Duvidas com PF em rotas e Regras

andersonrm
(usa Ubuntu)

Enviado em 07/01/2011 - 15:40h

Boa tarde,

Galera estou separando a minha produção e criando uma DMZ a minha produção tem o ip range 10.10.4.0 e a DMZ 10.10.5.0 estou com dificuldades de criar as rotas e configurar o nat para estas maquinas.
De um modo geral as maquinas que estão na DMZ apenas terão acesso a autenticação com o Active Directory, SQL, DNS e DHCP.

Meu OPenBSD é 4.8 o PF ta configurado do seguuinte jeito:

int_if = 10.10.5.5
ext_if = 10.10.4.10
net_local = 10.10.5.0/29

criei as regras:
#DNS
pass in quick on $ext_if proto { udp tcp } from $dns to $int_if port 53 keep state
pass in quick on $int_if proto { udp tcp } from $dns to any port 53 keep state

# Active Directory
pass in quick on $int_if proto { udp tcp } from $dns to $ext_if port 389 tag EXT_OUT keep state

#Permite acesso
pass in quick on $int_if proto {udp tcp icmp } from $net_local to any flags S/SA keep state

pass in quick on $ext_if proto { udp tcp icmp } from 10.10.5.18 to $ext_if keep state

Se tento do FW pingar a maquina 10.10.5.18 ele funciona porém qdo habilito as regras de proteção: block in all E block out all e tento pingar ele diz que não tem rota.

1) Minha dúvida é o seguinte as regras estão certas?
2) Qual as rotas que tenho de criar?
3) Como eu faço para que a rede DMZ 10.10.5.5 acessar somente os protocolos de DNS, SQL e AD

Valeu....