[FUGSPBR] Re: (no subject)

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Qui Nov 25 16:00:58 BRST 2004 

Eduardo Meyer wrote:
> Assim, além de não funcionar também não garante segurança Marcela, já
> que você está abrindo um range alto de portas no firewall. O RDR de
> portas não vai resolver para você. Red
> 
> 
>>marcela wrote:
> 
> 
>  >#out on $int
>  >
>  >pass out quick log on $int proto tcp from any to $ftp_server \
>  >       port 21 keep state
>  >pass out quick log on $int proto tcp from any to $ftp_server \
>  >       port 20 keep state
>  >pass out quick log on $int proto tcp from any to $ftp_server \
>  >        port > 49151 keep state
> 
> Essa é uma limitação triste do NAT do OpenBSD (do PF). Isso que você
> quer não é possível. Por exemplo eu não uso NAT do PF para DMZ, uso o
> natd do FreeBSD que por algum motivo faz isso que você quer e o do PF
> não faz. Como você usa Open e não FreeBSD você não tem outra opção de
> NAT que te atenda, então considere usar proxy FTP. Mesmo assim se for
> a mesma máquina. Se for outra você pode ter problemas também.
> 

No FreeBSD o mapeamento é 1:1 quando você faz isso. Por exemplo:

redirect_port  tcp 10.10.10.20:40000-60000 40000-60000

É feito 1:1 apenas nessas portas. Você pode ainda usar um salto, por exemplo

redirect_port  tcp 10.10.10.20:20000-40000 40000-60000

Nesse caso o que chega na porta 40000 vai p/ 20000, o que chega na 40001 
vai pra 20001, ...

O rdr do PF não deve ser assim (nao tenho certeza).

Mas em todo caso, Marcela, se o servidor FTP chegar no mesmo IP do 
firewall você pode fazer NAT 1:1 já que mapeamento de porta 1:1 não é 
possível. Isso é simples de fazer no FreeBSD, mas com PF você pode fazer 
com binat, por exemplo

binat on fxp0 from any to <servidor firewall> -> <servidor interno>

O Binat do PF nao modofica porta. Então não da pra fazer apenas as 
portas do FTP para outra maquina. Nesse caso, que eu saiba, natd(8) 
mesmo como disse o Eduardo.

-- 
Atenciosamente,

Patrick Tracanelli

FreeBSD Brasil LTDA.
The FreeBSD pt_BR Documentation Project
http://www.freebsdbrasil.com.br
patrick @ freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd