e Segurança da Informação
>>> >> >>> http://www.secover.com.br
>>> >> >>> -------------------------
>>> >> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> >> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> >> >>
>>> >> >> -------------------------
>>> >> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> >> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> >> >
>>> >> > Cara,
>>> >> >
>>> >> > Isso não é um redirecionamento, é apenas NAT, seria um
>>> >> > redirecionamento se invertesse o seu cenário, o host externo tentasse
>>> >> > acessar o host interno.
>>> >> >
>>> >> > E isso de pegar o IP da interface(tun0) faz parte do NAT por padrão.
>>> >> >
>>> >> > --
>>> >> > Anderson Eduardo
>>> >> > Diretor Geral
>>> >> > Tel.: +55 (71) 3641-6450
>>> >> >
>>> >> > Secover - Serviços em Tecnologia e Segurança da Informação
>>> >> > http://www.secover.com.br
>>> >> > -------------------------
>>> >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> >>
>>> >> -------------------------
>>> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> >
>>> > Não sei se eu entendi bem mas ta me parecendo que o modem está
>>> > configurado como router. De fato desta forma, voce terá 2 nats no
>>> > caminho e assim 2 redirecionamentos a serem feitos.
>>> >
>>> > Cofigura o teu modem como bridge que o Free vai pegar um IP válido e o
>>> > redirect ai vai funcionar.
>>> > --
>>> > Mario Lobo
>>> > http://www.mallavoodoo.com.br
>>> > FreeBSD since 2.2.8 [not Pro-Audio.... YET!!] (99% winfoes FREE)
>>> > -------------------------
>>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> Pelo menos aqui em recife, a GVT, a pedido do cliente, configura o modem no
>> modo bridge.
>>
>> Em todo caso, apesar de eu achar contraproducente, voce pode usar os 2
>> redirects.
>>
>> Bota o free num IP fixo na lan do modem, redireciona no modem aporta que voce
>> quer para o IP do Free, e no Free redireciona essa porta para o IP da maquina
>> na lan dele. Veja que voce vai ter 3 redes:
>>
>> Internet -- [modem] -- lan modem -- [Free] -- lan do Free
>>
>> xx.xx.xx.xx            192.168.x.x            172.16.x.x
>>
>> O nat/redirect do modem e o nat/redirect do free
>>
>> è meio bagaceira mas deve funcionar.
>>
>> --
>> Mario Lobo
>> http://www.mallavoodoo.com.br
>> FreeBSD since 2.2.8 [not Pro-Audio.... YET!!] (99% winfoes FREE)
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Atenciosmente

Mario Augusto Mania <m3BSD>
-----------------------------------------------
m3.bsd.mania em gmail.com
Cel.: (43) 9938-9629
Msn: mario em oquei.com


Mais detalhes sobre a lista de discussão freebsd