[FUGSPBR] IPFW com NATD

Adelso M. Barreto - Informatica Adelso em colombo.com.br
Qui Dez 30 10:42:56 BRST 2004 

Ola pessoal!

Sou novato com FreeBSD e aqui na empresa, realizamos um estudo sobre sitemas operacionais e
o FreeBSD como voces ja devem saber destacou-se neste cenario. Resolvemos migrar alguns servidores
e um deles é um firewall que temos em um dos links de Internet.
Quanto a criar as regras de firewall com IPFW onde nao precisa de NAT nao tivemos problemas, porem
quando o assunto foi NAT, ai algumas coisas nao consegui entender o porque ocorrem?
Montei um laboratorio com o FreeBSD 5.3 i386 para ir aprendendo sobre o FreeBSD, compilei o kernel com as
Opcoes de IPFIREWALL IPDIVERT. Este lab tem o seguinte layout:

   |   fxp0 100.1.0.9/16 (externa)
+----+
| FW | 
+----+
   |   fxp1 172.16.1.1/24 (interna)
  HUB
   |
+-----+ Estação Windows XP com serviço de VNC
| W2K | 172.16.1.3/24
+-----+

Arquivo: rc.conf

defaultrouter="100.1.0.254"
hostname="beastie.labteste.com.br"
ifconfig_fxp0="inet 100.1.0.9 netmask 255.255.0.0"
sshd_enable="YES"
ifconfig_fxp1="inet 172.16.1.1 netmask 255.255.255.0"
gateway_enable="YES"
firewall_enable="YES"
firewall_quiet="YES"
firewall_type="/etc/rc.ipfw"
natd_enable="YES"
natd_interface="fxp0"
natd_flags="-f /etc/natd.conf"

---fim do rc.conf---

Arquivo: natd.conf

dynamic yes
use_sockets yes
same_ports yes
punch_fw 2000:100
redirect_port tcp 172.16.1.3:5900 100.1.0.9:5900

---fim do natd.conf---

Arquivo: rc.ipfw 

-q flush
add divert natd all from any to any via fxp0
add check-state
add allow ip from any to any via lo0
add deny ip from any to 127.0.0.0/8
add deny ip from 127.0.0.0/8 to any
add allow tcp from 172.16.1.0/24 to me 22 in via fxp1 setup keep-state
add allow tcp from 100.1.254.254 to 172.16.1.3 5900 in setup keep-state

---fim do rc.ipfw---

O problema que ocorre e que quando da rede interna tento acesso ssh ao FW ele abre a sessao pedindo o usuario
e depois de informar o usuario o pedido de senha nao vem nunca e a sessao fecha por time-out.
Se eu retiro a linha quem tem o "divert" no rc.ipfw o ssh funciona.
Preciso fazer a rede interna acessar o FW por ssh e manter o NAT para que a rede externa acesse a estação com o VNC e também que a estação possa acessar serviços externos via NAT.
Baixei varias documentações e exemplos e a maioria deles tem este lay-out e seus autores afirmam que tudo estaria funcionando. Preciso de uma ajuda e ou pelo menos um link de onde baixar boa documentacao sobre IPFW e o NATD, pois olhei no handbook e não foi o suficiente para entender o problema mencionado.

Muito obigado e FELIZ ANO NOVO!!!!!!

Adelso Barreto Junior


_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd