IPFW2 ve -stable a aktualizace source upgrade
Ivo Hazmuk
ivo at vutbr.cz
Mon Jul 29 14:18:26 CEST 2002
> > Duvod byl v natd, ktery opravoval pakety vic, nez bylo zdravo. Resenim
> > je obskocit natd ve firewallu.
>
> Tomuhle nerozumim. natd tedy nici prochazejici datovy tok? jakym zpusobem?
Uz si presne nepamatuji, jestli opravil paket nesouci informaci, kde FTP
server ocekava spojeni od klienta nebo pouze provoz.
Zapojeni vypada nasledovne:
klient
+-------------+
| Firewall | 192.168.1.1/24
Inet -------+ natd +--- Privatni sit------- jiny_server
| server | 10.1.1.9
+------+------+
| 128.1.1.1/24
| DMZ
+------- FTP server 128.1.1.10
|
+------- WWW server
...
Relace vypada zhruba nasledovne:
Navazani relace
klient->server:21 natd:klient->server:21 server:OK
server:21->klient natd:server:21->klient klient:OK
get /kernel /dev/null
klient->server:21 natd:klient->server:21 server:OK
server:21->klient natd:server:21->klient klient:OK
(v FTP protokolu rika, ze datove spojeni ocekava na 50010)
klient->server:50010 natd:klient->192.168.1.11:50010 server:NIC
Jakym zpusobem si natd vymysli cilovou adresu nevim, ale takhle to bylo
a je ve FreeBSD 4.2. Natd jsem necetl, ale vysvetluji si to nasledovne.
Natd posloucha na odchozim rozhrani. FTP server rekne, ze klient ma
navazat relaci na portu 50010. Natd si to zapamatuje a pri prichodu
paketu na server:50010 posle paket do privatni site, kde nikdo neceka.
Schvalne jsem tu situaci opet navodil, abych nekecal prilis.
Vymenil jsem pouze IP adresy.
S pozdravem
Ivosh Hazmuk
More information about the Users-l
mailing list