ipfw divert keep-state

Dan Lukes dan at obluda.cz
Wed Jul 26 14:54:48 CEST 2006


>> 	Moc tomu nerozumim - ale neni nahodou NAT na vstupu stavovym
> filtrem
>> sam o sobe ? (propousti "dovnitr" pouze pakety odpovidajici spojenim,
>> ktee byly korektne navazane "ven").

> Je to tak. Moje puvodni uvaha byla takova, ze je zbytecne poustet k NATu
> packety, ktere neprosli smerem tam. 

	No, tim jsme patrne vyresili otazku, jestli je takove reseni nutne a 
vhodne. Ja jsem se ale nad tim trochu zamyslel jeste jednou a dospel 
jsem k zaveru, ze takovehle reseni predevsim nelze z principu vubec 
realizovat, cimz by se otazka vhodnosti a nutnosti stala irelevantni.

	Je potreba uvazit, ze z hlediska stavoveho firewallu je TCP spojeni 
prochazejici NATem dvema nezavislymi TCP spojenimi. Jelikoz nelze 
keep-state aplikovane na jedne strane NATu mixovat s check-state ve 
snaze udelat cokoliv s pakety na druhe strane NATu, je zrejme, ze 
keep-state a check-state se musi zabyvat pakety na stejne strane NATu.

	Jde-li ti o blokovani prichozich nepatricnych paketu, pak je zrejme, ze 
vyvolenou stranou musi byt strana "vnejsi". Jenze, tady musime na pakety 
aplikovat divert - aby se dostaly do NATu - a protoze na paket lze 
aplikovat pouze jedno pravidlo tak vubec nema smysl uvazovat o 
check-state. Nemuzeme-li pouzit check-state, nema valneho smyslu 
pouzivat keep-state cimz jsme firewall uspesne "odstavovali" na bezny, 
bezestavovy.

	Skoro se mi zda, ze jsem exhaustivne prosel vsechny vetve stromu 
moznych reseni a ve vsech se ukazalo, ze "takhle to resit nejde". Tim 
(za predpokladu, ze jsem zadnou neminul) bych "takhle to resit vubec 
nejde" povazoval za definitivni odpoved na otazku po moznosti chranit na 
vstupu NAT stavovym IPFW.

	Mozna by se podarilo nejakym zhuverilym zpusobem sesadit dohromady 
konfiguraci, kde by NAT bezel na vnitrnim interface, nebo mozna na 
loopbacku, ve ktere by problem resitelny byl, ale rekl bych, ze to za to 
opravdu nestoji ...


							Dan


	



More information about the Users-l mailing list