[FUG-BR] IPFW + DMZ + NAT

Giancarlo Rubio gianrubio em gmail.com
Quinta Dezembro 11 13:37:41 BRST 2008 

2008/12/11 Marcelo Mota <marcelo.mota em bsd.com.br>:
> Bom dia a todos da lista! Estou montando uma DMZ aqui na empresa e não estou
> conseguindo acessar as máquinas atrás do firewall DMZ. Abaixo segue como
> está a estrutura da rede:
>
>
> FIREWALL1 -------> REDE INTERNA
>                  -------->  FIREWALL2 -----> DMZ
>
> Tenho um primeiro firewall <FIREWALL1> onde o mesmo é o DNS/Gateway da rede.
> O segundo firewall <FIREWALL2> foi montado para essa necessidade da criação
> da DMZ. Estou utilizando PF no primeiro firewall e IPFW no segundo firewall.
> O FIREWALL1 está trabalhando normalmente, fazendo seu papel tranquilamente.
> O FIREWALL2 está instalado e configurado e aparentemente trabalhando com as
> regras certas. Na compilação do kernel usei as seguintes opções:
>
> *KERNEL*
> *options         IPFIREWALL
> options         IPFIREWALL_VERBOSE
> options         IPFIREWALL_VERBOSE_LIMIT=100
> options         IPFIREWALL_FORWARD
> options         IPDIVERT*
>
> *RC.CONF*
> *defaultrouter="200.202.xxx.xxx"
> hostname="firewall2.dominio.com.br"
> Keymap="br275.iso.acc"
> sshd_enable="YES"
> gateway_enable="YES"
> natd_enable="YES"
> natd_interface="sk1"
> natd_flags="-config /etc/natd.conf"
> inetd_enable="YES"
> # interface interna #
> ifconfig_sk0="inet 10.10.0.1 netmask 255.255.255.0"
> #
> # interface externa #
> ifconfig_sk1="inet 200.202.xxx.xxx netmask 255.255.255.0"
> firewall_enable="YES"
> firewall_quiet="YES"
> firewall_script="/etc/rc.copaiba"
> firewall_logging_enable="YES"*
>
> *NATD.CONF*
> *interface sk1
> dynamic yes
> same_ports yes
> use_sockets yes
> redirect_address 10.10.0.10 200.202.xxx.xx
> redirect_port tcp 10.10.0.10:80 80*
>
> *RC.FIREWALL*
> *${fwcmd} add 00160 allow tcp from any to 10.10.0.10 80 setup*

Cade a regra de nat??
Monitore todas as pontas usando tcpdump para vc saber até aonde vai
seu tráfego e aonde ele para...


>
> Só que quando tento acessar da rede interna o servidor <10.10.0.10>, não
> consigo de forma alguma! Será que estou esquecendo alguma coisa obvia?!
> Terei que fazer um DNS secundário no FIREWALL2?! O quê?!
> Agradeço a atenção.
> Sds,
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
---
Giancarlo Rubio
Getech - Soluções em rede
(41) 4063-9039 / (11) 4063-5470
www.getech.com.br

Mais detalhes sobre a lista de discussão freebsd