Márcio,
Você poderia me explicar a sintaxe do fwd no ipfw. Assim, no meu caso a rede 10. é a minha rede interna, que tem meus usuários que vão acessar a internet e a rede 172 é uma rede metropolitana da Prefeitura, assim terei trafego de serviços(oracle) vindo da rede 172 e web e demais vindo da rede 10.
Márcio Luciano Donada wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Rodrigo Maues Rocha wrote:
| Lista,
|
| Gostaria da ajuda de vcs. tenho o seguinte esquema:
|
|
| [internet]----------[bsd]--------[rede_172]
| |
| |
| [rede_10]
|
| bom atualmente, no lugar do bsd tenho um linux com iptables rodando
| normalmente e gostaria de trocar por um bsd. Para isso preciso resolver
| algumas questões.
|
| 1 - o tráfego vindo da rede 10.0.0.0/8 tem que ser redirecionada para um
| proxy(10.0.0.11:8080) dentro da rede 10.0.0.0/8, ou seja, o tráfego http
| é feito pelo proxy. Hoje faço assim
|
| $IPT -t nat -A PREROUTING -i eth1 -s ! $PROXY -p tcp --dport 80 -j DNAT
| --to-dest $PROXY:8080
|
|
| $IPT -t nat -A POSTROUTING -o eth1 -s $REDE_INT -d $PROXY -j SNAT
| --to-source 10.0.0.2
|
| Assim eu garanto que o tráfego vindo da rede_10, sem que seja o proxy
| seja redirecionado para o proxy com o ip do firewall, para que ele
| responda para o cliente.
|
| Quero fazer isso com o IPFW, hoje tenho um firewall funcinando normal,
| mas só deixando passar por ele o tráfego http,dns,pop,smtp... direto sem
| redirecionar. Quero redirecionar o tráfego da rede_10 para o mesmo proxy
| fazendo isso pelo IPFW/Natd.
|
| 2 - Outra regra que tenho é um redicionamento vindo da rede_172 para uma
| máquina intenar na porta do oracle (1521). Funciona assim, o ip
| divulgado é o ip da placa 172 do firewall, assim todo o tráfego é feito
| para o ip 172.19.0.3:1521 ai ele redireciona para o ip 10.0.0.8:1521
| entrega ao oracle e retorna a reposta ao cliente.
|
| iptables -t nat -A PREROUTING -p tcp -s $SEMSA -d $SEMAD --dport 1521 -j
| DNAT --to 10.0.0.8:1521
|
| Onde $SEMSA e $SEMAD são variáveis(claro!).
|
|
| Gostaria muito de trocar essa linux pelo BSD, e agradeço a ajuda de todos.
|
|
Boa Tarde,
Pq você não organiza esses ip's? Não faz algo do tipo 192.168.1.0/24
192.168.2.0/24 etc...., pois pelo que vi você está utilizando uma rede
10.0.0.0/8 classe A.
Para o proxy transparente,
${fwcmd} add 3000 fwd ${localhost},3128 tcp from ${rede_in1} to any 80 via ${ip_in2}
onde o rede_in1 é a rede ip_in2 e o ip do server.
isso ai não tem muito stress pra se fazer, basta estar organizado.
OBS: você já utilizou alguma ver o ipfw? Leia a doc antes de iniciar o projeto para não ter problemas.
[]'s __ Márcio Luciano Donada mdonada at auroraalimentos dot com dot br -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
iD8DBQFB6A6ByJq2hZEymxcRApBoAJ0T/9mc+QXKu0N00jSCObDwe+I1owCgqk8n paaelgOKF8eRHO9qF2E3xKo= =voEY -----END PGP SIGNATURE-----
_______________________________________________________________ Para enviar um novo email para a lista: freebsd@fug.com.br Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
-- -- +-------------------------------------+ | R o d r i g o M a u e s R o c h a | +-------------------------------------+ | Contatos: | | MSN : [EMAIL PROTECTED] | | ICQ : 3679875 | | E-Mail : [EMAIL PROTECTED] | +-------------------------------------+ | FreeBSD User 5.3p2 | | Palm User | +-------------------------------------+ | Pensamento: | | "Sucesso e consequencia de esforco, | | dedicacao e planejamento. Milagres | | existem mas, sao construidos." | +-------------------------------------+
_______________________________________________________________ Para enviar um novo email para a lista: freebsd@fug.com.br Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
