[FUGSPBR] IPFW + NATD

Wed, 25 Jun 2003 07:39:36 -0700 

Ol� pessoal,

                quando se usa IPFW 2 + NATD, os pacotes passam a entrar no Firewall 
duas
vezes, ou seja, a primeira quando vem da rede interna, e a segunda depois de
passar pela regra de divert. Por exemplo (usando TELNET):


Interface interna (xl1): 10.1.1.1
Interface Externa (xl0): 200.1.1.1
Rede Interna: 10.1.1.0/24


Primeira vez: Quando vem com origem na rede interna e destino externo, ou
seja, vem como 10.1.1.x:
                10.1.1.x:1050 -> 199.199.199.199:23
Segunda vez: Depois que passa pela NAT, o pacote volta com endere�o de
origem igual ao endere�o da interface externa do firewall:
                200.1.1.1:1050 -> 199.199.199.199:23



        Com isso, eu tenho que liberar regras permitindo tanto o IP da minha rede
interna, quanto o IP da interface interna do Firewall, confere?

Algo assim:

# habilita o natd
add 200 divert natd all from any to any via xl1

# inicia stateful
add 300 check-state


#essa libera a primeira vez que o pacote entra no firewall
add 2050 allow tcp from 10.1.1.0/24 to 199.199.199.199/32 23 in via xl0
setup keep-state
#essa libera a segunda vez que o pacote entra no firewall (depois de
nateado)
add 2051 allow tcp from 200.1.1.1/32 to 199.199.199.199/32 23 out via xl1
setup keep-state


        Desta forma, em situa��es como essa, de IPFW2 + NATD, eu tenho sempre que
"duplicar" as regras, ou seja, tenho de liberar o acesso real (da m�quina
interna para o host destino) e tamb�m o acesso p�s-nat (quando o endere�o de
origem do pacote � nateado para o IP da interface externa do firewall)??

        Caso seja isso mesmo, o que se faz na pr�tica? Simplifica-se colocando logo
uma �nica regra permitindo tudo que sai com a interface externa do firewall
(allow tcp from 200.1.1.1/32 to any out via xl1 setup keep-state), e depois
vai liberando somente o acesso dos hosts internos? Ou cria-se sempre duas
regras e cada caso para fechar melhor o firewall? Ou estou configurando tudo
errado? heheeh :)


[]�s

 Oswaldo






_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Responder a