[FUG-BR] Problema com PF

Marcelo Veriato Lima marcelo_veriato em sicredi.com.br
Quinta Janeiro 3 10:28:30 BRST 2008 

RDR e NAT tem que ficar acima das regras de FILTER.

thiagossj4 wrote:
> Olá pessoal, estou com o seguinte problema, compilei o kernel do freebsd 6.2
> com suporte ao PF, habilitei a opção do PF no rc.conf, mas quando insiro
> regras de Nat ou RDR, aparece uma mensagem de erro, apenas regras de Pass ou
> block estão sendo aceitas.
>
> Estou enviando um exemplo de como estou escrevendo minhas regras
>
> INT_EXTERNA="em0"
> INT_INTERNA="xl0"
> REDE_EXTERNA="10.1.1.0/24"
> REDE_INTERNA="192.168.0.0/24"
>
> #loopback
> set skip on lo0
>
> ##### Normalizacao de pacotes
> scrub in all
>
> ##### Bloqueia tudo por padrao
> block log all
>
> ##### ativa proteção contra spoof na interface de rede
> antispoof quick for $INT_EXTERNA inet
> antispoof quick for $INT_INTERNA inet
>
> ##permite entrada de ssh e http
> pass in proto tcp from any to any port { ssh, http }  modulate state flags
> S/SA
>
> ## permite consulta de dns
> pass proto udp from any to any port domain modulate state
>
> ##permite saida de http/https
> pass out proto tcp from any to any port { http, https } modulate state flags
> S/SA
>
> ## redirecionamento na porta 80 para o proxy
> rdr on $INT_INTERNA proto tcp from any to any port 80 -> 10.1.1.1 port 3128
>
> ## mascaramento da rede interna
> nat on $INT_EXTERNA from $REDE_INTERNA to any -> 10.1.1.1
>
> Quando executo este script aparece um erro:
>
> Firewall# pfctl -f /etc/pf.conf
> /etc/pf.conf:32: Rules must be in order: options, normalization, queueing,
> translation, filtering
> /etc/pf.conf:35: Rules must be in order: options, normalization, queueing,
> translation, filtering
> pfctl: Syntax error in config file: pf rules not loaded
>
> esses erros são referentes as linhas de RDR e NAT, o que será que está
> acontecendo?
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>   


-- 

Marcelo Veriato Lima
Analista de Redes e Telecomunicações
Infra-Estrutura de Redes e Telecomunicações
Telemática - Confederação SICREDI
+55 (51) 3358-8355
http://www.sicredi.com.br


As informacoes contidas neste e-mail e nos arquivos anexados podem ser informacoes confidenciais ou privilegiadas. Caso voce nao seja o destinatario correto, apague o conteudo desta mensagem e notifique o remetente imediatamente.

Mais detalhes sobre a lista de discussão freebsd