RES: [FUGSPBR] Problemas com o NAT
Marcelo B.
marceloc em baydenet.com.br
Seg Abr 26 10:35:51 BRT 2004
entao, vou colar meu natd.conf pra voce.
use_sockets yes
interface xl0
unregistered_only yes
dynamic yes
same_ports yes
------------------------------------
agora algumas observacoes de como esta meu firewall,
essa e a primeira regra: pra fazer o nat na interface xl0.perceba que eu
nao declarei nenhuma classe exata.
pra evitar que minha rede 172. navegasse e os ips validos sairem
mascarados coloquei "unregistered_only" no conf
do natd, nao vem ao caso so pra nao complicar :).
ipfw add divert 8668 ip from any to any via xl0
depois essa regra se nao ninguem navega:
allow ip from any to 10.0.0.0/8 in via xl0
depois libera a saida:
allow ip from ip_da_xl0 to any out via xl0
allow ip from any to ip_da_xl0 in via xl0
liberando os ips interno:
ipfw add allow all from 10.x.x.x to any in via rl0
ipfw add allow all from any to 10.x.x.x out via rl0
e cobre a padrao com um log :
deny log ip from any to any
deny log ip from any to any
sendo assim inseguro, entao mudei o modelo do meu firewall, citei esta
forma porque funcionava antes
pode ser testado tambem.
Agora outra forma,
divert 8668 ip from any to any via xl0
allow ip from any to any out via xl0 keep-state
allow ip from any to 10.0.0.0/8 in via xl0
agora libera os ip entrando na rede interna.
allow all from 10.x.x.x to any in via rl0
allow all from any to 10.x.x.x out via rl0
deny log ip from any to any
deny ip from any to any
tenho muitas outras regras, coloquei so as que realmente sao relevante.
seria interessante voce colocar so o "divert" e um "any to any" pra testar
se realmente
e regras do firewall.
no console , nao esquece :)
ipfw -q flush
ipfw add divert all from any to any via xl0
ipfw add allow all from any to any
se nao funcionar nao e mesmo o firewall e esta totalmente descartado.
so posso te garantir que dessa forma funciona na minha rede.
xl0 -> externa
rl0 -> interna
espero ter ajudado dessa vez.
On Mon, 26 Apr 2004 09:12:41 -0300, Everton - Matrix
<suporte2 em matrix.com.br> wrote:
> Olá Marcelo,
>
> Está opção já está habilitada no meu natd.conf....e não tem surtido
> efeito.
>
> Obrigado,
>
> Everton
>
>
> ----- Original Message -----
> From: "Marcelo B." <marceloc em baydenet.com.br>
> To: <fugspbr em fugspbr.org>
> Sent: Saturday, April 24, 2004 9:37 AM
> Subject: Re: RES: [FUGSPBR] Problemas com o NAT
>
>
>>
>>
>> coloque essa opcao no seu natd.conf
>>
>> use_sockets yes
>>
>> ou na linha de comando , -use_socket.
>>
>> a magica esta na opcao "use_sockets":
>>
>> -use_sockets | -s
>> Allocate a socket(2) in order to establish an FTP data
> or
>> IRC
>> DCC send connection. This option uses more system
>> resources,
>> but guarantees successful connections when port
>> numbers
>> con-
>> flict.
>> retirado do man page do natd.
>>
>>
>>
>> On Fri, 23 Apr 2004 11:25:35 -0300, Renato Frederick
>> <frederick em frederick.com.br> wrote:
>>
>> > O MSN funciona transferencias atras de nat sem problemas. O que as
>> vezes
>> > acontece é o MSN falar "se a taxa estiver baixa clique aqui e descubra
>> > porque"
>> > O ICQ se o outro usuário nao estiver com nat e voce estiver rola a
>> > comunicacao.
>> > Se ambos estiverem com nat nao rola.
>> > O que voce pode fazer é fazer um forward de portas especificas pra o
>> ip
>> > interno e configurar o ICQ prá receber arquivos atraves desse range.
>> > Sobre o IRC, esqueci mas eu acho que voce recebe mas nao envia (o dcc
>> > send
>> > fala "fulano conecte em mim na porta "X", mas a porta "X" é do proxu
>> nao
>> > sua.. O dcc receive fala "fulano irei conectar na porta "X" sua OK?)
>> > então
>> > se ambos estiverem atras de nat fica igual o ICQ, nao rola nada.
>> > Pro irc a solução do icq tbm é valida, fazer um forward de portas
>> > especificar e ir no MIRC (ou no script de sua preferência) e mandar
>> ele
>> > usar akele range de portas.
>> >
>> > Agora, conforme o irado falou, se voce no firewall ou proxy estiver
>> > bloquando as portas altas, nada disso ira funcionar já que essas
>> > transferencias de arquivos utilizam portas altas randômicas em ambas
>> as
>> > partes.
>> >
>> > Prá maiores informacoes, consulte o histórico da lista, lá eu postei
>> um
>> > exemplo meu de forward de portas usando o própio natd.
>> >
>> >
>> >
>> >
>> > fugspbr-fugspbr.org-bounces em fugspbr.org escreveu em sexta-feira, 23 de
>> > abril
>> > de 2004 00:25:
>> >
>> >> Em Thu, 22 Apr 2004 15:06:47 -0300
>> >> "Everton - Matrix" <suporte2 em matrix.com.br> escreveu, enquanto
>> >> completamente bêbado:
>> >>
>> >>> O que acontece é que, quando os usuários tentam receber arquivos, em
>> >>> programas como ICQ, MSN ou IRC, eles não conseguem receber esses
>> >>> arquivos. Para enviar, funciona certinho...e no e-mail também envia
>> e
>> >>> recebe tudo certo..
>> >>
>> >
>> > _______________________________________________________________
>> > Para enviar um novo email para a lista: fugspbr em fugspbr.org
>> > Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
>> > Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>> >
>>
>>
>>
>> --
>> Using M2, Opera's revolutionary e-mail client: http://www.opera.com/m2/
>> _______________________________________________________________
>> Para enviar um novo email para a lista: fugspbr em fugspbr.org
>> Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
>> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>>
>>
>
>
> _______________________________________________________________
> Para enviar um novo email para a lista: fugspbr em fugspbr.org
> Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>
--
Using M2, Opera's revolutionary e-mail client: http://www.opera.com/m2/
_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd