ipfw dynamic ruleset + NAT

Sramek Dalibor dali at vse.cz
Mon Oct 29 13:12:55 CET 2001


To je ale nahoda - resil jsem to zrovna tuhle sobotu - a vyresil.

Asi takto:

skipto <radekX> all from <vnitrni sit> to any out via <vnejsi rozhrani>

deny all from any to <vnitrni sit> in via <vnejsi rozhrani>
divert natd all from any to me in via <vnejsi rozhrani>
pass all from any to <vnitrni sit> in via <vnejsi rozhrani>

check-state
zde definice toho co muze projit

deny all from any to any

radekX divert natd all from <vnitrni sit> to any out via <vnejsi rozhrani>
pass all from me to any out via <vnitrni rozhrani>
deny all from any to any


Komentar:
- predpoklad: ven muze vsechno, dovnitr nic
- zakladni princip je ten, ze pakety jdouci z vnitrni site ven se musi
protlacit natem, ale nevytvaret na ne dynamicke pravidlo (skipto nekam,
kde se provede nat a pak pass)
- naopak pakety jdouci dovnitr se musi protlacit nejdrive natem a pokud
jsou zmeneny tak, ze smeruji do vnitrni site, passnou se a uz se dale
nehledaji v dynamickych pravidlech
- jak tu nekdo spravne poznamenal nat zmeni jen takovy prichozi paket,
pro ktery ma zaznam v tabulce odchozich

Vyse uvedeny priklad je napsany dost "defenzivne" a mozna by se mohly
nektera pravidla navic vynechat.

Dalibor Sramek




More information about the Users-l mailing list