[FUGSPBR] problemas com a regra "ipfw add fwd ..."

Ronan Lucio ronan em melim.com.br
Ter Jul 31 09:10:06 BRT 2001 

Jean,

Eu não trabalho com transparente proxy, mas gostaria
de fazer algumas observações:

> Boa noite,
>
> Estou tendo problemas realmente estranhos com a regra citada acima e se
> alguem soubesse oq eh ficaria grato.
>
> Bom, o problema eh o seguinte, tenho um servidor configurado para limitar
> a banda da classe 192.168.2.0/24 a 128k, tanto para download como para
> upload. as regras usadas por mim sao:
>
>         ipfw add 1 pipe 10 tcp from any to 192.168.2.0/24 out
>         ipfw add 2 pipe 11 tcp from 192.168.2.0/24 to any in
>         ipfw pipe 10 config bw 128Kbit/s
>         ipfw pipe 11 config bw 128Kbit/s

Acho que você não deveria colocar o número das regras ou
pelo menos não deveria colocar números tão baixos pois o rc.firewall
adiciona umas regras padrão como:

pass all from any to any via lo0
deny all from 127.0.0.0/8 to any

Regras para impedir que alguém ataque a sua máquina modificando
o cabeçalho ip dizendo que está vindo do localhost.
Acho que qualquer regra deverá ser adicionada antes disto.

Outra coisa:
Se você tem o nat rodando para fornecer acesso a internet, esta
regra esta meio estranha, tente mudar para:

ipfw add pipe 10 tcp from any to 192.168.2.0/24
ipfw add pipe 11 tcp from 192.168.2.0/24 to any

ou

ipfw add pipe 10 tcp from any to 192.168.2.0/24 in
ipfw add pipe 11 tcp from 192.168.2.0/24 to any out

E certifique-se que elas estão antes do divert.

> Tudo funciona bem, ate o momento que adiciono a seguinte regra:
>
> ipfw add 202 fwd 192.168.1.1,80 tcp from 192.168.2.1 to any

Aqui você esta direcionando toda e qualquer solicitação de 192.168.2.1
para 192.168.1.1 na porta 80 independente da porta, creio que você
deveria alterar para

ipfw add 202 fwd 192.168.1.1,80 tcp from 192.168.2.1 to any 80

Ai você irá direcionar somente as requisições tcp para a porta 80

[ ]´s

Ronan Lucio
Melim Internet Provider

> O que ele deveria fazer eh direcionar qqer tentativa de conexao do IP
> 192.168.2.1 para a porta 80 do IP do servidor q eh 192.168.1.1.
>
> Mas nao eh isso que acontece, apesar de adicionada a regra, tudo que o IP
> 192.168.2.1 tenta acessar ele consegue normalmente, nao sendo direcionado
> assim para a porta 80 do IP 192.168.1.1.
>
> Mas o que eh realmente estranho eh que se deleto somente a regra:
>
> ipfw add 2 pipe 11 tcp from 192.168.2.0/24 to any in
>
> Tudo funciona normalmente.
>
>
> Agora vamos a outro ponto estranho, tb com a regras "ipfw add fwd..."
>
> Em um servidor se tenho as regras:
>
> /sbin/ipfw add 10 fwd 192.168.1.1,80 tcp from 192.168.2.1 to any 80
> e
> /sbin/ipfw add 11 deny tcp from any to 192.168.2.1
>
> Ele so consegue bloquear qqer entrada tcp para o IP, novamente nao
> consegue-se fazer o direcionamento, mesmo se eu digitar:
>
> ipfw add allow tcp 192.168.1.1 to 192.168.2.1
>
> liberando assim a entrada tcp do 192.168.1.1
>
> Deveria funcionar, mas so esta fazendo uma coisa ou outra.
>
> Espero ter sido o mais claro possivel, me desculpem o tamanho do email.
>
> Agradeco qqer ajuda.
>
> Atenciosamente
> Jean Milanez Melo
> Network/System Administrator
> FreeBSD The Power To Serve
>
>
> ----
> Para sair da lista envie um e-mail para majordomo em fugspbr.org
> com as palavras "unsubscribe fugspbr" no corpo da mensagem.
>
>

----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.

Mais detalhes sobre a lista de discussão freebsd