[FUG-BR] rdr do pf para conexão entrante apenas

Marcelo Gondim gondim em bsdinfo.com.br
Quarta Junho 27 11:32:27 BRT 2012 

Em 27/06/2012 11:21, gilliatt em atriumsp.com.br escreveu:
>    
>
> Olá Gondim bom dia.
>
> Não seria melhor você criar uma regra
> especifica para as portas dos serviços do seu PABX?
>
> Eu sempre evito
> criar regras muito genéricas.
>
> Você pode determinar conexões entrantes,
> como no exemplo:
>
> pass in on tl0 proto tcp from any to any port
> 5000:5500 rdr-to 192.168.1.20 port 6000

Pois é mas esse foi o range solicitado pelo técnico da Central por causa 
do VoIP que segundo ele na hora de transferir uma chamada ele gera uma 
porta desse range na comunicação.
Também gostaria muito de especificar.  ;)

Mas mesmo especificando ainda existe o problema porque vamos dizer que 
por um acaso o destino resolva na hora do csup tentar usar a mesma porta 
pra saída da conexão, aí ainda sim o retorno cairia  no rdr e nessa hora 
falharia a conexão. Queria realmente encontrar uma solução para conexões 
entrantes no rdr do PF.
Isso se agrava porque nessa mesma máquina tem um proxy e devido à isso 
as chances de ser gerada uma porta de saída igual à do rdr é muito maior.

>
> Segue o link:
> http://www.openbsd.org/faq/pf/pt/rdr.html [3]

Vou dar uma olhada nesse link. :)  valeu.

>
> Abs
>
> Gilliatt
>
> On
> Wed, 27 Jun 2012 10:25:38 -0300, Marcelo Gondim wrote:
>
>> Essa aqui é
> para os mais antigos no PF. :)
>> Pessoal eu tenho essas regras abaixo
> por causa de uma central telefônica
>> aqui interno. Sendo que acontece
> o seguinte: desse servidor freebsd se
>> eu tento fazer um csup dos
> fontes não rola porque as portas geradas de
>> saída estão acima de
> 10000 por default:
>> net.inet.ip.portrange.last: 65535
>>
> net.inet.ip.portrange.first: 10000
>> Mudando as confs acima para
> começar em 1024 e a última ser 9999 funciona
>> mas não queria fazer
> isso. Tudo ocorre porque a resposta para o csup
>> está batendo nas
> regras abaixo e sendo redirecionadas para o servidor
>> 192.168.8.252.
> Eu tenho como fazer as regras abaixo para somente novas
>> conexões
> entrantes ? No Netfilter/IPTables por exemplo isso é padrão
>> para
> novas conexões mas acredito que no PF também exista alguma maneira
>> do
> retorno de uma conexão não caír nas regras de rdr.
>> rdr on $ext_if
> proto udp from any to 10.255.0.12 port 10000:65535 ->
>> 192.168.8.252
>>
> rdr on $ext_if proto tcp from any to 10.255.0.12 port 10000:65535 ->
> 192.168.8.252
>> Grande abraço à todos
>>
>> Gondim
>>
> -------------------------
>> Histórico:
> http://www.fug.com.br/historico/html/freebsd/ [1]
>> Sair da lista:
> https://www.fug.com.br/mailman/listinfo/freebsd [2]
>
>   
>
>
> Links:
> ------
> [1] http://www.fug.com.br/historico/html/freebsd/
> [2]
> https://www.fug.com.br/mailman/listinfo/freebsd
> [3]
> http://www.openbsd.org/faq/pf/pt/rdr.html
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Mais detalhes sobre a lista de discussão freebsd