[FUGSPBR] IPNAT

ronkot ronkot em fugspbr.org
Seg Jul 26 15:22:17 BRT 2004 

Ola,

Eu ja' postei esta duvida recentemente. Minha regras de ipnat abaixo
(exemplo 1) estao corretas e sao aceitas pelo ipnat, mas como existe o rdr
ele toma a frente do map, mesmo que o map tenha sido colocado antes. Pelo
que estive pesquisando, o ipnat executa a regra que seja a mais especifica
possivel atraves da utilizacao de 'from' e 'to'. Mas, mesmo utilizando from
e to nao funcionou. Entao fiz um quebra galho porque tinham algumas maquinas
que precisavam ter acesso sem passar pelo proxy a alguns poucos ip de
destino apenas. Veja mais abaixo exemplo 2 e 3.

exemplo 1 (mesmo com map especifico nao funciona, rdr toma a frente)
..........

# desviar proxy para maquina 192.168.1.100
map dc0 from 192.168.1.100 to 200.a.b.c -> 0/32 portmap tcp/udp auto
map dc0 from 192.168.1.100 to 200.a.b.c -> 0/32 proxy port ftp ftp/tcp
map dc0 from 192.168.1.100 to 200.a.b.c -> 0/32

# proxy transparente
rdr dc1 0.0.0.0/0 port = 80 -> 192.168.1.1 port 3128 tcp

# nat via ethernet para restante da rede
map dc0 192.168.1.0/24 -> 0/32 proxy port ftp ftp/tcp
map dc0 192.168.1.0/24 -> 0/32 portmap tcp/udp auto
map dc0 192.168.1.0/24 -> 0/32


exemplo 2 ( desvio somente para um ip de origem )
.........

rdr dc1 ! from 192.168.1.100 to 0.0.0.0/0 port = 80 -> 192.168.1.1 port 3128
tcp
map dc0 192.168.1.0/24 -> 0/32 proxy port ftp ftp/tcp
map dc0 192.168.1.0/24 -> 0/32 portmap tcp/udp auto
map dc0 192.168.1.0/24 -> 0/32

exemplo 3 ( desvio para alguns ip de destino)
.........

rdr dc1 from 192.168.1.0/24 to 200.a.b.c 80 -> 200.a.b.c port 80 tcp
rdr dc1 from 192.168.1.0/24 to 200.a.b.c 80 -> 200.a.b.c port 80 tcp
rdr dc1 0.0.0.0/0 port 80 -> 192.168.1.1 port 3128 tcp
map dc0 192.168.1.0/24 -> 0/32 proxy port ftp ftp/tcp
map dc0 192.168.1.0/24 -> 0/32 portmap tcp/udp auto
map dc0 192.168.1.0/24 -> 0/32

Foi a unica forma que consegui fazer funcionar. Veja que no exemplo 3, nao
e' feito nat. Achei minha solucao suja demais, mas funciona ate' eu
descobrir algo melhor.

Ronkot

>Só que agora estou tendo um problema... Com o natd quando eu queria que
>determinado cliente ou site nao "passasse" pelo SQUID eu criava uma regra
>no firewall (skipto) para que o cliente ou o site nao passasse pela regra
>de proxy transparente e passasse direto para a regra do NATD...

>Só que agora com o IPNAT não sei como posso fazer este procedimento... Tem
>alguma regra no ipnat que eu possa fazer para que determinado ip não seja
>redirecionado para o proxy?

_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd