[FUG-BR] rdr do pf para conexão entrante apenas

Marcelo Gondim gondim em bsdinfo.com.br
Quarta Junho 27 17:05:51 BRT 2012 

Em 27/06/2012 11:52, Luiz Gustavo escreveu:
> Em Qua, 2012-06-27 às 11:32 -0300, Marcelo Gondim escreveu:
>> Em 27/06/2012 11:21,gilliatt em atriumsp.com.br  escreveu:
>>>     
>>>
>>> Olá Gondim bom dia.
>>>
>>> Não seria melhor você criar uma regra
>>> especifica para as portas dos serviços do seu PABX?
>>>
>>> Eu sempre evito
>>> criar regras muito genéricas.
>>>
>>> Você pode determinar conexões entrantes,
>>> como no exemplo:
>>>
>>> pass in on tl0 proto tcp from any to any port
>>> 5000:5500 rdr-to 192.168.1.20 port 6000
> Estranho porque o keep-state é padrão no pf desde do 6.x (se não me
> engano) e poderia sanar esse seu problema...
>
> mas de qualquer forma, porque não migra pra subversion ? é que o source
> do freebsd esta usando agora.
>
> http://www.freebsd.org/doc/en_US.ISO8859-1/articles/committers-guide/subversion-primer.html
>
>
opa Guga,

Ainda caio no mesmo problema. Saca só vou dar nome aos bois pra você ter 
uma idéia:


[ Central Tel. 192.168.8.252 ] <-----> [ 192.168.8.253 Proxy 10.255.0.12 
] <------> Internet

Olhando agora para essa regra onde em0 é a interface com IP 10.255.0.12:

rdr on em0 proto tcp from any to 10.255.0.12 port 10000:65535 -> 
192.168.8.252

Com a regra acima qualquer conexão tcp no IP 10.255.0.12 porta dentro do 
range entre 10000 e 65535 é redirecionado para a mesma porta no 
192.168.8.252. Até aqui show de bola e funciona como esperado. Agora se 
estou no meu notebook atrás desse proxy tentando acessar os sites eu não 
consigo. Para funcionar preciso colocar a seguinte regra antes da de cima:

no rdr on $ext_if proto tcp from any port < 1024 to 10.255.0.12

Ficando assim:

no rdr on em0 proto tcp from any port < 1024 to 10.255.0.12
rdr on em0 proto tcp from any to 10.255.0.12 port 10000:65535 -> 
192.168.8.252

Desse jeito o proxy funciona porque estou dizendo para não redirecionar 
pacotes cuja porta origem seja menor que 1024. Se eu removo a primeira 
regra babau a navegação. Só posso deduzir que seja por causa da nova 
regra da Central.
Na minha concepção pacotes retornados de uma conexão feita pelo proxy 
não deveriam entrar nesse redirect. Estou correto?  :)

Mais detalhes sobre a lista de discussão freebsd