[FUG-BR] Ajuda para liberacao de acesso externo no PF

matheus lamberti matheuslamberti em yahoo.com
Ter Jan 17 22:44:57 BRST 2006 

Ola lista, peguei o firewall de exemplo do site do OpenBSD, fiz umas adaptacoes as minhas necessidades e tenho a presente situacao,  na rede interna tudo funciona normalmente. Mas qdo tento acessar de outro lugar (fora da empresa) nao consigo acesso.

Segue abaixo o conjunto completo de regras do meu pf (desculpem o tamanho)
Obrigado desde ja ...




## definicao das interfaces de rede
int_if = "rl0"
ext_if = "vr0"

## definicao dos servicos utilizados
tcp_services = "{ 22, 3389, 5000 }"
icmp_types = "echoreq"

## definicao de redes e servidores
rede = "172.16.0.0/27"
srv_rdp = "172.16.0.6"
srv_web = "172.16.0.30"

## definicao de tabelas
table <malvados> { 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 
10.0.0.0/8, 20.20.0.0/12 } 

## opcoes gerais
set block-policy drop
set debug none
set fingerprints "/etc/pf.os"
set loginterface $ext_if
set optimization normal
set skip on lo0
set limit { frags 5000, states 2500 }

## normalizacao de pacotes entrantes
scrub in all

## controle de banda
altq on $ext_if cbq bandwidth 350Kb queue { ftpq, rdpq, sshq, webq }
queue ftpq bandwidth 10% cbq(default)
queue rdpq bandwidth 20%
queue sshq bandwidth 30% 
queue webq bandwidth 40%

# nat e redirecionamento
nat on $ext_if from $int_if:network to any -> ($ext_if)
rdr on $ext_if proto tcp from any to $ext_if port rdp -> $srv_rdp port 
3389
rdr on $ext_if proto tcp from any to $ext_if port ssh -> $srv_rdp port 
22
rdr on $ext_if proto tcp from any to $ext_if port 5000 -> $srv_web port 
5000

rdr on $int_if proto tcp from any to any port ftp -> 127.0.0.1 port 
8021
rdr on $int_if proto tcp from any to any port www -> 127.0.0.1 port 
3128

## politica padrao do firewall
block all

## permite que na interface loopback tudo aconteca
pass quick on lo0 all

## protecao contra ips spoofados
block drop in  quick on $ext_if from <malvados> to any
block drop out quick on $ext_if from any to <malvados>

## permite que os servicos tcp funcionem
pass in on $ext_if inet proto tcp from any to ($ext_if) port 
$tcp_services flags S/SA keep state

## permite que a internet consiga acessar os servidores
pass in on $ext_if proto tcp from any to $srv_rdp port 3389 flags S/SA 
synproxy state
pass in on $ext_if proto tcp from any to $srv_web port 22 flags S/SA 
synproxy state
pass in on $ext_if proto tcp from any to $srv_web port 5000 flags S/SA 
synproxy state

## necessario para o funcionamento do ftp-proxy
pass in on $ext_if inet proto tcp from port 20 to ($ext_if) user proxy 
flags S/SA keep state

## permite apenas os tipos icmp especificados
pass in inet proto icmp all icmp-type $icmp_types keep state

## permite total comunicacao na rede interna
pass in  on $int_if from $rede to any keep state
pass out on $int_if from any to $rede keep state

## permite que as comunicacoes da rede interna saiam para internet
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state




matheus lamberti de abreu
BSD User ID: 051370

Embora nem tudo seja permitido, tudo é possível. [ Adágio Alquímico ]
Do, or do not. There is no 'try'. [ Master Yoda ]
Se a vida é regida por uma licença, esta é BSD. [ http://planeta.ubuntubrasil.org ]
		
---------------------------------
Yahoo! Photos
 Ring in the New Year with Photo Calendars. Add photos, events, holidays, whatever.
_______________________________________________
Freebsd mailing list
Freebsd em fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Mais detalhes sobre a lista de discussão freebsd