Ola lista, peguei o firewall de exemplo do site do OpenBSD, fiz umas adaptacoes
as minhas necessidades e tenho a presente situacao, na rede interna tudo
funciona normalmente. Mas qdo tento acessar de outro lugar (fora da empresa)
nao consigo acesso.
Segue abaixo o conjunto completo de regras do meu pf (desculpem o tamanho)
Obrigado desde ja ...
## definicao das interfaces de rede
int_if = "rl0"
ext_if = "vr0"
## definicao dos servicos utilizados
tcp_services = "{ 22, 3389, 5000 }"
icmp_types = "echoreq"
## definicao de redes e servidores
rede = "172.16.0.0/27"
srv_rdp = "172.16.0.6"
srv_web = "172.16.0.30"
## definicao de tabelas
table <malvados> { 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12,
10.0.0.0/8, 20.20.0.0/12 }
## opcoes gerais
set block-policy drop
set debug none
set fingerprints "/etc/pf.os"
set loginterface $ext_if
set optimization normal
set skip on lo0
set limit { frags 5000, states 2500 }
## normalizacao de pacotes entrantes
scrub in all
## controle de banda
altq on $ext_if cbq bandwidth 350Kb queue { ftpq, rdpq, sshq, webq }
queue ftpq bandwidth 10% cbq(default)
queue rdpq bandwidth 20%
queue sshq bandwidth 30%
queue webq bandwidth 40%
# nat e redirecionamento
nat on $ext_if from $int_if:network to any -> ($ext_if)
rdr on $ext_if proto tcp from any to $ext_if port rdp -> $srv_rdp port
3389
rdr on $ext_if proto tcp from any to $ext_if port ssh -> $srv_rdp port
22
rdr on $ext_if proto tcp from any to $ext_if port 5000 -> $srv_web port
5000
rdr on $int_if proto tcp from any to any port ftp -> 127.0.0.1 port
8021
rdr on $int_if proto tcp from any to any port www -> 127.0.0.1 port
3128
## politica padrao do firewall
block all
## permite que na interface loopback tudo aconteca
pass quick on lo0 all
## protecao contra ips spoofados
block drop in quick on $ext_if from <malvados> to any
block drop out quick on $ext_if from any to <malvados>
## permite que os servicos tcp funcionem
pass in on $ext_if inet proto tcp from any to ($ext_if) port
$tcp_services flags S/SA keep state
## permite que a internet consiga acessar os servidores
pass in on $ext_if proto tcp from any to $srv_rdp port 3389 flags S/SA
synproxy state
pass in on $ext_if proto tcp from any to $srv_web port 22 flags S/SA
synproxy state
pass in on $ext_if proto tcp from any to $srv_web port 5000 flags S/SA
synproxy state
## necessario para o funcionamento do ftp-proxy
pass in on $ext_if inet proto tcp from port 20 to ($ext_if) user proxy
flags S/SA keep state
## permite apenas os tipos icmp especificados
pass in inet proto icmp all icmp-type $icmp_types keep state
## permite total comunicacao na rede interna
pass in on $int_if from $rede to any keep state
pass out on $int_if from any to $rede keep state
## permite que as comunicacoes da rede interna saiam para internet
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state
matheus lamberti de abreu
BSD User ID: 051370
Embora nem tudo seja permitido, tudo é possível. [ Adágio Alquímico ]
Do, or do not. There is no 'try'. [ Master Yoda ]
Se a vida é regida por uma licença, esta é BSD. [
http://planeta.ubuntubrasil.org ]
---------------------------------
Yahoo! Photos
Ring in the New Year with Photo Calendars. Add photos, events, holidays,
whatever.
_______________________________________________
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
