Subrede com FreeBSD

[LSwifi]

Olá pessoal,

Tenho um link dedicado com uma range /29. O roteador é ligado ao meu firewall FreeBSD. Gostaria de dividir essa rede em 2 subredes. A primeira ficaria na porta do firewall ligada ao roteador e a segunda ficaria na segunda placa de rede que seria minha DMZ. É possível? Como seria a configuração do FreeBSD. Fico no aguardo.

[trober]

Olá LSwifi.

Se entendi certo, você deseja é ter atrás do seu servidor, hosts com IPs públicos, passando por dentro de seu servidor FreeBSD, como no diagrama abaixo. isso?

switch-----FreeBSD----router
..|
host(01)
..|
host(02)
..|
host(03)
..|
host(04)


Entretanto, considerando que seu range é /29 (portanto com 8 IPs, sendo 5 livres e 3 pré-alocados com network, gateway e broadcast), não teria nesse caso, até onde eu sei, com dividir em dois ranges de /30 e ainda assim estes serem públicos e passando por dentro do seu servidor. Se seu link fosse um /28 até daria, mas aí é outro caso e não vamos considerar.

Algumas operadoras entregam duas faixas /29, sendo uma para WAN, e outra para "public LAN", mas não vamos considerar essa situação também.

Se o seu caso atende o diagrama (ASCII) acima, então poderia fazer de duas formas:

a) FreeBSD em bridge.

b) FreeBSD com NAT, usando redirect_address.

As duas soluções acima são boas, entretanto, em alguns casos de NAT, onde não é possível atribuir o endereço WAN na aplicação ou serviço nos hosts atrás do firewall, e podem acontecer inconsistências. Por exemplo: Centrais telefônicas antigas sem flag para "WAN Address" na interface ethernet ou VoIP.

Enfim, se não for exatamente isso que precisa, especifique com mais detalhes, para que possamos ajuda-lo. Se possível, faça um diagrama.

Saudações,

Trober

[LSwifi]

Trober,

Sim, quero IPs públicos atrás do firewall. Quero colocar servidores de e-mail, dns, web, ftp nessa rede. Já tinha lido que posso fazer isso com o redirect_address, mas não imagino como fazer isso por exemplo com servidor de e-mail e DNS. Tens uma dica em relação a isso?

[trober]

Olá LSwifi.

Tendo esse seu cenário, com um bloco /29, eu optaria por um FreeBSD em bridge.

Os dados abaixos são ilustrativos, mas ajudarão a transparecer a ideia de como eu faria.

Considerando que os dados do seu LINK são:
Network: 200.200.200.152/29
Gateway: 200.200.200.153
Range: 200.200.200.154 até 200.200.200.158
Broadcast: 200.200.200.159

E considerando que os dados do seu SRV-FW (firewall) são:
Hostname: SRV-FW
Interface Externa: ext0
Interface Interna: int0
Interface em bridge: bridge0
IP da interface bridge0: 200.200.200.154

Feito isso, o acesso entre o "mundo externo" e todos os seus servidores MX, DNS e FTP(S) e HTTP(S) será transparente por meio do SRV-FW. Esse servidor firewall, por sua vez, nem precisaria de endereço IP, mas por razões de gerenciamento, obviamente, é melhor ter endereço atribuído.

Acredito ser melhor o FTP(S) e HTTP(S) no mesmo servidor (que chamamos aqui de SRV-A), e MX em outro servidor (que chamamos aqui de SRV-B) e o serviço de DNS nos dois servidores (SRV-A e SRV-B).

Enfim, talvez o que apresentei não seja a melhor forma, mas com base no que (pouco) conheço, faria assim.

Adicionalmente recomendo ler sobre a opção IPSTEALTH para compilação do seu kernel.

Espero ter sido útil.

Saudações,

Trober

[GrayFox]

Mesmo o freebsd em bridge você pode fazer filtro de pacotes e até proxy transparente se quiser. Praticamente nada se diferencia. Pode-se também se quiser fazer o uso do TPROXY.
De uma lida no manual:
man if-bridge

Saudações,