Pessoal,
Eu sei que essas regras estão meio "loucas", já que no final eu libero tudo
(pass all), mas antes do meu freebsd eu tenho um roteador velox, e para
alguma conexão chegar da internet ao meu servidor eu tenho que primeiro
fazer um "port forwarding" no modem, ok? preferi liberar tudo para ir
ajeitando aos poucos...
Vou explicar a bronca... eu tenho um squid, que com a regra de proxy
transparent pelo IPFW funciona perfeito... quando cancelo o IPFW e decido
usar PF ocorre o seguinte, "às vezes" (muitas vezes) tento fazer download de
1 arquivo de 10MB por exemplo, o arquivo termina antes de concluir 200kb...
(ou seja, fica corrompido)... se na mesma hora eu for no PF, comentar a
linha do proxy transparent e recarregar as regras (pf -f /etc/pf.conf), e
tentar fazer o download, eu consigo concluir... falta alguma coisa nessa
regra do proxy transparent?
int_if = "rl0"
ext_if = "sis0"
int_net = "192.168.0.0/24"
# set optimization aggressive
scrub in all
# nat
nat on $ext_if from !($ext_if) -> ($ext_if:0)
# Generic NAT rule for all internal network devices
nat on $ext_if from $int_net to any -> ($ext_if)
# proxy transparent (dansguardian-squid)
rdr on $int_if inet proto tcp from $int_if:network \
to !$int_if:network port www -> 127.0.0.1 port 8080
# Outgoing traffic creates state entries
pass out quick on $ext_if proto { tcp, udp, icmp } all keep state
pass in quick on $ext_if proto { tcp, udp, icmp } all keep state
pass in all
pass out all keep state
Só pra lembrar... pelo IPFW funciona blz... e tá assim:
# Proxy transparente (excessao Radio Uol)
ipfw add 0000008 fwd 127.0.0.1,8080 tcp from any to not
200.221.5.0/24,200.221.2
.0/24,200.221.8.0/24 dst-port 80 out recv rl0 xmit sis0
Claro que quando vou usar o PF eu desativo o IPFW no RC.CONF, reinicio tudo,
e as regras do IPFW ficam vazias....
Abraço,
--
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson@xxxxxxxxxxxxxxxxxxxxx
|