[FUG-BR] Duvidas com PF

Enio Marconcini eniorm em gmail.com
Terça Janeiro 31 14:37:16 BRST 2012 

2012/1/31 Diogo Dalfovo <b1n4r1w0rm em gmail.com>

> Bom dia pessoal!!!
>
> A um bom tempo atras eu ja tinha recorrido  lista por uma duvida parecida,
> mas gostaria de saber se é possivel eu fazer o filtro de uma regra binat?
> Ex:
>
> # ---- Redireionamento bidirecional para email
> binat on $ext_if from 192.168.0.12/32 to any -> x.x.x.244/32    --> BRT
> binat on $ext_if2 from 192.168.0.12/32 to any -> y.y.y.226/32  -->
> Embratel
>
> ....
> Bloqueia tudo por padrao
> block in log on $ext_if
> block in log on $ext_if2
> ....
> pass in log quick on $ext_if2 proto tcp from any to y.y.y.226 port 22 keep
> state --> não libera conexão ssh do binat. O ssh esta sendo usado apenas
> como exemplo
> ...
> pass in log quick on $ext_if2 proto tcp to $ip_ext2_alias0 port 22 keep
> state \
>                   (max-src-conn 3,max-src-conn-rate 5/3, overload
> <bruteforce> flush global) label "Acesso SSH Embratel" --> acessa normal FW
> $ip_ext2_alias0 = y.y.y.227
>
> pass in log quick on $ext_if proto tcp to $ip_ext port 22 keep state \
>                   (max-src-conn 3,max-src-conn-rate 5/3, overload
> <bruteforce> flush global) label "Acesso SSH BRT" --> acessa normal FW
> $ip_ext = x.x.x.242
>
>
> Agora se eu alterar a regra do binat para:
> binat pass on $ext_if from 192.168.0.12/32 to any -> x.x.x.244/32
> binat pass on $ext_if2 from 192.168.0.12/32 to any -> y.y.y.226/32
>
> Funciona 100%, poderia deixar assim mas gostaria de deixar passar somente
> algumas portas é possivel sem ter que deixar passar tudo na regra do binat?
> Obs: Infelizmente não foi possivel "ainda" colocar o servidor de email em
> uma DMZ.
>
> E o contrario  tb deixando o binat com pass e tentando bloquear o acesso tb
> não funcionou.
>
> Diogo Dalfovo
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


opa boa tarde Diogo,
não sou entendido do PF não, mas por acaso você já tentou usar a opção tag
e tagged para marcar os pacotes?
da uma olhada:

http://www.openbsd.org/faq/pf/tagging.html

-- 
*ENIO RODRIGO MARCONCINI*
@eniomarconcini <http://twitter.com/eniomarconcini>
skype: eniorm
facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini>

*"H**ave a trouble with windows: reboot!*

*Have a trouble with unix: be root!"*

Mais detalhes sobre a lista de discussão freebsd