ipfw dynamic ruleset + NAT

[Dan Lukes]

Sramek Dalibor wrote:

 >> 	Pri psani ruli je nutne pocitat i s tim, ze paket prochazi
 >> firewallem vlastne dvakrat - na vstupnim interface a znovu na
 >> vystupnim a pri pouziti NATu a predavani paketu pres DIVERT (a v
 >> zavislosti na nastaveni net.inet.ip.fw.one_pass) pocitat i s tim,
 >>  ze pred divertem se paket rulemi pohybuje "pred prekladem" a po
 >> divertu "po prekladu".
 >>
 >
 > V man ipfw se o promenne one_pass pise v souvislosti s dummynetem.
 > Ma neco spolecneho i s NATem?


	S NATem jen neprimo, ale (mimo jine) s vlastnosti/schopnosti "divert", 
ktera je potrebna pro predavani dat NATu.


 > Jinak problem s prekladem v kombinaci s dynamickymi pravidly je
 > prave v tom, ze pokud se na odchozi paket s prenatovanou adresou
 > necha vytvorit dynamicke pravidlo, mam u prichoziho paketu dve
 > moznosti: 1, nejdriv NAT, pak test dynamickych pravidel - to
 > nefunguje, protoze nat zmeni cilovou adresu 2, nejdriv test dyn.
 > pravidel a pak uz nic, protoze tim paket opusti zpracovani

	Nezapomente, ze mezi podminkami je i "smer" paketu - takze pro smer "ven" 
muzes mit rule nad divertem, omezene na smer "ven" a pro smer dovnitr 
pod divertem, omezene na smer dovnitr.

 >> 	konstrukce firewallu za pouziti "keep-state"
 >> je pomerne nachylna na DoS utoky

 > Podle meho nazoru je to idealni reseni pro site, kde veskery provoz
 > je iniciovan zevnitr a uzivatele jsou duveryhodni (u me doma ;-).

	Vy nemate deti ? ;-)

	Nicmene vazneji - pro site s duveryhodnymi vnitrnimi uzivateli a NATem to 
stale jeste nestaci, protoze stale jeste jste napadnutelny vnejsimi 
uzivateli na stejnem subnetu (alespon tak, jak jste to mel napsane).

						Dan


-- 
Dan Lukes      tel: +420 2 21914205, fax: +420 2 21914206
root  of FIONet,  KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz