[FUG-BR] ftp-proxy + ipfw + nat

[Celso Viana]

Em 19 de outubro de 2010 23:45, Cleber Araujo
<clebersisinfo at gmail.com> escreveu:
> Olá, boa noite Marcelo!
>
> Pelo que ví, aparentemente o problema se deve ao duplo sistema de filtragem.
> Embora muitos colegas daqui da lista consigam utilizar os dois, eu já
> apanhei bastante e só deu certo quando eu usava o PF ou o IPFW. Isso se deve
> a muitos fatores, como exemplo se eles são default deny, qual starta
> primeiro no kernel, etc... mas enfim isso é outra discurssão.
>
> O que lhe aconselho é utilizar apenas uma das ferramentas, nem que seja
> apenas para teste.
>
> Por exemplo:
> 1 - caso opte pelo IPFW basta adicionar a regra:
> ipfw add allow tcp from any to me to 21,8021 setup keep-state
> Comentário: não esqueça do setup (que faz a checagem das flags) e o
> keep-state (que mantem os estados da conexão)
>
> 2 - Caso opte pelo PF (que é indiscutivelmente melhor que o IPFW), adicione
> a regra:
> pass in on suaplacaderede proto tcp from any to localhost port 21,8021
> Comentário: a opção in sinaliza que a conexão está entrando no firewall e
> neste caso não é necessário fazer checagem das flags ou ativar os estados
> com a opção keep state (pois eles já ficam integrados no Kernel).
> Mas como seguro morreu de velho, se quiser adicione manualmente no final da
> regra: flags S/SAFR keep state (é sem o hífem mesmo).
>
> E claro, como se trata de um servidor toda segurança é necésaria, portanto
> política block por padrão.
>
> Poste os resultados de seus testes.
>
> Um grande abraço,
>
>
> --
> Cleber Araújo
> Analista de Suporte II
> Bacharel em Sistemas de Informação
> Especializando em Redes de Computadores
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Cleber,

Se possível, gostaria que comentasse (que é indiscutivelmente melhor que o IPFW)

-- 
Celso Vianna
BSD User: 51318
http://www.bsdcounter.org

63 8404-8559
Palmas/TO