[FUG-BR] Ipfw - Natd, de novo !!!

Quinta Janeiro 12 17:38:39 BRST 2012

um detalhe importante que o pessoal que faz nat com ipfw acaba
esquecendo:

sysctl net.inet.ip.forwarding = 1

ou pode ser habilitando no rc.conf:

gateway_enable=YES

preste atenção nessa sysctl que tem que estar habilitada pra fazer nat.

isso ta no man do natd:

     2.   Ensure that your machine is acting as a gateway.  This can be
done
          by specifying the line

                gateway_enable=YES

          in the /etc/rc.conf file or using the command

                sysctl net.inet.ip.forwarding=1

abraços

Em Qui, 2012-01-12 às 16:33 -0200, Adiel de Lima Ribeiro escreveu:
> Ficou perfeito, mas isso eu já tinha feito, com relação ao conceito
> estou vindo do Iptables ... 
> Acredito que o mundo BSD é melhor, principalmente para firewalls, eles
> são mais completos.
> Este conceito eu já tenho, mas comecei a mecher com Ipfw terça-feira
> 12/01/2012, rs.
> Agradeço a todos pela ajuda, vlw !!
> 
> 
> 
> -----Original Message-----
> From: Marcelo Gondim <gondim em bsdinfo.com.br>
> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> <freebsd em fug.com.br>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!!
> Date: Thu, 12 Jan 2012 15:31:23 -0200
> 
> 
> Em 12/01/2012 14:32, Adiel de Lima Ribeiro escreveu:
> > Não sei se é uma boa idéia, mas vou migrar pro PF, vou ter que aprender
> > as regras, mas tudo bem, ele me parece melhor que o IPFW.
> > O que vocês tem a me dizer ?
> 
> Você precisaria aprender 2. rsrsrsrsr
> Não importa qual você vai usar o problema que está tendo parece mais de 
> conceito sobre Firewalls que dá própria aplicação.
> Confesso que quando saí do Netfilter/IPTables e vi o ipfw e o pf quase 
> pirei nas regras mas o que ajuda mesmo é o conceito, graças à ele hoje 
> já tenho todos os meus Firewalls convertidos para pf e ipfw.
> 
> Vou fazer algo que não deveria pois acertos e erros levam à aprendizagem 
> e mais que tudo aumento da experiência. Como o Irado dizia... melhor 
> ensinar à pescar que já dar o peixe pronto.
> 
> Ps: gosto até de pescar mas limpar o peixe não é nada legal. 
> ahahahahahah Fazer o que?
> 
> Vou fazer o seguinte ambiente imaginário:
> 
> Firewall com 2 interfaces de rede: em0 para a Internet e em1 para a rede 
> Interna.
> Rede Interna: 192.168.0.0/24
> 
> estação                                                                
> Firewall
> ======
> 192.168.0.2 <=======>  192.168.0.1/24(em1)      10.0.0.1/24(em0) 
> <===========> INTERNET
> 
> No seu Kernel compilado:
> 
> options         IPFIREWALL
> options         IPFIREWALL_VERBOSE
> options         IPFIREWALL_VERBOSE_LIMIT=100
> options         IPFIREWALL_DEFAULT_TO_ACCEPT
> options         IPFIREWALL_FORWARD
> options         IPFIREWALL_NAT
> options         LIBALIAS
> options         DUMMYNET
> options         IPDIVERT
> 
> No script de Firewall:
> 
> ##############################################
> #!/bin/sh
> fw="/sbin/ipfw"
> 
> ext_if="em0"
> int_if="em1"
> 
> $fw disable one_pass
> $fw -f flush
> $fw zero
> $fw table all flush
> 
> # Estacoes
> $fw table 1 add 192.168.0.2
> $fw table 1 add 192.168.0.3
> $fw table 1 add 192.168.0.4
> 
> $fw add allow all from any to any via lo0
> $fw add deny all from 127.0.0.0/8 to any
> $fw add deny all from any to 127.0.0.0/8
> 
> $fw add deny all from any to any not antispoof
> 
> # Redireciona para o natd
> $fw add divert 8668 ip from 192.168.0.0/24 to any out via $ext_if
> $fw add divert 8668 ip from any to me in via $ext_if
> 
> # Permite IPs na table 2 o acesso à DNS externo
> $fw add allow udp from "table(2)" to any 53 keep-state
> $fw add allow tcp from "table(2)" to any 53 setup keep-state
> 
> # Permite IPs para acesso web
> $fw add allow tcp from "table(2)" to any 80 setup keep-state
> 
> $fw add allow tcp from me to any out setup keep-state
> $fw add allow all from me to any out keep-state
> $fw add 65534 deny all from any to any
> 
> ###########################################################
> 
> # natd.conf
> instance default
> interface em0
> dynamic no
> same_ports yes
> use_sockets yes
> unregistered_only yes
> 
> Bem esse é um script bem simples, tem que funcionar aí. Basta agora você 
> adaptar para a sua realidade.
> 
> Melhor não consigo fazer pra vc entender rsrsrsr
> 
> >
> >
> > -----Original Message-----
> > From: Lucas Dias<lucasmcz em gmail.com>
> > Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > <freebsd em fug.com.br>
> > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > <freebsd em fug.com.br>
> > Subject: Re: [FUG-BR] Ipfw - Natd, de novo !!!
> > Date: Thu, 12 Jan 2012 13:06:35 -0300
> >
> >
> > Adiel
> >
> > Então você deve estar esquecendo de algum detalhe.
> > Reveja o que os colegas Marcelo Gondim e Luiz Gustavo falaram.
> >
> > Se for possível, e resolver seu problema, usa o pf, pois ele é cheio de
> > recursos interessantes para NAT.
> > Agora, se for questão de honra colocar pra funcionar o NAT com o IPFW,
> > reveja com calma as regras e as ordens das mesmas
> >
> > Vale ressaltar que nat from any to any não é muito legal...
> > entendo any, como 0.0.0.0/0, eu acredito que você quer fazer nat sua rede,
> > algo como 192.168.10.0/24.
> >
> > Seja um pouco mais seletivo na criação das regras.
> >
> > Os Scripts do Patrick e a apostila do treinamento (que lembra a história do
> > livro horrivel hehehe) estão com muito conteúdo que vão lhe ajudar.
> >
> > Abraços e espero ter ajudado...
> >
> > # flames>  /dev/null (by irado, o furioso com tudo)
> > RIP Irado
> >
> >
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
> 

-- 
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: contato em mundounix.com.br
Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
Blog: http://www.luizgustavo.pro.br