Posição DNS

vai um exemplo pratico pra vc entender

suponhamos que vc tenha um bloco de ips /24 uma classe C inteira.

por exemplo.
200.200.200.0/24

pra facilitar o entendimento, vamos subnetar esse bloco em duas subredes

200.200.200.0/25
rede -a 200.200.200.0-127/25
rede -b 200.200.200.128-255/25

ambiente

firewall com 3 interfaces..

Lan Wan e DMZ

interface wan - 200.200.200.2 gw 200.200.200.1

interface DMZ 200.200.200.129 servidores 200.200.200.130-254

lan - 192.168.0.0/24 por exemplo..

sendo assim, vc fica com ips válidos na Wan e na DMZ, roteados pelo firewall
que possui uma interface em cada um. devido a isso vc consegue tratar as
requisições para e da DMZ pelo firewall, criando seus filtros.

FreeBSD: DMZ NAT

Marcelo Gondim

Olá lista,

Encontro-me com a seguinte dúvida:

Fiz uma configuração assim:


rede interna ----- firewall freebsd ----- Internet
re2 |re1 re0
|
|
servidor Apache

Nessa rede de servidores coloquei um servidor Apache rodando com uma página.
O Servidor Apache tem o IP 192.168.10.3 e para o mundo sai com 187.x.x.182.
De
fora, da Internet, acesso a página normalmente, mas da rede interna não
acesso, porque quando resolve o nome o sistema devolve 187.x.x.182 e aí
cai no Firewall. Quando vem de fora funciona por causa do NAT mas de dentro
não. Meu rc.ipfw com relação ao NAT está assim:

ipfw add divert 8668 all from any to any out via re0
ipfw add divert 8668 all from any to me in recv re0

E abaixo o meu natd.conf:

interface re0
dynamic no
same_ports yes
use_sockets yes
unregistered_only yes

redirect_address 192.168.10.2 187.x.x.179
redirect_address 192.168.10.3 187.x.x.182
redirect_address 192.168.10.4 187.x.x.181

Que regra ou que configuração eu poderia fazer para que quando tentasse
acessar da rede interna o IP 187.x.x.182 eu caísse na máquina 192.168.10.3?

Tentei até com ipfw add fwd mas não funcionou como eu esperava. :)

[]´s


###################################################################################################
###################################################################################################
###################################################################################################

Já pensou em usar o bind com views?

na view interna, os clientes resolverão www.dominio.com.br com o IP 192.168.0.3
na view exterma, os clientes resolverão com o IP 187.x.y.182


###################################################################################################
###################################################################################################
###################################################################################################


Opa Rodrigo,

Poderia ser uma solução mesmo. :) boa dica. Tentando me virar aqui consegui
resolver mas não sei se teria uma outra maneira mais simples. Fiz o seguinte
que funcionou show de bola: :D

no rc.ipfw ficou:

# DMZ
$fw table 1 add 192.168.10.2
$fw table 1 add 192.168.10.3
$fw table 1 add 192.168.10.4

# DMZ_PUBLIC
$fw table 2 add 187.x.x.179
$fw table 2 add 187.x.x.181
$fw table 2 add 187.x.x.182

$fw add divert 8668 all from any to any out via $ife
$fw add divert 8668 all from any to me in recv $ife

$fw add divert 8669 all from any to "table(2)" in via $ifi
$fw add divert 8669 all from "table(1)" to any out via $ifi

e no natd.conf:

instance default
interface re0
dynamic no
same_ports yes
use_sockets yes
unregistered_only yes

redirect_address 192.168.10.2 187.9.216.179
redirect_address 192.168.10.3 187.9.216.182
redirect_address 192.168.10.4 187.9.216.181

instance servidores
interface re2
dynamic no
same_ports yes
use_sockets yes

redirect_address 192.168.10.2 187.9.216.179
redirect_address 192.168.10.3 187.9.216.182
redirect_address 192.168.10.4 187.9.216.181
port 8669

Se alguém tiver a mesma dúvida fica aqui pelo menos alguma solução :)

[]´s