[FUG-BR] RES: RES: Testando ipfw nat

[Wanderson Tinti]

>
> Eu sei que com o PF tem como fazer, mas o trabalho com IPFW a anos e tenho
> um outro firewall que pretendo fazer algumas alterações, (incluir mais um
> link) algo parecido com o ambiente ilustrado.
> Se precisar de mais alguma coisa para entender o ambiente é só perguntar
> que envio.
>
>
> From: Renato Frederick
> Sent: Monday, December 29, 2008 9:23 PM
> To: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
> Subject: [FUG-BR] RES: RES: Testando ipfw nat
>
>
Ricardo e Listeiros, muito boa noite.

Estou tendo o mesmo problema quando uso uma rede com IPs frios. Nesse
momento estou testando com setfib e NAT pelo kernel, estou tentando entender
porque estou tendo problema. Uma coisa que notei é que quando eu especifico
a rede internet, por exemplo, 10.40.20.0/24 não funciona, porem consigo ver
que as conexões statefull são criadas dinamicamente e mesmo assim não
funciona.

Estou usando as seguintes regras nesse exato momento:

le0 ) IP = 192.168.1.200      GW = 192.168.1.1           Link1
le2 ) IP = 192.168.100.200   GW = 192.168.100.200   Link2
le1 ) IP = 10.40.20.100        LAN = 10.40.20.0/24

ipfw -f flush
ipfw add 1 check-state
ipfw add 10 prob 0.5 setfib 0 tag 1 all from any to any keep-state
ipfw add 11 setfib 1 tag 2 all from any to any keep-state
ipfw add 20 nat 1 all from any to any tagged 1
ipfw add 21 nat 2 all from any to any tagged 2
ipfw add 30 allow all from any to any

ipfw nat 1 config if le0 unreg_only
ipfw nat 2 config if le2 unreg_only

Como disse logo acima, se eu especificar nas regras 10 e 11 a rede interna
como origem, exemplo:

ipfw add 10 prob 0.5 setfib 0 tag 1 all from 10.40.20.0/24 to any keep-state
ipfw add 11 setfib 1 tag 2 all from 10.40.20.0/24 to any keep-state

Regras dinâmicas são criadas (ipfw -d show), mas não funciona.

Vou continuar realizando os testes, preciso entender porque do problema.
Sugestões serão muito bem vindo. Se alguém tiver sucesso, por favor, não
deixe de postar.

Boa noite.
Wanderson Tinti