Propoustejici IP Filter?

Radek Skokan skokan at lanprojekt.cz
Wed Jul 26 16:09:46 CEST 2000


Zdravim,
tak jsem zkusil dat pocitac s FreeBSD 4.0 misto Linuxu na funkci interniho
routeru pro nasi firmu a docela se divim. Uvnitr pouzivame 3 privatni
podsite (192.168.{0|1|64}.0/24) a do DMZ se to ma prekladat pomoci ipf zatim
jako jedna IP. Jednoducha konfigurace je nasledujici:

map xl0 192.168.0.0/24 -> 62.168.41.7/32 portmap tcp/udp 1025:30000
map xl0 192.168.0.0/24 -> 62.168.41.7/32

a pro dalsi 2 site podobne.
Filtrovani paketu ted neni prakticky zadne, vsechno je povoleno.
Potiz je v tom, ze to vetsinou funguje a vetsinou ne. Ten pripad, kdy to
nefunguje, se jevi tak, ze paket z vnitrni site nevleze do NATu, ale je
bezne routovan (a nebot ted nemam nic zakazano, prosakne do DMZ). To same se
mi stalo i pri zkouseni OpenBSD. Jak je to mozne? Po upraveni kernelovych
promennych pomoci sysctl pro ipf (zrejme jen zkraceni expiracnich casu)
podle HOWTO k ipf me vypis zaznamu v nat tabulce uvadi cca. 200 zaznamu a
rozsah portu jsem si pro jistotu upravil rucne.

Dalsi vec je ta, ze kdyz si zrovna nemuzu z nektereho klienta pingnout ven
nebo pouzit jinou sluzbu, nejde to ani z toho routeru, coz uz na problem
ipnatu nevypada. A kdyz mi zrovna nejde ping nebo ftpko na nejaky cil, jde
treba ssh uplne bezproblemove. Zrovna ted si nemuzi pingnout ze svych
windowsu i z routeru na jednoho hosta a secureshellem se na nej v klidu
koukam a tcpdump na nem spusteny pise echo requesty i replaye, na routeru
pise tcpdump to same, ale z pingu nic neleze.

Urcite delam nejakou totalni blbost, ale jsem uplne mimo. Nebo je snad IP
Filter vadny?

Radek Skokan
LAN-Projekt, Plzen
skokan at lanprojekt.cz, internet at lanprojekt.cz
019 / 722 43 08, 0603 / 714 702






More information about the Users-l mailing list