[Off-topic] ipfw + proxy transparente (resolvido, mas não compreendido)

Question

Bom dia pessoal!!
Me desculpem por estar postando minha d&uacute;vida nesse f&oacute;rum, mas n&atilde;o obtive resposta em outro local.
 
O objetivo &eacute; de solicitar um maior esclarecimento sobre o ipfw e natd. Recentemente eu consegui configurar o proxy transparente pelo Squid e est&aacute; funcionando bem, mas apesar de ter encontrado a solu&ccedil;&atilde;o, n&atilde;o ficou claro pra mim.

A solu&ccedil;&atilde;o que encontrei foi adicionar essas regras no firewall:
ipfw add allow tcp from me to any 80
ipfw add allow tcp from any to me 80
ipfw fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80

e no natd:
dynamic yes
use_sockets yes
same_ports yes

A minha d&uacute;vida &eacute;: porque eu tive que liberar o tr&aacute;fego de pacotes pela
porta 80 se a pol&iacute;tica do meu firewall est&aacute; como OPEN, ou seja, allow
ip from any to any.

OBS: Antes de achar a dica (aqui mesmo), eu n&atilde;o tinha cadastrado as
regras acima no ipfw e o natd.conf estava assim:

redirect_port tcp 192.168.0.25 3128 80

Mais uma vez, desculpem por colocar essa d&uacute;vida nesse f&oacute;rum, e como n&atilde;o encontrei nada que pudesse me esclarecer, ficarei muitro grato se algu&eacute;m puder me dar uma id&eacute;ia disso.

Darlei

Answer

Interessante... ipfw, n&atilde;o &eacute; muito comum por aqui. &Eacute; FreeBSD, n&atilde;o???

Apesar de n&atilde;o estar acostumado com isso, acho que d&aacute; pra tirar mais ou menos a id&eacute;ia... acredito que as duas primeiras regras (ipfw add allow) est&atilde;o liberando o Squid para enviar e receber tr&aacute;fego, da internet e da sua rede local.

Answer

No ipfw, tudo oq n&atilde;o &eacute; explicitamente liberado &eacute; bloqueado por default (se a configura&ccedil;&atilde;o default n foi alterada).

Dando ipfw list ir&aacute; mostrar todas as regras que est&atilde;o valendo no momento. Veja que elas possuem um &iacute;ndice. As regras com indice menor s&atilde;o executadas primeiro. Portanto, se vc tem uma regra de nega&ccedil;&atilde;o antes da regra que libera, isso acaba fazendo com que a regra de libera&ccedil;&atilde;o seja anulada pela primeira.

Aqui tem um minitutorial sobre ipfw, esclarecendo os principais pontos. =)
https://freebsdbrasil.com.br/guia-ipfw.php?cap=3

Answer

OBS: Antes de achar a dica (aqui mesmo), eu n&atilde;o tinha cadastrado as
regras acima no ipfw e o natd.conf estava assim:

redirect_port tcp 192.168.0.25 3128 80
Acho que essa regra faria um port forward (ou seja, redirecionar o tr&aacute;fego de sua m&aacute;quina para outro micro), e n&atilde;o um redirect (redirecionar de outro micro para sua m&aacute;quina).

Answer

[quote=jqueiroz, post: 2677994]Interessante... ipfw, n&atilde;o &eacute; muito comum por aqui. &Eacute; FreeBSD, n&atilde;o???
 
Apesar de n&atilde;o estar acostumado com isso, acho que d&aacute; pra tirar mais ou menos a id&eacute;ia... acredito que as duas primeiras regras (ipfw add allow) est&atilde;o liberando o Squid para enviar e receber tr&aacute;fego, da internet e da sua rede local.[/quote]
 
Sim jqueiroz, &eacute; FreeBSD, por isso pe&ccedil;o desculpas por ter postado essa mensagem num f&oacute;rum de servidores Linux, mas queria esclarecer isso.
Sim, essas duas primeiras regras liberam o tr&aacute;fego para o Squid, mas o que n&atilde;o compreendi, &eacute; que porque eu tive que colocar isso explicitamente no firewall, sendo que o estado padr&atilde;o do meu firewall &eacute; aberto (DEFAULT_TO_ACCEPT). :)

Answer

[quote=ffugita, post: 2678569]No ipfw, tudo oq n&atilde;o &eacute; explicitamente liberado &eacute; bloqueado por default (se a configura&ccedil;&atilde;o default n foi alterada).
 
Dando ipfw list ir&aacute; mostrar todas as regras que est&atilde;o valendo no momento. Veja que elas possuem um &iacute;ndice. As regras com indice menor s&atilde;o executadas primeiro. Portanto, se vc tem uma regra de nega&ccedil;&atilde;o antes da regra que libera, isso acaba fazendo com que a regra de libera&ccedil;&atilde;o seja anulada pela primeira.
 
Aqui tem um minitutorial sobre ipfw, esclarecendo os principais pontos. =)
https://freebsdbrasil.com.br/guia-ipfw.php?cap=3[/quote]
 
ffugita, obrigado pelo link, mas posso te afirmar que alterei a configura&ccedil;&atilde;o do ipfw sim, est&aacute; DEFAULT_TO_ACCEPT. Por padr&atilde;o meu firewall estava assim:
 
00050 divert 8668 ip from any to any via lnc0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 allow ip from any to any
 
depois da minha altera&ccedil;&atilde;o, ficou assim:
 
00050 divert 8668 ip from any to any via lnc0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 allow tcp from me to any 80
00500 allow tcp from any to me 80
00600 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80
65000 allow ip from any to any
65535 allow ip from any to any
 
fora a altera&ccedil;&atilde;o no natd.conf.
 
O que n&atilde;o entendi foi porque tive que colocar essas linhas em negrito, sendo que o default &eacute; ACCEPT!! :confused:

Answer

[quote=jqueiroz, post: 2679044]Acho que essa regra faria um port forward (ou seja, redirecionar o tr&aacute;fego de sua m&aacute;quina para outro micro), e n&atilde;o um redirect (redirecionar de outro micro para sua m&aacute;quina).[/quote]
 
jqueiroz, essa foi boa!! Eu n&atilde;o tinha pensado nessa possiblidade!!
Eu achava que estava estranho, mas n&atilde;o tinha me tocado disso!! :eek: 
 
Valeu!! :D

Answer

Sim jqueiroz, &eacute; FreeBSD, por isso pe&ccedil;o desculpas por ter postado essa mensagem num f&oacute;rum de servidores Linux, mas queria esclarecer isso.
&Eacute; nosso irm&atilde;ozinho S.L., t&aacute; limpo e liberado. :D

Ferramentas

Mover Tópico