[FUG-BR] IPFW - natd.

Marcelo Gondim gondim em bsdinfo.com.br
Quarta Janeiro 11 15:46:15 BRST 2012 

Em 11/01/2012 15:31, Adiel de Lima Ribeiro escreveu:
> Marcelo, justamente isso.
> Quando faço o nat de tudo, funciona, mas quando resrtinjo o nat apenas a
> consultas DNS na internet, não funciona, como pode ver nas regras.
> Quero justamente uma regra do IPFW que consiga restringir o nat.
> Não sei se tal regra funciona apenas com o IPFW divert any to any e deve
> ser configurada nas flags do natd ou se consigo criar tal bloqueio no
> ipfw mesmo.
> Obrigado.

Manda como está o seu natd.conf também. Mas vou te dar um exemplo:

no seu script do ipfw ficaria assim como exemplo:

ipfw add divert natd ip from 192.168.66.0/24 to any out via em0
ipfw add divert natd ip from any to me in via em0

No caso em0 é a interface externa que liga com a Internet.

no natd.conf um exemplo seria:

instance default
interface em0
dynamic no
same_ports yes
use_sockets yes
unregistered_only yes


[]´s

Gondim


>
> -----Original Message-----
> From: Marcelo Gondim<gondim em bsdinfo.com.br>
> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> <freebsd em fug.com.br>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Subject: Re: [FUG-BR] IPFW - natd.
> Date: Wed, 11 Jan 2012 14:48:21 -0200
>
>
> Em 11/01/2012 13:51, Adiel de Lima Ribeiro escreveu:
>> Senhores, boa tarde.
>>
>> Tenho um IPFW como firewall aqui em minha infraestrutura.
>> Ele tem uma interface de rede ligada a internet com IP fixo, em0.
>> Tenho uma interface de rede ligada a lan dos servidores, em1.
>>
>> Recompilei o kernel com as devidas opções de natd e o ativei no rc.conf,
>> quando crio as seguintes regras no meu firewall, o redirecionamento da
>> lan dos servidores para a internet funciona, por exemplo, ping e
>> consultas DNS.
>> ipfw add 099 divert natd all from any to any
>> ipfw add 100 allow all from any to any
>>
>> Gostaria de saber de há alguma maneira de filtrar isso pelo IPFW, por
>> exemplo:
>> ipfw add 666 divert natd tcp from {servidor} to any 53
>> ipfw add 669 divert natd udp from {servidor} to any 53
>> ipfw add 667 allow tcp from {servidor} to any 53
>> ipfw add 668 allow udp from {servidor} to any 53
>>
>> Se não houver, gostaria de saber se faço isso pelas flags do natd,
>> gostaria de exemplos também de como fazer, pelo IPFW se houver como, e
>> pelas flags do natd.
>> Já estou quebrando cabeça a 3 dias e não achei algo concreto em lugar
>> algum.
>>
>> Obrigado.
>>
> Opa Adiel,
>
> Confesso que não entendi bem o que está acontecendo e o que você quer
> realmente fazer.
> Tenta explicar mais detalhadamente.
> Por exemplo no seu nat 099 você faz nat de tudo, eu faria nat apenas dos
> IPs internos para fora. Mas confesso que não entendi o que queres fazer.
> Também costumo usar o nat do pf com o filtro do ipfw, mas isso é uma
> opção minha porque acho o nat do pf muito tranquilo as regras.
>
> []´s
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>

Mais detalhes sobre a lista de discussão freebsd