[FUG-BR] IPFW e redirecionamento de portas com nat e ppp, argggg

Mario Lobo lobo em bsd.com.br
Quinta Setembro 2 18:59:27 BRT 2010 

On Thursday 02 September 2010 12:15:42 Leonardo Augusto wrote:
> Bom,
> 
> Só nat nao funciona, tem que ser feita alguma coisa, pois quado
> conecto o notebook diretamente no
> modem da gvt, eu faco o direcionamento das portas no modem e entao o
> sistema funciona, pois o notebook
> fica com ip 192.168.xxx, o debug externo tem ip válido e fixo.
> 
> Entao nao sei que tipo de redirecionamento o modem da gvt faz, pois
> quando faco isso funciona.
> 
> Acredito que tem que ser feito isso no gateway do bsd tambem, pois o
> cenário é parecido.
> 
> Como eu já disse, apenas o redirect port no natd.conf nao funciona.
> 
> Eu vi um exemplo onde se poria mais um divert no ipfw para a porta
> 7869.. mas tambem nao funciona.
> 
> :(
> 
> 2010/9/2 Anderson Eduardo <listas em secover.com.br>:
> > Em 2/9/2010 11:33, Leonardo Augusto escreveu:
> >> Entao, desculpe a falta de clareza, vamos la:
> >> 
> >> O servidor debug está na "rua" na porta 7869.
> >> 
> >> O client que vai utilizar o debug esta na rede interna atraz dum
> >> gateway freebsd:
> >> 
> >> gateway bsd ip interno =>  10.10.10.1
> >> gateway bsd ip externo =>  tun0, muda todos os dias (ppp)
> >> 
> >> maquinas da rede interna =>  10.10.10.xx
> >> 
> >> O que preciso é que a maquina da rede interna acesse a maquina externa
> >> do debug pegando
> >> o IP do tun0, no caso é um redirecionamento mesmo, da porta 7869.
> >> 
> >> O /etc/natd.conf esta assim :
> >> 
> >> interface tun0
> >> port 8668
> >> dynamic yes
> >> use_sockets yes
> >> same_ports yes
> >> redirect_port tcp 10.10.10.149:7869 7869
> >> 
> >> E o ipfw rules assim:
> >> 
> >> 00100 allow ip from any to any via lo0
> >> 00200 deny ip from any to 127.0.0.0/8
> >> 00300 deny ip from 127.0.0.0/8 to any
> >> 00400 fwd 10.10.10.1,3128 tcp from 10.10.10.0/24 to any dst-port 80
> >> 00500 divert 8668 ip from any to any via tun0
> >> 01100 allow ip from any to any
> >> 
> >> E nao esta funcionando ainda,
> >> Alguma sugestao ?
> >> 
> >> []'s
> >> 
> >> 2010/9/1 Anderson Eduardo<listas em secover.com.br>:
> >>> Em 1/9/2010 13:42, Leonardo Augusto escreveu:
> >>>> Olá povo,
> >>>> 
> >>>> Eu sou um retardado, peço desculpas por isso. Estou tentando fazer um
> >>>> redirecionamento de portas
> >>>> aqui e nao consigo de jeito nenhum.
> >>>> 
> >>>> A situacao é a seguinte, tenho um gateway freebsd 8 para uma rede com
> >>>> maquinas windows, aí tem um
> >>>> servico de debug que usa a porta 7869, mas so funciona se a maquina
> >>>> cliente tem um ip roteavel para fora.
> >>>> 
> >>>> Entao tenho que fazer com que "pareca" que a maquina da rede interna
> >>>> (10.10.10.55) seja vista com o ip
> >>>> da interface tun0 do ppp.
> >>>> O freebsd conecta num modem velox via ppp e entao temos a tun0 lá com
> >>>> o ip "real" do modem.
> >>>> 
> >>>> Ja tentei por redirect_port no natd.conf e diverts no rc.ipfw de
> >>>> trocentas maneiras que achei no historico da lista
> >>>> e no google, mas nada funciona.
> >>>> 
> >>>> O ipfw desse gateway esta assim:
> >>>> 
