Essas são as regras do rc.firewall e named.conf que estou usando no momento.
#---------------- RC.FIREWALL - INICIO --------------- # BLOQUEIOS DE PORTAS NETBIOS ${fwcmd} add 100 deny udp from any to any 135-139,445 ${fwcmd} add 100 deny tcp from any to any 135-139,445 ${fwcmd} add 100 deny udp from any 135-139,445 to any ${fwcmd} add 100 deny tcp from any 135-139,445 to any # BLOQUEIO DE PACOTES FRAGMENTADOS ${fwcmd} add 100 deny all from any to any in frag # PIPE 1000 ${fwcmd} pipe 1234 config bw 1000Kbits/s queue 20 mask dst-ip 0x0000ffff ${fwcmd} pipe 512 config bw 500Kbits/s queue 20 mask dst-ip 0x0000ffff ${fwcmd} add set 1 divert natd all from 191.169.15.1 to any ${fwcmd} add set 1 divert natd all from 191.169.30.1 to any # PROXY ${fwcmd} add 50000 fwd localhost,1290 tcp from 191.168.0.0/16 to not 200.223.236.0/24, ,200.201.174.0/24,200.192.176.0/24,200.221.8.0/24,201.7.176.59/24,72.36.191.0/16 80 #PIPE - GERAL ${fwcmd} add pipe 1000 ip from any to 191.169.0.0/24 ${fwcmd} add pipe 512 ip from 191.169.0.0/24 to any ${fwcmd} add divert natd all from any to me via rl0 in ${fwcmd} add 65000 pass all from any to any ------------------- # FIM - RC.FIREWALL #---------------------------------- -------------------# INICIO NAMED.CONF # -------------------------------- listen-on { 127.0.0.1;200.222.222.34;200.222.222.0/24; }; zone "." { type hint; file "named.root"; }; zone "0.0.127.IN-ADDR.ARPA" { type master; file "master/localhost.rev"; }; // RFC 3152 zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA" { type master; file "master/localhost-v6.rev"; }; zone "provedor.com.br" IN { type master; file "provedor.com.br"; allow-update { none; }; }; zone "34.in-addr.arpa" IN { type master; file "provedor.rev"; allow-update { none; }; }; zone "bahianet.sec" IN { type slave; masters { 200.222.222.34; }; file "slave/provedor.sec"; }; #-------------------- fim --------------------------------- > From: mantunes <mantunes.lis...@gmail.com> > > coloque essas regras e ver se funciona > > ipfw add allow udp from me 1024-65535 to any 53 out keep-state uid bind > ipfw add pass tcp from any to any 53 setup > ipfw add pass udp from any to any 53 > ipfw add pass udp from any 53 to any > ipfw add pass tcp from any 53 to any > ipfw add pass udp from any to any 53 keep-state > ipfw add pass tcp from any to any 53 keep-state > > > > > 2009/9/11 Thiago Gomes <thiagome...@gmail.com>: >> mande suas regraas do IPFW. faça o teste para ter se a porta do >> dns esta aberta >> >> telnet <ip> 53 >> > From: Wanderson Tinti <wander...@bsd.com.br> >> > Alex, boa tarde. > > Coloque as configurações do Bind e IPFW para que possamos ajudar. Pelo que > entendi nessa sua mensagem, você quer liberar consultas recursivas > externas > em seu servidor DNS para hosts que não estão nos seus domínios, é isso? > > > From: irado furioso com tudo <ir...@bsd.com.br> > > possível é, não é desejável ou conveniente, tudo fica muito exposto. > >> Agora estou querendo colocar no mesmo servidor de GATEWAY tudo junto, mas >> quem ta fora da rede não consegue resolver o nome, acredito que seja a >> compilação do kernel que abilita o IPFW com as seguintes regras; > > mas.. a razão de vc querer tudo junto é pq "quem ta fora da rede não > consegue resolver o nome"?? isso NÃO É problema do gw em si, mas sim > de outros fatores como, por exemplo, regras de fwll ou daemon que > "esquece" de ser ativado (ou se rebelou, morreu..) > > >> Como posso fazer isso funcionar, e qual a versão do FreeBSD para isso? >> OBS: Estou usando o FreeBSD 8 BETA 4 e esta perfeito como GATEWAY. > > um beta para gw/servidor de produção? nem pensar. Sugiro, fortemente: > > a) definir o que vc quer de verdade e postar na lista > > b) usar 7.2-RELEASE e deixar os beta para máquina de testes > > c) se possível, fazer o gw separado de qualquer outra máquina (mesmo > que com vários links isso é possível) e criar DMZ para os servidores > (bind, mail, etc) > > divirta-se. ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd