Regras IPFW + DIVERT

squid · 30-09-2005, 17:39

People, me helpem.
To com o seguinte arquivo de firewall

#!/usr/local/bin/bash
ipfw 00500 add divert 8668 all from 192.168.10.0/24 to any via rl0 out
ipfw 00501 add divert 8668 all from any to 200.X.X.X via rl0 in
#REGRAS DE DOWNLOAD
ipfw 10001 add pipe 10001 ip from 192.168.10.2 to any out
ipfw pipe 10001 config bw 512Kbit/s queue 64kbytes
ipfw 30000 add divert 8668 all from 192.168.10.0/24 to any via rl0 out
ipfw 30001 add divert 8668 all from any to 200.220.205.24 via rl0 in
#REGRAS DE UPLOAD
ipfw 30002 add pipe 30002 ip from any to 192.168.10.2 in
ipfw pipe 30002 config bw 512Kbit/s queue 64kbytes
#REGRAS DE ACESSO LOCAL
ipfw 60000 add allow ip from me to any
ipfw 60001 add allow ip from any to me
#DENY EM TUDO
#ipfw 65534 add deny ip from any to any

Quando tiro o comentario da ultima regra o nat nao funciona, porque?

30-09-2005, 18:52

voce mesmo ja respondeu sua pergunta.
"DENY EM TUDO".

antes do deny all, faça o seguinte
ipfw add allow all from 192.168.10.0/24 to any
ipfw add allow all from any to 192.168.10.0/24
ipfw disable one_pass

pronto.

6)

**GrayFox** · 30-09-2005, 18:55

esqueci de logar.. ui

6)

squid · 30-09-2005, 19:40

Mas assim, se eu tivesse bloqueando tudo o host local nao navegaria e ele acessa norlmamente. E usando a saida sugerida por você, caso um cliente meu colocasse um ip do range ele iria navergar ou eu teria que colocar dar um deny ip por ip pros demais ip's da rede que nao quisesse que navegasse a intencao é somente deixar passar os ip's cadastrados com allow, o resto ser deny por default.

**GrayFox** · 30-09-2005, 22:49

faz o seguinte entao, em vez de ficar liberando ip, vale mais a pena liberar MAC Address entao...

antes de tudo, a regra de divert deveria ser uma das ultimas...
#####

ipfw disable one_pass
#256k de upload e 512k de download para o ip 10.5
ipfw pipe 1 config bw 256Kb/s
ipfw pipe 2 config bw 512Kb/s

ipfw add 1 pipe 1 all from any to 192.168.10.5 in layer2
ipfw add 2 pipe 2 all from 192.168.10.5 to any out layer2

ipfw add allow all from 192.168.10.5 to any MAC 00:02:33:44:55:66 any layer2
ipfw add deny all from 192.168.10.0/24 to any
ipfw add divert natd all from any to any via INTERFACE

o ip 10.5, vai funcionar com o mac 00:02....... limitado a 512k de down e 256k de up.

6)

squid · 04-10-2005, 19:11

mas ao ponto leigo de vista, os outros ips ainda estariam liberados, nao?
ou uma vez que voce coloque o layer ele passa atratar todos os ips mesmo os nao cadastrados por mac tambem? E nesse caso, eu tendo 2 clientes que revezam o mesmo ip em maquinas diferentes, eu poderia cadastrar o mesmo ip 2 vezes com macs diferentes?

**GrayFox** · 05-10-2005, 12:51

pode cadastrar sim, mas tem q ser antes da ultima regra de deny.

6)

Regras IPFW + DIVERT

Ferramentas de Tópicos