[FUG-BR] Dúvida Natd (fluxo de pacotes pelo ipfw)

[João Paulo Just]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Rodolfo Zappa escreveu:
> Ok, mas o pacote é reavaliado desde o início das regras, ou a partir do 
> ponto do divert?
> 
> O problema que eu tenho é o seguinte: eu quero bloquear ou liberar 
> pacotes da minha lan para a internet, baseados no ip de origem. Mas, 
> após passar pelo natd, o pacote perde a referência do ip de origem, e a 
> terceira regra abaixo, nunca é acionada.
> 
> ${ipfw} 100 divert natd ip from any to any via ${ext_if}
> ${ipfw} 101 chek-state
> ${ipfw} 102 allow tcp from 192.168.0.25 to any 80 out via ${ext_if}

Faça:

${ipfw} 102 allow tcp from 192.168.0.25 to any 80 in via ${in_if}

Na interface de saída, o IP de origem já foi traduzido. Essa regra deve
ser feita na interface de entrada. (Pelo menos é assim que eu faço)

> Estou estudando o IPFW, acho a sintaxe maravilhosa e simples, os 
> controles de banda facílimos de aprender, mas o fluxo do pacote pelo 
> firewall, quando tem um divert para o natd,  são muito mal documentados 
> e completamente diferentes do PF, IPF e até do IPTABLES do netfilter.
> 
> Por exemplo, no netfilter o fluxo é assim (simplificando):
> 
>  nat prerouting --> forward --> nat postrouting
> 
> e quando eu quero liberar ou bloquear um pacote, baseado na origem, uso 
> a chain forward, que memso depois de pasara pelo nat, não perde a 
> referência do ip de origem.
> 
> Alguém tem um bom doc sobre ipfw + natd, mostrando o fluxo dos pacotes 
> pelo firewall?
> 
> Patrick, pode dar uma mãozinha de novo?

- --
João Paulo Just
Diretor Executivo - Justsoft Informática Ltda.
http://www.justsoft.com.br/
- --
Ilhéus, BA, Brasil.
+55 75 8104 8473
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFGztU8XL+vuN2d7ZwRAnE5AKCUSJHmv1qBVoT8ajgtCPEDmX+zmACgluzC
0yClkkwmeqSnAV+dvH0ffBE=
=Jwcq
-----END PGP SIGNATURE-----