[FUG-BR] IPFW e redirecionamento de portas com nat e ppp, argggg

Anderson Eduardo listas em secover.com.br
Quinta Setembro 2 11:49:17 BRT 2010 

Em 2/9/2010 11:33, Leonardo Augusto escreveu:
> Entao, desculpe a falta de clareza, vamos la:
>
> O servidor debug está na "rua" na porta 7869.
>
> O client que vai utilizar o debug esta na rede interna atraz dum
> gateway freebsd:
>
> gateway bsd ip interno =>  10.10.10.1
> gateway bsd ip externo =>  tun0, muda todos os dias (ppp)
>
> maquinas da rede interna =>  10.10.10.xx
>
> O que preciso é que a maquina da rede interna acesse a maquina externa
> do debug pegando
> o IP do tun0, no caso é um redirecionamento mesmo, da porta 7869.
>
> O /etc/natd.conf esta assim :
>
> interface tun0
> port 8668
> dynamic yes
> use_sockets yes
> same_ports yes
> redirect_port tcp 10.10.10.149:7869 7869
>
> E o ipfw rules assim:
>
> 00100 allow ip from any to any via lo0
> 00200 deny ip from any to 127.0.0.0/8
> 00300 deny ip from 127.0.0.0/8 to any
> 00400 fwd 10.10.10.1,3128 tcp from 10.10.10.0/24 to any dst-port 80
> 00500 divert 8668 ip from any to any via tun0
> 01100 allow ip from any to any
>
> E nao esta funcionando ainda,
> Alguma sugestao ?
>
> []'s
>
>
>
> 2010/9/1 Anderson Eduardo<listas em secover.com.br>:
>> Em 1/9/2010 13:42, Leonardo Augusto escreveu:
>>> Olá povo,
>>>
>>> Eu sou um retardado, peço desculpas por isso. Estou tentando fazer um
>>> redirecionamento de portas
>>> aqui e nao consigo de jeito nenhum.
>>>
>>> A situacao é a seguinte, tenho um gateway freebsd 8 para uma rede com
>>> maquinas windows, aí tem um
>>> servico de debug que usa a porta 7869, mas so funciona se a maquina
>>> cliente tem um ip roteavel para fora.
>>>
>>> Entao tenho que fazer com que "pareca" que a maquina da rede interna
>>> (10.10.10.55) seja vista com o ip
>>> da interface tun0 do ppp.
>>> O freebsd conecta num modem velox via ppp e entao temos a tun0 lá com
>>> o ip "real" do modem.
>>>
>>> Ja tentei por redirect_port no natd.conf e diverts no rc.ipfw de
>>> trocentas maneiras que achei no historico da lista
>>> e no google, mas nada funciona.
>>>
>>> O ipfw desse gateway esta assim:
>>>
>>> 00100 allow ip from any to any via lo0
>>> 00200 deny ip from any to 127.0.0.0/8
>>> 00300 deny ip from 127.0.0.0/8 to any
>>> 00400 fwd 10.10.10.1,3128 tcp from 10.10.10.0/24 to any dst-port 80  # SQUID
>>> 00500 divert 8668 ip from any to any via tun0
>>> 00700 deny udp from any to any dst-port 137-139 via tun0
>>> 00800 deny tcp from any to any dst-port 137-139 via tun0
>>> 00900 deny tcp from any to any dst-port 3306 via tun0
>>> 01000 deny udp from any to any dst-port 3306 via tun0
>>> 01100 deny tcp from any to any dst-port 2049 via tun0
>>> 01200 allow ip from any to any
>>>
>>> O natd.conf esta assim:
>>>
>>> cat /etc/natd.conf
>>> #
>>> # NAT
>>> #
>>> instance default
>>> interface tun0
>>> port 8668
>>> dynamic yes
>>> use_sockets yes
>>> same_ports yes
>>>
>>>
>>> Alguém já fez isso e tem como me dizer que regras por ali para que
>>> consiga fazer essa transparencia ?
>>> Ou um how to objetivo sobre o assunto, pois todos testes que fiz com
>>> divert, redirect, fwd, nada funciona.
>>> Entao fazer com que a estacao que conecte na porta 7869 pareca estar
>>> usando o ip externo do gateway, no caso do tun0 ?
>>>
>>> Obrigado
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> Qualquer redirecionamento, que funcione, vai ser transparente para quem
>> estiver acesso externamente.
>>
>> Para mim, faltou você explicar um pouco melhor o seu cenário, não deu
>> para ficar claro de onde-para-onde você esta tentando acessar.(Mas vou
>> chutar)
>>
>> Acredito que o servidor (debug) esteja fora da sua rede, você tem um
>> cliente atrás de um freebsd que precisa acessar esse servidor de debug?
>>
>> Se for isso, não precisa de redirecionamento nenhum, apenas NAT.
>>
>> Desculpa qualquer coisa.
>>
>> --
>> Anderson Eduardo
>> Diretor Geral
>> Tel.: +55 (71) 3641-6450
>>
>> Secover - Serviços em Tecnologia e Segurança da Informação
>> http://www.secover.com.br
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Cara,

Isso não é um redirecionamento, é apenas NAT, seria um redirecionamento 
se invertesse o seu cenário, o host externo tentasse acessar o host interno.

E isso de pegar o IP da interface(tun0) faz parte do NAT por padrão.

-- 
Anderson Eduardo
Diretor Geral
Tel.: +55 (71) 3641-6450

Secover - Serviços em Tecnologia e Segurança da Informação
http://www.secover.com.br

Mais detalhes sobre a lista de discussão freebsd