IPFW2 ve -stable a aktualizace source upgrade

Ivo Hazmuk ivo at vutbr.cz
Mon Jul 29 14:18:26 CEST 2002


> > Duvod byl v natd, ktery opravoval pakety vic, nez bylo zdravo. Resenim
> > je obskocit natd ve firewallu.
>
> Tomuhle nerozumim. natd tedy nici prochazejici datovy tok? jakym zpusobem?

Uz si presne nepamatuji, jestli opravil paket nesouci informaci, kde FTP
server ocekava spojeni od klienta nebo pouze provoz.

Zapojeni vypada nasledovne:

 klient
              +-------------+
              | Firewall    | 192.168.1.1/24
  Inet -------+ natd        +--- Privatni sit------- jiny_server
              | server      |                        10.1.1.9
              +------+------+
                     | 128.1.1.1/24
                     | DMZ
                     +------- FTP server 128.1.1.10
                     |
                     +------- WWW server
                     ...

Relace vypada zhruba nasledovne:
Navazani relace
klient->server:21	natd:klient->server:21	server:OK
server:21->klient	natd:server:21->klient	klient:OK

get /kernel /dev/null
klient->server:21	natd:klient->server:21	server:OK
server:21->klient	natd:server:21->klient	klient:OK
  (v FTP protokolu rika, ze datove spojeni ocekava na 50010)
klient->server:50010	natd:klient->192.168.1.11:50010 server:NIC

Jakym zpusobem si natd vymysli cilovou adresu nevim, ale takhle to bylo
a je ve FreeBSD 4.2. Natd jsem necetl, ale vysvetluji si to nasledovne.
Natd posloucha na odchozim rozhrani. FTP server rekne, ze klient ma
navazat relaci na portu 50010. Natd si to zapamatuje a pri prichodu
paketu na server:50010 posle paket do privatni site, kde nikdo neceka.

Schvalne jsem tu situaci opet navodil, abych nekecal prilis.
Vymenil jsem pouze IP adresy.

	S pozdravem
							Ivosh Hazmuk




More information about the Users-l mailing list