RES: [FUGSPBR] BRIDGE+FIREWALL - CASO COMPLICADO

Edson Brandi Edson.Brandi em corp.ibest.com.br
Seg Maio 6 13:05:56 BRT 2002 

So complementando, sugiro que voce faça um cvsup nesta maquina e atualize
ela para 4.6 prerelease, foi realizada uma mudança no codigo de bridge que
melhorou em muito o desempenho do FreeBSD como Bridge.

Edson

-----Mensagem original-----
De: Eduardo Augusto Alvarenga [mailto:eduardo em thrx.dyndns.org]
Enviada em: segunda-feira, 6 de maio de 2002 12:57
Para: fugspbr em fugspbr.org
Assunto: Re: [FUGSPBR] BRIDGE+FIREWALL - CASO COMPLICADO


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Mon, 6 May 2002, FreeBSD User wrote:

[snip]
> - Tem uma maquina na rede num IP real, nao tenho
> acesso a essa maquina e preciso bloquear o acesso
> ssh na mesma.
>
> Ja ouvi falar que a configuracao de bridge resolve isso nao ?
> Pois nao preciso de mais ips reais e posso por esse brigde
> antes da maquina e bloquear as portas que quero nao ?

Correto.

> Alem disso preciso ativar uma outra rede num outro ip.
> Tenho so uma maquina para fazer isso.
> Preciso por 3 placas de rede, 2 para o bridge e uma para
> a outra rede. Correto ?

Correto, conecte um NIC no servidor a ser bloqueado, outro NIC na mesma
rede da máquina bloqueada e outro NIC na outra rede.

> Ta mas para montar o bridge, tenho que recompilar o kernel
> com as opcoes para o ipfw e bridge correto ?

Correto. As opcoes sao:

options BRIDGE
options IPFIREWALL
options IPFIREWALL_DEFAULT_TO_ACCEPT

> Ta, mas e como eu configuro as placas de rede no rc.conf ?
> Preciso por IP la ?

Não, simplismente deixe vazio e habilite o bridging(com filtro).

- - sysctl.conf:
net.link.ether.bridge_ipfw=1

> E como faco com o natd da outra rede ?
> O bridge nao usa natd ?

Não, como a bridge não possui endereos IPs, não é possível fazer qualquer
tipo de roteamento, incluindo NAT.

Para habilitar NAT na sua rede com IPs:

- - rc.conf:
firewall_enable="YES"
firewall_type="open"
firewall_quiet="NO"
natd_enable="YES"
natd_interface="ed0" (substitua por sua interface)
natd_flags="-m -s"

> Alguem sabe de um howto de como fazer isso ou pode me dar
> as dicas.

http://www.freebsdhowtos.com/105.html
Mais dicas no mesmo site.


Atenciosamente,

- -- 
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
 Eduardo A. Alvarenga - Analista de Suporte #179653
 Secretaria de Segurança  Pública do Estado do Pará
      Belém - Pará - (91) 223-4996 / 272-1611
 eduardo em thrx.dyndns.org  / eduardo em segup.pa.gov.br
- -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE81qfmpKK2uJoGDlMRAkNjAJ95TwO8lXH9DsMyppjNfAJvjA/7xwCfdySE
AICXMsg0ACEnsyPaeMYLDyY=
=KPTY
-----END PGP SIGNATURE-----


----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.

Mais detalhes sobre a lista de discussão freebsd