[FUG-BR] Problema com PF

Marcelo de Souza Sant'Anna marcelo.santanna em gmail.com
Quinta Janeiro 3 10:41:31 BRST 2008 

O PF possui uma ordem para a criação das regras, e é isto que ele está
dizendo.

Você pode olhar o manual do PF no próprio site do OBSD que lá tem
exemplos. De qualquer forma, no seu caso, coloque as regras de NAT antes
das RDR e das FILTER, nesta ordem.


On Thu, 2008-01-03 at 10:23 -0200, thiagossj4 wrote:

> Olá pessoal, estou com o seguinte problema, compilei o kernel do freebsd 6.2
> com suporte ao PF, habilitei a opção do PF no rc.conf, mas quando insiro
> regras de Nat ou RDR, aparece uma mensagem de erro, apenas regras de Pass ou
> block estão sendo aceitas.
> 
> Estou enviando um exemplo de como estou escrevendo minhas regras
> 
> INT_EXTERNA="em0"
> INT_INTERNA="xl0"
> REDE_EXTERNA="10.1.1.0/24"
> REDE_INTERNA="192.168.0.0/24"
> 
> #loopback
> set skip on lo0
> 
> ##### Normalizacao de pacotes
> scrub in all
> 
> ##### Bloqueia tudo por padrao
> block log all
> 
> ##### ativa proteção contra spoof na interface de rede
> antispoof quick for $INT_EXTERNA inet
> antispoof quick for $INT_INTERNA inet
> 
> ##permite entrada de ssh e http
> pass in proto tcp from any to any port { ssh, http }  modulate state flags
> S/SA
> 
> ## permite consulta de dns
> pass proto udp from any to any port domain modulate state
> 
> ##permite saida de http/https
> pass out proto tcp from any to any port { http, https } modulate state flags
> S/SA
> 
> ## redirecionamento na porta 80 para o proxy
> rdr on $INT_INTERNA proto tcp from any to any port 80 -> 10.1.1.1 port 3128
> 
> ## mascaramento da rede interna
> nat on $INT_EXTERNA from $REDE_INTERNA to any -> 10.1.1.1
> 
> Quando executo este script aparece um erro:
> 
> Firewall# pfctl -f /etc/pf.conf
> /etc/pf.conf:32: Rules must be in order: options, normalization, queueing,
> translation, filtering
> /etc/pf.conf:35: Rules must be in order: options, normalization, queueing,
> translation, filtering
> pfctl: Syntax error in config file: pf rules not loaded
> 
> esses erros são referentes as linhas de RDR e NAT, o que será que está
> acontecendo?
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------- Próxima Parte ----------
Um anexo não texto foi limpo...
Nome  : não disponível
Tipo  : application/pgp-signature
Tam   : 189 bytes
Descr.: This is a digitally signed message part
Url   : http://www.fug.com.br/historico/html/freebsd/attachments/20080103/676d35df/attachment-0001.bin

Mais detalhes sobre a lista de discussão freebsd