[FUG-BR] IPFW - natd.

Quarta Janeiro 11 19:12:25 BRST 2012

Em 11/01/2012 17:40, Adiel de Lima Ribeiro escreveu:
> Vou tentar ser mais prático, mudarei de exemplo.
> Vamos supor que tenho um servidor IPFW.
> em0 - interface externa, internet.
> em1 - interface interna, lan.
> Ipfw com política fechada.
>
> Quero fazer um nat da lan para a internet, para que a lan possa navegar, ou seja, porta 80.
> Quando coloco do jeito abaixo, funciona:
>
> ipfw add divert natd ip from any to any
> ipfw add allow ip from any to any
>
> Mas isso está permitindo tudo.
>
> Quero restringir para que seja feito o nat apenas da lan, restrito a navegação na internet. Fiz assim, mas não funcionou:
>
> ipfw add divert natd tcp from {lan} to any 80
> ipfw add allow tcp from {lan} to any 80

Adiel procure separar as coisas. NAT você precisa fazer para qualquer IP 
não público acessar a Internet. Não se preocupe com o NAT para limitar o 
acesso, se preocupe com as regras de filtragem. O NAT como coloquei em 
outros e-mails seria a forma que vejo menos custosa porque você não 
precisa fazer NAT de tudo e sim dos IPs internos RFC 1918 ( 
192.168.0.0/16, 10.0.0.0/8 e 172.16.0.0/12) independente das regras.

Depois do NAT feito e funcionando aí você faz a política de liberação 
que deseja, procure sempre liberar o DNS 53/udp e algumas vezes o 53/tcp 
para os servidores de DNS que você está usando externamente. Dessa forma 
suas estações vão pelo menos resolver os endereços, sem resolução não 
existe acesso por nome. :)

>
> O que estou fazendo de errado ?
> Agradeço a todas as sugestões e peço desculpas se não fui claro em minha dúvida.
>
> Obrigado.
>
>