IPFW2 ve -stable a aktualizace source upgrade

Roman Neuhauser neuhauser at bellavista.cz
Wed Aug 7 11:08:34 CEST 2002


> Date: Wed, 7 Aug 2002 10:27:29 +0200 (CEST)
> From: Martin Horcicka <horcicka at freebsd.cz>
> To: users-l at freebsd.cz
> Subject: Re: IPFW2 ve -stable a aktualizace source upgrade
> 
> Martin Horcicka (2002-08-05 17:00 +0200):

    ... dlouha diskuse o ipfw, natd, a {check,keep}-state ...

> > Dobra, prinutili jste me to precist. :-) Autor, mi pripada ponekud
> > paranoidni na nepravem miste a trochu zmateny, ale dejme tomu.
> > Nejsem si stale jeste uplne jisty v cem je hlavni problem, ale mam
> > urcite tuseni - srovnejme dve varianty:
> >
> > A.
> >
> > ...
> > divert natd all from any to any via $oif
> > ...
> > check-state
> > ...
> > add allow ... out via $oif ... keep-state
> > ...
> >
> > Tuhle variantu pouzil autor clanku. Uvazujme ted jen prochazeni na
> > vnejsim rozhrani $oif - pri zpracovani paketu jdouciho smerem ven se
> > v paketech z vnitrni site nejdrive prelozi zdrojova adresa (divert
> > natd) a pak se teprve kontroluje tabulka dynamickych pravidel
> > (check-state) a pridavaji se nova dynamicka pravidla (add ...
> > keep-state). Dynamicka pravidla tedy obsahuji uz prelozenou (vnejsi)
> > adresu. Pri zpracovani paketu jdouciho smerem dovnitr se nejdrive
> > prelozi cilova adresa (divert natd) a pak se prochazi tabulka
> > dynamickych pravidel (check-state), ovsem ten paket ma v tu chvili
> > uz privatni cilovou adresu, takze v te tabulce pro nej pravidlo
> > rozhodne nebude! Autor clanku to obchazi vytvorenim dvou dynamickych
> > pravidel misto jednoho - tedy jednoho s privatni adresou a druheho s
> > verejnou adresou, coz mi pripada prinejmensim uchylne. ;-)
> >
> > B.
> >
> > ...
> > divert natd all from any to any out via $oif
> > ...
> > check-state
> > ...
> > add allow ... out via $oif ... keep-state
> > ...
> > divert natd all from any to any in via $oif
> > ...
> 
> Je videt, ze takhle dlouhe maily uz asi nikdo necte, jinak byste me uz
> davno museli roznest na kopytech. Varianta B je samozrejme naprosto
> nesmyslna, protoze ty spravne prichozi pakety by se diky check-state k
> tomu druhemu pravidlu divert nikdy nedostaly (uvedomil jsem si to
> vcera v noci). Velice se vsem omlouvam za sireni takovehoto nesmyslu -
> ja uz tu dovolenou fakt potrebuju. :-)

    ja takhle dlouhe maily ctu, ale nereagoval jsem, protoze mi 1)
    nedoslo, ze by to neslo, a 2) jsem cekal, az se dostanu k tomu,
    abych to vyzkousel. dik za usetreny cas. :)
 
> Nicmene, premyslel jsem o tom jak by to slo udelat jinak a nenapadlo
> me zadne reseni, ktere by slo udelat v jednom pruchodu - tedy jen na
> vnejsim rozhrani.  Nenapadlo me ovsem ani jak dokazat, ze to pripadne
> vubec nejde. 

    nevadi, ja se zatim seznamuju s ipf, a az dojde na tu instalaci,
    poreferuju tu, jak to vypada s krizenim ipfw/dummynet/ipf/ipnat
    v praxi.

-- 
Roman
Sel pantata / na prasata / boubelata / RATATATA!



More information about the Users-l mailing list