[FUG-BR] PF - iniciante com Openbsd

Gabriel Fonseca gabriel em ethx.com.br
Sexta Junho 4 16:35:19 BRT 2010 

Em 3 de junho de 2010 17:42, christiano alves <debianrc em hotmail.com>escreveu:

>
> Luiz,
>
>
> avançando então. Agora permitindo tambem que a rede interna navegue na
> internet seria necessario somente um pass out como na regra abaixo?
>
>
> int_interna = "ste0"
> int_externa = "ste1"
> rede_interna = "192.168.1.0/24"
> nat on $int_externa from $rede_interna to any -> $int_externa
>
> block all
>
> pass in on $int_interna proto tcp from $rede_interna to any port 22
>
> pass out on $int_externa proto tcp from $rede_interna to any port { 53 80 }
>


    Nesse caso vc deve estar atento por que liberou somente os pacotes com
protocolo TCP, seria interessante liberar os pacotes UDP para ter acesso aos
servidores DNS.
    Não sei se de fato vc quer sua primeira regra sendo de política
restritiva, normalmente vc deve ter uma certa experiência para trabalhar com
esse tipo de política.

    Nessas regras que vc citou acima tem algumas falhas. Vou tentar
corrigi-las tentando adivinhar sua necessidade não não está clara pra mim.
Segue:

int_interna = "ste0"
int_externa = "ste1"
rede_interna = "192.168.1.0/24"

nat on $int_externa from $rede_interna to any -> ($int_externa)

block all

pass in on $int_interna proto tcp from $rede_interna to any port { 53 22 80
}
pass in on $int_interna proto udp from $rede_interna to any port 53

pass out on $int_externa proto tcp from $rede_interna to any port { 53 80 }
pass out on $int_externa proto udp from $rede_interna to any port 53

    Essas regras devem liberar o acesso a porta 22 oo firewall, tráfego
chegando na interface interna, e liberando as portas 80 (http) e 53 (dns)
para acesso à Internet. Lembre-se que você deve liberar o tráfego na entrada
da interface interna e na saída da interface externa para que a rede interna
acesse a Internet. Isso é facilitado com a utilização de "tags", mas creio
que de início seja mais interessante vc não utiliza-las para ter uma melhor
compreensão das regras de filtragem.

   Não esqueça dos parênteses no final da regra de NAT, nesse caso
($int_externa) é o IP da sua interface interna. Sem os parênteses esse macro
indicaria apenas a interface de rede.

   Espero ter ajudado.


Gabriel Fonseca

Mais detalhes sobre a lista de discussão freebsd