Firewall
Tyman Vladimir
vladimir.tyman at i.cz
Fri Feb 20 20:23:20 CET 2004
Večeřa Antonín wrote:
> Ale zde jsou pouzita stavova pravidla (keep state).
> Me zajimalo, zda lze na ipf+ipnat s nestavovymi pravidly
> zablokovat pakety z venkovni site adresovane do privatni site.
Jen pro upresneni, protoze tady bylo ve spouste odpovedi na puvodni
dotaz uveden spravne ipfw+natd a to se jinak konfiguruje a (zrejme i
jinak chova) nez vami polozeny dotaz k ipfilteru.
Pokud se ptate se na kombinaci ipf+ipnat jinymi slovy ipfilter od
D.Reeda tak tedy ipfilter funguje pokud me pamet neklame takto:
input-paket->input-iface->ipnat->ipf->kernel->ipf->ipnat->output-iface->output-paket
Samozrejme pro obraceny smer toku je to v reverznim poradi a samozrejme
pokud vase pravidla pro ipnat a ipf dovoli paketu projit firewallem :)
>
> Zjednodusene schema toku paketu by melo byt takto:
>
> Internet -> ipnat -> ipf(outside) -> kernel -> ipf(inside) -> LAN
>
> Takze podle mne na "ipf(outside)" nepoznam, jestli nastal preklad adresy
> nebo ne.
>
> Takze kdyz budu chtit NAT a bezstavova pravidla, tak musim sahnout po
ipfw?
>
> Antonin V.
>
Pokud je to tak jak jste to napsal pak v ipf(outside) opravdu nepoznate
src adresu, ale otazka je proc to chcete takhle zkonfigurovat?
Ve vasem pripade vidim tyto moznosti:
1. I primo v ipnatu (map/rdr pravidle) muzete provadet (jednoduchou;
src/dst/proto/port) filtraci co se ma/nema prekladat (tzv. policy nat).
2. Je skutecne nezbytne prekladat paket pred jeho prichodem do
ipf(outside) a ne az v ipnat(inside)?
3. Mozna, ze to treba pro vase pozadavky vubec nebude zapotrebi.
Bylo by lepe se zeptat ceho chcete dosahnout respektive jaky je vas cil
pak uz se muzeme tady spolecne pokusit vam konkretneji poradit.
VT
--
Vladimir Tyman
ICZ a.s.
More information about the Users-l
mailing list