-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Rodolfo Zappa escreveu:
> Ok, mas o pacote é reavaliado desde o início das regras, ou a partir do
> ponto do divert?
>
> O problema que eu tenho é o seguinte: eu quero bloquear ou liberar
> pacotes da minha lan para a internet, baseados no ip de origem. Mas,
> após passar pelo natd, o pacote perde a referência do ip de origem, e a
> terceira regra abaixo, nunca é acionada.
>
> ${ipfw} 100 divert natd ip from any to any via ${ext_if}
> ${ipfw} 101 chek-state
> ${ipfw} 102 allow tcp from 192.168.0.25 to any 80 out via ${ext_if}
Faça:
${ipfw} 102 allow tcp from 192.168.0.25 to any 80 in via ${in_if}
Na interface de saída, o IP de origem já foi traduzido. Essa regra deve
ser feita na interface de entrada. (Pelo menos é assim que eu faço)
> Estou estudando o IPFW, acho a sintaxe maravilhosa e simples, os
> controles de banda facílimos de aprender, mas o fluxo do pacote pelo
> firewall, quando tem um divert para o natd, são muito mal documentados
> e completamente diferentes do PF, IPF e até do IPTABLES do netfilter.
>
> Por exemplo, no netfilter o fluxo é assim (simplificando):
>
> nat prerouting --> forward --> nat postrouting
>
> e quando eu quero liberar ou bloquear um pacote, baseado na origem, uso
> a chain forward, que memso depois de pasara pelo nat, não perde a
> referência do ip de origem.
>
> Alguém tem um bom doc sobre ipfw + natd, mostrando o fluxo dos pacotes
> pelo firewall?
>
> Patrick, pode dar uma mãozinha de novo?
- --
João Paulo Just
Diretor Executivo - Justsoft Informática Ltda.
http://www.justsoft.com.br/
- --
Ilhéus, BA, Brasil.
+55 75 8104 8473
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFGztU8XL+vuN2d7ZwRAnE5AKCUSJHmv1qBVoT8ajgtCPEDmX+zmACgluzC
0yClkkwmeqSnAV+dvH0ffBE=
=Jwcq
-----END PGP SIGNATURE-----
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
