[FUG-BR] IPFW - natd.

Adiel de Lima Ribeiro adiel.netadmin em gmail.com
Quarta Janeiro 11 21:20:58 BRST 2012 

Obrigado a todos, com seus exemplos e lendo bastante consegui algum
progresso, a pessoa que mais entendeu minha necessidade foi o Jean, foi
de grande valia o exemplo dele, apenas tive que complementar minhas
regras do IPFW e no rc.conf modificar o natd_flags de
="-f /etc/natd.conf" para "-dynamic -m". 
No caso dessa lan de exemplo, o acesso a internet está funcionando com o
exemplo do Jean, e se eu quizer publicar algum servidor dela na
internet, como faço ? 


-----Original Message-----
From: Jean Zanuzo <jean em w3nt.com>
Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
<freebsd em fug.com.br>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Subject: Re: [FUG-BR] IPFW - natd.
Date: Wed, 11 Jan 2012 17:42:58 -0300


Boa tarde,

Nao acompanhei o assunto, e não li mensagens anteriores, mas como é um 
exemplo novo, segue um exemplo de regra que te atende.

Em 11/01/2012 16:40, Adiel de Lima Ribeiro escreveu:
> Vou tentar ser mais prático, mudarei de exemplo.
> Vamos supor que tenho um servidor IPFW.
> em0 - interface externa, internet.
> em1 - interface interna, lan.
> Ipfw com política fechada.
>
> Quero fazer um nat da lan para a internet, para que a lan possa navegar, ou seja, porta 80.
> Quando coloco do jeito abaixo, funciona:
>
> ipfw add divert natd ip from any to any
> ipfw add allow ip from any to any
>
> Mas isso está permitindo tudo.
Neste caso o nat libera tudo tratando a informação que está entrando e 
saindo da interface para qualquer porta e qualquer endereço.
>
> Quero restringir para que seja feito o nat apenas da lan, restrito a navegação na internet. Fiz assim, mas não funcionou:
>
> ipfw add divert natd tcp from {lan} to any 80
> ipfw add allow tcp from {lan} to any 80
Vamos considerar que a informação que vem dos endereços da sua rede 
interna com destino a porta 80 precisa entrar no nat

ipfw add divert natd tcp from {lan} to any 80 in via em1

Agora a informação quando volta da Internet precisa passar pelo nat para 
desfazer o mascaramento

ipfw add divert natd tcp from any 80 to me in via em0

Caso seu servidor tenha um bloco de ips publicos alocado e voce 
configure no natd.conf um ip especifico (xxx.xxx.xxx.xxx) para usar 
neste nat, sendo e ele um alias na em0, então podemos utilizar outra 
regra no lugar da anterior para ser mais seletivo:

ipfw add divert natd tcp from any 80 to xxx.xxx.xxx.xxx in via em0



>
> O que estou fazendo de errado ?
> Agradeço a todas as sugestões e peço desculpas se não fui claro em minha dúvida.
>
> Obrigado.
>
>

Att.

Jean Zanuzo
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-- 
       Adiel de Lima Ribeiro
http://www.facebook.com/sembr.dyndns.info

Mais detalhes sobre a lista de discussão freebsd