> >>>> 00100 allow ip from any to any via lo0
> >>>> 00200 deny ip from any to 127.0.0.0/8
> >>>> 00300 deny ip from 127.0.0.0/8 to any
> >>>> 00400 fwd 10.10.10.1,3128 tcp from 10.10.10.0/24 to any dst-port 80  #
> >>>> SQUID 00500 divert 8668 ip from any to any via tun0
> >>>> 00700 deny udp from any to any dst-port 137-139 via tun0
> >>>> 00800 deny tcp from any to any dst-port 137-139 via tun0
> >>>> 00900 deny tcp from any to any dst-port 3306 via tun0
> >>>> 01000 deny udp from any to any dst-port 3306 via tun0
> >>>> 01100 deny tcp from any to any dst-port 2049 via tun0
> >>>> 01200 allow ip from any to any
> >>>> 
> >>>> O natd.conf esta assim:
> >>>> 
> >>>> cat /etc/natd.conf
> >>>> #
> >>>> # NAT
> >>>> #
> >>>> instance default
> >>>> interface tun0
> >>>> port 8668
> >>>> dynamic yes
> >>>> use_sockets yes
> >>>> same_ports yes
> >>>> 
> >>>> 
> >>>> Alguém já fez isso e tem como me dizer que regras por ali para que
> >>>> consiga fazer essa transparencia ?
> >>>> Ou um how to objetivo sobre o assunto, pois todos testes que fiz com
> >>>> divert, redirect, fwd, nada funciona.
> >>>> Entao fazer com que a estacao que conecte na porta 7869 pareca estar
> >>>> usando o ip externo do gateway, no caso do tun0 ?
> >>>> 
> >>>> Obrigado
> >>>> -------------------------
> >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>> 
> >>> Qualquer redirecionamento, que funcione, vai ser transparente para quem
> >>> estiver acesso externamente.
> >>> 
> >>> Para mim, faltou você explicar um pouco melhor o seu cenário, não deu
> >>> para ficar claro de onde-para-onde você esta tentando acessar.(Mas vou
> >>> chutar)
> >>> 
> >>> Acredito que o servidor (debug) esteja fora da sua rede, você tem um
> >>> cliente atrás de um freebsd que precisa acessar esse servidor de debug?
> >>> 
> >>> Se for isso, não precisa de redirecionamento nenhum, apenas NAT.
> >>> 
> >>> Desculpa qualquer coisa.
> >>> 
> >>> --
> >>> Anderson Eduardo
> >>> Diretor Geral
> >>> Tel.: +55 (71) 3641-6450
> >>> 
> >>> Secover - Serviços em Tecnologia e Segurança da Informação
> >>> http://www.secover.com.br
> >>> -------------------------
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> 
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > 
> > Cara,
> > 
> > Isso não é um redirecionamento, é apenas NAT, seria um redirecionamento
> > se invertesse o seu cenário, o host externo tentasse acessar o host
> > interno.
> > 
> > E isso de pegar o IP da interface(tun0) faz parte do NAT por padrão.
> > 
> > --
> > Anderson Eduardo
> > Diretor Geral
> > Tel.: +55 (71) 3641-6450
> > 
> > Secover - Serviços em Tecnologia e Segurança da Informação
> > http://www.secover.com.br
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Não sei se eu entendi bem mas ta me parecendo que o modem está configurado 
como router. De fato desta forma, voce terá 2 nats no caminho e assim 2 
redirecionamentos a serem feitos.

Cofigura o teu modem como bridge que o Free vai pegar um IP válido e o 
redirect ai vai funcionar.
-- 
Mario Lobo
http://www.mallavoodoo.com.br
FreeBSD since 2.2.8 [not Pro-Audio.... YET!!] (99% winfoes FREE)

Mais detalhes sobre a lista de discussão freebsd