ipfw dynamic ruleset + NAT
Michal Kutnohorsky
michal at freebsd.cz
Mon Oct 29 11:21:37 CET 2001
hoj,
zhruba takto jsem vytvoril ipfw pravidla, s tim, ze klienti z vnitrni site
jsou schopni navazat spojeni kamkoli ven a dovnitr smi jit jenom pakety,
ktere jsou odpovedmi ... /pomijim banalitky, ze v pravidlech neni povoleno
DNS a jine UDP veci../
00300 0 0 check-state
#projde tabulku "state table" a hleda navazane konexe
00301 0 0 deny tcp from any to any in established
#zakazat pakety dovnitr, ktere maji nastaveny ACK nebo RST bit, protoze
nejsou validnimi odpovedmi na vyslane pozadavky o spojeni z vnitrni site
00302 21 15144 allow tcp from any to any out keep-state setup
#povol ven pakety se SYN bitama a vytvor dynamicke pravidlo
65535 142 10531 deny ip from any to any
#tahle vypada state table
## Dynamic rules:
00302 19 15040 (T 0, # 147) ty 0 tcp, 24.141.119.162 2932 <->
216.136.204.21 80
funkcnost urcite znate, kdybych si to myslel blbe, tak me prosim
opravte..
/funguje je to ,tak ze zadost o spojeni je povolena, zpatecny paket je
kontrolovan, zda se nachazi ve state table a pokud ano, je povolena
komunikace mezi zdrojem a cilem, obema smery./
vse funguje z boxu nadherne, ale z vnitrni site za natem uz ne :(
192.168.0.0/24
| NAT
LAN | ---------------| box | ---------------|ISP|
| 192.168.0.22 62.24.xxx.xxx
paket z vnitrni site odejde, hlavicka je zmenena, dojde k cili, ale
problem nastava, kdyz se paket vraci..v logu se mi jako duvod "deny" ukaze
cil|port a zdroj /tam uz se objevi privatni adresa - a diky tomu to
neprojde FW, protoze ve state-table se jako zdroj nachazi verejna adresa
vnejsiho interfacu.../
hmmm je to nejaky dloiuhy, snad nekoho napadne, jak to vyresit. Problem
bych videl s NAT. kdo prebira kontrolu nad paketem privni? FW nebo NAT
demon?
predem diky
michal
-- Michal Kutnohorsky |\ --
-- michal at freebsd.cz .- -. --
-- icq 24864416 )\/ (( o\ --
-- http://www.freebsd.cz/~michal/ )/'''''--' --
More information about the Users-l
mailing list