ipfw dynamic ruleset + NAT

Michal Kutnohorsky michal at freebsd.cz
Mon Oct 29 11:21:37 CET 2001


hoj,

zhruba takto jsem vytvoril ipfw pravidla, s tim, ze klienti z vnitrni site
jsou schopni navazat spojeni kamkoli ven a dovnitr smi jit jenom pakety,
ktere jsou odpovedmi ... /pomijim banalitky, ze v pravidlech neni povoleno
DNS a jine UDP veci../

00300 0 0 check-state
#projde tabulku "state table" a hleda navazane konexe
00301 0 0 deny tcp from any to any in established
#zakazat pakety dovnitr, ktere maji nastaveny ACK nebo RST bit, protoze
nejsou validnimi odpovedmi na vyslane pozadavky o spojeni z vnitrni site
00302 21 15144 allow tcp from any to any out keep-state setup
#povol ven pakety se SYN bitama a vytvor dynamicke pravidlo
65535 142 10531 deny ip from any to any
#tahle vypada state table
## Dynamic rules:
00302 19 15040 (T 0, # 147) ty 0 tcp, 24.141.119.162 2932 <->
216.136.204.21 80


funkcnost urcite znate,  kdybych si to myslel blbe, tak me prosim
opravte..
/funguje je to ,tak ze zadost o spojeni je povolena, zpatecny paket je
kontrolovan, zda se nachazi ve state table a pokud ano, je povolena
komunikace mezi zdrojem a cilem, obema smery./

vse funguje z boxu nadherne, ale z vnitrni site za natem uz ne :(

192.168.0.0/24
    |                  NAT
LAN | ---------------| box | ---------------|ISP|
    |      192.168.0.22   62.24.xxx.xxx

paket z vnitrni site odejde, hlavicka je zmenena, dojde k cili, ale
problem nastava, kdyz se paket vraci..v logu se mi jako duvod "deny" ukaze
cil|port a zdroj /tam uz se objevi privatni adresa - a diky tomu to
neprojde FW, protoze ve state-table se jako zdroj nachazi verejna adresa
vnejsiho interfacu.../

hmmm je to nejaky dloiuhy, snad nekoho napadne, jak to vyresit. Problem
bych videl s NAT. kdo prebira kontrolu nad paketem privni? FW nebo NAT
demon?


predem diky

michal

-- Michal Kutnohorsky                    |\    --
-- michal at freebsd.cz                   .-  -.  --
-- icq 24864416                     )\/  (( o\ --
-- http://www.freebsd.cz/~michal/   )/'''''--' --




More information about the Users-l mailing list