IPFW a kernet NAT
Zbyněk Burget
zburget at burgnet.cz
Thu Aug 9 11:17:33 CEST 2012
Myslim, ze to s tak jemnym filtrovanim, jako je napr. podle SYN
priznaku, je az zbytecne prehnane.
Mozna bude stacit si uvedomit, ze kazdy packet prochazejici skrz router,
vchazi do firewallu minimalne dvakrat (v pripade filtrovani na urovni
layer2 ctyrikrat) - jednou (dvakrat) na vstupnim interface a jednou
(dvakrat) na interface vystupnim.
Mne vzdycky stacilo si ve firewallu provoz pomoci skipto rozhodit do
ruznych vetvi firewallu a tam je filtrovat tim nejjednodussim zpusobem.
NAT se pak samozrejme provadi na vnejsim interface a ruzne filtrovani,
co kam ma nebo nema projit na vnitrnim. Jde to i na vnejsim, jen si
clovek musi hlidat, v jake casti firewallu je jaka IP adresa (pred / po
prekladu).
V mem pripade vypadaji pravidla tak, ze propousti prakticky vsecho, jen
je vyjmenovano, co blokuji. A v minulem zamestanni jsme to meli zase
naopak, ze zakazano bylo vse, pouze bylo explicitne vyjmenovani, co je
povoleno (tedy opravdu, pro DNS byl ve firewallu zaznam, ze je povoleny
provoz UDP na port 53). Pak clovek musi jen uhlidat, co vsechno
potrebuje ke spokojenemu zivotu...
Zbynek
Dne 9.8.2012 10:43, Petr Valenta napsal(a):
> Zdravim,
>
> uz nejaky ten tyden si hraju s IPFW a in-kernel NATem. Premyslim, jak
> elegantne vyresit NAT do DMZ, kdy je problem s ICMP a UDP, protoze jsou
> nestavove.
> Pravidlo 10100 mi povoli SYN pakety jdouci z DMZ (a dale budou
> pokracovat do internetu). Neco podobneho bych potreboval s ICMP a UDP a
> to predtim, nez paket dorazi na pravidlo 10200, ktere ho zahodi, pokud
> se nejedna o odpoved na pozadavky prichazejici z $lan_if (v NAT tabulce).
>
> Problem je v tom, ze pravidla pred 10200 musi byt natolik chytra, aby
> nepasovala na odpovedi do $lan_if. Takove demonstracni chybne pravidlo
> je 10100, diky kteremu se mi nevrati pingy puvodne z $lan_if do $dmz_if,
> kdyz do $lan_if poustim pouze pakety tagged 2.
>
> Existuje na to vubec nejake elegantni reseni pro IPFW, krome presne
> specifikace pravidel typu udp jdouci na port 53, atd atd...?
>
> Diky
>
> Petr
>
>
>
> # DEMILITARIZOVANA ZONA (em0)
> #
> # NAT
> $fwcmd nat 2 config ip $public_ip deny_in same_ports
>
> # IN na DMZ_IF
> $fwcmd add 10000 count all from any to any in recv $dmz_if
> $fwcmd add 10100 allow all from any to any in recv $dmz_if setup
>
>
> $fwcmd add 10100 allow icmp from any to any in recv $dmz_if
> // povoluje ICMP
> $fwcmd add 10200 nat 2 log tag 2 all from any to any in recv $dmz_if
> // taguje pakety prochazejici NATem na dmz_if
>
--
Zbyněk Burget
Mlýnská 397
798 26 Nezamyslice
tel: 588 580 000, 739 930 931
http://www.burgnet.cz
IČ: 606 88 220; DIČ: CZ7210184674
More information about the Users-l
mailing list