ipfw dynamic ruleset + NAT

[Martin Horcicka]

Michal Kutnohorsky (2001-10-29 11:21 +0100):

> zhruba takto jsem vytvoril ipfw pravidla, s tim, ze klienti z vnitrni site
> jsou schopni navazat spojeni kamkoli ven a dovnitr smi jit jenom pakety,
> ktere jsou odpovedmi ... /pomijim banalitky, ze v pravidlech neni povoleno
> DNS a jine UDP veci../

Nejsem si jist, zda moje predstava je uplne spravna, ale rekl bych, ze tenhle
ucel splnuje NAT automaticky - pakety ktere nenalezi zadnemu "spojeni"
vyvolanemu z vnitrni site jsou zrejme pochopeny jako pakety pro samotny
router, na kterem NAT bezi. Slovo "spojeni" davam do uvozovek, protoze si
nejsem jisty jak NAT naklada s UDP pakety - mozna si take pamatuje odkud z
vnitrni site nejaky odesel a kam a z hlediska NATu by se to dalo povazovat za
jiste navazani "spojeni", ovsem jestli to je skutecne presne takhle si opravdu
nejsem jisty. (Ale myslim, ze ano.)

Z toho by mel take vyplyvat jisty bezpecnostni prinos NATu - do vnitrni site
se neda primo dostat tak jednoduse a navic neni zvenku videt vnitrni struktura
site. Mozna je take vhodne zkusit vhodnym pravidlem zajistit, aby se do
vnitrni site nemohl snadno dostat nekdo, kdo je schopen dosmerovat zvenku
pakety s privatnimi cilovymi adresami az na prislusny router s NATem - tedy
nekdo ze stejne IP site.

> bych videl s NAT. kdo prebira kontrolu nad paketem privni? FW nebo NAT
> demon?

natd dostane paket pri prochazeni pravidly ipfw ve chvili, kdy mu ho preda
pravidlo divert. Do te doby ma paket v hlavickach verejnou adresu. natd adresu
zameni za privatni a preda ho zpet a pak pokracuje prochazeni pravidel ipfw od
pravidla, ktere nasleduje za onim divert.

Doufam, ze moc nemystifikuji - pripadne me prosim nekdo opravte.

Martin