2010/1/5 Bruno Torres Viana <btvi...@gmail.com>: > ifconfig (re1=LAN re2=WAN) >
Lá no primeiro email você disse que possuia "duas placas externas", existe essa outra "WAN" (re0?) ou não? > re1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 > > options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC> > ether 00:1d:7d:0d:25:80 > inet 192.168.25.4 netmask 0xffffff00 broadcast 192.168.25.255 > media: Ethernet autoselect (100baseTX <full-duplex>) > status: active > re2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 > > options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC> > ether 00:1d:0f:be:93:e5 > inet 192.168.1.64 netmask 0xffffff00 broadcast 192.168.1.255 > media: Ethernet autoselect (100baseTX <full-duplex>) > status: active > > > netstat -nr > Internet: > Destination Gateway Flags Refs Use Netif Expire > default 192.168.1.1 UGS 11 17360 re2 > 127.0.0.1 link#4 UH 0 12 lo0 > 192.168.1.0/24 link#3 U 0 241 re2 > 192.168.1.64 link#3 UHS 0 114 lo0 > 192.168.25.0/24 link#2 U 4 30202 re1 > 192.168.25.4 link#2 UHS 0 0 lo0 Vou partir do pressuposto em que 1) seu objetivo é que os computadores que estão atras da placa de rede re1 e que possuem o ip 192.168.25.4 como gateway consigam navegar na internet ou simplesmente enviar/receber emails. > > ipfw show > 00005 63367 23159498 allow log ip from any to any via re1 Essa regra 5 já abriu totalmente teu firewall para que a LAN possa iniciar a conexões. > [cut...] > 00299 1754 124034 deny log ip from any to any out via re2 Opa, deny any to any na re2? Por que? > [cut...] > 00304 0 0 deny log ip from 0.0.0.0/8 to any in via re0 0.0.0.0/8 ? > 00332 286 14488 deny log tcp from any to any established in via re2 > 00333 0 0 deny log tcp from any to any established in via re2 Aqui vejo outro problema, acho incorreto o uso que você está fazendo do established. Claro que tudo depende da logica, motivações e objetivos do firewall, mas no caso de um firewall simples como o seu (esta bem poluido viu? da pra resumir um monte e arrancar varios desses logs) eu não vejo logica em bloquear conexões estabelecidas. Penso que você deve bloquear/inibir que as conexões sejam estabelecidas, então se uma tentativa de conexão passou do handshake é por que era permitida, logo allow nas establisheds. 2) Você nem precisa de firewall ou nat pra fazer esse seu router funcionar, basta um gateway_enable="YES" no rc.conf 3) Pra finalizar, como vc é iniciante em firewalls e ipfw, eu sugiro que você não abuse tanto do in/out/via, pois no início é dificil visualizar o exato fluxo de pacotes, e se vc errar um IN nesse momento o seu firewall não funcionará como deveria. -- Nilson ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd