[FUG-BR] duvida pf / rotas [RESOLVIDO]

Adalberto Gonçalves adalberto em bsd.com.br
Sexta Maio 24 12:53:22 BRT 2013


Em 24 de maio de 2013 11:39, Denis Granato <denisgranato em gmail.com>escreveu:

> 2013/5/24 Denis Granato <denisgranato em gmail.com>
>
> >
> >
> >
> > 2013/5/24 Adalberto Gonçalves <adalberto em bsd.com.br>
> >
> >> Em 24 de maio de 2013 10:28, Denis Granato <denisgranato em gmail.com
> >> >escreveu:
> >>
> >> > Bom dia senhores,
> >> >
> >> > É possivel eu realizar rotas baseadas em porta de origem ? Tenho um
> >> > firewall aqui
> >> > com 2 saidas pra internet e gostaria que sempre que ele recebesse uma
> >> > conexão
> >> > na porta 20000 (VPN) ele "saisse" pelo gateway da internet 2
> >> >
> >> > Obrigado e bom dia a todos
> >> > -------------------------
> >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> >
> >>
> >> Você pode usar o esquema de reply-to do PF. Seria mais ou menos assim:
> >>
> >> link_if="bce1" # Interface
> >> link_gw="201.xx.xx.xx" # GW da Interface
> >> vpn_port="1194" # Porta VPN
> >>
> >> pass in quick on $link_if reply-to ($link_if $link_gw) proto udp from
> any
> >> to port $vpn_port keep state
> >>
> >> No caso de ser openvpn, tem que setar o "bind" no arquivo de
> configuração:
> >>
> >> local 201.xx.xx.xx # Interface por onde o openvpn vai escutar.
> >>
> >> [ ]'s
> >>
> >> --
> >> ===============================================
> >> Adalberto Gonçalves - Network and Systems Administrator
> >> Tel: 19 3351 3301
> >> Cel: 19 9132 7538
> >> ===============================================
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> >
> > Blz Adalberto , vou testar aqui. Isso mesmo é OpenVPN
> >
> > abs
> >
> >
> Adalberto, funcionou exatamente com essa regra que você passou.
>
> Estranhamente, na minha rede interna ainda não está funcionando quando eu
> aponto
> pro IP_INTERNO 1194 só no IP_EXTERNO 1194, sabe o que pode ser?
>
> Obrigado
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Desculpa Denis não entendi, como assim da rede interna? Se for como estou
pensando, você pode fazer uma exceção para uma tabela com teus endereços
externos, nas suas regras de pass in $interface_interna, por exemplo:

table <external_addr> { 201.xx.xx.xx }
internal_net="192.168.1.0/24"

pass in quick on $int_if proto tcp route-to ($link_if $link_gw) from
$internal_net to ! <external_addr>  modulate state

Eu não lembro direito a sintaxe, pois eu uso setfib no lugar de route-to.

[ ]'s

-- 
===============================================
Adalberto Gonçalves - Network and Systems Administrator
Tel: 19 3351 3301
Cel: 19 9132 7538
===============================================


Mais detalhes sobre a lista de discussão freebsd