[FUGSPBR] Re: (no subject)

marcela em informacao.srv.br marcela em informacao.srv.br
Qui Nov 25 16:24:28 BRST 2004 

Eu retirei estas opções de portas para o pf.conf do
opnbsd.org/pffaq/ftp.html..

Mas, em todo caso, com o natd eu conseguiria redirecionar o ftp para o
servidor interno ou nao?

E mais, eu conseguiria redirecionar outros serviços?

Pergunto isto pq eu estou usando o rinetd para redirecionar http / outros,
pois não consegui fazer or redirecionamentos com o pf.conf.

Vou porcurar sobre o natd.

Obrigada, pessoal.

> Eduardo Meyer wrote:
>> Assim, além de não funcionar também não garante segurança Marcela, já
>> que você está abrindo um range alto de portas no firewall. O RDR de
>> portas não vai resolver para você. Red
>>
>>
>>>marcela wrote:
>>
>>
>>  >#out on $int
>>  >
>>  >pass out quick log on $int proto tcp from any to $ftp_server \
>>  >       port 21 keep state
>>  >pass out quick log on $int proto tcp from any to $ftp_server \
>>  >       port 20 keep state
>>  >pass out quick log on $int proto tcp from any to $ftp_server \
>>  >        port > 49151 keep state
>>
>> Essa é uma limitação triste do NAT do OpenBSD (do PF). Isso que você
>> quer não é possível. Por exemplo eu não uso NAT do PF para DMZ, uso o
>> natd do FreeBSD que por algum motivo faz isso que você quer e o do PF
>> não faz. Como você usa Open e não FreeBSD você não tem outra opção de
>> NAT que te atenda, então considere usar proxy FTP. Mesmo assim se for
>> a mesma máquina. Se for outra você pode ter problemas também.
>>
>
> No FreeBSD o mapeamento é 1:1 quando você faz isso. Por exemplo:
>
> redirect_port  tcp 10.10.10.20:40000-60000 40000-60000
>
> É feito 1:1 apenas nessas portas. Você pode ainda usar um salto, por
> exemplo
>
> redirect_port  tcp 10.10.10.20:20000-40000 40000-60000
>
> Nesse caso o que chega na porta 40000 vai p/ 20000, o que chega na 40001
> vai pra 20001, ...
>
> O rdr do PF não deve ser assim (nao tenho certeza).
>
> Mas em todo caso, Marcela, se o servidor FTP chegar no mesmo IP do
> firewall você pode fazer NAT 1:1 já que mapeamento de porta 1:1 não é
> possível. Isso é simples de fazer no FreeBSD, mas com PF você pode fazer
> com binat, por exemplo
>
> binat on fxp0 from any to <servidor firewall> -> <servidor interno>
>
> O Binat do PF nao modofica porta. Então não da pra fazer apenas as
> portas do FTP para outra maquina. Nesse caso, que eu saiba, natd(8)
> mesmo como disse o Eduardo.
>
> --
> Atenciosamente,
>
> Patrick Tracanelli
>
> FreeBSD Brasil LTDA.
> The FreeBSD pt_BR Documentation Project
> http://www.freebsdbrasil.com.br
> patrick @ freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
>
> _______________________________________________________________
> Para enviar um novo email para a lista: fugspbr em fugspbr.org
> Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>


_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd